Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Puerto Ethernet VLANs en modo de conmutación en dispositivos de seguridad

 

Descripción del reetiquetado de VLAN en dispositivos de seguridad

No se admite el reetiquetado de VLAN de Junos OS versión 15.1-D40 a Junos OS Release 15.1 X49-D60.

A partir de Junos OS versión 15.1 X49-D70, el reetiquetado de VLAN en modo de conmutación se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M.

A partir de Junos OS Release 15.1-D80, el reetiquetado de VLAN en modo de conmutación es compatible con SRX1500 dispositivos.

Para admitir el reetiquetado de VLAN en dispositivos serie SRX, vlan-rewrite configure el modo transparente swap y configure el modo de conmutación.

El identificador VLAN de los paquetes que llegan a un puerto troncal de capa 2 puede volverse a rescribir o a etiquetar con un identificador VLAN interno diferente. El reetiquetado de las VLAN es una operación simétrica; al salir del mismo puerto troncal, el identificador VLAN remarcado se sustituye por el identificador VLAN original. El reetiquetado de VLAN ofrece una manera de filtrar paquetes entrantes de manera selectiva y redirigirlos a un firewall u otro dispositivo de seguridad sin afectar a otro tráfico VLAN.

El reetiquetado de VLAN se puede aplicar solo a las interfaces configuradas como interfaces troncales de capa 2. Estas interfaces pueden incluir interfaces Ethernet redundantes en un modo transparente de capa 2 dentro de una configuración de clúster del chasis .

Nota

Si se configura un puerto de enlace para el reetiquetado de VLAN, los paquetes sin etiquetar recibidos en el puerto no estarán asignados a ningún identificador VLAN con la configuración de reetiquetado de la VLAN. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la native-vlan-id instrucción.

Para configurar un reetiquetado de VLAN para una interfaz troncal de capa 2, especifique una asignación unívoca de lo siguiente:

  • Identificador VLAN entrante identificador—VLAN del paquete entrante que se va a reetiquetar. Este identificador de VLAN no debe ser el mismo identificador de VLAN configurado con la native-vlan-id instrucción del puerto troncal.

  • Identificador VLAN interna identificador—VLAN del paquete reetiquetado. Este identificador de VLAN debe estar en la lista de identificadores de VLAN para el puerto de tronco y no debe ser el mismo identificador de VLAN native-vlan-id configurado con la instrucción del puerto troncal.

Configuración del reetiquetado de VLAN en una interfaz troncal de capa 2 de un dispositivo de seguridad

El reetiquetado de las VLAN es una característica que funciona en IEEE etiquetado de LAN virtual 802.1 Q estándar (VLAN tagging. El reetiquetado de VLAN para dispositivos SRX1500 es un estilo empresarial de reetiquetado de VLAN, en el que un solo comando es suficiente sobre una configuración troncal normal.

  1. Cree una interfaz troncal de capa 2.
    [edit]
    user@host# set interfaces ge-3/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members 1–10
  2. Configure el reetiquetado de las VLAN.
    [edit]
    user@host# set interfaces ge-3/0/0 unit 0 family ethernet-switching vlan-rewrite translate 11 2

Ejemplo Configuración de una VLAN invitada en un dispositivo de seguridad

Este ejemplo muestra cómo configurar una VLAN invitada para acceso limitado a la red o para acceso de solo Internet para evitar poner en’peligro la seguridad de una compañía.

Las VLAN invitadas no cuentan con soporte de Junos OS Release 15.1 X49-D40 a Junos OS Release 15.1 X49-D60.

Aplicables

Antes de comenzar, compruebe que las interfaces que se utilizarán estén en modo de conmutación. Consulte ejemplo:Example: Configuring Switching Modes on Security Devices en dispositivos de seguridad y Understanding Switching Modes on Security Devices.

Descripción general

En este ejemplo, puede configurar una VLAN denominada Visitor-VLAN con el ID. de VLAN 300. A continuación, puede establecer protocolos y configurar la VLAN de visitante como la VLAN invitada.

Automática

Procedimiento detallado

Para configurar una VLAN invitada:

  1. Configure una VLAN.
  2. Especifique la VLAN invitada.
  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba los show vlans comandos show protocols dot1x y.