Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

VLAN de port Ethernet en mode de commutation sur les équipements de sécurité

Comprendre le rebalisage VLAN sur les équipements de sécurité

Le rebalisage VLAN n’est pas pris en charge de Junos OS version 15.1X49-D40 à Junos OS version 15.1X49-D60.

À partir de Junos OS version 15.1X49-D70, le rebalisage VLAN en mode de commutation est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M.

À partir de Junos OS version 15.1X49-D80, le rebalisage VLAN en mode de commutation est pris en charge sur les périphériques SRX1500.

Pour prendre en charge le rebalisage VLAN sur les pare-feu SRX Series, configurez en mode transparent et configurez vlan-rewriteswap en mode commutation.

L’identifiant VLAN des paquets arrivant sur un port trunk de couche 2 peut être réécrit ou réétiqueté avec un autre identifiant VLAN interne. Le rebalisage VLAN est une opération symétrique ; lorsque vous quittez le même port trunk, l’identifiant VLAN réétiqueté est remplacé par l’identifiant VLAN d’origine. Le rebalisage VLAN permet de filtrer de manière sélective les paquets entrants et de les rediriger vers un pare-feu ou un autre dispositif de sécurité sans affecter le reste du trafic VLAN.

Le rebalisage VLAN ne peut être appliqué qu’aux interfaces configurées en tant qu’interfaces trunk de couche 2. Ces interfaces peuvent inclure des interfaces Ethernet redondantes en mode transparent de couche 2 dans une configuration de cluster de châssis .

REMARQUE :

Si un port trunk est configuré pour le réétiquetage VLAN, les paquets non étiquetés reçus sur le port ne se voient pas attribuer d’identificateur VLAN avec la configuration de réétiquetage VLAN. Pour configurer un identificateur VLAN pour les paquets non étiquetés reçus sur l’interface physique, utilisez l’instruction native-vlan-id .

Pour configurer le rebalisage VLAN pour une interface principale de couche 2, spécifiez un mappage un à un des éléments suivants :

  • Incoming VLAN identifier (Identifiant VLAN entrant) : identificateur VLAN du paquet entrant qui doit être réétiqueté. Cet identificateur de VLAN ne doit pas être le même que celui configuré avec l’instruction native-vlan-id du port trunk.

  • Internal VLAN identifier (Identificateur de VLAN interne) : identificateur de VLAN pour le paquet réétiqueté. Cet identificateur de VLAN doit figurer dans la liste des identificateurs de VLAN du port de jonction et ne doit pas être le même que celui configuré avec l’instruction native-vlan-id du port de jonction.

Voir également

Configuration du rebalisage VLAN sur l’interface trunk de couche 2 d’un équipement de sécurité

Le rebalisage VLAN est une fonctionnalité qui fonctionne sur le marquage LAN virtuel norme IEEE 802.1Q (marquage VLAN. Le rebalisage VLAN pour les équipements SRX1500 est un style de rebalisage VLAN d’entreprise, dans lequel une seule commande suffit en plus de la configuration trunk normale.

  1. Créez une interface trunk de couche 2.
  2. Configurez le rebalisage VLAN.

Exemple : Configuration d’un VLAN invité sur un équipement de sécurité

Cet exemple montre comment configurer un VLAN invité pour un accès réseau limité ou pour un accès Internet uniquement afin d’éviter de compromettre la sécurité d’une entreprise.

Les VLAN invités ne sont pas pris en charge de Junos OS version 15.1X49-D40 à Junos OS version 15.1X49-D60.

Conditions préalables

Avant de commencer, vérifiez que les interfaces qui seront utilisées sont en mode de commutation. Voir l’exemple : Configurer les modes de commutation sur les équipements de sécurité et comprendre les modes de commutation sur les équipementsde sécurité.

Présentation

Dans cet exemple, vous configurez un VLAN appelé visitor-vlan avec un ID de VLAN de 300. Ensuite, vous définissez des protocoles et configurez le vlan visiteur en tant que VLAN invité.

Configuration

Procédure

Procédure étape par étape

Pour configurer un VLAN invité :

  1. Configurez un VLAN.

  2. Spécifiez le VLAN invité.

  3. Si vous avez terminé de configurer l’appareil, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez les show vlans commandes et show protocols dot1x .