Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VLAN de port Ethernet en mode commutation sur les équipements de sécurité

Comprendre le retagging VLAN sur les équipements de sécurité

Le retagging VLAN n’est pas pris en charge de Junos OS Version 15.1X49-D40 à Junos OS Version 15.1X49-D60.

À partir de Junos OS version 15.1X49-D70, le retagging VLAN en mode commutation est pris en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M.

À partir de Junos OS version 15.1X49-D80, le retagging VLAN en mode commutation est pris en charge sur les équipements SRX1500.

Pour prendre en charge le retagging VLAN sur les équipements SRX Series, configurez-le vlan-rewrite en mode transparent et configurez-le swap en mode de commutation.

L’identificateur VLAN des paquets arrivant sur un port d’agrégation de couche 2 peut être réécrit ou retaigné à l’aide d’un autre identifiant VLAN interne. Le retagging VLAN est une opération symétrique; à la sortie du même port d’agrégation, l’identificateur VLAN retagged est remplacé par l’identificateur VLAN d’origine. Le retagging VLAN permet de sélectionner les paquets entrants et de les rediriger vers un pare-feu ou un autre équipement de sécurité sans affecter le trafic VLAN.

Le retagging VLAN peut être appliqué uniquement aux interfaces configurées en tant qu’interfaces d’agrégation de couche 2. Ces interfaces peuvent inclure des interfaces Ethernet redondantes en mode transparent de couche 2 au sein d’une configuration de cluster de châssis .

Remarque :

Si un port d’agrégation est configuré pour le retagging VLAN, les paquets non marqués reçus sur le port ne se voient pas attribuer d’identifiant VLAN avec la configuration de retagging VLAN. Pour configurer un identifiant VLAN pour les paquets non marqués reçus sur l’interface physique, utilisez l’instruction native-vlan-id .

Pour configurer le retagging VLAN pour une interface trunk de couche 2, spécifiez un mappage one-to-one des éléments suivants :

  • Identifiant VLAN entrant : identifiant VLAN du paquet entrant qui doit être retagué. Cet identifiant VLAN ne doit pas être le même identifiant VLAN configuré avec l’instruction native-vlan-id du port d’agrégation.

  • Identifiant VLAN interne : identifiant VLAN pour le paquet retagged. Cet identifiant VLAN doit figurer dans la liste des identifiants VLAN du port d’agrégation et ne doit pas être le même identifiant VLAN configuré avec l’instruction native-vlan-id pour le port d’agrégation.

Configuration du retagging VLAN sur une interface trunk de couche 2 d’un équipement de sécurité

Le retagging VLAN est une fonctionnalité compatible avec le balisage LAN virtuel 802.1Q standard IEEE (balisage VLAN. Le retagging VLAN pour les équipements SRX1500 est un type d’entreprise de retagging VLAN, dans lequel une seule commande suffit au-dessus de la configuration d’agrégation normale.

  1. Créez une interface trunk de couche 2.
  2. Configurez le retagging VLAN.

Exemple : Configuration d’un VLAN invité sur un équipement de sécurité

Cet exemple montre comment configurer un VLAN invité pour un accès réseau limité ou un accès Internet uniquement afin d’éviter de compromettre la sécurité d’une entreprise.

Les VLAN invités ne sont pas pris en charge de Junos OS Version 15.1X49-D40 à Junos OS Version 15.1X49-D60.

Conditions préalables

Avant de commencer, vérifiez que les interfaces qui seront utilisées sont en mode commutateur. Voir l’exemple : Configuration des modes de commutation sur les équipements de sécurité et compréhension des modes de commutation sur les équipements de sécurité.

Présentation

Dans cet exemple, vous configurez un VLAN appelé visitor-vlan avec un ID VLAN de 300. Ensuite, vous définissez des protocoles et configurez visitor-vlan comme VLAN invité.

Configuration

Procédure

Procédure étape par étape

Pour configurer un VLAN invité :

  1. Configurez un VLAN.

  2. Indiquez le VLAN invité.

  3. Si vous avez terminé la configuration de l’unité, validez la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez les show vlans commandes.show protocols dot1x