セキュリティ デバイス上のスイッチング モードでのイーサネット ポート VLAN

VLAN 再タグ付けは、Junos OS リリース 15.1X49-D40 から Junos OS リリース 15.1X49-D60 ではサポートされていません。

Junos OSリリース15.1X49-D70以降、スイッチングモードでのVLAN再タグ付けは、SRX300、SRX320、SRX340、SRX345、およびSRX550Mデバイスでサポートされています。

Junos OSリリース15.1X49-D80以降、スイッチングモードでのVLAN再タグ付けは、SRX1500デバイスでサポートされています。

SRXシリーズファイアウォールでVLAN再タグ付けをサポートするには、透過モードでvlan-rewriteを設定し、スイッチングモードでswapを設定します。

レイヤー 2 トランク ポートに到着するパケットの VLAN 識別子は、書き換えたり、別の内部 VLAN 識別子で タグを付け直 したりできます。VLAN の再タグ付けは対称的な操作です。同じトランク ポートから出ると、タグが変更された VLAN 識別子は元の VLAN 識別子に置き換えられます。VLAN再タグ付けは、他のVLANトラフィックに影響を与えることなく、受信パケットを選択的にスクリーニングし、ファイアウォールまたは他のセキュリティデバイスにリダイレクトする方法を提供します。

VLAN再タグ付けは、レイヤー2トランクインターフェイスとして設定されたインターフェイスにのみ適用できます。これらのインターフェイスには、 シャーシクラスター 設定内のレイヤー2透過モードの冗長イーサネットインターフェイスを含めることができます。

レイヤー2トランクインターフェイスのVLAN再タグ付けを設定するには、以下のうちの1対1のマッピングを指定します。

• 受信VLAN識別子—レタグされる着信パケットのVLAN識別子。このVLAN識別子は、トランクポートの native-vlan-id ステートメントで設定されたVLAN識別子と同じであってはなりません。

• 内部VLAN識別子—タグが変更されたパケットのVLAN識別子。この VLAN 識別子は、トランク ポートの VLAN 識別子リストに含まれている必要があり、トランク ポートの native-vlan-id ステートメントで設定された VLAN 識別子と同じであってはなりません。

この例では、企業のセキュリティ侵害を回避するために、限定的なネットワーク アクセスまたはインターネットのみのアクセス用にゲスト VLAN を設定する方法を示します。

ゲスト VLAN は、Junos OS リリース 15.1X49-D40 から Junos OS リリース 15.1X49-D60 ではサポートされていません。