Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Puerto Ethernet VLANs en modo de conmutación en dispositivos de seguridad

Descripción del reetiquetado de VLAN en dispositivos de seguridad

No se admite el reetiquetado de VLAN de Junos OS versión 15.1-D40 a Junos OS Release 15.1 X49-D60.

A partir de Junos OS versión 15.1 X49-D70, el reetiquetado de VLAN en modo de conmutación se admite en dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M.

A partir de Junos OS Release 15.1-D80, el reetiquetado de VLAN en modo de conmutación es compatible con SRX1500 dispositivos.

Para admitir el reetiquetado de VLAN en dispositivos serie SRX, vlan-rewrite configure el modo transparente swap y configure el modo de conmutación.

El identificador VLAN de los paquetes que llegan a un puerto troncal de capa 2 puede volverse a rescribir o a etiquetar con un identificador VLAN interno diferente. El reetiquetado de las VLAN es una operación simétrica; al salir del mismo puerto troncal, el identificador VLAN remarcado se sustituye por el identificador VLAN original. El reetiquetado de VLAN ofrece una manera de filtrar paquetes entrantes de manera selectiva y redirigirlos a un firewall u otro dispositivo de seguridad sin afectar a otro tráfico VLAN.

El reetiquetado de VLAN se puede aplicar solo a las interfaces configuradas como interfaces troncales de capa 2. Estas interfaces pueden incluir interfaces Ethernet redundantes en un modo transparente de capa 2 dentro de una configuración de clúster del chasis .

Nota:

Si se configura un puerto de enlace para el reetiquetado de VLAN, los paquetes sin etiquetar recibidos en el puerto no estarán asignados a ningún identificador VLAN con la configuración de reetiquetado de la VLAN. Para configurar un identificador de VLAN para paquetes sin etiquetar recibidos en la interfaz física, utilice la native-vlan-id instrucción.

Para configurar un reetiquetado de VLAN para una interfaz troncal de capa 2, especifique una asignación unívoca de lo siguiente:

  • Identificador de VLAN entrante: identificador VLAN del paquete entrante que se va a volver a etiquetar. Este identificador de VLAN no debe ser el mismo identificador de VLAN configurado con la native-vlan-id instrucción del puerto troncal.

  • Identificador interno de VLAN: identificador VLAN para el paquete reenlazado. Este identificador de VLAN debe estar en la lista de identificadores de VLAN para el puerto de tronco y no debe ser el mismo identificador de VLAN native-vlan-id configurado con la instrucción del puerto troncal.

Configuración del reetiquetado de VLAN en una interfaz troncal de capa 2 de un dispositivo de seguridad

El reetiquetado de las VLAN es una característica que funciona en IEEE etiquetado de LAN virtual 802.1 Q estándar (VLAN tagging. El reetiquetado de VLAN para dispositivos SRX1500 es un estilo empresarial de reetiquetado de VLAN, en el que un solo comando es suficiente sobre una configuración troncal normal.

  1. Cree una interfaz troncal de capa 2.
  2. Configure el reetiquetado de las VLAN.

Ejemplo Configuración de una VLAN invitada en un dispositivo de seguridad

En este ejemplo, se muestra cómo configurar una VLAN de invitado para un acceso de red limitado o para el acceso solo a Internet para evitar comprometer la seguridad de una empresa.

Las VLAN invitadas no cuentan con soporte de Junos OS Release 15.1 X49-D40 a Junos OS Release 15.1 X49-D60.

Aplicables

Antes de comenzar, compruebe que las interfaces que se utilizarán estén en modo de conmutación. Consulte ejemplo: Configuración de los modos de conmutación en dispositivos de seguridad y comprensión de los modos de conmutación en los dispositivos de seguridad.

Descripción general

En este ejemplo, puede configurar una VLAN denominada Visitor-VLAN con el ID. de VLAN 300. A continuación, puede establecer protocolos y configurar la VLAN de visitante como la VLAN invitada.

Automática

Modalidades

Procedimiento paso a paso

Para configurar una VLAN invitada:

  1. Configure una VLAN.

  2. Especifique la VLAN invitada.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Comproba

Para comprobar que la configuración funciona correctamente, escriba los show vlans comandos show protocols dot1x y.