Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VLANs порта Ethernet в режиме коммутации на устройствах безопасности

Понимание ретестности VLAN на устройствах безопасности

Повторное оттавка VLAN не поддерживается от Junos OS 15.1X49-D40 до Junos OS в 15.1X49-D60.

Начиная с Junos OS 15.1X49-D70, переименовка VLAN в режиме коммутации поддерживается на устройствах SRX300, SRX320, SRX340, SRX345 и SRX550M.

Начиная Junos OS 15.1X49-D80, переименовка VLAN в режиме коммутации поддерживается на SRX1500 устройствах.

Чтобы поддерживать ретестинг VLAN на серия SRX, настройте режим прозрачный режим vlan-rewrite и в swap режиме коммутации.

Идентификатор VLAN в пакетах, поступающих на магистральный порт уровня 2, может быть перезаписан или перезаписан с другим идентификатором внутренней VLAN. Ретестация VLAN является симметричной операцией; при выходе из того же магистрального порта, переназначённый идентификатор VLAN заменяется исходным идентификатором VLAN. Ретестизация VLAN позволяет выборочно отбирать входящие пакеты и перенаправлять их на межсетевой экран или другой устройство обеспечения безопасности, не влияя на другой трафик VLAN.

Повторное оттавка VLAN может применяться только к интерфейсам, настроенным как магистральные интерфейсы уровня 2. Эти интерфейсы могут включать избыточные интерфейсы Ethernet в конфигурации кластера прозрачный режим уровня 2.

Прим.:

Если порт магистрали настроен на ретестацию VLAN, то полученные на порт непотаговые пакеты не получают идентификатор vLAN с конфигурацией повторного присвоения VLAN. Для настройки идентификатора VLAN для непотагемых пакетов, полученных на физическом интерфейсе, используйте native-vlan-id утверждение.

Чтобы настроить ретестирование VLAN для интерфейса магистрали уровня 2, укажите 1-е сопоставление двух уровней:

  • Идентификатор входящих VLAN — идентификатор сети VLAN входящих пакетов, которые должны быть перебиты. Этот идентификатор VLAN не должен быть тем же идентификатором VLAN, который настроен с помощью утверждения native-vlan-id для порта магистрали.

  • Идентификатор внутренней сети VLAN — идентификатор VLAN для перебитного пакета. Этот идентификатор VLAN должен быть в списке идентификаторов VLAN для магистрального порта и не должен быть тем же идентификатором VLAN, настроенным с помощью утверждения native-vlan-id для порта магистрали.

Настройка ретестинга VLAN на магистральном интерфейсе уровня 2 устройства защиты

Ретестинг VLAN – это функция, которая работает IEEE виртуальной маркировки LAN 802.1Q (маркировка VLAN). Ретестация VLAN для SRX1500 — это корпоративный тип повторного затухания VLAN, в котором помимо обычной конфигурации магистрали достаточно одной команды.

  1. Создайте магистральные интерфейсы уровня 2.
  2. Настройте повторное оттавка VLAN.

Примере: Настройка гостевой VLAN на устройстве защиты

В этом примере показано, как настроить гостевую VLAN для ограниченного сетевого доступа или для доступа в Интернет, чтобы избежать потери безопасности компании.

Гостевая VLANs не поддерживается от Junos OS 15.1X49-D40 до Junos OS в 15.1X49-D60.

Требования

Перед началом убедитесь, что используемые интерфейсы находятся в режиме коммутации. См. пример: Настройка режимов коммутации на устройствах безопасности и пониманиережимов коммутации на устройствах безопасности.

Обзор

В данном примере VLAN, называемая "посетитель-vlan", настроена с ID VLAN, который составляет 300. Затем вы настраивают протоколы и настраивают гостевой VLAN для посетителя-vlan.

Конфигурации

Процедуры

Пошаговая процедура

Настройка гостевой VLAN:

  1. Настройте VLAN.

  2. Укажите гостевую VLAN.

  3. После настройки устройства сфиксировать конфигурацию.

Проверки

Чтобы проверить правильность работы конфигурации, введите show vlans команды show protocols dot1x и команды.