Author Topic: Native-vlan-id has no effect  (Read 831 times)

mwehlou

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Native-vlan-id has no effect
« on: August 14, 2016, 08:58:01 am »
I'm having a vexing problem. I'm using ethernet switching and have several vlans on the same ports, one of which should be the default, untagged vlan. It works fine with an almost identical setup on an SRX 240 with the same version of Junos, but I can't make it work on an SRX 100. I've tried two different SRX 100, and I've tried it on 12.1X44-D45.2 and 12.3X48-D35.7 on the SRX 100. The SRX 240 that works fine runs 12.1X44-D45.2.

I'm including the entire setup, minus the credentials of course, since it's pretty small. The vlans 101, 102, 103 work fine, respond to DHCP and allocate addresses and route fine. The 100 vlan, set as vlan-native-id, keeps tagging with vlan 100, and doesn't respond to untagged packets. It returns tagged 100 packets on DHCP requests (verified with Wireshark).

What am I missing? Or is the SRX 100 incapable of doing the vlan-native-id?

Code: [Select]
## Last changed: 2016-08-14 13:15:40 CEST
version 12.3X48-D35.7;
system {
    host-name ...;
    time-zone Europe/Stockholm;
    root-authentication {
        encrypted-password "..."; ## SECRET-DATA
    }
    name-server {
        208.67.220.220;
        208.67.222.222;
    }
    name-resolution {
        no-resolve-on-input;
    }
    login {
        user ... {
            uid 2000;
            class super-user;
            authentication {
                ...
            }
        }
    }
    services {
        ssh {
            root-login deny-password;
        }
        telnet;
        xnm-clear-text;
        web-management {
            https {
                system-generated-certificate;
                interface vlan.1;
            }
        }
        dhcp {
            domain-name glunten.se;
            name-server {
                208.67.220.220;
                208.67.222.222;
            }
            traceoptions {
                file dhcp.dbg;
                flag all;
            }
            pool 172.20.0.0/16 {
                address-range low 172.20.2.1 high 172.20.10.254;
                router {
                    172.20.0.1;
                }
            }
            pool 172.21.0.0/16 {
                address-range low 172.21.2.0 high 172.21.10.254;
                router {
                    172.21.0.1;
                }
            }
            pool 172.22.0.0/16 {
                address-range low 172.22.2.0 high 172.22.10.254;
                router {
                    172.22.0.1;
                }
            }
            pool 172.23.0.0/16 {
                address-range low 172.23.2.0 high 172.23.10.254;
                router {
                    172.23.0.1;
                }
            }
        }
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 24;
    max-configuration-rollbacks 24;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ntp {
        server se.pool.ntp.org;
    }
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            rule-set nat-outbound-ruleset {
                from zone trust;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.100;
                vlan.101;
                vlan.102;
                vlan.103;
            }
        }
        security-zone untrust {
            screen untrust-screen;
            host-inbound-traffic {
                system-services {
                    ike;
                    ping;
                    ssh;
                }
            }
            interfaces {
                fe-0/0/0.0;
            }
        }
    }
}
interfaces {
    interface-range trust-interfaces {
        member fe-0/0/1;
        member fe-0/0/2;
        member fe-0/0/3;
        member fe-0/0/4;
        member fe-0/0/5;
        member fe-0/0/6;
        member fe-0/0/7;
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ vlan-staff vlan-students vlan-ipads vlan-discovery ];
                }
                native-vlan-id 100;
            }
        }
    }
    fe-0/0/0 {
        unit 0 {
            family inet {
                address 212..../28;
            }
        }
    }
    inactive: fe-0/0/1 {
        unit 0 {
            family ethernet-switching {
                port-mode trunk;
                vlan {
                    members [ vlan-staff vlan-students vlan-ipads ];
                }
                native-vlan-id vlan-discovery;
            }
        }
    }
    vlan {
        unit 100 {
            description discovery;
            family inet {
                address 172.20.0.1/16;
            }
        }
        unit 101 {
            description staff;
            family inet {
                address 172.21.0.1/16;
            }
        }
        unit 102 {
            description students;
            family inet {
                address 172.22.0.1/16;
            }
        }
        unit 103 {
            description ipads;
            family inet {
                address 172.23.0.1/16;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 212.181.67.49;
    }
}
protocols {
    stp;
}
vlans {
    vlan-discovery {
        vlan-id 100;
        l3-interface vlan.100;
    }
    vlan-ipads {
        vlan-id 103;
        l3-interface vlan.103;
    }
    vlan-staff {
        vlan-id 101;
        l3-interface vlan.101;
    }
    vlan-students {
        vlan-id 102;
        l3-interface vlan.102;
    }
}