Ethernet Interfaces
Saiba mais sobre a tecnologia Ethernet usada para transmitir tráfego em dispositivos de segurança, entradas ARP estáticas, criando e excluindo a interface Ethernet, e habilitando e desativando o modo promíscuo nessas interfaces. Saiba também sobre interfaces agregadas de ethernet
Visão geral das interfaces Ethernet
A Ethernet é uma tecnologia de ponto a ponto multiponto de Camada 2 que opera em uma topologia de ônibus compartilhada, oferece suporte à transmissão de transmissão e tem controle de acesso distribuído.
Em uma topologia de ônibus compartilhada, todos os dispositivos se conectam a um único link físico compartilhado pelo qual todas as transmissões de dados são enviadas. Os dispositivos dentro de uma única topologia Ethernet compõem um domínio de broadcast.
O hardware físico não fornece informações ao remetente sobre a entrada e perda de tráfego. Protocolos de camada superior, como TCP/IP, podem fornecer esse tipo de notificação.
Descrição dos tipos | |
---|---|
Controle e transmissão de acesso Ethernet |
|
Colisões e detecção |
|
Domínios de colisão e segmentos de LAN |
|
|
|
Rodada |
Tamanho do conjunto |
Elementos no conjunto |
---|---|---|
1 |
2 |
|
2 |
4 |
|
3 |
8 |
|
4 |
16 |
|
5 |
32 |
|
6 |
64 |
|
7 |
128 |
|
8 |
256 |
|
9 |
512 |
|
10 |
1024 |
|
Quadros de ethernet
Os dados são transmitidos por uma rede Ethernet em quadros. Os quadros são de comprimento variável, variando de 64 octets a 1518 octets, incluindo o valor de cabeçalho, carga e verificação de redundância cíclica (CRC). A Figura 1 mostra o formato do quadro Ethernet.
Os quadros de ethernet têm os seguintes campos:
-
O campo preâmbulo (PRE) é de 7 octets de 0s e 1s alternados. O formato previsível no preâmbulo permite que as interfaces receptoras se sincronizam com os dados que estão sendo enviados. O preâmbulo é seguido por um delimitador de início de quadro (SFD) de 1 octet.
-
Os campos de endereço de destino (DA) e endereço de origem (SA) contêm os endereços MAC de 6 octet (48 bits) para as portas de destino e origem da rede. Esses endereços de Camada 2 identificam com exclusividade os dispositivos da LAN.
-
O campo comprimento/tipo é um campo de 2 octets que indica o comprimento do campo de dados do quadro ou identifica a pilha de protocolo associada ao quadro. Aqui estão alguns tipos de quadros comuns:
-
AppleTalk—
0x809B
-
AppleTalk ARP—
0x80F3
-
DECnet—
0x6003
-
IP—
0x0800
-
IPX—
0x8137
-
Loopback—
0x9000
-
XNS—
0x0600
-
-
O campo Data contém a carga de pacotes.
-
A sequência de verificação de quadros (FCS) é um campo de 4 octets que contém o valor calculado do CRC. Esse valor é calculado pelo host de origem e anexo ao quadro. Quando ele recebe os quadros, o host receptor calcula o CRC e verifica-o em relação a esse valor anexo para verificar a integridade do quadro recebido.
-
Nos dispositivos SRX650, o quadro de pausa MAC e os contadores de quadros de erro FCS não são compatíveis com as interfaces ge-0/0/0 até ge-0/0/3. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Modo promíscuo
-
Quando você habilita o modo promíscuo em uma interface Ethernet de Camada 3, todos os pacotes recebidos são enviados para o ponto central ou unidade de processamento de serviços (SPU), independentemente do endereço MAC de destino do pacote.
-
Você também pode habilitar um modo promíscuo em interfaces Ethernet redundantes de cluster de chassi e interfaces Ethernet agregadas.
-
Se você habilitar o modo promíscuo em uma interface Ethernet redundante, ele será habilitado em qualquer interface física infantil. Se você habilitar o modo promíscuo em uma interface Ethernet agregada, ele será habilitado em todas as interfaces de membros.
-
A função de modo promíscuo é suportada em interfaces de ethernet de 1 Gigabit, 10 Gigabit, 40 Gigabit e 100 Gigabit nas placas de E/S (IOCs) e no concentrador de portas de módulo de linha SRX5000 (SRX5K-MPC).
-
Por padrão, uma interface permite a filtragem MAC. Você pode configurar o modo promíscuo na interface para desativar a filtragem MAC. Quando você excluir a configuração, a interface realizará a filtragem MAC novamente.
-
Você pode alterar o endereço MAC da interface quando a interface estiver operando no modo promíscuo. Quando a interface está operando no modo normal, a função de filtragem MAC no IOC usa o novo endereço MAC para filtrar os pacotes.
Exemplo: Configure a interface Ethernet
Visão geral
A Tabela descreve as etapas para criar e (opcional) excluir interfaces Ethernet em seu dispositivo de roteamento.
Etapa de configuração |
Comando |
---|---|
Passo 1: Crie a interface Ethernet e defina a interface lógica. |
[edit] user@host# edit interfaces ge-1/0/0 unit 0 |
Passo 2: Se você terminar de configurar o dispositivo, confirme a configuração. |
[edit] user@host# commit |
Passo 3: (Opcional) Especifique a interface que deseja excluir. |
[edit] user@host# delete interfaces ge-1/0/0 |
Passo 4: Se você terminar de configurar o dispositivo, confirme a configuração. |
[edit] user@host# commit |
Exemplo: Configuração do modo promíscuo no SRX5K-MPC
Este exemplo mostra como configurar o modo promíscuo em uma interface SRX5K-MPC em uma SRX5600 para desativar a filtragem de endereços MAC.
Configuração rápida da CLI
A tabela abaixo especifica os comandos de configuração rápida da CLI usados para configurar e desativar o modo promíscuo na interface SRX5K-MPC.
Etapa de configuração |
Comandos de configuração rápida da CLI |
---|---|
Configure o modo promíscuo na interface | set interfaces et-4/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces et-4/0/0 promiscuous-mode |
Desativar modo promíscuo em uma interface | user@host# delete interfaces et-4/0/0 promiscuous-mode |
Configure o modo promíscuo em uma interface
A tabela abaixo descreve o passo a passo para configurar o modo promíscuo em uma interface em seu dispositivo de segurança.
Etapa de configuração |
Comando |
---|---|
Passo 1: Configure a interface de entrada. |
[edit interfaces] user@host# set et-4/0/0 unit 0 family inet address 10.1.1.1/24 |
Passo 2: Habilite o modo promíscuo na interface. |
[edit interfaces] user@host# set et-4/0/0 promiscuous-mode |
Passo 3: (Opcional) Desabilitar o modo promíscuo na interface. |
[edit] user@host# delete interfaces et-4/0/0 promiscuous-mode |
Use o show interfaces
comando para ver a saída da configuração.
Verificação
Propósito
Verifique se o modo promíscuo está habilitado, seu status, na interface e desativado na interface.
Ação
-
Para exibir informações sobre os parâmetros configurados na interface de modo promíscuo.
user@host> show interfaces
Physical interface: et-4/0/0, Enabled, Physical link is Up Interface index: 137, SNMP ifIndex: 511 Link-level type: Ethernet, MTU: 1518, Speed: 100Gbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled Device flags : Present Running Interface flags: Promiscuous SNMP-Traps Internal: 0x4000 CoS queues : 8 supported, 8 maximum usable queues Current address: 2c:21:72:3a:05:28, Hardware address: 2c:21:72:3a:05:28 Last flapped : 2014-01-17 14:44:53 PST (5d 06:30 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Active alarms : None Active defects : None PCS statistics Seconds Bit errors 0 Errored blocks 0 Logical interface et-4/0/0.0 (Index 71) (SNMP ifIndex 513) Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.1351 ] Encapsulation: ENET2 Input packets : 0 Output packets: 0 Security: Zone: HOST Allowed host-inbound traffic : any-service bfd bgp dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp Protocol inet, MTU: 1500 Flags: Sendbcast-pkt-to-re Addresses, Flags: Is-Preferred Is-Primary Destination: 122.122.122/24, Local: 122.122.122.1, Broadcast: 122.122.122.255 Protocol multiservice, MTU: Unlimited Flags: Is-Primary Logical interface et-4/0/0.32767 (Index 72) (SNMP ifIndex 517) Flags: SNMP-Traps 0x4004000 VLAN-Tag [ 0x0000.0 ] Encapsulation: ENET2 Input packets : 0 Output packets: 0 Security: Zone: HOST Allowed host-inbound traffic : any-service bfd bgp dvmrp igmp ldp msdp nhrp ospf pgm pim rip router-discovery rsvp sap vrrp Protocol multiservice, MTU: Unlimited Flags: None
O
Interface flags: Promiscuous
campo mostra que o modo promíscuo está habilitado na interface. -
Verifique se o modo promíscuo funciona na
et-4/0/0
interface. Envie tráfego para aet-4/0/0
interface com um endereço MAC que é diferente do endereço MAC da interface e ativa o modo promíscuo. A partir do modo operacional, entre nomonitor interface traffic
comando.user@host> monitor interface traffic
Interface Link Input packets (pps) Output packets (pps) gr-0/0/0 Up 0 (0) 0 (0) ip-0/0/0 Up 0 (0) 0 (0) lt-0/0/0 Up 0 (0) 0 (0) xe-1/2/0 Down 0 (0) 0 (0) xe-1/2/1 Down 0 (0) 0 (0) xe-1/2/2 Down 0 (0) 0 (0) xe-1/2/3 Down 0 (0) 0 (0) xe-1/2/4 Down 0 (0) 0 (0) xe-1/2/5 Down 0 (0) 0 (0) xe-1/2/6 Down 0 (0) 0 (0) xe-1/2/7 Down 0 (0) 0 (0) xe-1/2/8 Down 0 (0) 0 (0) xe-1/2/9 Down 0 (0) 0 (0) et-4/0/0 Up 4403996 (100002) 0 (0) et-4/2/0 Up 3 (0) 4403924 (99997) avs0 Up 0 (0) 0 (0) avs1 Up 0 (0) 0 (0) dsc Up 0 0 em0 Up 15965 14056
Os
input packets
campos e os campospps
mostram que o tráfego está passando pela interface como esperado após aet-4/0/0
habilitação do modo promíscuo. -
Verifique se o modo promíscuo desativado funciona na
et-4/0/0
interface. Envie tráfego e desativar o modo promíscuo.user@host> monitor interface traffic
Interface Link Input packets (pps) Output packets (pps) gr-0/0/0 Up 0 (0) 0 (0) ip-0/0/0 Up 0 (0) 0 (0) lt-0/0/0 Up 0 (0) 0 (0) xe-1/2/0 Down 0 (0) 0 (0) xe-1/2/1 Down 0 (0) 0 (0) xe-1/2/2 Down 0 (0) 0 (0) xe-1/2/3 Down 0 (0) 0 (0) xe-1/2/4 Down 0 (0) 0 (0) xe-1/2/5 Down 0 (0) 0 (0) xe-1/2/6 Down 0 (0) 0 (0) xe-1/2/7 Down 0 (0) 0 (0) xe-1/2/8 Down 0 (0) 0 (0) xe-1/2/9 Down 0 (0) 0 (0) et-4/0/0 Up 11505495 (0) 0 (0) et-4/2/0 Up 6 (0) 11505425 (0) avs0 Up 0 (0) 0 (0) avs1 Up 0 (0) 0 (0) dsc Up 0 0 em0 Up 37964 31739
O
pps
campo mostra que o tráfego não está passando pela interface depois que oet-4/0/0
modo promíscuo é desativado.