Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modos de comação de porta Ethernet em dispositivos de segurança

Compreender os modos de comação em dispositivos de segurança

Existem dois tipos de modos de comação:

  • Modo de complicação – O uPIM aparece na lista de interfaces como uma única interface, que é a primeira interface do uPIM. Por exemplo, ge-2/0/0. É possível configurar opcionalmente cada porta uPIM apenas para o modo autonegação, velocidade e modo duplex. Um uPIM no modo de comação pode executar as seguintes funções:

    • Encaminhamento de Camada 3 — Rotas de tráfego destinadas a interfaces WAN e outras PIMs presentes no chassi.

    • Encaminhamento de Camada 2 — Comuta o tráfego intra-LAN de um host na LAN para outro host lan (uma porta de uPIM para outra porta do mesmo uPIM).

  • Modo de com switching aprimorado — cada porta pode ser configurada para o modo de com switching ou roteamento. Essa utilização difere dos modos de roteamento e com switching, nos quais todas as portas devem estar no modo de com switching ou roteamento. O uPIM no modo de com switching aprimorado fornece as seguintes vantagens:

    Benefícios do modo de switch enhnanced:

    • Aceita a configuração de diferentes tipos de VLANs e roteamento inter-VLAN.

    • Aceita protocolo de plano de controle de Camada 2, como LACP (Link Aggregation Control Protocol, Protocolo de Controle de Agregação de Enlace).

    • Oferece suporte ao Network Access Control (PNAC) baseado em porta por meio de servidores de autenticação.

    Nota:

    Os dispositivos SRX300 e SRX320 são compatíveis apenas com o modo de comação aprimorado. Quando você configura um uPIM multiporto no modo de com switching aprimorado, todos os comutação de Camada 2 são suportados no uPIM. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Você pode definir um uPIM Ethernet Multiport Gigabit em um dispositivo para o modo de com switching ou aprimorado.

Quando você configura um uPIM multiporto no modo de com switching, o uPIM aparece como uma única entidade para fins de monitoramento. As únicas configurações de porta físicas que você pode configurar são o modo de negociação automática, velocidade e duplex em cada porta uPIM, e essas configurações são opcionais.

Visão geral da comação de portas Ethernet para dispositivos de segurança

Determinadas portas nos Juniper Networks podem funcionar como switches de acesso Ethernet que alternam o tráfego na Camada 2 e roteam o tráfego na Camada 3.

Você pode implantar dispositivos compatíveis em filiais como um acesso ou switch de área de trabalho com recurso de roteamento integrado, eliminando assim dispositivos de switch de acesso intermediários de sua topologia de rede. As portas Ethernet fornecem complicação, enquanto a rede Mecanismo de Roteamento fornece funcionalidade de roteamento, permitindo que você use um único dispositivo para fornecer roteamento, complicação de acesso e interfaces de WAN.

Este tópico contém as seguintes seções:

Dispositivos e portas compatíveis

Juniper Networks aceita recursos de com switching em uma variedade de portas e dispositivos Ethernet (consulte Tabela 1 ). O suporte à plataforma depende da versão do Junos OS em sua instalação. As seguintes portas e dispositivos estão incluídos:

  • Portas Ethernet embarcadas (portas Gigabit e Fast Ethernet internas) nos dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M e SRX1500.

  • Ethernet XPIM multiportabit no SRX650 de rede.

Tabela 1: Dispositivos e portas compatíveis para recursos de comação

Dispositivo

Portas

SRX100 dispositivos

Portas Fast Ethernet embarcadas (fe-0/0/0 e fe-0/0/7)

SRX210 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 e ge-0/0/1) e porta Mini-PIM Gigabit Ethernet de 1 porta.

Portas Fast Ethernet embarcadas (fe-0/0/2 e fe-0/0/7)

SRX220 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/7) e porta Mini-PIM Gigabit Ethernet de 1 porta.

SRX240 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/15) e porta Mini-PIM Gigabit Ethernet de 1 porta.

SRX300 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/7)

SRX320 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/7)

Dispositivos SRX340

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/15)

dispositivos SRX345

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/15)

SRX550 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/9, módulos Ethernet XPIM Multiport Gigabit e porta Mini-PIM Gigabit de 1 porta Gigabit Ethernet.

Dispositivos SRX550M

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/9 e módulos Ethernet XPIM Multiport Gigabit.

SRX650 dispositivos

Módulos Multiport Gigabit Ethernet XPIM

Nota:

Nos SRX650, a complicação Ethernet não é compatível com interfaces Gigabit Ethernet (ge-0/0/0 nas portas ge-0/0/3).

SRX1500 dispositivos

Portas Ethernet Gigabit embarcadas (ge-0/0/0 a ge-0/0/19)

No SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 e SRX345, você pode definir as portas Ethernet Gigabit embarcadas para funcionarem como portas comutados ou roteados. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Ponte e Roteamento integrados

O IRB (Integrated Bridging and Routing, ponte e roteamento integrados) fornece suporte para roteamento simultâneo de Camada 2 e Camada 3 no mesmo VLAN. Os pacotes que chegam a uma interface da VLAN são comutado ou roteados com base no endereço MAC de destino do pacote. Pacotes com o endereço MAC do roteador conforme o destino são roteados para outras interfaces de Camada 3.

Link Layer Discovery Protocol e LLDP-Media Endpoint Discovery

Os dispositivos usam o Link Layer Discovery Protocol (LLDP) e o LLDP-Media Endpoint Discovery (MED) para aprender e distribuir informações de dispositivos sobre links de rede. As informações permitem que o dispositivo identifique rapidamente uma variedade de sistemas, o que resulta em uma LAN que interopera de maneira tranquila e eficiente.

Dispositivos capazes de LLDP transmitem informações em mensagens de valor de comprimento do tipo (TLV) para dispositivos do vizinho. As informações do dispositivo podem incluir detalhes, como a identificação de chassi e porta, nome do sistema e recursos do sistema. Os TLVs utilizam essas informações a partir de parâmetros que já foram configurados no Junos OS.

O LLDP-MED vai um passo além, trocando mensagens de telefonia IP entre o dispositivo e o telefone IP. Essas mensagens de TLV fornecem informações detalhadas sobre a política de PoE (Power over Ethernet). Os TLVs de gerenciamento de PoE permitem que as portas de dispositivo anuiem o nível de energia e a prioridade de energia necessárias. Por exemplo, o dispositivo pode comparar a energia necessária por um telefone IP executado em uma interface PoE com os recursos disponíveis. Caso o dispositivo não possa atender aos recursos exigidos pelo telefone IP, o dispositivo pode negociar com o telefone até que um compromisso de energia seja atingido.

São suportados os seguintes TLVs básicos:

  • Identificador de chassi — O endereço MAC associado ao sistema local.

  • Identificador de porta — A identificação de porta para a porta especificada no sistema local.

  • Descrição da porta — A descrição da porta configurada pelo usuário. A descrição da porta pode ser de no máximo 256 caracteres.

  • Nome do sistema — O nome configurado pelo usuário do sistema local. O nome do sistema pode ter no máximo 256 caracteres.

  • Visão geral dos recursos de comualizações — essas informações não são configuráveis, mas são retiradas do software.

  • Recursos do sistema — a função primária executada pelo sistema. Os recursos que o sistema oferece suporte; por exemplo, com switching ethernet ou roteador. Essas informações não são configuráveis, mas sim baseadas no modelo do produto.

  • Endereço de gerenciamento — O endereço de gerenciamento de IP do sistema local.

Os seguintes TLVs LLDP-MED são suportados:

  • Recursos LLDP-MED — um TLV que anuncia a função primária da porta. Os valores variam de 0 a 15:

    • 0 — Recursos

    • 1 — Política de rede

    • 2 — Identificação de local

    • 3 — Energia estendida por meio de equipamentos de power-sourcing (MDI-PSE) de interface médio-dependente

    • 4 — Inventário

    • 5–15—Reserved

  • Valores de classe de dispositivo LLDP-MED:

    • 0 — Classe não definida

    • Dispositivo de classe 1

    • Dispositivo de classe 2

    • Dispositivo de classe 3

    • 4 — Dispositivo de conectividade de rede

    • De 5 a 255 anos— Reservado

    Nota:

    A partir do Junos OS Release 15.1X49-D60 e do Junos OS Release 17.3R1, o Link Layer Discovery Protocol (LLDP) e o LLDP-Media Endpoint Discovery (MFD) estão ativados em dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500.

  • Política de rede — um TLV que anuncia a configuração de VLAN de porta e os atributos associados de Camada 2 e Camada 3. Os atributos incluem o identificador de política, tipos de aplicativo, como voz ou vídeo em streaming, tags VLAN 802.1Q e bits de prioridade 802.1p e pontos de código Diffserv.

  • Endpoint Location — um TLV que anuncia a localização física do endpoint.

  • Energia estendida via MDI — um TLV que anuncia o tipo de energia, a fonte de energia, a prioridade de energia e o valor de energia da porta. É responsabilidade do dispositivo PSE (dispositivo de conectividade de rede) anunciar a prioridade de energia em uma porta.

LLDP e LLDP-MED devem ser configurados explicitamente em uPIMs (no modo de complicação aprimorada) em portas básicas em SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 e SRX345, além de Módulos de Interface Física do Backplane Gigabit (GPIMs) em dispositivos SRX650. (O suporte à plataforma depende da versão do Junos OS em sua instalação.) Para configurar LLDP em todas as interfaces ou em uma interface específica, use a lldp instrução no nível [ set protocols ] da hierarquia. Para configurar LLDP-MED em todas as interfaces ou em uma interface específica, use a instrução no lldp-med nível da hierarquia [ set protocols ]

Tipos de portas de switch

As portas ou interfaces de um switch operam no modo de acesso ou no modo tronco.

Uma interface no modo de acesso se conecta a um dispositivo de rede, como um computador de área de trabalho, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A interface pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais.

As interfaces de tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego de todas essas VLANs pela mesma conexão física. As interfaces de tronco geralmente são usadas para interconectar switches entre si.

uPIM em uma cadeia de margaridas

Você não pode combinar vários uPIMs para atuar como um único switch integrado. No entanto, você pode conectar uPIMs no mesmo chassi externamente conectando fisicamente uma porta em um uPIM a uma porta em outro uPIM de maneira de cadeia de margaridas.

Dois ou mais uPIMs encadeados juntos criam um único switch com uma conta de porta maior do que qualquer uPIM individual. Uma porta em cada uPIM é usada unicamente para a conexão. Por exemplo, se você encadear um uPIM de 6 portas e um uPIM de 8 portas, o resultado funcionará como um uPIM de 12 portas. Qualquer porta de um uPIM pode ser usada para encadeamento de margaridas.

Configure o endereço IP para apenas um dos uPIMs encadeados por margaridas, tornando-o o uPIM principal. O uPIM secundário encaminha o tráfego para o uPIM principal, que o encaminha para o Mecanismo de Roteamento. Isso resulta em algum aumento na latência e nas gotas de pacotes devido à sobrescrição do enlace externo.

Apenas um enlace entre os dois uPIMs é suportado. Conectar mais de um enlace entre uPIMs cria uma topologia de loop, que não é suportada.

Tags Q-in-Q VLAN

O tunelamento Q-in-Q, definido pelo padrão IEEE 802.1ad, permite que provedores de serviços em redes de acesso Ethernet ampliem uma conexão Ethernet de Camada 2 entre dois locais do cliente.

No tunelamento Q-in-Q, conforme um pacote vai de um VLAN (C-VLAN) ao VLAN de um provedor de serviços, uma etiqueta 802.1Q específica do provedor de serviços é adicionada ao pacote. Essa etiqueta adicional é usada para separar o tráfego em VLANs de serviço definidas pelo provedor de serviços (S-VLANs). A etiqueta 802.1Q original do pacote permanece e é transmitida de maneira transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a etiqueta extra 802.1Q é removida.

Nota:

Quando o tunelamento Q-in-Q está configurado para a VLAN de um provedor de serviços, todos os pacotes de Mecanismo de Roteamento, incluindo pacotes da interface VLANroteada, que são transmitidas da porta de acesso voltada para o cliente dessa VLAN sempre serão não atagged.

Existem três maneiras de mapear C-VLANs para um S-VLAN:

  • Aproveitamento all-in-one — Use a instrução no nível da hierarquia [ ] para mapear sem dot1q-tunnelingedit vlans especificar VLANs do cliente. Todos os pacotes de uma interface de acesso específico são mapeados para o S-VLAN.

  • Aproveitamento de muitos para um — Use a instrução no nível da hierarquia [ ] para especificar quais customer-vlansedit vlans C-VLANs são mapeadas para S-VLAN.

  • Mapeamento de C-VLAN em uma interface específica — Use a instrução no nível da hierarquia [ ] para mapear uma C-VLAN específica em uma interface de acesso especificada ao mappingedit vlans S-VLAN.

Tabela 2 lista o mapeamento C-VLAN a S-VLAN suportado em dispositivos da Série SRX. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Tabela 2: Métodos de mapeamento suportados

Mapeamento

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Adling all-in-one

Sim

Sim

Não

Não

Sim

Sim

Sim

Sim

100% de 2,899 m2

Não

Não

Não

Não

Sim

Sim

Sim

Sim

Mapeamento de C-VLAN em uma interface específica

Não

Não

Não

Não

Sim

Sim

Sim

Sim

Nota:

A tradução de VLAN é compatível com SRX300 e SRX320 dispositivos, e esses dispositivos não são compatíveis com tunelamento Q-in-Q.

Nota:

Nos SRX650, nas opções de configuração de tunelamento dot1q, a gama de VLANs do cliente e o push VLAN não funcionam juntos para o mesmo S-VLAN, mesmo quando você compromete a configuração. Se ambos estão configurados, o push da VLAN prioriza a gama de VLANs do cliente.

As interfaces IRB são compatíveis com VLANs Q-in-Q para SRX210, SRX240, SRX340, SRX345 e SRX650 dispositivos. Os pacotes que chegam em uma interface IRB em uma VLAN Q-in-Q são roteados, independentemente de o pacote ser único ou com tags duplas. Os pacotes roteados de saída contêm uma etiqueta S-VLAN somente quando saem de uma interface de tronco; os pacotes saem da interface sem atagged ao sair de uma interface de acesso. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Em uma implantação Q-in-Q, pacotes de clientes de interfaces downstream são transportadas sem alterações nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereços MAC no nível da interface e no nível de VLAN. Desativar o aprendizado de endereços MAC em uma interface desativa o aprendizado de todas as VLANs das quais essa interface é membro. Quando você desativa o aprendizado de endereço MAC em uma VLAN, os endereços MAC que já foram aprendidos são liberados.

Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte à plataforma dependendo da versão do Junos OS em sua instalação), na Ethernet agregada da Camada 3, os seguintes recursos não são suportados:

  • Encapsulamentos (como CCC, VLAN CCC, VPLS e PPPoE)

  • J-Web

  • A partir da versão 19.4R2 Junos OS, você pode configurar o LLDP em interfaces ethernet (reth) redundantes. Use o set protocol lldp interface <reth-interface> comando para configurar LLDP na interface de reth.

  • Nos dispositivos SRX550M, a interface ethernet agregada (ae) com a interface de membro XE não pode ser configurada com a família de comutáveis Ethernet.

  • Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, o suporte a Q-in-Q em uma interface de Camada 3 tem as seguintes limitações:

    • Não existe suporte para tags duplas em interfaces de reth e ae.

    • O roteamento multitopologia não é suportado no modo de fluxo e em clusters de chassi.

    • Os quadros com tags duplas não são suportados em encapsulamentos (como CCC, TCC, VPLS e PPPoE)

    • Nas interfaces lógicas da Camada input-vlan-map 3, e não são output-vlan-mapinner-rangeinner-list aplicáveis

    • Somente TPIDs com 0x8100 são suportados, e o número máximo de tags é 2.

    • Os quadros com tags duplas são aceitos apenas para interfaces lógicas com as famílias IPV4 e IPv6.

  • Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte à plataforma dependendo da versão do Junos OS em sua instalação), na interface VLAN roteada (RVI), os seguintes recursos não são suportados:

    • IS-IS (ISO da família)

    • Encapsulamentos (Ether CCC, VLAN CCC, VPLS, PPPoE e assim por diante) em interfaces VLAN

    • CLNS

    • DVMRP

    • Mudança de MAC da interface VLAN

    • G-ARP

    • Alterar a ID de VLAN para interface VLAN

Exemplo: Configuração de modos de comação em dispositivos de segurança

Requisitos

Visão geral

Neste exemplo, você configura e define o protocolo de aprendizado chassis de L2 para a comação global do modo. Em seguida, você definirá um parâmetro de porta física nos protocolos de aprendizado de L2.

Topologia

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit]commit configuração.

Procedimento passo a passo

Para configurar o modo de com switching:

  1. Detete o protocolo de aprendizado de L2 para a comação global do modo.

  2. Dete um parâmetro de porta física nos protocolos de aprendizado l2.

  3. Caso você não configure o dispositivo, compromete a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo show protocols os comandos e os show interfaces comandos. Se a saída não apresentar a configuração pretendido, repetirá as instruções de configuração neste exemplo para corrigi-la.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificação do modo de comação

Propósito

Certifique-se de que o modo de com switching está configurado como esperado.

Ação

Do modo operacional, insira o show ethernet-switching global-information comando.

Significado

A saída de amostra mostra que a comação de modo global está configurada como esperado.

Verificação da complicação ethernet na interface ge-0/0/1

Propósito

Certifique-se de que a complicação Ethernet está configurada como esperado na interface ge-0/0/1.

Ação

Do modo operacional, insira o show interfaces ge-0/0/1 brief comando.

Significado

A saída de amostra mostra que a complicação Ethernet está configurada na interface ge-0/0/1, como esperado.

Tabela de histórico de liberação
Versão
Descrição
15.1X49-D60
A partir do Junos OS Release 15.1X49-D60 e do Junos OS Release 17.3R1, o Link Layer Discovery Protocol (LLDP) e o LLDP-Media Endpoint Discovery (MFD) estão ativados em dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500.