Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modos de comutação de portas Ethernet em dispositivos de segurança

Entendendo os modos de comutação em dispositivos de segurança

Existem dois tipos de modos de comutação:

  • Modo de comutação — o uPIM aparece na lista de interfaces como uma única interface, que é a primeira interface no uPIM. Por exemplo, ge-2/0/0. Você pode configurar opcionalmente cada porta uPIM apenas para autonegotiação, velocidade e modo duplex. Um uPIM no modo de comutação pode executar as seguintes funções:

    • Encaminhamento de camada 3 — Roteia o tráfego destinado a interfaces WAN e outros PIMs presentes no chassi.

    • Encaminhamento de camada 2 — switches de tráfego intra-LAN de um host na LAN para outro host LAN (uma porta de uPIM para outra porta da mesma uPIM).

  • Modo de comutação aprimorado — cada porta pode ser configurada para o modo de comutação ou roteamento. Essa utilização difere dos modos de roteamento e comutação, nos quais todas as portas devem estar no modo de comutação ou roteamento. O uPIM no modo de comutação aprimorado oferece os seguintes benefícios:

    Benefícios do modo switch enhnanced:

    • Oferece suporte à configuração de diferentes tipos de VLANs e roteamento entre VLAN.

    • Oferece suporte ao protocolo de plano de controle de Camada 2, como o Link Aggregation Control Protocol (LACP).

    • Oferece suporte ao controle de acesso à rede (PNAC) baseado em porta por meio de servidores de autenticação.

    Nota:

    Os dispositivos SRX300 e SRX320 oferecem suporte apenas ao modo de comutação aprimorado. Quando você define um uPIM multiport para um modo de comutação aprimorado, todos os recursos de comutação de Camada 2 são suportados no uPIM. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

Você pode definir um uPIM Ethernet Gigabit multiport em um dispositivo para comutação ou modo de comutação aprimorado.

Quando você define um uPIM multiport para o modo de comutação, o uPIM aparece como uma única entidade para fins de monitoramento. As únicas configurações físicas de porta que você pode configurar são autonegotiação, velocidade e modo duplex em cada porta uPIM, e essas configurações são opcionais.

Visão geral de comutação das portas Ethernet para dispositivos de segurança

Determinadas portas em dispositivos da Juniper Networks podem funcionar como switches de acesso Ethernet que trocam o tráfego na Camada 2 e roteam o tráfego na Camada 3.

Você pode implantar dispositivos compatíveis em escritórios de filiais como um switch de acesso ou desktop com recursos de roteamento integrados, eliminando assim dispositivos de switches de acesso intermediário da topologia de sua rede. As portas Ethernet oferecem comutação enquanto o Mecanismo de Roteamento oferece funcionalidade de roteamento, permitindo que você use um único dispositivo para fornecer interfaces de roteamento, comutação de acesso e WAN.

Este tópico contém as seguintes seções:

Dispositivos e portas com suporte

A Juniper Networks oferece suporte a recursos de comutação em uma variedade de portas e dispositivos Ethernet (ver Tabela 1). O suporte da plataforma depende da versão do Junos OS em sua instalação. As seguintes portas e dispositivos estão incluídos:

  • Portas Ethernet integradas (Portas Gigabit e Fast Ethernet integradas) nos dispositivos SRX300, SRX320, SRX320, SRX320, SRX340, SRX345, SRX550M e SRX1500.

  • Multiport Gigabit Ethernet XPIM no dispositivo SRX650.

Tabela 1: Dispositivos e portas com suporte para recursos de comutação

Dispositivo

Portas

Dispositivos SRX100

Integre portas Ethernet rápidas (fe-0/0/0 e fe-0/0/7)

Dispositivos SRX210

Portas Ethernet Gigabit integradas (ge-0/0/0 e ge-0/0/1) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit.

Integre portas Ethernet rápidas (fe-0/0/2 e fe-0/0/7)

Dispositivos SRX220

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit.

Dispositivos SRX240

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit.

Dispositivos SRX300

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7)

Dispositivos SRX320

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7)

Dispositivos SRX340

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15)

Dispositivos SRX345

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15)

Dispositivos SRX550

Integre as portas Gigabit Ethernet (ge-0/0/0 até ge-0/0/9, módulos Ethernet XPIM multiport Gigabit e 1 porta Gigabit Ethernet SFP Mini-PIM.

dispositivos SRX550M

Integre as portas Gigabit Ethernet (módulos ge-0/0/0 até ge-0/0/9 e multiport Gigabit Ethernet XPIM.

Dispositivos SRX650

Módulos Ethernet XPIM multiport Gigabit

Nota:

Nos dispositivos SRX650, a comutação Ethernet não é suportada em interfaces Ethernet Gigabit (ge-0/0/0 até portas ge-0/0/3).

dispositivos SRX1500

Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/19)

No SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 e SRX345, você pode definir as portas Ethernet Gigabit a bordo para operar como portas comutadas ou portas roteadas. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

Pontes e roteamento integrados

A ponte integrada e o roteamento (IRB) oferecem suporte para o roteamento simultâneo de Camada 2 e roteamento de Camada 3 dentro da mesma VLAN. Os pacotes que chegam em uma interface da VLAN são comutos ou roteados com base no endereço MAC de destino do pacote. Os pacotes com o endereço MAC do roteador como destino são roteados para outras interfaces de Camada 3.

Link Layer Discovery Protocol e LLDP-Media Endpoint Discovery

Os dispositivos usam o Link Layer Discovery Protocol (LLDP) e o LLDP-Media Endpoint Discovery (MED) para aprender e distribuir informações de dispositivos sobre links de rede. As informações permitem que o dispositivo identifique rapidamente uma variedade de sistemas, resultando em uma LAN que interopera de maneira suave e eficiente.

Dispositivos capazes de LLDP transmitem informações em mensagens de Valor de Comprimento de Tipo (TLV) para dispositivos vizinhos. As informações do dispositivo podem incluir detalhes, como identificação de chassis e portas, nome do sistema e recursos do sistema. As TLVs aproveitam essas informações dos parâmetros que já foram configurados no Junos OS.

O LLDP-MED vai um passo adiante, trocando mensagens de telefonia IP entre o dispositivo e o telefone IP. Essas mensagens TLV fornecem informações detalhadas sobre a política de Power over Ethernet (PoE). As TLVs de gerenciamento de PoE permitem que as portas do dispositivo anunciem o nível de energia e a prioridade de energia necessárias. Por exemplo, o dispositivo pode comparar a energia necessária por um telefone IP em execução em uma interface PoE com recursos disponíveis. Se o dispositivo não conseguir atender aos recursos exigidos pelo telefone IP, o dispositivo pode negociar com o telefone até que um compromisso sobre a energia seja alcançado.

As TLVs básicas a seguir são suportadas:

  • Identificador de chassi — o endereço MAC associado ao sistema local.

  • Identificador de porta — A identificação da porta para a porta especificada no sistema local.

  • Descrição da porta — A descrição da porta configurada pelo usuário. A descrição da porta pode ser de no máximo 256 caracteres.

  • Nome do sistema — o nome configurado pelo usuário do sistema local. O nome do sistema pode ser de no máximo 256 caracteres.

  • Visão geral dos recursos de comutação — essas informações não são configuráveis, mas retiradas do software.

  • Recursos do sistema — a função primária executada pelo sistema. Os recursos que o sistema oferece suporte; por exemplo, comutação ou roteador Ethernet. Essas informações não são configuráveis, mas baseadas no modelo do produto.

  • Endereço de gerenciamento — o endereço de gerenciamento de IP do sistema local.

As TLVs LLDP-MED a seguir têm suporte:

  • Recursos LLDP-MED — um TLV que anuncia a função primária da porta. Os valores variam de 0 a 15:

    • 0 — recursos

    • 1 — Política de rede

    • 2 — Identificação de localização

    • 3 — Energia estendida por meio de equipamentos de fonte de energia de interface de média dependente (MDI-PSE)

    • 4 — Inventário

    • 5-15 — Reservado

  • Valores de classe de dispositivo LLDP-MED:

    • 0 — Classe não definida

    • 1 — dispositivo de classe 1

    • 2 — dispositivo de classe 2

    • 3 — dispositivo classe 3

    • 4 — dispositivo de conectividade de rede

    • 5-255 — Reservado

    Nota:

    A partir do Junos OS Release 15.1X49-D60 e Junos OS Release 17.3R1, Link Layer Discovery Protocol (LLDP) e LLDP-Media Endpoint Discovery (MFD) estão habilitados para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500.

  • Política de rede — um TLV que anuncia a configuração VLAN de porta e atributos de Camada 2 e Camada 3 associados. Os atributos incluem o identificador de políticas, tipos de aplicativos, como voz ou streaming de vídeo, tags VLAN 802.1Q e bits de prioridade de 802.1p e pontos de código Diffserv.

  • Localização do endpoint — um TLV que anuncia a localização física do endpoint.

  • Energia estendida via MDI — um TLV que anuncia o tipo de energia, fonte de energia, prioridade de energia e valor de energia da porta. É responsabilidade do dispositivo PSE (dispositivo de conectividade de rede) anunciar a prioridade de energia em uma porta.

LLDP e LLDP-MED devem ser configurados explicitamente em uPIMs (no modo de comutação aprimorado) em portas base nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 e SRX345, e módulos de interface física gigabit backplane (GPIMs) em dispositivos SRX650. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) Para configurar o LLDP em todas as interfaces ou em uma interface específica, use a declaração no nível [] de hierarquia.lldpset protocols Para configurar o LLDP-MED em todas as interfaces ou em uma interface específica, use a declaração no nível [] de hierarquia.lldp-medset protocols

Tipos de portas de switch

As portas, ou interfaces, em um switch operam no modo de acesso ou no modo tronco.

Uma interface no modo de acesso se conecta a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A interface em si pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais.

As interfaces de tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego para todas essas VLANs pela mesma conexão física. As interfaces de tronco geralmente são usadas para interconectar switches entre si.

uPIM em uma cadeia de margaridas

Você não pode combinar vários uPIMs para agir como um único switch integrado. No entanto, você pode conectar uPIMs no mesmo chassi externamente conectando fisicamente uma porta em um uPIM a uma porta em outro uPIM de forma margarida.

Dois ou mais uPIMs encadeados juntos criam um único switch com uma contagem de portas maior do que qualquer uPIM individual. Uma única porta em cada uPIM é usada apenas para a conexão. Por exemplo, se você conectar um uPIM de 6 portas e um uPIM de 8 portas, o resultado funciona como um uPIM de 12 portas. Qualquer porta de uPIM pode ser usada para o encadeamento de margaridas.

Configure o endereço IP para apenas um dos uPIMs encadeados, tornando-o o uPIM primário. O uPIM secundário encaminha o tráfego para o uPIM primário, que o encaminha ao Mecanismo de Roteamento. Isso resulta em algum aumento na latência e quedas de pacotes devido à sobrescrição do link externo.

Apenas um link entre os dois uPIMs é suportado. Conectar mais de um link entre uPIMs cria uma topologia de loop, que não é suportada.

Tags Q-in-Q VLAN

O tunelamento Q-in-Q, definido pelo padrão IEEE 802.1ad, permite que provedores de serviços em redes de acesso Ethernet estendam uma conexão Ethernet de Camada 2 entre dois sites de clientes.

No tunelamento Q-in-Q, enquanto um pacote viaja de um VLAN do cliente (C-VLAN) para a VLAN de um provedor de serviços, uma tag 802.1Q específica para um provedor de serviços é adicionada ao pacote. Essa tag adicional é usada para segregar o tráfego em VLANs de serviços definidas por provedores de serviços (S-VLANs). A tag 802.1Q do cliente original do pacote permanece e é transmitida de forma transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a tag extra 802.1Q é removida.

Nota:

Quando o tunelamento Q-in-Q for configurado para o VLAN de um provedor de serviços, todos os pacotes de Mecanismo de Roteamento, incluindo pacotes da interface VLAN roteada, que são transmitidos da porta de acesso voltada para o cliente dessa VLAN, sempre estarão desafaçados.

Existem três maneiras de mapear C-VLANs para uma S-VLAN:

  • Agrupamento all-in-one — Use a declaração no nível [] de hierarquia para mapear sem especificar as VLANs dos clientes.dot1q-tunnelingedit vlans Todos os pacotes de uma interface de acesso específica são mapeados para o S-VLAN.

  • Agrupamento de muitos para um — Use a declaração no nível [] de hierarquia para especificar quais C-VLANs são mapeadas para a S-VLAN.customer-vlansedit vlans

  • Mapeamento do C-VLAN em uma interface específica — Use a declaração no nível [] de hierarquia para mapear um C-VLAN específico em uma interface de acesso especificada para o S-VLAN.mappingedit vlans

lista o mapeamento C-VLAN para S-VLAN suportado em firewalls da Série SRX.Tabela 2 (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

Tabela 2: Métodos de mapeamento suportados

Mapeamento

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Agrupamento all-in-one

Sim

Sim

Não

Não

Sim

Sim

Sim

Sim

Agrupamento de muitos para um

Não

Não

Não

Não

Sim

Sim

Sim

Sim

Mapeamento do C-VLAN em uma interface específica

Não

Não

Não

Não

Sim

Sim

Sim

Sim

Nota:

A tradução de VLAN é suportada em dispositivos SRX300 e SRX320 e esses dispositivos não suportam tunelamento Q-in-Q.

Nota:

Nos dispositivos SRX650, nas opções de configuração de tunelamento de ponto1q, as VLANs do cliente e o push VLAN não funcionam juntos para o mesmo S-VLAN, mesmo quando você confirma a configuração. Se ambos estiverem configurados, o push VLAN tem prioridade sobre a faixa de VLANs do cliente.

As interfaces IRB são suportadas em VLANs Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 e SRX650. Os pacotes que chegam em uma interface IRB em um VLAN Q-in-Q são roteados, independentemente de o pacote ser único ou com marca dupla. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

Em uma implantação Q-in-Q, os pacotes de clientes de interfaces downstream são transportados sem qualquer alteração nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereço MAC tanto no nível de interface quanto no nível de VLAN. Desativar o aprendizado de endereço MAC em uma interface desativa o aprendizado para todas as VLANs das quais essa interface é um membro. Quando você desativa o aprendizado de endereço MAC em uma VLAN, os endereços MAC que já foram aprendidos ficam limpos.

Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte de plataforma dependendo do lançamento do Junos OS em sua instalação), na Ethernet agregada de Camada 3, os seguintes recursos não são suportados:

  • Encapsulamentos (como CCC, VLAN CCC, VPLS e PPPoE)

  • J-Web

  • A partir do Junos OS Release 19.4R2, você pode configurar o LLDP em interfaces redundantes de Ethernet (reth). Use o comando para configurar o LLDP na interface de reth.set protocol lldp interface <reth-interface>

  • Em SRX550M dispositivos, a interface agregada de Ethernet (ae) com interface de membro XE não pode ser configurada com a família de comutação Ethernet.

  • Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, o suporte Q-in-Q em uma interface de Camada 3 tem as seguintes limitações:

    • A tag dupla não é suportada em interfaces de reth e ae.

    • O roteamento multitopologia não é suportado no modo de fluxo e em clusters de chassi.

    • Os quadros com tag dupla não são suportados em encapsulamentos (como CCC, TCC, VPLS e PPPoE)

    • Em interfaces lógicas de Camada 3, e não são aplicáveisinput-vlan-mapoutput-vlan-mapinner-rangeinner-list

    • Apenas TPIDs com 0x8100 são suportados, e o número máximo de tags é 2.

    • Os quadros com tag dupla são aceitos apenas para interfaces lógicas com famílias IPV4 e IPv6.

  • Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte de plataforma dependendo da versão do Junos OS em sua instalação), na interface VLAN roteada (RVI), os seguintes recursos não são suportados:

    • IS-IS (ISO familiar)

    • Encapsulamentos (Ether CCC, VLAN CCC, VPLS, PPPoE e assim por diante) em interfaces VLAN

    • CLNS

    • DVMRP

    • Mudança MAC da interface VLAN

    • G-ARP

    • Altere o VLAN-Id para a interface VLAN

Exemplo: Configuração de modos de comutação em dispositivos de segurança

Visão geral

Neste exemplo, você configura e define o protocolo de aprendizado L2 para comutação de modo global.chassis Em seguida, você define um parâmetro de porta física nos protocolos de aprendizado l2.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de hierarquia e, em seguida, entrar no modo de configuração.[edit]commit

Procedimento passo a passo

Para configurar o modo de comutação:

  1. Defina o protocolo de aprendizado L2 para a comutação de modo global.

  2. Definir um parâmetro de porta física nos protocolos de aprendizado l2.

  3. Se você terminar de configurar o dispositivo, confirme a configuração.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os comandos e os comandos.show protocolsshow interfaces Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no modo de configuração.commit

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando o modo de comutação

Propósito

Certifique-se de que o modo de comutação esteja configurado como esperado.

Ação

A partir do modo operacional, entre no comando.show ethernet-switching global-information

Significado

A saída de amostra mostra que a comutação de modo global está configurada como esperado.

Verificando a comutação de ethernet na Interface ge-0/0/1

Propósito

Certifique-se de que a comutação Ethernet esteja configurada conforme esperado na interface ge-0/0/1.

Ação

A partir do modo operacional, entre no comando.show interfaces ge-0/0/1 brief

Significado

A saída de amostra mostra que a comutação Ethernet está configurada na interface ge-0/0/1, como esperado.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
15.1X49-D60
A partir do Junos OS Release 15.1X49-D60 e Junos OS Release 17.3R1, Link Layer Discovery Protocol (LLDP) e LLDP-Media Endpoint Discovery (MFD) estão habilitados para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500.