Configuração da segurança DHCP com tunelamento Q-in-Q no estilo do provedor de serviços
O Junos OS oferece suporte a dois estilos diferentes de configuração para interfaces de switch: estilo de provedor de serviços e estilo empresarial. O estilo do provedor de serviços requer mais configuração, mas oferece maior flexibilidade. O estilo empresarial é mais fácil de configurar, mas oferece menos funcionalidade.
Com o estilo empresarial de configuração, interfaces lógicas são colocadas no modo de Camada 2 especificando a comutação de ethernet como a família de interface. A opção de comutação de ethernet só pode ser configurada em uma única unidade lógica, a unidade 0. Você não pode vincular um VLAN ID à unidade 0, porque essas interfaces operam no modo tronco, que oferece suporte ao tráfego com várias tags VLAN ou no modo de acesso, que oferece suporte a tráfego não registrado.
Alguns recursos de comutação, como o tunelamento Q-in-Q, não podem ser configurados na unidade de interface lógica 0. O tunelamento Q-in-Q requer a interface lógica para transmitir quadros com tags VLAN. Para permitir que uma interface lógica receba e encaminhe quadros Ethernet com tags VLAN, você deve vincular a interface lógica a essa VLAN. Como o estilo empresarial não permite a vinculação de um ID VLAN à unidade 0, você deve usar o estilo do provedor de serviços para configurar o tunelamento Q-in-Q.
Para oferecer suporte à segurança DHCP, juntamente com o tunelamento Q-in-Q, você pode configurar os seguintes recursos de segurança DHCP usando o estilo do provedor de serviços:
- Espionagem DHCP (DHCPv4 e DHCPv6)
- Inspeção dinâmica de ARP
- Inspeção de descoberta de vizinhos
- Opção DHCP 82
- Opção DHCPv6 18 e opção 37
- Agente de retransmissão DHCPv6 leve
Você pode combinar os estilos de configuração do provedor de serviços e das empresas na mesma interface física usando encapsulamento flexível de serviços Ethernet. Com encapsulamento flexível de serviços Ethernet, você pode configurar encapsulamentos no nível de interface lógica, em vez de no nível de interface física. Definir vários encapsulamentos de Ethernet por unidade torna mais fácil personalizar serviços baseados em Ethernet para vários hosts conectados à mesma interface física. Para obter mais informações, veja encapsulamento flexível de serviços Ethernet .
Os switches EX4300 não oferecem suporte à configuração do estilo de provedor de serviços e estilo empresarial na mesma interface física.
Exemplo: segurança DHCP e tunelamento Q-in-Q com configuração de estilo de provedor de serviços
Ao configurar uma interface física para oferecer suporte apenas ao estilo do provedor de serviços, configure o extended-vlan-bridge tipo de encapsulamento para oferecer suporte a recursos de ponte. Você também deve configurar tags VLAN nativas na interface física para que ela possa operar no modo tronco e transmitir quadros Ethernet com tags VLAN para várias VLANs. Configure a marcação flexível de VLAN na interface para transmitir pacotes com quadros VLAN de 802.1Q com tag única e tags duplas.
A configuração do exemplo a seguir encapsula a interface física ge-0/0/11 para a configuração do provedor de serviços e define a unidade lógica 111. O VLAN ID v111 é vinculado à unidade 111, e o tunelamento Q-in-Q é configurado na interface lógica ge-0/0/11.111. A configuração permite espionagem DHCP, inspeção dinâmica de ARP e opção DHCP 82 no VLAN v111.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation extended-vlan-bridge set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Exemplo: segurança DHCP e tunelamento Q-in-Q com encapsulamento flexível de serviços Ethernet
O tipo flexível de encapsulamento de serviços Ethernet permite que uma interface física ofereça suporte a ambos os estilos de configuração. Para oferecer suporte ao estilo do provedor de serviços, serviços Ethernet flexíveis permitem que encapsulamentos sejam configurados no nível de interface lógica em vez da interface física. Para oferecer suporte ao estilo empresarial, os serviços Ethernet flexíveis permitem que a ethernet-switching família seja configurada em qualquer número de unidade de interface lógica.
A configuração do exemplo a seguir encapsula a interface física ge-0/0/11 para flexible-ethernet-services oferecer suporte a configurações de provedores de serviços e estilo empresarial. Duas unidades lógicas são definidas na interface física: a unidade 111 para o estilo de provedor de serviços e a unidade 0 para o estilo empresarial. O vlan-bridge encapsulamento permite a ponte de recursos na unidade 111, e a ethernet-switching família permite a ponte de recursos na unidade 0. O tunelamento Q-in-Q está configurado na interface lógica ge-0/0/11.111.
O VLAN v111 é vinculado à unidade 111 e tem os seguintes recursos de segurança DHCP:
- DHCP bisbilhotando com a opção 82 e override confiável
- Inspeção dinâmica de ARP
O VLAN EP_v222 é vinculado à unidade 0 e tem os seguintes recursos de segurança DHCP:
- DHCP bisbilhotando com a opção 82
- Inspeção dinâmica de ARP
- Inspeção de descoberta de vizinhos
Interfaces com configuração de estilo de provedor de serviços não são confiáveis por padrão para DHCP. Em interfaces com configuração de estilo empresarial, as interfaces de acesso são não confiáveis e as interfaces de tronco são confiáveis.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation flexible-ethernet-services set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 encapsulation vlan-bridge set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members EP_V222 set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical set vlans EP_V222 vlan-id 222 set vlans EP_V222 forwarding-options dhcp-security arp-inspection set vlans EP_V222 forwarding-options dhcp-security neighbor-discovery-inspection set vlans EP_V222 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Exemplo: Segurança DHCP e tunelamento Q-in-Q com suporte para Swap-Push/Pop-Swap
O tunelamento Q-in-Q e a tradução de VLAN permitem que os provedores de serviços criem uma conexão Ethernet L2 entre dois sites de clientes. Os provedores podem segregar o tráfego VLAN de diferentes clientes em um link.
O tunelamento Q-in-Q com suporte A2 swap-push/pop-swap é um cenário específico no qual a tag VLAN do cliente (C-VLAN) é trocada com a inner-vlan-id tag, e a tag VLAN de serviço definido por provedor de serviços (S-VLAN) é empurrada sobre ela (para tráfego que flui do cliente para o site do provedor de serviços). Esse tráfego é enviado para a rede de provedores de serviços com tag dupla (S-VLAN + C-VLAN). Para o tráfego que flui da rede do provedor de serviços para a rede do cliente, a tag S-VLAN é removida e a tag C-VLAN é substituída pelo ID VLAN configurado na interface lógica uni.
O exemplo a seguir mostra as operações de tag dupla swap-push/pop-swap.
- Swap-push — Para um único quadro de tags da UNI, o C-VLAN (VLAN ID 100) troca por ID de VLAN (200) interno configurado na interface lógica e o S-VLAN (VLAN ID 900) empurra para o quadro. O quadro de dupla tags sai do NNI.
- Pop-swap — Para o quadro de tag dupla de entrada da NNI, a tag S-VLAN aparece (VLAN ID 900) do quadro e o VLAN ID 100 da interface lógica substitui a tag C-VLAN. O quadro de marca única sai da UNI.
Para oferecer suporte à segurança DHCP junto com o tunelamento Q-in-Q, você pode configurar os seguintes recursos de segurança DHCP:
- Espionagem DHCP (DHCPv4 e DHCPv6)
- Inspeção dinâmica de ARP
- Guarda-fonte DHCPv6
- Inspeção de descoberta de vizinhos
- Opção DHCP 82
- Opção DHCPv6 37
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900 set vlans vlan-900 forwarding-options dhcp-security arp-inspection set vlans vlan-900 forwarding-options dhcp-security ip-source-guard set vlans vlan-900 forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-900 forwarding-options dhcp-security ipv6-source-guard set vlans vlan-900 forwarding-options dhcp-security group trusted overrides trusted set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-option82 set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-dhcpv6-options set vlans vlan-900 forwarding-options dhcp-security group trusted interface ge-0/0/2.900
Se você configurar a interface lógica com uma lista de ID de VLAN e o mapa de entrada-vlan e saída-vlan for configurado como swap-push/pop-swap, isso resulta em comportamento indesejado, pois o tráfego que está regredindo para fora da UNI tem um número de unidade lógica em vez do ID VLAN do cliente original da lista de ID da VLAN configurado.