Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备上的以太网端口交换模式

了解安全设备上的交换模式

有两种类型的交换模式:

  • 交换模式 – uPIM 以单个接口形式显示在接口列表中,这是 uPIM 上的第一个接口。例如 ge-2/0/0。您可以选择性地仅将每个 uPIM 端口配置为自动协商、速度和双工模式。处于交换模式的 uPIM 可以执行以下功能:

    • 第 3 层转发 — 机箱上存在发往 WAN 接口和其他 PIC 的流量。

    • 第 2 层转发 — 将 LAN 内的流量从 LAN 上的一个主机切换到另一个 LAN 主机(一个 uPIM 端口到同一 uPIM 的另一个端口)。

  • 增强型交换模式 – 每个端口均可配置为交换或路由模式。这种用法不同于路由和交换模式,而路由和交换模式的所有端口都必须处于交换或路由模式。增强型交换模式下的 uPIM 具有以下优势:

    高级交换机模式的优势:

    • 支持配置不同类型的 VLAN 和 VLAN 间路由。

    • 支持链路聚合控制协议 (LACP) 等第 2 层控制平面协议。

    • 通过身份验证服务器支持基于端口的网络接入控制 (PNAC)。

    注:

    SRX300 和 SRX320 设备仅支持增强型交换模式。将多端口 uPIM 设置为增强型交换模式时,uPIM 支持所有第 2 层交换功能。(平台是否支持取决于安装中的 Junos OS 版本。)

您可以将设备上的多端口千兆以太网 uPIM 设置为交换或增强型交换模式。

将多端口 uPIM 设置为交换模式时,uPIM 显示为单个实体,以便进行监控。您可以在每个 uPIM 端口上配置自动协商、速度和双工模式,并且这些设置是可选的。

安全设备的以太网端口交换概述

瞻博网络设备上的某些端口可用作以太网接入交换机,可在第 2 层切换流量,并在第 3 层路由流量。

您可以将分支办事处支持的设备部署为具有集成路由功能的接入交换机或桌面交换机,从而消除网络拓扑中的中间接入交换机设备。以太网端口提供交换,而路由引擎提供路由功能,使您能够使用单个设备提供路由、接入交换和 WAN 接口。

本主题包含以下部分:

支持的设备和端口

瞻博网络支持各种以太网端口和设备上的交换功能(请参阅 表 1)。平台是否支持取决于安装中的 Junos OS 版本。包括以下端口和设备:

  • SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550M 和 SRX1500 设备上的板载以太网端口(千兆和快速以太网内置端口)。

  • SRX650 设备上的多端口千兆以太网 XPIM。

表 1: 交换功能支持的设备和端口

设备

端口

SRX100 设备

板载快速以太网端口(fe-0/0/0 和 fe-0/0/7)

SRX210 设备

板载千兆以太网端口(ge-0/0/0 和 ge-0/0/1)和 1 端口千兆以太网 SFP 小型 PIM 端口。

板载快速以太网端口(fe-0/0/2 和 fe-0/0/7)

SRX220 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/7)和 1 端口千兆以太网 SFP 小型 PIM 端口。

SRX240 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/15)和 1 端口千兆以太网 SFP 小型 PIM 端口。

SRX300 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/7)

SRX320 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/7)

SRX340 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/15)

SRX345 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/15)

SRX550 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/9、多端口千兆以太网 XPIM 模块和 1 端口千兆以太网 SFP 小型 PIM 端口。

SRX550M 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/9 和多端口千兆以太网 XPIM 模块。

SRX650 设备

多端口千兆以太网 XPIM 模块

注:

在 SRX650 设备上,千兆以太网接口(ge-0/0/0 到 ge-0/0/3 端口)不支持以太网交换。

SRX1500 设备

板载千兆以太网端口(ge-0/0/0 至 ge-0/0/19)

在 SRX100 上。SRX220、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备可以将板载千兆以太网端口设置为交换端口或路由端口。(平台是否支持取决于安装中的 Junos OS 版本。)

集成桥接和路由

集成桥接和路由 (IRB) 支持在同一 VLAN 内同步进行第 2 层交换和第 3 层路由。到达 VLAN 接口的数据包会根据数据包的目标 MAC 地址进行交换或路由。将路由器的 MAC 地址作为目标的数据包将路由到其他第 3 层接口。

链路层发现协议和 LLDP-媒体端点发现

设备使用链路层发现协议 (LLDP) 和 LLDP-媒体端点发现 (MED) 来学习和分发设备有关网络链路的信息。这些信息使设备能够快速识别各种系统,从而实现一个能够顺畅高效地互操作的 LAN。

支持 LLDP 的设备以类型长度值 (TLV) 消息向邻接设备传输信息。设备信息可能包括详细信息,例如机箱和端口标识以及系统名称和系统功能。TLV 将从已在 Junos OS 中配置的参数中利用此信息。

LLDP-MED 更进一步,在设备和 IP 电话之间交换 IP 电话消息。这些TLV消息提供有关以太网供电 (PoE) 策略的详细信息。PoE 管理 TLV 使设备端口可以播发所需的功率级别和功率优先级。例如,设备可以使用可用资源比较在 PoE 接口上运行的 IP 电话所需的功率。如果设备无法满足 IP 电话所需的资源,则设备可与电话进行协商,直至达到电力损失。

支持以下基本 TLV:

  • 机箱标识符 — 与本地系统关联的 MAC 地址。

  • 端口标识符 — 本地系统中指定端口的端口标识。

  • 端口说明 — 用户配置的端口说明。端口说明最多可为 256 个字符。

  • 系统名称 — 本地系统的用户配置名称。系统名称最多可为 256 个字符。

  • 交换功能概述 — 此信息不可配置,但来自软件。

  • 系统功能 — 系统执行的主要功能。系统支持的功能:例如以太网交换或路由器此信息不可配置,但基于产品型号。

  • 管理地址 — 本地系统的 IP 管理地址。

支持以下 LLDP-MED TLV:

  • LLDP-MED 功能 — 通告端口主要功能的TLV。值的范围从 0 到 15:

    • 0 — 功能

    • 1 — 网络策略

    • 2 — 位置识别

    • 3 — 通过介质相关接口供电设备 (MDI-PSE) 扩展功率

    • 4 — 库存

    • 5–15—Reserved

  • LLDP-MED 设备类值:

    • 0 — 未定义类

    • 1 — 1 类设备

    • 2 — 2 类设备

    • 3 — 3 类设备

    • 4 — 网络连接设备

    • 5–255 — 保留

    注:

    从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备均已启用链路层发现协议 (LLDP) 和 LLDP-媒体端点发现 (MFD)。

  • 网络策略 — 通告端口 VLAN 配置以及关联的第 2 层和第 3 层属性的TLV。属性包括策略标识符、应用程序类型(如语音或流视频、802.1Q VLAN 标记以及 802.1p 优先级位和 Diffserv 代码点)。

  • 端点位置 — 通告端点的物理位置的TLV。

  • 通过 MDI 扩展电源 — 一种TLV,用于通告端口的电源类型、电源、电源优先级和功率值。PSE 设备(网络连接设备)负责播发端口上的电源优先级。

LLDP 和 LLDP-MED 必须在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备上的基本端口上的 uPIM(增强型交换模式)上进行显式配置,以及 SRX650 设备上的千兆位背板物理接口模块 (GIM)。(平台是否支持取决于安装中的 Junos OS 版本。)要在所有接口或特定接口上配置 LLDP,请在 lldp [set protocols] 层次结构级别使用语句。要在所有接口或特定接口上配置 LLDP-MED,请在 lldp-med [set protocols] 层次结构级别使用语句。

交换机端口类型

交换机上的端口或接口可在接入模式或中继模式下运行。

处于接入模式的接口可连接到网络设备,例如台式计算机、IP 电话、打印机、文件服务器或安全摄像机。接口本身属于单个 VLAN。通过接入接口传输的帧是正常的以太网帧。

中继接口处理多个 VLAN 的流量,通过同一物理连接对所有这些 VLAN 的流量进行多路复用。中继接口通常用于将交换机互连。

菊花链中的 uPIM

您不能将多个 uPIM 组合在一起充当单个集成交换机。但是,您可以通过以菊链方式将一个 uPIM 上的端口物理连接到另一个 uPIM 上的端口,从外部连接同一机箱上的 uPIM。

两个或多个 uPIM 以菊花链方式连接在一起,即可创建单个交换机,其端口数比任一 uPIM 都高。每个 uPIM 上的一个端口仅用于连接。例如,如果将一个 6 端口 uPIM 和一个 8 端口 uPIM 联在一起,则结果将作为 12 端口 uPIM 运行。uPIM 的任何端口都可用于菊花链。

仅为其中一个菊链 uPIM 配置 IP 地址,使其成为主要 uPIM。辅助 uPIM 将流量路由到主 uPIM,后者将其转发到路由引擎。由于外部链路超额订阅,这会导致延迟增加,数据包丢失。

两个 uPIM 之间仅支持一个链路。在 uPIM 之间连接多个链路会创建一个环路拓扑,这不受支持。

Q-in-Q VLAN 标记

由 IEEE 802.1ad 标准定义的 Q-in-Q 隧道允许以太网接入网络上的服务提供商在两个客户站点之间扩展第 2 层以太网连接。

在 Q-in-Q 隧道中,当数据包从客户 VLAN (C-VLAN) 传输到服务提供商的 VLAN 时,会向数据包添加一个特定于服务提供商的 802.1Q 标记。此附加标记用于将流量隔离到服务提供商定义的服务 VLAN (S-VLAN) 中。数据包的原始客户 802.1Q 标记会保留下来,并通过服务提供商的网络以透明方式传输。当数据包沿下行方向离开 S-VLAN 时,附加的 802.1Q 标记将被移除。

注:

为服务提供商的 VLAN 配置 Q-in-Q 隧道时,从该 VLAN 面向客户的接入端口传输的所有路由引擎数据包(包括来自 路由 VLAN 接口的数据包)都将始终处于未标记状态。

将 C-VLAN 映射到 S-VLAN 有三种方法:

  • 一体化捆绑 — 在 [edit vlans] 层次结构级别使用dot1q-tunneling语句映射,而无需指定客户 VLAN。来自特定接入接口的所有数据包都会映射到 S-VLAN。

  • 多对一捆绑 — 在 customer-vlans [edit vlans] 层次结构级别使用语句指定将哪些 C-VLAN 映射到 S-VLAN。

  • 映射特定接口上的 C-VLAN — 使用 mapping [edit vlans] 层次结构级别的语句将指定接入接口上的特定 C-VLAN 映射到 S-VLAN。

表 2 列出了 SRX 系列设备上支持的 C-VLAN 到 S-VLAN 的映射。(平台是否支持取决于安装中的 Junos OS 版本。)

表 2: 支持的映射方法

映射

SRX210

SRX240

SRX300

SRX320:

SRX340:

SRX345:

SRX550M

SRX650

一体化捆绑

多对一捆绑

在特定接口上映射 C-VLAN

注:

SRX300 和 SRX320 设备支持 VLAN 转换,并且这些设备不支持 Q-in-Q 隧道。

注:

在 SRX650 设备上的 dot1q 隧道配置选项中,客户 VLAN 范围和 VLAN 推送无法一起处理同一 S-VLAN,即使您提交配置也是如此。如果两者均已配置,则 VLAN 推送将优先于客户 VLAN 范围。

SRX210、SRX240、SRX340、SRX345 和 SRX650 设备的 Q-in-Q VLAN 支持 IRB 接口。无论数据包是单标记还是双标记数据包,到达 Q-in-Q VLAN 上的 IRB 接口的数据包均会得到路由。传出路由的数据包仅在退出中继接口时才会包含 S-VLAN 标记;退出接入接口时,数据包会未标记地退出接口。(平台是否支持取决于安装中的 Junos OS 版本。)

在 Q-in-Q 部署中,来自下行接口的客户数据包在传输时不会更改 MAC 源地址和目标地址。您可以在接口级别和 VLAN 级别禁用 MAC 地址学习。禁用某个接口上的 MAC 地址学习将禁用作为该接口成员的所有 VLAN 的学习。禁用 VLAN 上的 MAC 地址学习时,将刷新已学习的 MAC 地址。

SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备(平台支持取决于安装中的 Junos OS 版本),在第 3 层聚合以太网上,不支持以下功能:

  • 封装(例如 CCC、VLAN CCC、VPLS 和 PPPoE)

  • J-Web

  • 从 Junos OS 19.4R2 版 开始, 您可以在冗余以太网 (reth) 接口上配置 LLDP。使用命令在 set protocol lldp interface <reth-interface> reth 接口上配置 LLDP。

  • 在 SRX550M 设备上,带有 XE 成员接口的聚合以太网 (ae) 接口不能使用以太网交换系列进行配置。

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,第 3 层接口上的 Q-in-Q 支持具有以下限制:

    • reth 和 ae 接口不支持双标记。

    • 流模式和机箱群集中不支持多拓扑路由。

    • 封装(如 CCC、TCC、VPLS 和 PPPoE)不支持双标记帧)

    • 在 3 层逻辑接口上output-vlan-mapinner-rangeinner-list,不适用 input-vlan-map

    • 仅支持具有0x8100的 TPID,最大标记数为 2。

    • 只有具有 IPV4 和 IPv6 家族的逻辑接口才能接受双标记帧。

  • SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备(平台支持取决于安装中的 Junos OS 版本),路由 VLAN 接口 (RVI) 上不支持以下功能:

    • IS-IS(系列 ISO)

    • VLAN 接口上的封装(以太网 CCC、VLAN CCC、VPLS、PPPoE 等)

    • CLNS

    • DVMRP

    • VLAN 接口 MAC 更改

    • G-ARP

    • VLAN 接口的 VLAN ID 更改

示例:在安全设备上配置交换模式

要求

开始之前,请参阅 安全设备的以太网端口交换概述

概述

在此示例中,您将配置 chassis l2 学习协议并将其设置为全局模式交换。然后,您可以在第 2 层学习协议上设置物理端口参数。

拓扑

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

逐步过程

要配置交换模式:

  1. 将 l2 学习协议设置为全局模式交换。

  2. 在 l2 学习协议上设置物理端口参数。

  3. 完成设备配置后,提交配置。

结果

在配置模式下,输入和 show interfaces 命令以确认show protocols您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

验证交换模式

目的

确保交换模式配置按预期。

行动

在操作模式下,输入 show ethernet-switching global-information 命令。

含义

示例输出显示,全局模式交换配置按预期进行。

验证接口 ge-0/0/1 上的以太网交换

目的

确保在接口 ge-0/0/1 上按预期配置以太网交换。

行动

在操作模式下,输入 show interfaces ge-0/0/1 brief 命令。

含义

示例输出显示,以太网交换配置在接口 ge-0/0/1 上,如预期。

发布历史记录表
版本
说明
15.1X49-D60
从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备均已启用链路层发现协议 (LLDP) 和 LLDP-媒体端点发现 (MFD)。