Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

安全设备上的以太网端口交换模式

了解安全设备上的交换模式

有两种类型的交换模式:

  • 交换模式 - uPIM 作为单个接口显示在接口列表中,这是 uPIM 上的第一个接口。例如,ge-2/0/0。您可以选择仅为自动协商、速度和双工模式配置每个 uPIM 端口。交换模式下的 uPIM 可执行以下功能:

    • 第 3 层转发 — 路由以 WAN 接口和机箱上存在的其他 PIM 为目的地的流量。

    • 第 2 层转发 — 将 LAN 上的一个主机的 LAN 内部流量切换到另一个 LAN 主机(一个 uPIM 端口到同一 uPIM 的另一个端口)。

  • 增强型交换模式 - 每个端口都可以配置为交换或路由模式。此用法与路由和交换模式不同,其中所有端口都必须处于交换或路由模式。增强交换模式中的 uPIM 具有以下优势:

    Enhnanced 交换机模式的优势:

    • 支持不同类型的 Vlan 和 VLAN 间路由的配置。

    • 支持第2层控制平面协议,例如链路聚合控制协议(LACP)。

    • 通过认证服务器支持基于端口的网络接入控制(PNAC)。

    注:

    SRX300 和 SRX320 设备仅支持增强型交换模式。将多端口 uPIM 设置为增强交换模式时,uPIM 上支持所有2层交换功能。(平台支持取决于安装中的 Junos OS 版本。)

您可在设备上将多端口千兆位以太网 uPIM 设置为交换或增强交换模式。

将多端口 uPIM 设置为交换模式时,uPIM 显示为用于监控目的的单个实体。您可以配置的物理端口设置只能是每个 uPIM 端口上的自动协调、速度和双工模式,并且这些设置是可选的。

安全设备的以太网端口交换概述

路由器上的瞻博网络端口可以用作以太网接入交换机,在 2 层交换流量,在 3 层路由流量。

您可以将分支机构中支持的设备部署为具有集成路由功能的接入或桌面交换机,从而消除网络拓扑中的中间接入交换机设备。以太网端口提供交换,而路由引擎提供路由功能,使您可以使用单个设备提供路由、访问交换和 WAN 接口。

本主题包含以下部分:

支持的设备和端口

瞻博网络支持各种以太网端口和设备上的交换功能(请表 1参阅)。平台支持取决于安装中的 Junos OS 版本。包括以下端口和设备:

  • 板载以太网端口(千兆位和快速以太网内置端口),位于 SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550M 和 SRX1500 设备上。

  • SRX650 设备上的多端口千兆位以太网 XPIM。

表 1: 支持的设备和端口用于交换功能

设备

端口

SRX100 设备

板载快速以太网端口(fe-0/0/0 和 fe-0/0/7)

SRX210 设备

板载千兆位以太网端口(ge-0/0/0 和 ge-0/0/1)和1端口千兆位以太网 SFP 小型 PIM 端口。

板载快速以太网端口(fe-0/0/2 和 fe-0/0/7)

SRX220 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/7)和单端口千兆位以太网 SFP 小型 PIM 端口。

SRX240 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/15)和单端口千兆位以太网 SFP 小型 PIM 端口。

SRX300 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/7)

SRX320 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/7)

SRX340 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/15)

SRX345 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/15)

SRX550 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/9、多端口千兆位以太网 XPIM 模块和单端口千兆位以太网 SFP 小型 PIM 端口。

SRX550M 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/9 和多端口千兆位以太网 XPIM 模块。

SRX650 设备

多端口千兆位以太网 XPIM 模块

注:

在 SRX650 设备上,千兆位以太网接口(ge-0/0/0 到 ge-0/0/3 端口)不支持以太网交换。

SRX1500 设备

板载千兆位以太网端口(ge-0/0/0 到 ge-0/0/19)

在 SRX100 上。SRX220、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备,您可以将板载千兆位以太网端口设置为交换端口或路由端口。(平台支持取决于安装中的 Junos OS 版本。)

集成桥接和路由

集成桥接和路由(IRB)为同一 VLAN 内的同时2层和第3层路由提供支持。到达 VLAN 接口的数据包根据数据包的目标 MAC 地址进行交换或路由。将路由器转发至MAC 地址的数据包将路由至其他第 3 层接口。

链路层发现协议和 LLDP-媒体端点发现

设备使用链路层发现协议(LLDP)和 LLDP-媒体端点发现(MED-V)来学习和分布有关网络链路的设备信息。这些信息允许设备快速识别各种系统,从而使 LAN 能够顺利、高效地进行互操作。

支持 LLDP 的设备将类型长度值(TLV)消息中的信息传输到邻居设备。设备信息可以包括机箱和端口识别以及系统功能等细节。Tlv 利用已在 Junos OS 中配置的参数的此信息。

LLDP-MED-V 更进一步,在设备和 IP 电话之间交换 IP 电话服务消息。这些 TLV 消息提供有关以太网供电(PoE)策略的详细信息。PoE Management Tlv 让设备端口通告所需的电源级别和功率优先级。例如,设备可将在具有可用资源的 PoE 接口上运行的 IP 电话与所需的电源进行比较。如果设备无法满足 IP 电话所需的资源,则设备可以与电话进行协商,直到电源受到损害。

支持以下基本 Tlv:

  • 机箱标识符 — MAC 地址系统关联的标识。

  • 端口标识符 — 本地系统中指定端口的端口标识。

  • 端口说明 — 用户配置的端口说明。端口说明最多可为256个字符。

  • 系统名称 — 本地系统的用户配置的名称。系统名称最多可以为256个字符。

  • 交换功能概述 - 此信息不可配置,但从软件获取。

  • 系统功能 — 系统执行的主要功能。系统支持的功能;例如,以太网交换或路由器。此信息不可配置,但基于产品的型号。

  • 管理地址 — 本地系统的 IP 管理地址。

支持以下 LLDP-MED-V Tlv:

  • LLDP-MED 功能 — 通告端口主要功能的 TLV。值的范围为0到15:

    • 0 — 功能

    • 1 — 网络策略

    • 2 — 位置识别

    • 3 - 通过介质相关接口采购设备 (MDI-PSE) 扩展电源

    • 4 — 库存

    • 5–15—Reserved

  • LLDP-MED-V 设备类值:

    • 0 - 未定义类

    • 1 - 1 类设备

    • 2 - 2 类设备

    • 3 - 3 类设备

    • 4 — 网络连接设备

    • 5–255— 保留

    注:

    从 Junos OS Release X 49-D 60 和 Junos OS 版本 17.3 R1 开始,链路层发现协议(LLDP)和 LLDP 媒体端点发现(MFD)在 SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备上启用。

  • 网络策略 — 一种 TLV,用于通告端口 VLAN 配置以及关联的第 2 层/第 3 层属性。属性包括策略标识符、应用程序类型(如语音或流视频)、802.1 Q VLAN 标记和 802.1 p 优先级位和 Diffserv 代码点。

  • 端点位置 — 通告端点物理位置的 TLV。

  • 通过 MDI 扩展电源 - 通告端口的电源类型、电源、电源优先级和功率值的 TLV。PSE 设备(网络连接设备)负责通告端口上的电源优先级。

在 SRX650 设备上 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备上的基端口以及千兆位背板物理接口模块(Gpim)上,LLDP 和 LLDP-MED-V 必须在 uPIMs (处于增强型交换模式)上显式配置。(平台支持取决于安装中的 Junos OS 版本。)要在所有接口或特定接口上配置 LLDP,请使用 [ lldpset protocols] 层次结构级别的语句。要在所有接口或特定接口上配置 LLDP-中级,请使用 [ lldp-medset protocols] 层次结构级别的语句。

交换机端口类型

交换机上的端口或接口在访问模式或干线模式下运行。

接入模式中的接口连接到网络设备,例如台式计算机、IP 电话、打印机、文件服务器或安全摄像机。接口本身属于单个 VLAN。通过接入接口传输的帧是正常的以太网帧。

中继接口处理多个 Vlan 的信息流,通过多路传输同一物理连接上所有这些 Vlan 的信息流。中继接口通常用于相互互连交换机。

菊花链中的 uPIM

您不能将多个 uPIMs 组合成为单个集成交换机。但是,您可将 uPIMs 连接到同一机箱上,方法是以菊花链方式将一个 uPIM 上的端口物理连接到另一个 uPIM 上的端口。

两个或更多 uPIMs 菊花链一起创建一个交换机,其端口计数比单个 uPIM 更高。每个 uPIM 上的一个端口仅用于连接。例如,如果您将6端口 uPIM 和8端口 uPIM 菊花串联,则结果将作为一个12端口 uPIM 运行。UPIM 的任何端口均可用于菊花链。

仅为其中一个菊花链式 uPIMs 配置 IP 地址,使其成为主要 uPIM。辅助 uPIM 将信息流路由到主 uPIM,将其转发至路由引擎。由于外部链接的超额订阅,这会导致延迟和数据包丢弃量增加。

两个 uPIMs 之间仅支持一个链路。在 uPIMs 之间连接多个链路将创建不受支持的环拓扑。

Q 入 Q VLAN 标记

Q-Q 隧道由 IEEE 802.1 ad 标准定义,允许以太网接入网络上的服务提供商在两个客户站点之间扩展2层以太网连接。

在 Q-in-Q 隧道中,当数据包从客户 VLAN (C-VLAN) 传输至服务提供商的 VLAN 时,数据包中会添加服务提供商特定的 802.1Q 标记。此附加标记用于将流量隔离为服务提供商定义的服务 Vlan (S-Vlan)。数据包的原始客户 802.1Q 标记将保留,并透明传输,通过服务提供商的网络。随着数据包在下游方向离开 S VLAN,额外的 802.1 Q 标记将被卸下。

注:

为服务提供商的 VLAN 配置 Q-in-Q 隧道时,从该 VLAN 面向客户的接入端口传输的所有 路由引擎 数据包(包括来自路由 VLAN接口的数据包)始终不会被标记。

将 C Vlan 映射到 S VLAN 有三种方式:

  • 一元捆绑 — 使用 [ ] 层级的 语句映射,而不指定 dot1q-tunnelingedit vlans 客户 V VPN。来自特定接入接口的所有数据包都映射到 S VLAN。

  • 多对一捆绑 — 使用 [ ] 层级的 语句指定将哪些 customer-vlansedit vlans C-VLAN 映射到 S-VLAN。

  • 特定接口上的 C-VLAN 映射 — 使用 [ ] 层级的 语句将指定接入接口上的特定 mappingedit vlans C-VLAN 映射到 S-VLAN。

表 2列出了 SRX 系列设备上支持的 C-VLAN 到 S VLAN 映射。(平台支持取决于安装中的 Junos OS 版本。)

表 2: 支持的映射方法

映射

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

一体化捆绑

多对一绑定

在特定接口上映射 C VLAN

注:

SRX300 和 SRX320 设备上支持 VLAN 转换,这些设备不支持 Q 入 Q 隧道。

注:

在 SRX650 设备上,dot1q 配置选项中的客户 Vlan 范围和 VLAN push 不能一起用于相同的 S VLAN,即使您提交配置也是如此。如果两者均已配置,则 VLAN push 优先于客户 Vlan 范围。

SRX210、SRX240、SRX340、SRX345 和 SRX650 设备的 Q-Q Vlan 支持 IRB 接口。无论数据包是单标记的还是双重的,传入 Q VLAN 的 IRB 接口上的数据包都将得到路由。传出路由的数据包仅在退出中继接口时才包含 S VLAN 标记;在退出接入接口时,数据包将退出未标记的接口。(平台支持取决于安装中的 Junos OS 版本。)

在 q 中部署时,来自下游接口的客户数据包将传输,并且不会更改源和目标 MAC 地址。您可以在接口级别和 VLAN 级别禁用 MAC 地址学习。禁用接口上的 MAC 地址学习将禁用该接口是其成员的所有 Vlan 的学习。禁用 VLAN 上的 MAC 地址学习时,已学习的 MAC 地址将被清除。

在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备上(根据安装中的 Junos OS 版本提供平台支持),在第3层聚合以太网上,以下功能不受支持:

  • 封装(如 CCC、VLAN CCC、VPLS 和 PPPoE)

  • J-Web

  • 从 Junos OS Release 19.4 r 开始,您可以在冗余以太网(reth)接口上配置 LLDP。使用set protocol lldp interface <reth-interface>命令在 reth 接口上配置 LLDP。

  • 在 SRX550M 设备上,带有 XE 成员接口的聚合以太网(ae)接口不能使用以太网交换系列进行配置。

  • 在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,第3层界面上的 q in 支持具有以下局限性:

    • Reth 和 ae 接口上不支持双标记。

    • 流模式和机箱集群中不支持 Multitopology 路由。

    • 封装上不支持双重标记框架(如 CCC、TCC、VPLS 和 PPPoE)

    • 在第3层逻辑接口input-vlan-mapoutput-vlan-mapinner-range、和inner-list不适用

    • 仅支持使用0x8100 的 Tpid,标记的最大数量为2。

    • 只有 IPV4 和 IPv6 系列的逻辑接口才接受双重标记框架。

  • 在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备上(根据安装中的 Junos OS 版本提供平台支持),在路由的 VLAN 接口(RVI)上,以下功能不受支持:

    • IS-IS (家庭 ISO)

    • VLAN 接口上的封装(Ether CCC、VLAN CCC、VPLS、PPPoE 等)

    • CLNS

    • DVMRP

    • VLAN 接口 MAC 更改

    • G-ARP

    • 更改 VLAN 接口的 VLAN Id

示例:在安全设备上配置交换模式

要求

开始之前,请参阅以太网端口交换安全设备的概述

概述

在此示例中,将chassis l2 学习协议配置和设置为全局模式交换。然后在 l2 学习协议上设置物理端口参数。

拓扑

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要配置切换模式:

  1. 将 l2 学习协议设置为全局模式交换。

  2. 在 l2 学习协议上设置物理端口参数。

  3. 如果您完成了设备配置,请提交配置。

成果

在配置模式下,输入show protocolsshow interfaces命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

验证交换模式

用途

确保按预期方式配置交换模式。

行动

在操作模式下,输入show ethernet-switching global-information命令。

含义

示例输出显示全局模式交换配置为预期的。

验证接口 ge 上的以太网交换-0/0/1

用途

确保以太网交换在接口 ge-0/0/1 上按预期配置。

行动

在操作模式下,输入show interfaces ge-0/0/1 brief命令。

含义

样本输出显示,以太网交换按预期配置在接口 ge-0/0/1 上。

发布历史记录表
版本
说明
15.1X49-D60
从 Junos OS Release X 49-D 60 和 Junos OS 版本 17.3 R1 开始,链路层发现协议(LLDP)和 LLDP 媒体端点发现(MFD)在 SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备上启用。