安全设备上的以太网端口切换模式
了解安全设备上的交换模式
有两种类型的交换模式:
交换模式 – uPIM 在接口列表中显示为单个接口,这是 uPIM 上的第一个接口。例如,ge-2/0/0。您可以选择仅将每个 uPIM 端口配置为自动协商、速度和双工模式。切换模式下的 uPIM 可以执行以下功能:
第 3 层转发 — 路由发往机箱上存在的 WAN 接口和其他 PIM 的流量。
第 2 层转发 — 将 LAN 内流量从 LAN 上的一台主机切换到另一台 LAN 主机(uPIM 的一个端口到同一 uPIM 的另一个端口)。
增强型交换模式 – 每个端口均可配置为交换或路由模式。此用法不同于路由和交换模式,在这两种模式下,所有端口都必须处于交换或路由模式。增强型交换模式下的 uPIM 具有以下优点:
增强型开关模式的优势:
支持配置不同类型的 VLAN 和 VLAN 间路由。
支持第 2 层控制平面协议,例如链路聚合控制协议 (LACP)。
通过身份验证服务器支持基于端口的网络访问控制 (PNAC)。
注:SRX300 和 SRX320 设备仅支持增强型交换模式。将多端口 uPIM 设置为增强型交换模式时,uPIM 支持所有第 2 层交换功能。(平台是否支持取决于设备安装的 Junos OS 版本。)
您可以将设备上的多端口千兆以太网 uPIM 设置为交换模式或增强型交换模式。
将多端口 uPIM 设置为交换模式时,uPIM 显示为单个实体以进行监视。唯一可以配置的物理端口设置是每个 uPIM 端口上的自动协商、速度和双工模式,这些设置是可选的。
安全设备的以太网端换概述
瞻博网络设备上的某些端口可以用作以太网接入交换机,在第 2 层交换流量,在第 3 层路由流量。
您可以将分支机构中支持的设备部署为具有集成路由功能的接入或桌面交换机,从而从网络拓扑中消除中间接入交换机设备。以太网端口提供交换,而路由引擎提供路由功能,使您能够使用单个设备提供路由、接入交换和 WAN 接口。
本主题包含以下部分:
支持的设备和端口
瞻博网络支持各种以太网端口和设备上的交换功能(请参阅 表 1)。平台是否支持取决于设备安装的 Junos OS 版本。包括以下端口和设备:
SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550M 和 SRX1500 设备上的板载以太网端口(千兆位和快速以太网内置端口)。
SRX650 设备上的多端口千兆位以太网 XPIM。
装置 |
端口 |
---|---|
SRX100 设备 |
板载快速以太网端口(fe-0/0/0 和 fe-0/0/7) |
SRX210 设备 |
板载千兆以太网端口(ge-0/0/0 和 ge-0/0/1)和 1 端口千兆以太网 SFP Mini-PIM 端口。 板载快速以太网端口(fe-0/0/2 和 fe-0/0/7) |
SRX220 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/7)和 1 端口千兆以太网 SFP Mini-PIM 端口。 |
SRX240 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/15)和 1 端口千兆以太网 SFP Mini-PIM 端口。 |
SRX300 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/7) |
SRX320 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/7) |
SRX340 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/15) |
SRX345 设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/15) |
SRX550 设备 |
板载千兆以太网端口(ge-0/0/0 至 ge-0/0/9、多端口千兆以太网 XPIM 模块和 1 端口千兆以太网 SFP Mini-PIM 端口)。 |
SRX550M设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/9 和多端口千兆以太网 XPIM 模块)。 |
SRX650 设备 |
多端口千兆以太网 XPIM 模块 注:
在 SRX650 设备上,千兆以太网接口(ge-0/0/0 到 ge-0/0/3 端口)不支持以太网交换。 |
SRX1500设备 |
板载千兆以太网端口(ge-0/0/0 到 ge-0/0/19) |
在 SRX100 上。对于 SRX220、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备,您可以将板载千兆以太网端口设置为作为交换端口或路由端口运行。(平台是否支持取决于设备安装的 Junos OS 版本。)
集成桥接和路由
集成桥接和路由 (IRB) 支持同一 VLAN 内同时进行第 2 层交换和第 3 层路由。到达 VLAN 接口的数据包将根据数据包的目标 MAC 地址进行交换或路由。以路由器的 MAC 地址为目标的数据包将被路由到其他第 3 层接口。
链路层发现协议和 LLDP 媒体端点发现
设备使用链路层发现协议 (LLDP) 和 LLDP 媒体端点发现 (MED) 来学习和分发有关网络链路的设备信息。这些信息使设备能够快速识别各种系统,从而形成平稳高效的 LAN。
支持 LLDP 的设备将类型长度值 (TLV) 消息中的信息传输到相邻设备。设备信息可以包括细节,例如机箱和端口标识以及系统名称和系统功能。TLV 利用已在 Junos OS 中配置的参数中的此信息。
LLDP-MED 更进一步,在设备和 IP 电话之间交换 IP 电话消息。这些 TLV 消息提供有关以太网供电 (PoE) 策略的详细信息。PoE 管理 TLV 允许设备端口通告所需的功率级别和电源优先级。例如,该设备可以将在 PoE 接口上运行的 IP 电话所需的功率与可用资源进行比较。如果设备无法满足 IP 电话所需的资源,设备可以与电话协商,直到达成电源折衷方案。
支持以下基本 TLV:
机箱标识符 — 与本地系统关联的 MAC 地址。
端口标识符 — 本地系统中指定端口的端口标识。
端口说明 - 用户配置的端口说明。端口描述最多可包含 256 个字符。
系统名称 - 用户配置的本地系统名称。系统名称最多可包含 256 个字符。
交换功能概述 — 此信息不可配置,但取自软件。
系统功能 - 系统执行的主要功能。系统支持的功能;例如,以太网交换或路由器。此信息不可配置,但基于产品的型号。
管理地址 - 本地系统的 IP 管理地址。
支持以下 LLDP-MED TLV:
LLDP-MED 功能 — 通告端口主要功能的 TLV。值的范围为 0 到 15:
0 - 功能
1 - 网络策略
2 - 位置识别
3—通过介质相关接口电源设备 (MDI-PSE) 扩展电源
4 - 库存
5–15 - 保留
LLDP-MED 设备类值:
0 - 未定义类
1 - 1 类设备
2 - 2 类设备
3 - 3 类设备
4 - 网络连接设备
5–255— 保留
注:从 Junos OS 15.1X49-D60 版和 Junos OS 17.3R1 版开始,SRX300、SRX320、SRX340、SRX345、SRX550M 和 SRX1500 设备上启用了链路层发现协议 (LLDP) 和 LLDP 媒体端点发现 (MFD)。
网络策略 — 通告端口 VLAN 配置以及关联的第 2 层和第 3 层属性的 TLV。属性包括策略标识符、应用程序类型(如语音或流视频)、802.1Q VLAN 标记以及 802.1p 优先级位和 Diffserv 代码点。
端点位置 — 通告端点物理位置的 TLV。
通过 MDI 扩展电源 — 一种 TLV,用于通告端口的电源类型、电源、电源优先级和功率值。PSE 设备(网络连接设备)负责在端口上通告电源优先级。
必须在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340 和 SRX345 设备的基本端口上的 uPIM(增强型交换模式下)以及 SRX650 设备上的千兆位背板物理接口模块 (GPIM) 上显式配置 LLDP 和 LLDP-MED。(平台支持取决于安装中的 Junos OS 版本。要在所有接口或特定接口上配置 LLDP,请在 [set protocols
] 层次结构级别使用该lldp
语句。要在所有接口或特定接口上配置 LLDP-MED,请在 [set protocols
] 层次结构级别使用该lldp-med
语句。
交换机端口的类型
交换机上的端口或接口在接入模式或中继模式下运行。
访问模式下的接口连接到网络设备,如台式计算机、IP 电话、打印机、文件服务器或安全摄像头。接口本身属于单个 VLAN。通过接入接口传输的帧是正常的以太网帧。
中继接口处理多个 VLAN 的流量,通过同一物理连接对所有这些 VLAN 的流量进行多路复用。中继接口通常用于将交换机相互互连。
菊花链中的 uPIM
不能将多个 uPIM 组合为单个集成交换机。但是,您可以通过以菊花链方式将一个 uPIM 上的端口物理连接到另一个 uPIM 上的端口,从外部连接同一机箱上的 uPIM。
两个或多个 uPIM 以菊花链方式连接在一起,可创建端口数高于任一单个 uPIM 的单个交换机。每个 uPIM 上的一个端口仅用于连接。例如,如果以菊花链形式连接 6 端口 uPIM 和 8 端口 uPIM,则结果将作为 12 端口 uPIM 运行。uPIM 的任何端口都可用于菊花链。
仅为其中一个菊花链 uPIM 配置 IP 地址,使其成为主 uPIM。辅助 uPIM 将流量路由到主 uPIM,后者将其转发到路由引擎。由于外部链接的超额订阅,这会导致延迟和丢包增加。
两个 uPIM 之间仅支持一个链接。在 uPIM 之间连接多个链路会创建不支持的环路拓扑。
Q-in-Q VLAN 标记
Q-in-Q 隧道由 IEEE 802.1ad 标准定义,允许以太网接入网络上的服务提供商在两个客户站点之间扩展第 2 层以太网连接。
在 Q-in-Q 隧道中,当数据包从客户 VLAN (C-VLAN) 传输到服务提供商的 VLAN 时,会将特定于服务提供商的 802.1Q 标记添加到数据包中。此附加标记用于将流量隔离到服务提供商定义的服务 VLAN (S-VLAN) 中。数据包的原始客户 802.1Q 标记将被保留,并以透明传输的方式,通过服务提供商的网络。数据包向下行方向离开 S-VLAN 时,附加的 802.1Q 标记将被删除。
为服务提供商的 VLAN 配置 Q-in-Q 隧道时,从该 VLAN 面向客户的接入端口传输的所有路由引擎数据包(包括来自 路由 VLAN 接口的数据包)将始终不带标记。
可通过三种方式将 C-VLAN 映射到 S-VLAN:
一体化捆绑 — 在 [
edit vlans
] 层级使用语句进行dot1q-tunneling
映射,无需指定客户 VLAN。来自特定接入接口的所有数据包都映射到 S-VLAN。多对一捆绑 — 使用 [
edit vlans
] 层次结构级别的语句指定customer-vlans
将哪些 C-VLAN 映射到 S-VLAN。在特定接口上映射 C-VLAN — 使用 [
edit vlans
] 层次结构级别的语句将mapping
指定接入接口上的特定 C-VLAN 映射到 S-VLAN。
表 2列出了 SRX 系列防火墙支持的 C-VLAN 到 S-VLAN 映射。(平台是否支持取决于设备安装的 Junos OS 版本。)
映射 |
SRX210 |
SRX240 |
SRX300: |
SRX320: |
SRX340: |
SRX345: |
SRX550M |
SRX650 |
---|---|---|---|---|---|---|---|---|
一体化捆绑 |
是 |
是 |
否 |
否 |
是 |
是 |
是 |
是 |
多对一捆绑 |
否 |
否 |
否 |
否 |
是 |
是 |
是 |
是 |
在特定接口上映射 C-VLAN |
否 |
否 |
否 |
否 |
是 |
是 |
是 |
是 |
SRX300 和 SRX320 设备支持 VLAN 转换,但这些设备不支持 Q-in-Q 隧道。
在 SRX650 设备上,在 dot1q 隧道配置选项中,客户 VLAN 范围和 VLAN 推送对于同一 S-VLAN 不能协同工作,即使您提交配置也是如此。如果同时配置了两者,则 VLAN 推送优先于客户 VLAN 范围。
SRX210、SRX240、SRX340、SRX345 和 SRX650 设备的 Q-in-Q VLAN 支持 IRB 接口。无论是单标记数据包还是双标记数据包,都会路由到达 Q-in-Q VLAN 上的 IRB 接口的数据包。传出路由的数据包仅在退出中继接口时才会包含 S-VLAN 标记;退出接入接口时,数据包为未标记状态。(平台是否支持取决于设备安装的 Junos OS 版本。)
在 Q-in-Q 部署中,来自下行接口的客户数据包在传输时,不会更改 MAC 源地址和目的地址。您可以在接口级别和 VLAN 级别禁用 MAC 地址学习。对某个接口禁用 MAC 地址学习也会禁用包含该接口的所有 VLAN 的地址学习。禁用 VLAN 的 MAC 地址学习后,已学习的 MAC 地址将被清除。
在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备上(平台支持取决于安装中的 Junos OS 版本),在第 3 层聚合以太网上,不支持以下功能:
封装(如 CCC、VLAN CCC、VPLS 和 PPPoE)
J-Web
从 Junos OS 19.4R2 版 开始, 您可以在冗余以太网 (reth) 接口上配置 LLDP。使用命令在
set protocol lldp interface <reth-interface>
reth 接口上配置 LLDP。
SRX550M设备上,不能使用以太网交换家族配置具有 XE 成员接口的聚合以太网 (ae) 接口。
在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,第 3 层接口上的 Q-in-Q 支持具有以下限制:
reth 和 ae 接口不支持双重标记。
流模式和机箱群集不支持多拓扑路由。
封装(如 CCC、TCC、VPLS 和 PPPoE)不支持双标记帧
在第 3 层逻辑接口上,
input-vlan-map
output-vlan-map
inner-range
、 、 和inner-list
不适用仅支持具有0x8100的 TPID,最大标签数为 2。
只有具有 IPV4 和 IPv6 系列的逻辑接口才接受双标记帧。
在 SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 和 SRX650 设备上(平台支持取决于安装中的 Junos OS 版本),在 路由 VLAN 接口 (RVI) 上,不支持以下功能:
IS-IS(族式 ISO)
VLAN 接口上的封装(Ether CCC、VLAN CCC、VPLS、PPPoE 等)
CLNS
DVMRP
VLAN 接口的 MAC 变更
G-ARP
VLAN 接口的 VLAN ID 变更
示例:在安全设备上配置交换模式
要求
开始之前,请参阅 安全设备的以太网端换概述。
概述
在此示例中,您将配置 chassis
l2 学习协议并将其设置为全局模式切换。然后,在 l2 学习协议上设置物理端口参数。
拓扑学
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到 [edit]
层级的 CLI 中,然后从配置模式进入 commit
。
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
分步过程
要配置交换模式:
将 l2 学习协议设置为全局模式切换。
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
在 l2 学习协议上设置物理端口参数。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
在配置模式下,输入 show protocols
和 show interfaces
命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit] user@host# show protocols l2-learning { global-mode switching; }
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family ethernet-switching { interface-mode access; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
确认配置工作正常。
验证交换模式
目的
确保按预期配置交换模式。
操作
在操作模式下,输入 show ethernet-switching global-information
命令。
user@host> show ethernet-switching global-information
Global Configuration: MAC aging interval : 300 MAC learning : Enabled MAC statistics : Disabled MAC limit Count : 16383 MAC limit hit : Disabled MAC packet action drop: Disabled MAC+IP aging interval : IPv4 - 1200 seconds IPv6 - 1200 seconds MAC+IP limit Count : 393215 MAC+IP limit reached : No LE aging time : 1200 LE VLAN aging time : 1200 Global Mode : Switching RE state : Master
意义
示例输出显示全局模式切换已按预期配置。
验证接口 ge-0/0/1 上的以太网切换
目的
确保在接口 ge-0/0/1 上按预期配置以太网交换。
操作
在操作模式下,输入 show interfaces ge-0/0/1 brief
命令。
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online Device flags : Present Running Down Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Link flags : None Logical interface ge-0/0/1.0 Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge Security: Zone: Null eth-switch
意义
示例输出显示,以太网交换按预期在接口 ge-0/0/1 上配置。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。