使用服务提供商风格的 Q-in-Q 隧道配置 DHCP 安全性
Junos OS 支持两种不同的交换机接口配置风格:服务提供商风格和企业风格。服务提供商样式需要更多的配置,但提供了更大的灵活性。企业风格更易于配置,但提供的功能较少。
在采用企业配置风格时,通过将以太网交换指定为接口系列,逻辑接口将置于第 2 层模式。只能在单个逻辑单元(单元 0)上配置以太网交换选项。您无法将 VLAN ID 绑定到设备 0,因为这些接口既可以在中继模式(支持具有各种 VLAN 标记的流量)下运行,也可以在支持未标记流量的接入模式下运行。
某些交换功能(如 Q-in-Q 隧道)无法在逻辑接口单元 0 上配置。Q-in-Q 隧道需要逻辑接口来传输带有 VLAN 标记的帧。要使逻辑接口能够接收和转发带有 VLAN 标记的以太网帧,必须将逻辑接口绑定到该 VLAN。由于企业样式不允许将 VLAN ID 绑定到单元 0,因此必须使用服务提供商样式来配置 Q-in-Q 隧道。
要支持 DHCP 安全性和 Q-in-Q 隧道,您可以使用服务提供商样式配置以下 DHCP 安全功能:
- DHCP 侦听(DHCPv4 和 DHCPv6)
- 动态 ARP 检测
- 邻居发现检查
- DHCP 选项 82
- DHCPv6 选项 18 和选项 37
- 轻型 DHCPv6 中继代理
您可以使用灵活的以太网服务封装在同一物理接口上组合服务提供商和企业配置风格。借助灵活的以太网服务封装,您可以在逻辑接口级别(而非物理接口级别)配置封装。通过定义多个按单元以太网封装,可以更轻松地将基于以太网的服务定制为连接到同一物理接口的多个主机。有关详细信息,请参阅 灵活的以太网服务封装 。
EX4300 交换机不支持在同一物理接口上配置服务提供商风格和企业风格。
示例:具有服务提供商样式配置的 DHCP 安全性和 Q-in-Q 隧道
将物理接口配置为仅支持服务提供商样式时,请将封装类型配置为 extended-vlan-bridge 支持桥接功能。您还必须在物理接口上配置本机 VLAN 标记,以便它可以在中继模式下运行,并为多个 VLAN 传输带有 VLAN 标记的以太网帧。在接口上配置灵活的 VLAN 标记,以传输具有 802.1Q VLAN 单标记和双标记帧的数据包。
以下示例配置封装了用于服务提供商配置的物理接口 ge-0/0/11,并定义了逻辑单元 111。VLAN ID v111 绑定到单元 111,在逻辑接口 ge-0/0/11.111 上配置 Q-in-Q 隧道。该配置可在 VLAN v111 上启用 DHCP 侦听、动态 ARP 检查和 DHCP 选项 82。
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation extended-vlan-bridge set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
示例:DHCP 安全性和具有灵活以太网服务封装的 Q-in-Q 隧道
灵活的以太网服务封装类型使物理接口能够支持这两种配置样式。为了支持服务提供商风格,灵活的以太网服务允许在逻辑接口级别(而非物理接口)配置封装。为了支持企业风格,灵活的以太网服务允许在任何逻辑接口单元号上配置该 ethernet-switching 系列。
以下示例配置封装物理接口 ge-0/0/11 flexible-ethernet-services ,以支持服务提供商和企业样式配置。物理接口上定义了两个逻辑单元:单元 111 表示服务提供商样式,单元 0 表示企业样式。 vlan-bridge 封装可在单元 111 上实现桥接功能,而 ethernet-switching 该族可在单元 0 上实现桥接功能。Q-in-Q 隧道在逻辑接口 ge-0/0/11.111 上配置。
VLAN v111 绑定到单元 111,并具有以下 DHCP 安全功能:
- 使用 Option 82 和可信覆盖的 DHCP 侦听
- 动态 ARP 检测
VLAN EP_v222绑定到单元 0,并具有以下 DHCP 安全功能:
- 使用 Option 82 进行 DHCP 侦听
- 动态 ARP 检测
- 邻居发现检查
默认情况下,对于 DHCP,具有服务提供商样式配置的接口不受信任。在采用企业级配置的接口上,接入接口不受信任,中继接口受信任。
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation flexible-ethernet-services set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 encapsulation vlan-bridge set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members EP_V222 set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical set vlans EP_V222 vlan-id 222 set vlans EP_V222 forwarding-options dhcp-security arp-inspection set vlans EP_V222 forwarding-options dhcp-security neighbor-discovery-inspection set vlans EP_V222 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
示例:DHCP 安全性和 Q-in-Q 隧道,支持交换-推送/弹出-交换
Q-in-Q 隧道和 VLAN 转换允许服务提供商在两个客户站点之间创建 L2 以太网连接。提供商可以在链路上隔离不同客户的 VLAN 流量。
支持 L2 交换-推送/弹出-交换的 Q-in-Q 隧道是一种特定场景,其中客户 VLAN (C-VLAN) 标记与标记交换 inner-vlan-id ,并在其上推送服务提供商定义的服务 VLAN (S-VLAN) 标记(用于从客户流向服务提供商站点的流量)。此流量以双标记方式发送到服务提供商网络 (S-VLAN + C-VLAN)。对于从服务提供商网络流向客户网络的流量,S-VLAN 标记将被移除,C-VLAN 标记将替换为在 UNI 逻辑接口上配置的 VLAN ID。
以下示例显示了交换-推送/弹出-交换双标记操作。
- 交换-推送 — 对于从 UNI 传入的单个标记帧,C-VLAN (VLAN ID 100) 与逻辑接口上配置的内部 VLAN ID (200) 进行交换,S-VLAN (VLAN ID 900) 将推送到帧。双标记帧从 NNI 出口。
- 弹出交换 — 对于来自 NNI 的传入双标记帧,S-VLAN 标记将从帧弹出 (VLAN ID 900),逻辑接口的 VLAN ID 100 将替换 C-VLAN 标记。单标记帧从 UNI 出口。
要支持 DHCP 安全性和 Q-in-Q 隧道,您可以配置以下 DHCP 安全功能:
- DHCP 侦听(DHCPv4 和 DHCPv6)
- 动态 ARP 检测
- DHCPv6 源保护
- 邻居发现检查
- DHCP 选项 82
- DHCPv6 选项 37
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900 set vlans vlan-900 forwarding-options dhcp-security arp-inspection set vlans vlan-900 forwarding-options dhcp-security ip-source-guard set vlans vlan-900 forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-900 forwarding-options dhcp-security ipv6-source-guard set vlans vlan-900 forwarding-options dhcp-security group trusted overrides trusted set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-option82 set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-dhcpv6-options set vlans vlan-900 forwarding-options dhcp-security group trusted interface ge-0/0/2.900
如果使用 VLAN ID 列表配置逻辑接口,并且输入 VLAN 映射和输出 VLAN 映射配置为交换-推送/弹出-交换,则会导致意外行为,因为从 UNI 回归的流量配置了逻辑单元号,而不是 VLAN ID 列表中的原始客户 VLAN ID。