Konfigurieren der DHCP-Sicherheit mit Q-in-Q-Tunneling im Service Provider-Stil
Junos OS unterstützt zwei verschiedene Konfigurationsarten für Switch-Schnittstellen: Service Provider-Stil und Enterprise-Stil. Der Service Provider-Stil erfordert mehr Konfiguration, bietet aber mehr Flexibilität. Der Enterprise-Stil ist einfacher zu konfigurieren, bietet aber weniger Funktionalität.
Bei der Enterprise-Konfiguration werden logische Schnittstellen in den Layer-2-Modus versetzt, indem Ethernet-Switching als Schnittstellenfamilie angegeben wird. Die Ethernet-Switching-Option kann nur auf einer einzigen logischen Einheit, Einheit 0, konfiguriert werden. Sie können keine VLAN-ID an Einheit 0 binden, da diese Schnittstellen entweder im Trunk-Modus, der Datenverkehr mit verschiedenen VLAN-Tags unterstützt, oder im Zugriffsmodus, der nicht getaggten Datenverkehr unterstützt, betrieben werden.
Einige Switching-Funktionen, wie z. B. Q-in-Q-Tunneling, können auf der logischen Schnittstelleneinheit 0 nicht konfiguriert werden. Q-in-Q-Tunneling erfordert, dass die logische Schnittstelle VLAN-getaggte Frames überträgt. Damit eine logische Schnittstelle Ethernet-Frames mit VLAN-Tags empfangen und weiterleiten kann, müssen Sie die logische Schnittstelle an dieses VLAN binden. Da der Enterprise-Stil die Bindung einer VLAN-ID an Einheit 0 nicht zulässt, müssen Sie den Service-Provider-Stil verwenden, um Q-in-Q-Tunneling zu konfigurieren.
Um DHCP-Sicherheit zusammen mit Q-in-Q-Tunneling zu unterstützen, können Sie die folgenden DHCP-Sicherheitsfunktionen im Dienstanbieterstil konfigurieren:
- DHCP-Snooping (DHCPv4 und DHCPv6)
- Dynamische ARP-Inspektion
- Neighbor Discovery Inspection (Nachbarschaftsermittlung)
- DHCP-Option 82
- DHCPv6-Option 18 und Option 37
- Leichtgewichtiger DHCPv6-Relay-Agent
Mithilfe der flexiblen Ethernet-Services-Kapselung können Sie die Service-Provider- und Enterprise-Konfigurationsstile auf derselben physischen Schnittstelle kombinieren. Mit der flexiblen Kapselung von Ethernet-Services können Sie Kapselungen auf der Ebene der logischen Schnittstellen konfigurieren, anstatt auf der Ebene der physischen Schnittstelle. Das Definieren mehrerer Ethernet-Kapselungen pro Einheit erleichtert die Anpassung Ethernet-basierter Services an mehrere Hosts, die mit derselben physischen Schnittstelle verbunden sind. Weitere Informationen finden Sie unter Flexible Ethernet Services Encapsulation .
EX4300-Switches unterstützen keine Konfiguration des Service-Provider- und des Enterprise-Stils auf derselben physischen Schnittstelle.
Beispiel: DHCP-Sicherheit und Q-in-Q-Tunneling mit Konfiguration im Service Provider-Stil
Wenn Sie eine physische Schnittstelle so konfigurieren, dass sie nur den Service Provider-Stil unterstützt, konfigurieren Sie den extended-vlan-bridge Kapselungstyp so, dass Bridging-Features unterstützt werden. Außerdem müssen Sie das native VLAN-Tagging auf der physischen Schnittstelle konfigurieren, damit sie im Trunk-Modus arbeiten und Ethernet-Frames mit VLAN-Tags für mehrere VLANs übertragen kann. Konfigurieren Sie flexibles VLAN-Tagging auf der Schnittstelle, um Pakete mit 802.1Q-VLAN-Single- und Dual-Tagged-Frames zu übertragen.
Die folgende Beispielkonfiguration kapselt die physische Schnittstelle ge-0/0/11 für die Service Provider-Konfiguration und definiert die logische Einheit 111. Die VLAN-ID v111 ist an Einheit 111 gebunden, und Q-in-Q-Tunneling ist auf der logischen Schnittstelle ge-0/0/11.111 konfiguriert. Die Konfiguration ermöglicht DHCP-Snooping, dynamische ARP-Prüfung und DHCP-Option 82 in VLAN v111.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation extended-vlan-bridge set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Beispiel: DHCP-Sicherheit und Q-in-Q-Tunneling mit Flexible Ethernet Services Encapsulation
Der flexible Kapselungstyp für Ethernet-Services ermöglicht eine physische Schnittstelle, die beide Konfigurationsarten unterstützt. Zur Unterstützung des Service Provider-Stils ermöglichen flexible Ethernet-Services die Konfiguration von Kapselungen auf der Ebene der logischen Schnittstellen anstelle der physischen Schnittstelle. Um den Unternehmensstil zu unterstützen, ermöglicht flexible Ethernet-Services die Konfiguration der ethernet-switching Produktfamilie auf jeder logischen Schnittstelleneinheitsnummer.
Die folgende Beispielkonfiguration kapselt die physische Schnittstelle ge-0/0/11 mit flexible-ethernet-services , um Service Provider- und Enterprise-Konfigurationen zu unterstützen. Auf der physischen Schnittstelle sind zwei logische Einheiten definiert: Einheit 111 für den Service Provider-Stil und Einheit 0 für den Enterprise-Stil. Die vlan-bridge Kapselung ermöglicht das Überbrücken von Funktionen auf Einheit 111, und die ethernet-switching Familie ermöglicht das Überbrücken von Funktionen auf Einheit 0. Q-in-Q-Tunneling wird auf der logischen Schnittstelle ge-0/0/11.111 konfiguriert.
VLAN v111 ist an Einheit 111 gebunden und verfügt über die folgenden DHCP-Sicherheitsfunktionen:
- DHCP-Snooping mit Option 82 und vertrauenswürdiger Überschreibung
- Dynamische ARP-Inspektion
VLAN-EP_v222 ist an Einheit 0 gebunden und verfügt über die folgenden DHCP-Sicherheitsfunktionen:
- DHCP-Snooping mit Option 82
- Dynamische ARP-Inspektion
- Neighbor Discovery Inspection (Nachbarschaftsermittlung)
Schnittstellen mit einer Konfiguration im Dienstanbieterstil sind für DHCP standardmäßig nicht vertrauenswürdig. Bei Schnittstellen mit Enterprise-Konfiguration sind Zugriffsschnittstellen nicht vertrauenswürdig und Trunk-Schnittstellen sind vertrauenswürdig.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation flexible-ethernet-services set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 encapsulation vlan-bridge set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members EP_V222 set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical set vlans EP_V222 vlan-id 222 set vlans EP_V222 forwarding-options dhcp-security arp-inspection set vlans EP_V222 forwarding-options dhcp-security neighbor-discovery-inspection set vlans EP_V222 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Beispiel: DHCP-Sicherheit und Q-in-Q-Tunneling mit Unterstützung für Swap-Push/Pop-Swap
Q-in-Q-Tunneling und VLAN-Übersetzung ermöglichen es Service Providern, eine L2-Ethernet-Verbindung zwischen zwei Kundenstandorten herzustellen. Anbieter können den VLAN-Datenverkehr verschiedener Kunden auf einer Verbindung trennen.
Q-in-Q-Tunneling mit L2-Swap-Push-/Pop-Swap-Unterstützung ist ein spezielles Szenario, in dem das Kunden-VLAN (C-VLAN)-Tag mit dem inner-vlan-id Tag ausgetauscht wird und das vom Service-Provider definierte Service-VLAN (S-VLAN)-Tag darauf gepusht wird (für den Datenverkehr, der vom Kunden zum Service Provider-Standort fließt). Dieser Datenverkehr wird mit zwei Tags (S-VLAN + C-VLAN) an das Netzwerk des Dienstanbieters gesendet. Für den Datenverkehr, der vom Service Provider-Netzwerk zum Kundennetzwerk fließt, wird das S-VLAN-Tag entfernt und das C-VLAN-Tag durch die VLAN-ID ersetzt, die auf der logischen UNI-Schnittstelle konfiguriert ist.
Das folgende Beispiel zeigt die Dual-Tag-Vorgänge swap-push/pop-swap.
- Swap-Push: Bei eingehenden, einzeln getaggten Frames von UNI wird das C-VLAN (VLAN-ID 100) mit der konfigurierten inneren VLAN-ID (200) auf der logischen Schnittstelle getauscht, und das S-VLAN (VLAN-ID 900) pusht auf den Frame. Der doppelt markierte Frame geht aus NNI aus.
- Pop-swap - Für eingehende Double-Tagged-Frames von NNI wird das S-VLAN-Tag (VLAN-ID 900) aus dem Frame herausspringen und die VLAN-ID 100 der logischen Schnittstelle ersetzt das C-VLAN-Tag. Der mit einem Tag versehene Frame geht aus UNI aus.
Um DHCP-Sicherheit zusammen mit Q-in-Q-Tunneling zu unterstützen, können Sie die folgenden DHCP-Sicherheitsfunktionen konfigurieren:
- DHCP-Snooping (DHCPv4 und DHCPv6)
- Dynamische ARP-Inspektion
- DHCPv6 Source-Guard
- Neighbor Discovery Inspection (Nachbarschaftsermittlung)
- DHCP-Option 82
- DHCPv6-Option 37
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900 set vlans vlan-900 forwarding-options dhcp-security arp-inspection set vlans vlan-900 forwarding-options dhcp-security ip-source-guard set vlans vlan-900 forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-900 forwarding-options dhcp-security ipv6-source-guard set vlans vlan-900 forwarding-options dhcp-security group trusted overrides trusted set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-option82 set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-dhcpv6-options set vlans vlan-900 forwarding-options dhcp-security group trusted interface ge-0/0/2.900
Wenn Sie die logische Schnittstelle mit einer VLAN-ID-Liste konfigurieren und die Eingabe-VLAN-Zuordnung und die Ausgabe-VLAN-Zuordnung als Swap-Push/Pop-Swap konfiguriert sind, führt dies zu unerwünschtem Verhalten, da für den Datenverkehr, der aus der UNI zurückgeführt wird, eine logische Einheitennummer anstelle der ursprünglich konfigurierten Kunden-VLAN-ID aus der VLAN-ID-Liste konfiguriert ist.