Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modes de commutation de ports Ethernet sur les équipements de sécurité

Understanding Switching Modes on Security Devices

Il existe deux types de modes de commutation:

  • Mode de commutation: l’uPIM apparaît dans la liste des interfaces en tant qu’interface unique, qui est la première interface sur l’uPIM. Par exemple, ge-2/0/0. Vous pouvez configurer chaque port uPIM uniquement pour l’autonegotiation, la vitesse et le mode duplex. Un uPIM en mode de commutation peut exécuter les fonctions suivantes:

    • Forwarding de couche 3: route le trafic destiné aux interfaces WAN et autres PIM présents sur le châssis.

    • Transfert de couche 2: commutateurs intra-LAN d’un hôte du réseau lan vers un autre hôte LAN (un port d’uPIM vers un autre port du même uPIM).

  • Mode de commutation améliorée: chaque port peut être configuré pour le mode commutation ou routage. Cette utilisation diffère des modes de routage et de commutation, dans lesquels tous les ports doivent être en mode commutation ou routage. L’uPIM en mode de commutation amélioré offre les avantages suivants:

    Avantages du mode de commutation enhnance:

    • Prend en charge la configuration de différents types de VLAN et de routage inter-VLAN.

    • Prend en charge le protocole de plan de contrôle de couche 2, tel que le protocole LACP (Link Aggregation Control Protocol).

    • Prend en charge le contrôle d’accès réseau basé sur les ports (PNAC) à l’aide de serveurs d’authentification.

    Remarque :

    Les équipements SRX300 et SRX320 ne peuvent que passer par un mode de commutation amélioré. Lorsque vous définissez un uPIM multi-ports pour un mode de commutation amélioré, toutes les commutation de couche 2 sont prise en charge sur l’uPIM. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Vous pouvez définir un uPIM Gigabit Ethernet multi-ports sur un équipement afin de mettre en place un mode de commutation ou de commutation améliorée.

Lorsque vous définissez un uPIM multi-ports en mode de commutation, l’uPIM apparaît comme une entité unique à des fins de surveillance. Les seuls paramètres de port physique que vous pouvez configurer sont l’autonegotiation, la vitesse et le mode duplex sur chaque port uPIM, et ces paramètres sont facultatifs.

Présentation de la commutation de ports Ethernet pour les équipements de sécurité

Certains ports de Juniper Networks peuvent fonctionner comme des commutateurs d’accès Ethernet qui commutent le trafic en couche 2 et le routent au niveau de la couche 3.

Vous pouvez déployer des équipements pris en charge dans les filiales en tant que commutateur d’accès ou de bureau avec fonctionnalité de routage intégrée, éliminant ainsi les équipements de commutateurs d’accès intermédiaire de votre topologie réseau. Les ports Ethernet fournissent une fonction de commutation tandis que l’moteur de routage fournit des fonctionnalités de routage, ce qui vous permet d’utiliser un seul équipement pour fournir des interfaces de routage, de commutation d’accès et WAN.

Ce sujet contient les sections suivantes:

Équipements et ports pris en charge

Juniper Networks fonctionnalités de commutation sur un grand nombre de ports et d’équipements Ethernet Tableau 1 (voir). La prise en charge de la plate-forme dépend de Junos OS version de votre installation. Les ports et équipements suivants sont inclus:

  • Ports Ethernet embarqués (ports intégrés Gigabit et Fast Ethernet) sur les équipements SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M et SRX1500.

  • XpIM Gigabit Ethernet multi-ports sur l’SRX650 réseau.

Tableau 1 : Équipements et ports pris en charge pour les fonctionnalités de commutation

Équipement

Ports

SRX100 périphériques mobiles

Ports Fast Ethernet intégrés (fe-0/0/0 et fe-0/0/7)

SRX210 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 et ge-0/0/1) et port Mini-PIM SFP Gigabit Ethernet 1 port.

Ports Fast Ethernet intégrés (fe-0/0/2 et fe-0/0/7)

SRX220 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) et port Mini-PIM SFP Gigabit Ethernet 1 port.

SRX240 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) et port Mini-PIM SFP Gigabit Ethernet 1 port.

SRX300 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7)

SRX320 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7)

Équipements SRX340

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15)

Équipements SRX345

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15)

SRX550 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/9, modules XPIM Gigabit Ethernet multi-ports et port Mini-PIM SFP Gigabit Ethernet 1 port.

Équipements SRX550M

Ports Gigabit Ethernet intégrés (modules XPIM Gigabit Ethernet gigabit et multi-ports ge-0/0/0 à ge-0/9 et gigabit Ethernet multi-ports.

SRX650 périphériques mobiles

Modules XPIM Gigabit Ethernet multi-ports

Remarque :

Sur SRX650, la commutation Ethernet n’est pas prise en charge sur les interfaces Gigabit Ethernet (ports ge-0/0/0/0 à ge-0/0/3).

SRX1500 périphériques mobiles

Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/19)

Sur la SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 et SRX345, vous pouvez définir les ports Gigabit Ethernet intégrés comme ports commutés ou à itinéraire. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Pontage et routage intégrés

Le pontage et le routage intégrés (IRB) assurent la prise en charge simultanée du routage de couche 2 et de couche 3 au sein d’un même VLAN. Les paquets qui arrivent sur une interface du VLAN sont commutés ou acheminés en fonction de l’adresse MAC de destination du paquet. Les paquets avec l’adresse MAC du routeur comme destination sont acheminés vers d’autres interfaces de couche 3.

Link Layer Discovery Protocol et LLDP-Media Endpoint Discovery

Les équipements utilisent le protocole LLDP (Link Layer Discovery Protocol) et le protocole LLDP-Media Endpoint Discovery (MED) pour apprendre et distribuer les informations sur les équipements au sujet des liens réseau. Ces informations permettent à l’équipement d’identifier rapidement une variété de systèmes, ce qui permet à un réseau lan d’interopérabilité fluide et efficace.

Les équipements llDP transmettent des informations dans des messages de valeur de longueur de type (TLV) aux équipements voisins. Les informations sur l’équipement peuvent inclure des informations spécifiques, telles que l’identification de châssis et de port, le nom du système et les fonctionnalités système. Les VTT exploitent ces informations à partir de paramètres déjà configurés dans le Junos OS.

LLDP-MED va un peu plus loin en s’échangeant des messages de téléphonie IP entre l’équipement et le téléphone IP. Ces messages TLV fournissent des informations détaillées sur la stratégie de Power over Ethernet (PoE). Les PoE TLV de gestion de l’alimentation laisser les ports de l’équipement promouvoir le niveau d’alimentation et la priorité d’alimentation nécessaires. Par exemple, l’appareil peut comparer la puissance requise par un téléphone IP s’exécutant PoE interface avec les ressources disponibles. Si l’appareil ne peut pas atteindre les ressources requises par le téléphone IP, celui-ci pourrait négocier avec le téléphone jusqu’à ce qu’un compromis sur la puissance électrique soit atteint.

Les TLV de base suivants sont pris en charge:

  • Identifiant de châssis: l’adresse MAC associée au système local.

  • Identifiant de port: l’identification de port du port spécifié dans le système local.

  • Description du port: description du port configuré par l’utilisateur. La description du port peut être de 256 caractères maximum.

  • Nom du système: le nom configuré par l’utilisateur du système local. Le nom du système peut être un maximum de 256 caractères.

  • Présentation des fonctionnalités de commutation: ces informations ne peuvent pas être configurées, mais sont tirées du logiciel.

  • Capacités du système: la fonction principale exécutée par le système. Les fonctionnalités que le système prend en charge ; commutation et routeur Ethernet, par exemple. Ces informations ne peuvent pas être configurées, mais en fonction du modèle du produit.

  • Adresse de gestion: adresse de gestion IP du système local.

Les TLV LLDP-MED suivants sont pris en charge:

  • Fonctionnalités LLDP-MED: une fonctionnalité TLV qui fait la publicité de la fonction principale du port. Les valeurs vont de 0 à 15:

    • 0— Capacités

    • 1— Stratégie réseau

    • 2— Identification de l’emplacement

    • 3— Alimentation étendue via un équipement d’approvisionnement en interface dépendante du support (MDI-PSE)

    • 4 — Inventaire

    • 5–15—Reserved

  • Valeurs de la classe d’équipement LLDP-MED:

    • 0— Classe non définie

    • 1 — Équipement de catégorie 1

    • 2— Équipement de classe 2

    • 3— Équipement de classe 3

    • 4— Équipement de connectivité réseau

    • 5-255— Réservé

    Remarque :

    Depuis Junos OS version 15.1X49-D60 et Junos OS Release 17.3R1, les protocoles LLDP (Link Layer Discovery Protocol) et LLDP-Media Endpoint Discovery (MFD) sont activés sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550M et SRX1500.

  • Stratégie réseau: une zone TLV qui fait la publicité de la configuration VLAN de port et des attributs de couches 2 et 3 associés. Les attributs incluent l’identifiant de stratégie, les types d’applications, tels que la voix ou la vidéo en streaming, le balisage VLAN 802.1Q, les bits de priorité 802.1p et les points de code Diffserv.

  • Emplacement des terminaux: une zone TLV qui fait la publicité de l’emplacement physique du point de terminaison.

  • Alimentation étendue via MDI: une zone TLV qui fait la publicité du type d’alimentation, de la source d’alimentation, de la priorité de l’alimentation et de la valeur électrique du port. Il est de la responsabilité de l’équipement PSE (équipement de connectivité réseau) de promouvoir la priorité d’alimentation sur un port.

Les modules LLDP et LLDP-MED doivent être configurés en mode uPIM (en mode de commutation améliorée) sur les ports de base sur des équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 et SRX345, ainsi que sur des modules d’interface physique (GPIM) Gigabit Backplane sur les équipements SRX650. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.) Pour configurer LLDP sur toutes les interfaces ou sur une interface spécifique, utilisez l’énoncé au niveau lldpset protocols hiérarchique [] Pour configurer LLDP-MED sur toutes les interfaces ou sur une interface spécifique, utilisez l’énoncé au niveau lldp-medset protocols hiérarchique []

Types de ports de commuter

Les ports ou interfaces d’un commutateur fonctionnent en mode d’accès ou en mode tronc.

Une interface en mode d’accès se connecte à un équipement réseau, tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. L’interface elle-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales.

Les interfaces d’trunk gèrent le trafic pour plusieurs réseaux VLAN, multiplexant ainsi le trafic de l’ensemble de ces réseaux VLAn sur la même connexion physique. Les interfaces trunk sont généralement utilisées pour interconnecter les commutateurs entre eux.

uPIM dans une chaîne d’torsasm

Vous ne pouvez pas combiner plusieurs uPIM pour agir comme un commutateur intégré unique. Cependant, vous pouvez connecter les uPIM sur le même châssis de l’extérieur en connectant physiquement un port d’un uPIM à un port sur un autre uPIM, de façon à ce qu’il soit en chaîne.

Deux uPIM ou plus sont rassemblées ensemble pour créer un commutateur unique avec un nombre de ports plus élevé que l’uPIM individuel. Un port sur chaque uPIM est utilisé uniquement pour la connexion. Par exemple, si vous chaînez un uPIM 6 ports et un uPIM 8 ports, le résultat fonctionne comme un uPIM 12 ports. N’importe quel port d’un uPIM peut être utilisé pour le chaînage de ces derniers.

Configurez l’adresse IP pour seulement une des uPIM à chaînes fin de chaîne, ce qui en fait l’uPIM principal. L’uPIM secondaire route le trafic vers l’uPIM principal, qui le route vers le centre moteur de routage. Cela entraîne une certaine augmentation de la latence et des baisses de paquets dues au surabonnement de la liaison externe.

Une seule liaison entre les deux uPIM est prise en charge. La connexion de plusieurs liaisons uPIM crée une topologie en boucle, qui n’est pas prise en charge.

Balisage VLAN Q-in-Q

La tunnelisation Q-in-Q, définie par la norme IEEE 802.1ad, permet aux fournisseurs de services sur les réseaux d’accès Ethernet d’étendre une connexion Ethernet de couche 2 entre deux sites clients.

Dans la tunnelisation Q-in-Q, un paquet voyage d’un VLAN client (C-VLAN) au VLAN d’un fournisseur de services, une balise 802.1Q spécifique au fournisseur de services est ajoutée au paquet. Cette balise supplémentaire est utilisée pour isoler le trafic en VLAN de services définis par le fournisseur de services (S-VLAN). La balise 802.1Q du paquet reste et est transmise de façon transparente, via le réseau du fournisseur de services. Lorsque le paquet quitte le réseau S-VLAN dans la direction en aval, la balise 802.1Q supplémentaire est supprimée.

Remarque :

Lorsque la tunneling Q-in-Q est configurée pour le VLAN d’un fournisseur de services, tous les paquets moteur de routage, y compris les paquets de l’interface VLANacheminée, qui sont transmis depuis le port d’accès client de ce VLAN resteront toujours en retard.

Il existe trois façons d’malaviser les VLAN C-VLAN à un S-VLAN:

  • Le groupage tout-en-un: utilise l’instruction au niveau de [ ] hiérarchie pour malavisation sans spécifier les dot1q-tunnelingedit vlans VLAN clients. Tous les paquets provenant d’une interface d’accès spécifique sont attachés au S-VLAN.

  • Un groupage « many-to-one »: utilisez l’énoncé au niveau de [ ] hiérarchie pour spécifier les customer-vlansedit vlans VLAN C-VLAN sont matés au S-VLAN.

  • Mappage de C-VLAN sur une interface spécifique: utilisez l’énoncé au niveau de [ ] hiérarchie pour ma mappage d’un C-VLAN spécifique sur une interface d’accès mappingedit vlans au S-VLAN.

Tableau 2 répertorie le mappage C-VLAN vers S-VLAN pris en charge SRX Series périphériques mobiles. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Tableau 2 : Méthodes de mappage prise en charge

Cartographie

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Regroupement tout-en-un

Oui

Oui

Non

Non

Oui

Oui

Oui

Oui

Un groupage « many-to-one »

Non

Non

Non

Non

Oui

Oui

Oui

Oui

Mappage de C-VLAN sur une interface spécifique

Non

Non

Non

Non

Oui

Oui

Oui

Oui

Remarque :

La traduction VLAN est prise en charge sur SRX300 et SRX320 et ces équipements ne sont pas pris en charge la tunneling Q-in-Q.

Remarque :

Sur les SRX650, dans les options de configuration de tunneling dot1q, la plage de VLAN clients et la push VLAN ne fonctionnent pas ensemble pour le même S-VLAN, même lorsque vous validationez la configuration. Si ces deux configurations sont configurées, la push VLAN prend la priorité sur la plage des VLAN clients.

Les interfaces IRB sont prise en charge sur les VLAN Q-in-Q pour les SRX210, SRX240, SRX340, SRX345 et SRX650 périphériques. Les paquets qui arrivent sur une interface IRB sur un VLAN Q-in-Q sont acheminés, que le paquet soit simple ou double balisé. Les paquets sortants ne contiennent une balise S-VLAN qu’en sortant d’une interface d’tronc ; les paquets quittent l’interface sans être pris en cas de sortie d’une interface d’accès. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Dans un déploiement Q-in-Q, les paquets clients provenant d’interfaces en aval sont transportés sans modification des adresses MAC de source et de destination. Vous pouvez désactiver l’apprentissage de l’adresse MAC au niveau de l’interface et au niveau VLAN. Désactivation de l’apprentissage de l’adresse MAC sur une interface désactive l’apprentissage de tous les VLAN dont cette interface est membre. Lorsque vous désactivez l’apprentissage d’adresse MAC sur un VLAN, les adresses MAC déjà acquises sont rincés.

Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec une prise en charge de la plate-forme selon la version Junos OS de votre installation), sur l’Ethernet agrégé de couche 3, les fonctionnalités suivantes ne sont pas prise en charge:

  • Encapsulations (comme CCC, VLAN CCC, VPLS et PPPoE)

  • J-Web

  • À partir Junos OS version 19.4R2, vous pouvez configurer le LLDP sur les interfaces Ethernet redondantes (reth). Utilisez la set protocol lldp interface <reth-interface> commande pour configurer LLDP sur l’interface reth.

  • Sur les équipements SRX550M, l’interface Ethernet agrégée avec l’interface XE membre ne peut pas être configurée avec la famille de commutation Ethernet.

  • Sur les SRX300, SRX320, SRX340, SRX345 et SRX550M, la prise en charge Q-in-Q sur une interface de couche 3 présente les limites suivantes:

    • Le double balisage n’est pas pris en charge sur les interfaces reth et ae.

    • Le routage multitopology n’est pas pris en charge en mode flux ni dans les clusters de châssis.

    • Les trames doubles balisé ne sont pas pris en charge sur les encapsulations (comme CCC, TCC, VPLS et PPPoE)

    • Sur les interfaces logiques de couche input-vlan-map 3, , et ne sont pas output-vlan-mapinner-rangeinner-list applicables

    • Seuls les TPID avec 0x8100 sont pris en charge, et le nombre maximal de balises est 2.

    • Les trames doubles balisées sont acceptées uniquement pour les interfaces logiques des familles IPV4 et IPv6.

  • Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec une prise en charge de la plate-forme selon la version Junos OS de votre installation), sur l’interface VLAN acheminée (RVI), les fonctionnalités suivantes ne sont pas prise en charge:

    • IS-IS (ISO de la famille)

    • Encapsulations (Ether CCC, VLAN CCC, VPLS, PPPoE, etc.) sur les interfaces VLAN

    • SRXL (ClNS)

    • DVMRP

    • Changement d’interface VLAN avec MAC

    • G-ARP

    • Modification de l’ID VLAN pour l’interface VLAN

Exemple: Configuration des modes de commutation sur les équipements de sécurité

Conditions préalables

Avant de commencer, consultez la présentation de la commutation de ports Ethernet pour les équipements de sécurité.

Présentation

Dans cet exemple, vous configurez et définissez le protocole de formation de niveau chassis 2 sur une commutation de mode globale. Vous définissez ensuite un paramètre de port physique sur les protocoles d’apprentissage L2.

Topologie

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer le mode de commutation:

  1. Définissez un protocole de formation L2 sur la commutation en mode global.

  2. Définissez un paramètre de port physique sur les protocoles d’apprentissage L2.

  3. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant show protocols les commandes et les show interfaces commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Vérification du mode commutation

But

Assurez-vous que le mode de commutation est configuré comme prévu.

Action

À partir du mode opérationnel, saisissez la show ethernet-switching global-information commande.

Sens

La sortie de l’exemple montre que la commutation en mode global est configurée comme prévu.

Vérification de la commutation Ethernet sur Interface ge-0/0/1

But

Assurez-vous que la commutation Ethernet est configurée comme prévu sur l’interface ge-0/0/1.

Action

À partir du mode opérationnel, saisissez la show interfaces ge-0/0/1 brief commande.

Sens

Le résultat de l’exemple indique que la commutation Ethernet est configurée sur l’interface ge-0/0/1 comme prévu.

Tableau de l'historique des versions
Version
Description
15.1X49-D60
Depuis Junos OS version 15.1X49-D60 et Junos OS Release 17.3R1, les protocoles LLDP (Link Layer Discovery Protocol) et LLDP-Media Endpoint Discovery (MFD) sont activés sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550M et SRX1500.