Modes de commutation des ports Ethernet sur les équipements de sécurité
Comprendre les modes de commutation sur les équipements de sécurité
Il existe deux types de modes de commutation :
Mode de commutation : l’uPIM apparaît dans la liste des interfaces sous la forme d’une interface unique, qui est la première interface de l’uPIM. Par exemple, ge-2/0/0. Si vous le souhaitez, vous pouvez configurer chaque port uPIM uniquement pour la négociation automatique, la vitesse et le mode duplex. Un uPIM en mode de commutation peut remplir les fonctions suivantes :
Transfert de couche 3 : achemine le trafic destiné aux interfaces WAN et aux autres PIM présents sur le châssis.
Transfert de couche 2 : bascule le trafic intra-LAN d’un hôte sur le LAN vers un autre hôte LAN (un port d’uPIM vers un autre port du même uPIM).
Mode de commutation amélioré : chaque port peut être configuré pour le mode de commutation ou de routage. Cette utilisation diffère des modes de routage et de commutation, dans lesquels tous les ports doivent être en mode de commutation ou de routage. L’uPIM en mode de commutation amélioré offre les avantages suivants :
Avantages du mode de commutation amélioré :
Prend en charge la configuration de différents types de VLAN et le routage inter-VLAN.
Prend en charge le protocole de plan de contrôle de couche 2 tel que le protocole LACP (Link Aggregation Control Protocol).
Prend en charge le contrôle d’accès réseau basé sur les ports (PNAC) au moyen de serveurs d’authentification.
REMARQUE :Les équipements SRX300 et SRX320 prennent uniquement en charge le mode de commutation amélioré. Lorsque vous définissez un uPIM multiport en mode de commutation amélioré, toutes les fonctionnalités de commutation de couche 2 sont prises en charge sur uPIM. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Vous pouvez définir un uPIM Gigabit Ethernet multiport sur un périphérique en mode de commutation ou de commutation améliorée.
Lorsque vous définissez un uPIM multiport en mode de commutation, l’uPIM apparaît sous la forme d’une entité unique à des fins de surveillance. Les seuls paramètres de port physique que vous pouvez configurer sont la négociation automatique, la vitesse et le mode duplex sur chaque port uPIM, et ces paramètres sont facultatifs.
Présentation de la commutation de ports Ethernet pour les équipements de sécurité
Certains ports des équipements Juniper Networks peuvent fonctionner comme des commutateurs d’accès Ethernet qui commutent le trafic au niveau de la couche 2 et l’acheminent au niveau de la couche 3.
Vous pouvez déployer des équipements pris en charge dans les filiales en tant que commutateur d’accès ou de bureau avec fonction de routage intégrée, éliminant ainsi les commutateurs d’accès intermédiaire de votre topologie réseau. Les ports Ethernet fournissent la commutation tandis que le moteur de routage fournit la fonctionnalité de routage, vous permettant d’utiliser un seul équipement pour fournir le routage, la commutation d’accès et les interfaces WAN.
Cette rubrique contient les sections suivantes :
- Périphériques et ports pris en charge
- Pontage et routage intégrés
- Protocole de découverte de la couche de liaison et découverte des points de terminaison LLDP-Media
- Types de ports de commutation
- uPIM en guirlande
- Marquage VLAN Q-in-Q
Périphériques et ports pris en charge
Juniper Networks prend en charge les fonctions de commutation sur une variété de ports et de périphériques Ethernet (reportez-vous à la section Tableau 1). La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation. Les ports et périphériques suivants sont inclus :
Ports Ethernet intégrés (ports Gigabit et Fast Ethernet intégrés) sur les équipements SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M et SRX1500.
Multiport Gigabit Ethernet XPIM sur l’équipement SRX650.
Appareil |
Ports |
---|---|
Équipements SRX100 |
Ports Fast Ethernet intégrés (fe-0/0/0 et fe-0/0/7) |
Équipements SRX210 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 et ge-0/0/1) et port Mini-PIM SFP Gigabit Ethernet à 1 port. Ports Fast Ethernet intégrés (fe-0/0/2 et fe-0/0/7) |
Équipements SRX220 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) et port Mini-PIM SFP Gigabit Ethernet à 1 port. |
Équipements SRX240 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) et port Mini-PIM SFP Gigabit Ethernet à 1 port. |
Équipements SRX300 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) |
Équipements SRX320 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) |
Équipements SRX340 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) |
Équipements SRX345 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) |
Équipements SRX550 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/9), modules XPIM Gigabit Ethernet multiports et port Mini-PIM SFP Gigabit Ethernet à 1 port. |
SRX550M appareils |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/9) et modules Multiport Gigabit Ethernet XPIM. |
Équipements SRX650 |
Modules XPIM Gigabit Ethernet multiports REMARQUE :
Sur les équipements SRX650, la commutation Ethernet n’est pas prise en charge sur les interfaces Gigabit Ethernet (ports ge-0/0/0 à ge-0/0/3). |
SRX1500 appareils |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/19) |
Sur le SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 et SRX345, vous pouvez configurer les ports Gigabit Ethernet embarqués pour qu’ils fonctionnent comme des ports commutés ou routés. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Pontage et routage intégrés
Le pontage et routage intégrés (IRB) permet de prendre en charge simultanément le swiching de couche 2 et le routage de couche 3 au sein du même VLAN. Les paquets arrivant sur une interface du VLAN sont commutés ou acheminés en fonction de l’adresse MAC de destination du paquet. Les paquets avec l’adresse MAC du routeur comme destination sont acheminés vers d’autres interfaces de couche 3.
Protocole de découverte de la couche de liaison et découverte des points de terminaison LLDP-Media
Les équipements utilisent le protocole LLDP (Link Layer Discovery Protocol) et le protocole MED (LLDP-Media Endpoint Discovery) pour apprendre et distribuer des informations sur les liaisons réseau. Ces informations permettent à l’appareil d’identifier rapidement une variété de systèmes, ce qui se traduit par un réseau local qui interagit de manière fluide et efficace.
Les équipements compatibles LLDP transmettent des informations sous forme de messages TLV (Type Length Value) aux équipements voisins. Les informations sur l’appareil peuvent inclure des spécificités, telles que l’identification du châssis et du port, ainsi que le nom du système et les capacités du système. Les TLV exploitent ces informations à partir de paramètres qui ont déjà été configurés dans Junos OS.
LLDP-MED va encore plus loin, en échangeant des messages de téléphonie IP entre l’appareil et le téléphone IP. Ces messages TLV fournissent des informations détaillées sur la stratégie PoE (Power over Ethernet). Les TLV de gestion PoE permettent aux ports de l’équipement d’annoncer le niveau d’alimentation et la priorité d’alimentation nécessaires. Par exemple, l’appareil peut comparer la puissance requise par un téléphone IP fonctionnant sur une interface PoE avec les ressources disponibles. Si l’appareil ne peut pas répondre aux ressources requises par le téléphone IP, l’appareil peut négocier avec le téléphone jusqu’à ce qu’un compromis sur la puissance soit atteint.
Les TLV de base suivants sont pris en charge :
Chassis Identifier (Identificateur de châssis) : adresse MAC associée au système local.
Port identifier (identifiant de port) : identifiant de port pour le port spécifié dans le système local.
Port Description (Description du port) : description du port configuré par l’utilisateur. La description du port ne peut pas dépasser 256 caractères.
System Name (Nom du système) : nom du système local configuré par l’utilisateur. Le nom du système peut comporter un maximum de 256 caractères.
Vue d’ensemble des fonctions de commutation : ces informations ne sont pas configurables, mais proviennent du logiciel.
System Capabilities (Fonctionnalités du système) : fonction principale exécutée par le système. Les fonctionnalités prises en charge par le système ; comme une commutation ou un routeur Ethernet. Ces informations ne sont pas configurables, mais basées sur le modèle du produit.
Adresse de gestion : adresse IP de gestion du système local.
Les TLV LLDP-MED suivantes sont prises en charge :
LLDP-MED Capabilities (Capacités LLDP-MED) : TLV qui annonce la fonction principale du port. Les valeurs sont comprises entre 0 et 15 :
0 : capacités
1 – Politique du réseau
2 – Identification de l’emplacement
3—Alimentation étendue grâce à un équipement d’alimentation d’interface dépendant du milieu (MDI-PSE)
4 – Inventaire
5 à 15 : réservé
Valeurs de classe d’équipement LLDP-MED :
0 : classe non définie
1 : appareil de classe 1
2—Dispositif de classe 2
3 : appareil de classe 3
4—Périphérique de connectivité réseau
5–255— Réservé
REMARQUE :À partir de Junos OS version 15.1X49-D60 et Junos OS version 17.3R1, le protocole LLDP (Link Layer Discovery Protocol) et LLDP-Media Endpoint Discovery (MFD) sont activés sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550M et SRX1500.
Network Policy (Stratégie réseau) : TLV qui annonce la configuration du VLAN du port et les attributs de couche 2 et de couche 3 associés. Les attributs incluent l’identificateur de stratégie, les types d’application, tels que la voix ou la vidéo en streaming, le balisage VLAN 802.1Q, les bits de priorité 802.1p et les points de code Diffserv.
Endpoint Location (Emplacement du point de terminaison) : TLV qui annonce l’emplacement physique du point de terminaison.
Extended Power via MDI : TLV qui annonce le type d’alimentation, la source d’alimentation, la priorité d’alimentation et la valeur d’alimentation du port. Il est de la responsabilité de l’équipement PSE (périphérique de connectivité réseau) d’annoncer la priorité d’alimentation sur un port.
LLDP et LLDP-MED doivent être configurés explicitement sur les uPIM (en mode de commutation amélioré) sur les ports de base des équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 et SRX345, et sur les modules d’interface physique de fond de panier Gigabit (GPIM) sur les équipements SRX650. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.) Pour configurer LLDP sur toutes les interfaces ou sur une interface spécifique, utilisez l’instruction lldp
au niveau de la hiérarchie [set protocols
]. Pour configurer LLDP-MED sur toutes les interfaces ou sur une interface spécifique, utilisez l’instruction lldp-med
au niveau de la hiérarchie [set protocols
].
Types de ports de commutation
Les ports, ou interfaces, d’un commutateur fonctionnent en mode accès ou en mode trunk.
Une interface en mode d’accès se connecte à un périphérique réseau, tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. L’interface elle-même appartient à un seul VLAN. Les trames transmises via une interface d’accès sont des trames Ethernet normales.
Les interfaces trunk gèrent le trafic de plusieurs VLAN, et multiplexent le trafic de tous ces VLAN sur la même connexion physique. Les interfaces trunk sont généralement utilisées pour interconnecter des commutateurs entre eux.
uPIM en guirlande
Vous ne pouvez pas combiner plusieurs uPIM pour agir comme un seul commutateur intégré. Toutefois, vous pouvez connecter des uPIM sur le même châssis en externe en connectant physiquement un port d’un uPIM à un port d’un autre uPIM en guirlande.
Deux uPIM ou plus connectés en série créent un seul commutateur avec un nombre de ports plus élevé que l’un ou l’autre des uPIM individuels. Un port sur chaque uPIM est utilisé uniquement pour la connexion. Par exemple, si vous connectez en série un uPIM à 6 ports et un uPIM à 8 ports, le résultat fonctionne sous la forme d’un uPIM à 12 ports. N’importe quel port d’un uPIM peut être utilisé pour la connexion en série.
Configurez l’adresse IP d’un seul des uPIM connectés en série, afin d’en faire l’uPIM principal. L’uPIM secondaire achemine le trafic vers l’uPIM principal, qui le transmet au moteur de routage. Il en résulte une certaine augmentation de la latence et des pertes de paquets dues à la sursouscription du lien externe.
Un seul lien entre les deux uPIM est pris en charge. La connexion de plusieurs liens entre des uPIM crée une topologie de boucle, qui n’est pas prise en charge.
Marquage VLAN Q-in-Q
La tunnelisation Q-in-Q, définie par la norme IEEE 802.1ad, permet aux fournisseurs de services sur les réseaux d’accès Ethernet d’étendre une connexion Ethernet de couche 2 entre deux sites clients.
Dans la tunnelisation Q-in-Q, lorsqu’un paquet transite d’un VLAN client (C-VLAN) vers le VLAN d’un fournisseur de services, une balise 802.1Q spécifique au fournisseur de services est ajoutée au paquet. Cette balise supplémentaire est utilisée pour séparer le trafic en VLAN de service définis par le fournisseur de services (S-VLAN). La balise 802.1Q d’origine du paquet est conservée et est transmise de manière transparente via le réseau du fournisseur de services. Lorsque le paquet quitte le S-VLAN en aval, la balise 802.1Q supplémentaire est supprimée.
Lorsque le tunneling Q-in-Q est configuré pour le VLAN d’un fournisseur de services, tous les paquets du moteur de routage, y compris les paquets provenant de l’interface VLAN routé, qui sont transmis à partir du port d’accès client de ce VLAN ne sont toujours pas étiquetés.
Il existe trois façons de mapper des C-VLAN à un S-VLAN :
Regroupement tout-en-un : utilisez l’instruction
dot1q-tunneling
au niveau de la hiérarchie [edit vlans
] pour mapper sans spécifier de VLAN client. Tous les paquets provenant d’une interface d’accès spécifique sont mappés au S-VLAN.Regroupement plusieurs-à-un : utilisez l’instruction
customer-vlans
au niveau de la hiérarchie [edit vlans
] pour spécifier les C-VLAN qui sont mappés au S-VLAN.Mappage C-VLAN sur une interface spécifique : utilisez l’instruction au niveau de la hiérarchie [
edit vlans
] pour mapper un C-VLAN spécifique sur une interface d’accèsmapping
spécifiée au S-VLAN.
Tableau 2 répertorie le mappage C-VLAN à S-VLAN pris en charge par les pare-feu SRX Series. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Cartographie |
Le SRX210 |
Le SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
---|---|---|---|---|---|---|---|---|
Offre groupée tout-en-un |
Oui |
Oui |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
Regroupement plusieurs-à-un |
Non |
Non |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
Mappage C-VLAN sur une interface spécifique |
Non |
Non |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
La traduction VLAN est prise en charge sur les équipements SRX300 et SRX320, qui ne prennent pas en charge la tunnelisation Q-in-Q.
Sur les équipements SRX650, dans les options de configuration de tunnelisation dot1q, la plage de VLAN client et la poussée VLAN ne fonctionnent pas ensemble pour le même S-VLAN, même lorsque vous validez la configuration. Si les deux sont configurés, le push VLAN est prioritaire sur la portée des VLAN client.
Les interfaces IRB sont prises en charge sur les VLAN Q-in-Q pour les équipements SRX210, SRX240, SRX340, SRX345 et SRX650. Les paquets arrivant sur une interface IRB sur un VLAN Q-in-Q sont acheminés, qu’il s’agisse d’une simple ou d’une double balise. Les paquets acheminés sortants contiennent une balise S-VLAN uniquement lorsqu’ils quittent une interface trunk ; Les paquets quittent l’interface sans balise lorsqu’ils quittent une interface d’accès. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Dans un déploiement Q-in-Q, les paquets client provenant des interfaces en aval sont transportés sans aucune modification des adresses MAC source et de destination. Vous pouvez désactiver l’apprentissage de l’adresse MAC au niveau de l’interface et au niveau du VLAN. La désactivation de l’apprentissage par adresse MAC sur une interface désactive l’apprentissage pour tous les VLAN dont cette interface est membre. Lorsque vous désactivez l’apprentissage des adresses MAC sur un VLAN, les adresses MAC qui ont déjà été apprises sont vidées.
Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec une prise en charge de plate-forme en fonction de la version de Junos OS dans votre installation), sur l’Ethernet agrégé de couche 3, les fonctionnalités suivantes ne sont pas prises en charge :
Encapsulations (telles que CCC, VLAN CCC, VPLS et PPPoE)
J-Web
À partir de Junos OS version 19.4R2, vous pouvez configurer le protocole LLDP sur des interfaces Ethernet redondantes (reth). Utilisez la
set protocol lldp interface <reth-interface>
commande pour configurer LLDP sur l’interface reth.
Sur SRX550M équipements, l’interface Ethernet agrégée (ae) avec l’interface membre XE ne peut pas être configurée avec la famille de commutation Ethernet.
Sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M, la prise en charge Q-in-Q sur une interface de couche 3 présente les limitations suivantes :
Le double marquage n’est pas pris en charge sur les interfaces reth et ae.
Le routage multitopologique n’est pas pris en charge en mode flux et dans les clusters de châssis.
Les trames à double balise ne sont pas prises en charge sur les encapsulations (telles que CCC, TCC, VPLS et PPPoE)
Sur les interfaces logiques de couche 3, , ,
input-vlan-map
output-vlan-map
inner-range
etinner-list
ne s’appliquent pasSeuls les TPID avec 0x8100 sont pris en charge, et le nombre maximal de balises est de 2.
Les trames à double balise ne sont acceptées que pour les interfaces logiques des familles IPV4 et IPv6.
Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec prise en charge de la plate-forme en fonction de la version de Junos OS dans votre installation), sur l’interface VLAN routé (RVI), les fonctionnalités suivantes ne sont pas prises en charge :
IS-IS (famille ISO)
Encapsulations (Ether CCC, VLAN CCC, VPLS, PPPoE, etc.) sur les interfaces VLAN
CLNS (en anglais seulement)
DVMRP (en anglais seulement)
Changement MAC de l’interface VLAN
Le G-ARP
Modifier l’ID VLAN pour l’interface VLAN
Exemple : Configuration des modes de commutation sur les équipements de sécurité
Conditions préalables
Avant de commencer, reportez-vous à la section Présentation de la commutation de ports Ethernet pour les périphériques de sécurité.
Présentation
Dans cet exemple, vous configurez chassis
et définissez le protocole d’apprentissage l2 sur la commutation de mode globale. Vous définissez ensuite un paramètre de port physique sur les protocoles d’apprentissage l2.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Procédure étape par étape
Pour configurer le mode de commutation :
Définissez le protocole d’apprentissage l2 sur la commutation de mode globale.
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
Définissez un paramètre de port physique sur les protocoles l2-learning.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes show protocols
et show interfaces
. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit] user@host# show protocols l2-learning { global-mode switching; }
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family ethernet-switching { interface-mode access; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du mode de commutation
- Vérification de la commutation Ethernet sur l’interface ge-0/0/1
Vérification du mode de commutation
But
Assurez-vous que le mode de commutation est configuré comme prévu.
Action
À partir du mode opérationnel, entrez la show ethernet-switching global-information
commande.
user@host> show ethernet-switching global-information
Global Configuration: MAC aging interval : 300 MAC learning : Enabled MAC statistics : Disabled MAC limit Count : 16383 MAC limit hit : Disabled MAC packet action drop: Disabled MAC+IP aging interval : IPv4 - 1200 seconds IPv6 - 1200 seconds MAC+IP limit Count : 393215 MAC+IP limit reached : No LE aging time : 1200 LE VLAN aging time : 1200 Global Mode : Switching RE state : Master
Sens
L’exemple de sortie montre que le changement de mode global est configuré comme prévu.
Vérification de la commutation Ethernet sur l’interface ge-0/0/1
But
Assurez-vous que la commutation Ethernet est configurée comme prévu sur l’interface ge-0/0/1.
Action
À partir du mode opérationnel, entrez la show interfaces ge-0/0/1 brief
commande.
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online Device flags : Present Running Down Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Link flags : None Logical interface ge-0/0/1.0 Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge Security: Zone: Null eth-switch
Sens
L’exemple de sortie montre que la commutation Ethernet est configurée sur l’interface ge-0/0/1 comme prévu.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.