Modes de commutation de port Ethernet sur les équipements de sécurité
Comprendre les modes de commutation sur les équipements de sécurité
Il existe deux types de modes de commutation :
Mode de commutation : l’uPIM apparaît dans la liste des interfaces en tant qu’interface unique, qui est la première interface de l’uPIM. Par exemple, ge-2/0/0. Vous pouvez éventuellement configurer chaque port uPIM uniquement pour l’autonegotiation, la vitesse et le mode duplex. Un uPIM en mode de commutation peut remplir les fonctions suivantes :
Transfert de couche 3 : route le trafic destiné aux interfaces WAN et autres PIM présents sur le châssis.
Transfert de couche 2 : commutateurs du trafic intra-LAN d’un hôte sur le LAN vers un autre hôte LAN (un port uPIM vers un autre port du même uPIM).
Mode de commutation amélioré – Chaque port peut être configuré pour le mode de commutation ou de routage. Cette utilisation diffère des modes de routage et de commutation, dans lesquels tous les ports doivent être en mode de commutation ou de routage. L’uPIM en mode de commutation amélioré offre les avantages suivants :
Avantages du mode de commutation enhnanced :
Prend en charge la configuration de différents types de VLAN et de routage inter-VLAN.
Prend en charge le protocole de plan de contrôle de couche 2 tel que le protocole LACP (Link Aggregation Control Protocol).
Prend en charge le contrôle d’accès réseau (PNAC) basé sur les ports au moyen de serveurs d’authentification.
REMARQUE :Les équipements SRX300 et SRX320 prennent uniquement en charge le mode de commutation amélioré. Lorsque vous définissez un uPIM multiport en mode de commutation amélioré, toutes les fonctionnalités de commutation de couche 2 sont prises en charge sur l’uPIM. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Vous pouvez définir un uPIM Gigabit Ethernet multiport sur un équipement en mode commutation ou en mode de commutation amélioré.
Lorsque vous définissez un uPIM multiport en mode de commutation, l’uPIM apparaît comme une entité unique à des fins de surveillance. Les seuls paramètres de port physiques que vous pouvez configurer sont l’autonegotiation, la vitesse et le mode duplex sur chaque port uPIM, et ces paramètres sont facultatifs.
Présentation de la commutation des ports Ethernet pour les équipements de sécurité
Certains ports sur les équipements Juniper Networks peuvent fonctionner comme des commutateurs d’accès Ethernet qui changent le trafic au niveau de la couche 2 et acheminent le trafic au niveau de la couche 3.
Vous pouvez déployer des équipements pris en charge dans les filiales en tant que commutateur d’accès ou de bureau avec une fonctionnalité de routage intégrée, éliminant ainsi les équipements de commutation d’accès intermédiaire de la topologie de votre réseau. Les ports Ethernet fournissent la commutation tandis que le moteur de routage fournit une fonctionnalité de routage, ce qui vous permet d’utiliser un seul équipement pour fournir le routage, la commutation d’accès et les interfaces WAN.
Cette rubrique contient les sections suivantes :
- Équipements et ports pris en charge
- Pontage et routage intégrés
- Protocole Link Layer Discovery et LLDP-Media Endpoint Discovery
- Types de ports de commutation
- uPIM dans une chaîne de marguerites
- Balisage VLAN Q-in-Q
Équipements et ports pris en charge
Juniper Networks prend en charge des fonctionnalités de commutation sur une variété de ports et d’équipements Ethernet (voir Tableau 1). La prise en charge de la plate-forme dépend de la version junos OS de votre installation. Les ports et équipements suivants sont inclus :
Ports Ethernet embarqués (ports Gigabit et Fast Ethernet intégrés) sur les équipements SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M et SRX1500.
XPIM Gigabit Ethernet multiport sur l’équipement SRX650.
Équipement |
Ports |
|---|---|
Équipements SRX100 |
Ports Fast Ethernet embarqués (fe-0/0/0 et fe-0/0/7) |
Équipements SRX210 |
Ports Gigabit Ethernet embarqués (ge-0/0/0 et ge-0/0/1) et 1 port Gigabit Ethernet SFP mini-PIM. Ports Fast Ethernet embarqués (fe-0/0/2 et fe-0/0/7) |
Équipements SRX220 |
Ports Gigabit Ethernet embarqués (ge-0/0/0 à ge-0/0/7) et 1 port Gigabit Ethernet SFP mini-PIM. |
Équipements SRX240 |
Ports Gigabit Ethernet embarqués (ge-0/0/0 à ge-0/0/15) et mini-port SFP 1 port Gigabit Ethernet. |
Équipements SRX300 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) |
Équipements SRX320 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/7) |
Équipements SRX340 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) |
Équipements SRX345 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/15) |
Équipements SRX550 |
Ports Gigabit Ethernet embarqués (ge-0/0/0 à ge-0/0/9, modules XPIM Gigabit Ethernet multiport et port mini-PIM SFP 1 port Gigabit Ethernet. |
Équipements SRX550M |
Ports Gigabit Ethernet embarqués (ge-0/0/0 à ge-0/0/9 et modules XPIM Gigabit Ethernet multiport. |
Équipements SRX650 |
Modules XPIM Gigabit Ethernet multiport REMARQUE :
Sur les équipements SRX650, la commutation Ethernet n’est pas prise en charge sur les interfaces Gigabit Ethernet (ge-0/0/0 à ge-0/0/3). |
Équipements SRX1500 |
Ports Gigabit Ethernet intégrés (ge-0/0/0 à ge-0/0/19) |
Sur le SRX100. Équipements SRX220, SRX240, SRX300, SRX320, SRX340 et SRX345, vous pouvez configurer les ports Gigabit Ethernet intégrés pour qu’ils fonctionnent en tant que ports commutés ou routés. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Pontage et routage intégrés
Le pontage et le routage intégrés (IRB) prend en charge simultanément le swiching de couche 2 et le routage de couche 3 dans le même VLAN. Les paquets arrivant sur une interface du VLAN sont commutés ou routés en fonction de l’adresse MAC de destination du paquet. Les paquets avec l’adresse MAC du routeur comme destination sont acheminés vers d’autres interfaces de couche 3.
Protocole Link Layer Discovery et LLDP-Media Endpoint Discovery
Les équipements utilisent le protocole LLDP (Link Layer Discovery Protocol) et LLDP-Media Endpoint Discovery (MED) pour apprendre et distribuer des informations sur les liaisons réseau. Les informations permettent à l’équipement d’identifier rapidement une variété de systèmes, ce qui donne un LAN qui interopérable de manière fluide et efficace.
Les équipements compatibles LLDP transmettent des informations dans des messages de valeur de longueur de type (TLV) aux équipements voisins. Les informations sur l’équipement peuvent inclure des spécificités, telles que l’identification du châssis et des ports, le nom du système et les capacités du système. Les TLV exploitent ces informations à partir de paramètres déjà configurés dans Junos OS.
LLDP-MED va encore plus loin en échangeant des messages de téléphonie IP entre l’équipement et le téléphone IP. Ces messages TLV fournissent des informations détaillées sur la stratégie PoE (Power over Ethernet). Les TLV de gestion PoE permettent aux ports de l’équipement d’annoncer le niveau d’alimentation et la priorité d’alimentation nécessaires. Par exemple, l’équipement peut comparer la puissance nécessaire à un téléphone IP fonctionnant sur une interface PoE avec les ressources disponibles. Si l’équipement ne peut pas répondre aux ressources requises par le téléphone IP, il peut négocier avec le téléphone jusqu’à ce qu’un compromis sur l’alimentation soit atteint.
Les TLV de base suivantes sont prises en charge :
Identifiant de châssis : adresse MAC associée au système local.
Identifiant de port : identification du port spécifié dans le système local.
Description des ports : description des ports configurée par l’utilisateur. La description du port peut être un maximum de 256 caractères.
Nom du système : nom du système local configuré par l’utilisateur. Le nom du système peut être de 256 caractères maximum.
Présentation des fonctionnalités de commutation : ces informations ne sont pas configurables, mais tirées du logiciel.
Fonctionnalités système : fonction principale exécutée par le système. Les fonctionnalités que le système prend en charge ; par exemple, la commutation ou le routeur Ethernet. Ces informations ne sont pas configurables, mais basées sur le modèle du produit.
Adresse de gestion : adresse IP de gestion du système local.
Les TLV LLDP-MED suivantes sont prises en charge :
Fonctionnalités LLDP-MED : une TLV qui annonce la fonction principale du port. Les valeurs vont de 0 à 15 :
0 — Fonctionnalités
1 — Stratégie réseau
2 — Identification de l’emplacement
3 — Alimentation étendue via un équipement d’alimentation d’alimentation d’interface dépendant de la moyenne (MDI-PSE)
4 — Inventaire
5–15—Reserved
Valeurs de classe d’équipement LLDP-MED :
0 : classe non définie
1 — Équipement de classe 1
2 — Équipement de classe 2
3 — Équipement de classe 3
4 — Équipement de connectivité réseau
5-255 — Réservé
REMARQUE :À partir de la version 15.1X49-D60 de Junos OS et de la version 17.3R1 de Junos OS, les protocoles LLDP (Link Layer Discovery Protocol) et LLDP-Media Endpoint Discovery (MFD) sont activés sur les équipements SRX300, SRX320, SRX340, SRX345, SRX550M et SRX1500.
Stratégie réseau : TLV qui annonce la configuration VLAN de port et les attributs de couche 2 et 3 associés. Les attributs comprennent l’identifiant de stratégie, les types d’applications, tels que la voix ou la vidéo en streaming, le balisage VLAN 802.1Q, les bits de priorité 802.1p et les points de code Diffserv.
Localisation des terminaux : TLV qui annonce l’emplacement physique du terminal.
Alimentation étendue via MDI : TLV qui annonce le type d’alimentation, la source d’alimentation, la priorité énergétique et la valeur énergétique du port. Il est de la responsabilité de l’équipement PSE (équipement de connectivité réseau) d’annoncer la priorité d’alimentation sur un port.
LLDP et LLDP-MED doivent être explicitement configurés sur les uPIMs (en mode de commutation amélioré) sur les ports de base des équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 et SRX345, et des modules d’interface physique de fond de panier gigabit (GPIM) sur les équipements SRX650. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.) Pour configurer LLDP sur toutes les interfaces ou sur une interface spécifique, utilisez l’instruction lldp au niveau de la hiérarchie [set protocols]. Pour configurer LLDP-MED sur toutes les interfaces ou sur une interface spécifique, utilisez l’instruction lldp-med au niveau de la hiérarchie [set protocols].
Types de ports de commutation
Les ports ou interfaces d’un commutateur fonctionnent en mode d’accès ou en mode trunk.
Une interface en mode d’accès se connecte à un équipement réseau, tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. L’interface elle-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales.
Les interfaces trunk gèrent le trafic de plusieurs VLAN, en multiplexant le trafic de tous ces VLAN sur la même connexion physique. Les interfaces de tronc sont généralement utilisées pour interconnecter les commutateurs les uns aux autres.
uPIM dans une chaîne de marguerites
Vous ne pouvez pas combiner plusieurs uPIM pour agir comme un seul commutateur intégré. Cependant, vous pouvez connecter des uPIM sur le même châssis en externe en connectant physiquement un port sur un uPIM à un port sur un autre uPIM selon une chaîne de marguerite.
Deux uPIMs ou plus chaînés ensemble créent un seul commutateur avec un nombre de ports plus élevé que l’un ou l’autre uPIM individuel. Un port sur chaque uPIM est utilisé uniquement pour la connexion. Par exemple, si vous enchaînez un uPIM à 6 ports et un uPIM à 8 ports, le résultat fonctionne comme un uPIM à 12 ports. N’importe quel port d’un uPIM peut être utilisé pour le chaînage en marguerite.
Configurez l’adresse IP pour une seule uPIM en chaîne, ce qui en fait l’uPIM principal. L’uPIM secondaire achemine le trafic vers l’uPIM principal, qui le transfère au moteur de routage. Cela se traduit par une augmentation de la latence et des baisses de paquets en raison de la sursabonnement de la liaison externe.
Une seule liaison entre les deux uPIMs est prise en charge. La connexion de plusieurs liaisons entre uPIMs crée une topologie de boucle, qui n’est pas prise en charge.
Balisage VLAN Q-in-Q
La tunnelisation Q-in-Q, définie par la norme IEEE 802.1ad, permet aux fournisseurs de services sur les réseaux d’accès Ethernet d’étendre une connexion Ethernet de couche 2 entre deux sites clients.
Dans la tunnelisation Q-in-Q, alors qu’un paquet se déplace d’un VLAN client (C-VLAN) vers le VLAN d’un fournisseur de services, une balise 802.1Q spécifique au fournisseur de services est ajoutée au paquet. Cette balise supplémentaire est utilisée pour séparer le trafic dans les VLAN de service définis par le fournisseur de services (S-VLAN). La balise client 802.1Q originale du paquet reste et est transmise de manière transparente, passant par le réseau du fournisseur de services. Lorsque le paquet quitte le S-VLAN en direction de l’aval, la balise 802.1Q supplémentaire est supprimée.
Lorsque la tunnelisation Q-in-Q est configurée pour le VLAN d’un fournisseur de services, tous les paquets du moteur de routage, y compris les paquets de l’interface VLAN routée, qui sont transmis à partir du port d’accès client de ce VLAN seront toujours non identifiés.
Il existe trois façons de mapper les C-VLAN à un S-VLAN :
Regroupement tout-en-un : utilisez l’instruction
dot1q-tunnelingau niveau de la hiérarchie [edit vlans] pour mapper sans spécifier de VLAN client. Tous les paquets d’une interface d’accès spécifique sont mappés au S-VLAN.Regroupement de plusieurs vers un : utilisez l’instruction
customer-vlansau niveau de la hiérarchie [edit vlans] pour spécifier les C-VLAN qui sont mappés au S-VLAN.Mappage de C-VLAN sur une interface spécifique : utilisez l’instruction
mappingau niveau de la hiérarchie [edit vlans] pour mapper un C-VLAN spécifique sur une interface d’accès spécifique au S-VLAN.
Tableau 2 répertorie le mappage C-VLAN vers S-VLAN pris en charge sur les équipements SRX Series. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Cartographie |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
|---|---|---|---|---|---|---|---|---|
Regroupement tout-en-un |
Oui |
Oui |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
Regroupement de plusieurs à un |
Non |
Non |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
Mappage du C-VLAN sur une interface spécifique |
Non |
Non |
Non |
Non |
Oui |
Oui |
Oui |
Oui |
La traduction VLAN est prise en charge sur les équipements SRX300 et SRX320, et ces équipements ne prennent pas en charge la tunnelisation Q-in-Q.
Sur les équipements SRX650, dans les options de configuration de tunnelisation dot1q, la gamme VLAN client et le VLAN push ne fonctionnent pas ensemble pour le même S-VLAN, même lorsque vous validez la configuration. Si les deux sont configurés, le VLAN push prend la priorité sur la gamme VLAN client.
Les interfaces IRB sont prises en charge sur les VLAN Q-in-Q pour les équipements SRX210, SRX240, SRX340, SRX345 et SRX650. Les paquets arrivant sur une interface IRB sur un VLAN Q-in-Q sont routés, que le paquet soit marqué à une ou deux étiquettes. Les paquets routés sortants ne contiennent une balise S-VLAN que lorsqu’ils sortent d’une interface de tronc ; les paquets quittent l’interface sans être identifiés lors de la sortie d’une interface d’accès. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Dans un déploiement Q-in-Q, les paquets des clients provenant d’interfaces en aval sont transportés sans aucune modification des adresses MAC source et de destination. Vous pouvez désactiver l’apprentissage des adresses MAC au niveau de l’interface et du VLAN. La désactivation de l’apprentissage d’adresse MAC sur une interface désactive l’apprentissage pour tous les VLAN dont cette interface est membre. Lorsque vous désactivez l’apprentissage des adresses MAC sur un VLAN, les adresses MAC qui ont déjà été apprises sont vidées.
Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec prise en charge de la plate-forme en fonction de la version Junos OS de votre installation), sur l’Ethernet agrégé de couche 3, les fonctionnalités suivantes ne sont pas prises en charge :
Encapsulations (telles que CCC, VLAN CCC, VPLS et PPPoE)
J-Web
À partir de la version 19.4R2 de Junos OS, vous pouvez configurer le LLDP sur des interfaces Ethernet (reth) redondantes. Utilisez la
set protocol lldp interface <reth-interface>commande pour configurer LLDP sur l’interface reth.
Sur les équipements SRX550M, l’interface Ethernet agrégée (ae) avec l’interface XE membre ne peut pas être configurée avec la famille de commutation Ethernet.
Sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M, la prise en charge du Q-in-Q sur une interface de couche 3 présente les limites suivantes :
Le double balisage n’est pas pris en charge sur les interfaces reth et ae.
Le routage multitopologique n’est pas pris en charge en mode flux et dans les clusters de châssis.
Les trames à double balisage ne sont pas prises en charge sur les encapsulations (telles que CCC, TCC, VPLS et PPPoE)
Sur les interfaces logiques de couche 3,
input-vlan-map,output-vlan-map,inner-rangeetinner-listne sont pas applicablesSeuls les TPID avec 0x8100 sont pris en charge, et le nombre maximal de balises est de 2.
Les trames à double balisage ne sont acceptées que pour les interfaces logiques avec les familles IPV4 et IPv6.
Sur les équipements SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 et SRX650 (avec prise en charge de la plate-forme en fonction de la version Junos OS de votre installation), sur l’interface VLAN routée (RVI), les fonctionnalités suivantes ne sont pas prises en charge :
IS-IS (famille ISO)
Encapsulations (Ether CCC, VLAN CCC, VPLS, PPPoE, etc.) sur les interfaces VLAN
CLNS
DVMRP
Modification mac de l’interface VLAN
G-ARP
Modifier l’id VLAN pour l’interface VLAN
Exemple : Configuration des modes de commutation sur les équipements de sécurité
Conditions préalables
Avant de commencer, consultez la présentation de la commutation des ports Ethernet pour les équipements de sécurité.
Présentation
Dans cet exemple, vous configurez chassis et définissez le protocole l2-learning sur la commutation de mode globale. Vous définissez ensuite un paramètre de port physique sur les protocoles d’apprentissage L2.
topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Procédure étape par étape
Pour configurer le mode de commutation :
Définissez le protocole l2-learning pour la commutation de mode globale.
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
Définissez un paramètre de port physique sur les protocoles l2-learning.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show protocols commandes et show interfaces . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show protocols
l2-learning {
global-mode switching;
}
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du mode de commutation
- Vérification de la commutation Ethernet sur l’interface ge-0/0/1
Vérification du mode de commutation
But
Assurez-vous que le mode de commutation est configuré comme prévu.
Action
Depuis le mode opérationnel, saisissez la show ethernet-switching global-information commande.
user@host> show ethernet-switching global-information
Global Configuration:
MAC aging interval : 300
MAC learning : Enabled
MAC statistics : Disabled
MAC limit Count : 16383
MAC limit hit : Disabled
MAC packet action drop: Disabled
MAC+IP aging interval : IPv4 - 1200 seconds
IPv6 - 1200 seconds
MAC+IP limit Count : 393215
MAC+IP limit reached : No
LE aging time : 1200
LE VLAN aging time : 1200
Global Mode : Switching
RE state : MasterSens
L’exemple de sortie montre que la commutation du mode global est configurée comme prévu.
Vérification de la commutation Ethernet sur l’interface ge-0/0/1
But
Assurez-vous que la commutation Ethernet est configurée comme prévu sur l’interface ge-0/0/1.
Action
Depuis le mode opérationnel, saisissez la show interfaces ge-0/0/1 brief commande.
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
Logical interface ge-0/0/1.0
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
Security: Zone: Null
eth-switchSens
L’exemple de sortie montre que la commutation Ethernet est configurée sur l’interface ge-0/0/1 comme prévu .