Modos de conmutación de puerto Ethernet en dispositivos de seguridad

Dispositivos y puertos compatibles

Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet (consulte Tabla 1). La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación. Se incluyen los siguientes puertos y dispositivos:

• Puertos Ethernet integrados (Gigabit y Ethernet rápido) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.

• XPIM Gigabit Ethernet multipuerto en el dispositivo SRX650.

En la SRX100. Los dispositivos SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345, pueden configurar los puertos Gigabit Ethernet integrados para que funcionen como puertos conmutados o enrutados. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)

Puentes y enrutamiento integrados

El puente y el enrutamiento integrados (IRB) proporcionan soporte para enrutamiento de capa 2 y capa 3 simultáneas dentro de la misma VLAN. Los paquetes que llegan a una interfaz de la VLAN se conmutan o enrutan según la dirección MAC de destino del paquete. Los paquetes con la dirección MAC del enrutador a medida que el destino se enrutan a otras interfaces de capa 3.

Protocolo de descubrimiento de capa de vínculo y descubrimiento de puntos de conexión de medios LLDP

Los dispositivos usan el protocolo de descubrimiento de capa de vínculo (LLDP) y el descubrimiento de puntos de conexión de medios LLDP (MED) para aprender y distribuir información de dispositivos sobre los vínculos de red. La información permite que el dispositivo identifique rápidamente una variedad de sistemas, lo que resulta en una LAN que interopera de manera fluida y eficiente.

Los dispositivos compatibles con LLDP transmiten información en mensajes de valor de longitud de tipo (TLV) a dispositivos vecinos. La información del dispositivo puede incluir características específicas, como la identificación del chasis y el puerto, y las capacidades de nombre y sistema del sistema. Los TLV aprovechan esta información de parámetros que ya se han configurado en Junos OS.

LLDP-MED va un paso más allá, intercambiando mensajes de telefonía IP entre el dispositivo y el teléfono IP. Estos mensajes TLV proporcionan información detallada sobre la política de alimentación por Ethernet (PoE). Los TLV de administración PoE permiten que los puertos del dispositivo anuncien el nivel de energía y la prioridad de energía necesarios. Por ejemplo, el dispositivo puede comparar la energía que necesita un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta que se alcance un compromiso de energía.

Se admiten los siguientes TLV básicos:

• Identificador de chasis: la dirección MAC asociada con el sistema local.

• Identificador de puerto: identificación de puerto para el puerto especificado en el sistema local.

• Descripción del puerto: descripción del puerto configurado por el usuario. La descripción del puerto puede tener un máximo de 256 caracteres.

• Nombre del sistema: nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.

• Descripción general de las funciones de conmutación: esta información no se puede configurar, sino que se toma del software.

• Capacidades del sistema: la función principal que realiza el sistema. Las capacidades que admite el sistema; por ejemplo, conmutación Ethernet o enrutador. Esta información no se puede configurar, sino que se basa en el modelo del producto.

• Dirección de administración: la dirección de administración IP del sistema local.

Se admiten los siguientes LTLV LLDP-MED:

• Capacidades de LLDP-MED: un TLV que anuncia la función principal del puerto. Los valores van del 0 al 15:

  • 0: capacidades

  • 1: Política de red

  • 2: Identificación de ubicación

  • 3: Potencia extendida a través de equipos de fuente de alimentación de interfaz de dependencia media (MDI-PSE)

  • 4. Inventario

  • 5–15—Reserved

• Valores de clase de dispositivo LLDP-MED:

  • 0: clase no definida

  • Dispositivo de clase 1

  • Dispositivo clase 2

  • Dispositivo de clase 3

  • 4: Dispositivo de conectividad de red

  • 5–255— Reservado

  Nota:

  A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el Protocolo de descubrimiento de capa de vínculo (LLDP) y el descubrimiento de puntos de conexión de medios LLDP (MFD) se habilitan en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.

• Política de red: un TLV que anuncia la configuración del puerto VLAN y los atributos de capa 2 y capa 3 asociados. Los atributos incluyen el identificador de política, los tipos de aplicación, como voz o transmisión de video, etiquetado de VLAN 802.1Q y bits de prioridad 802.1p y puntos de código Diffserv.

• Ubicación del punto de conexión: una TLV que anuncia la ubicación física del punto de conexión.

• Potencia extendida a través de MDI: una TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de energía del puerto. Es responsabilidad del dispositivo PSE (dispositivo de conectividad de red) anunciar la prioridad de alimentación en un puerto.

LlDP y LLDP-MED deben configurarse explícitamente en uPIM (en modo de conmutación mejorada) en puertos base en dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 y SRX345, y módulos de interfaz física de plano trasero Gigabit (GPIM) en dispositivos SRX650. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.) Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice la lldp instrucción en el nivel de jerarquía [set protocols]. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice la lldp-med instrucción en el nivel de jerarquía [set protocols].

Tipos de puertos de conmutación

Los puertos o interfaces de un conmutador funcionan en modo de acceso o de troncalización.

Una interfaz en modo de acceso se conecta a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La interfaz en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.

Las interfaces de troncalización manejan el tráfico para varias VLAN, lo que multiplexa el tráfico de todas esas VLAN mediante la misma conexión física. Las interfaces de troncalización se utilizan generalmente para interconectar conmutadores entre sí.

uPIM en una cadena daisy

No puede combinar varias UPIM para actuar como un solo conmutador integrado. Sin embargo, puede conectar uPIM en el mismo chasis externamente conectando físicamente un puerto en un uPIM a un puerto en otro uPIM de forma de cadena de conexión.

Dos o más UPIM encadenados en cadena crean un solo conmutador con un recuento de puertos más alto que los uPIM individuales. Un puerto en cada uPIM se utiliza únicamente para la conexión. Por ejemplo, si encadena una uPIM de 6 puertos y una uPIM de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Cualquier puerto de uPIM se puede utilizar para el encadenamiento de margaritas.

Configure la dirección IP para solo una de las uPIM encadenadas con margarita, lo que la convierte en la uPIM principal. El uPIM secundario enruta el tráfico al uPIM principal, que lo reenvía al motor de enrutamiento. Esto da como resultado un cierto aumento de la latencia y caídas de paquetes debido a la sobresuscripción del vínculo externo.

Solo se admite un vínculo entre las dos UPIM. La conexión de más de un vínculo entre UPIM crea una topología de bucle, que no se admite.

Etiquetado de VLAN Q-in-Q

La tunelización Q-in-Q, definida por el estándar IEEE 802.1ad, permite a los proveedores de servicios en redes de acceso Ethernet extender una conexión Ethernet de capa 2 entre dos sitios de clientes.

En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega una etiqueta 802.1Q específica del proveedor de servicios al paquete. Esta etiqueta adicional se utiliza para separar el tráfico en VLAN de servicio definidos por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q original del cliente del paquete permanece y se transmite de manera transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete sale de la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.

Hay tres maneras de asignar C-VLAN a una S-VLAN:

• Agrupación todo en uno: utilice la instrucción en el dot1q-tunneling nivel de jerarquía [edit vlans] para asignar sin especificar las VLAN del cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.

• Agrupación varios a uno: utilice la instrucción en el customer-vlans nivel de jerarquía [edit vlans] para especificar qué C-VLAN se asignan a la S-VLAN.

• Asignación de C-VLAN en una interfaz específica: utilice la mapping instrucción en el nivel de jerarquía [edit vlans] para asignar una C-VLAN específica en una interfaz de acceso especificada a la S-VLAN.

Tabla 2 enumera la asignación de C-VLAN a S-VLAN compatible con los firewalls serie SRX. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)

Las interfaces IRB se admiten en VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan independientemente de si el paquete tiene una o doble etiqueta. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)

En una implementación Q-in-Q, los paquetes de clientes desde interfaces descendentes se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC tanto a nivel de interfaz como de VLAN. Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN de las que esa interfaz es miembro. Cuando deshabilita el aprendizaje de direcciones MAC en una VLAN, las direcciones MAC que ya se han aprendido se limpian.

En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con soporte de plataforma según la versión de Junos OS en su instalación), en la Ethernet agregada de capa 3, no se admiten las siguientes funciones:

• Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)

• J-Web

• A partir de Junos OS versión 19.4R2, puede configurar el LLDP en interfaces Ethernet redundantes (reth). Utilice el set protocol lldp interface <reth-interface> comando para configurar LLDP en la interfaz de reth.

• En los dispositivos SRX550M, la interfaz de Ethernet (ae) agregada con la interfaz de miembro XE no se puede configurar con la familia de conmutación Ethernet.

• En dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad con Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:

  • No se admite el etiquetado doble en las interfaces de reth y ae.

  • El enrutamiento de varias topologías no se admite en el modo de flujo ni en los clústeres de chasis.

  • No se admiten tramas con etiqueta dual en las encapsulaciones (como CCC, TCC, VPLS y PPPoE)

  • En interfaces lógicas de capa 3, input-vlan-map, inner-rangeoutput-vlan-map, y inner-list no son aplicables

  • Solo se admiten TPID con 0x8100, y la cantidad máxima de etiquetas es 2.

  • Las tramas con etiqueta doble solo se aceptan para interfaces lógicas con familias IPV4 e IPv6.

• En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con soporte de plataforma según la versión de Junos OS en su instalación), en la interfaz VLAN enrutada (RVI), no se admiten las siguientes funciones:

  • IS-IS (familia ISO)

  • Encapsulaciones (ETHER CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN

  • CLNS

  • DVMRP

  • Cambio de MAC de interfaz VLAN

  • G-ARP

  • Cambiar id de VLAN para interfaz VLAN