Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modos de conmutación de puertos Ethernet en dispositivos de seguridad

Descripción de los modos de conmutación en dispositivos de seguridad

Existen dos tipos de modos de conmutación:

  • Modo de conmutación: el uPIM aparece en la lista de interfaces como una sola interfaz, la cual es la primera interfaz en el uPIM. Por ejemplo, GE-2/0/0. Si lo desea, puede configurar cada puerto uPIM solo para la negociación automática, la velocidad y el modo dúplex. Un uPIM en modo de conmutación puede llevar A cabo las siguientes funciones:

    • Reenvío de capa 3: enruta el tráfico destinado a interfaces WAN y otras MDM presentes en el chasis.

    • Reenvío de capa 2: cambia el tráfico dentro de la LAN de un host en la LAN a otro host LAN (un puerto de uPIM a otro puerto del mismo uPIM).

  • Modo de conmutación mejorada: cada puerto se puede configurar para el modo de conmutación o enrutamiento. Este uso difiere de los modos de enrutamiento y conmutación, en los que todos los puertos deben estar en modo de conmutación o de enrutamiento. El uPIM del modo de conmutación mejorado ofrece las siguientes ventajas:

    Ventajas del modo conmutador enhnanced:

    • Admite la configuración de distintos tipos de VLAN y el enrutamiento entre VLAN.

    • Admite el protocolo de plano de control de capa 2, como Link Aggregation Control Protocol (LACP).

    • Es compatible con el control de acceso a redes basado en puertos (PNAC) por medio de los servidores de autenticación.

    Nota:

    Los dispositivos SRX300 y SRX320 sólo admiten el modo de conmutación mejorado. Al definir un uPIM de multipuerto para el modo de conmutación mejorado, uPIM se admiten todas las funciones de conmutación de capa 2. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Puede definir una uPIM Gigabit Ethernet multipuerto en un dispositivo para conmutación o para el modo de conmutación mejorado.

Cuando establece un uPIM multipuerto para el modo de conmutación, el uPIM aparece como una sola entidad para supervisar. La única configuración de puerto físico que puede configurar es la negociación automática, la velocidad y el modo dúplex en cada puerto uPIM, y estas configuraciones son opcionales.

Introducción a la conmutación de puertos Ethernet para dispositivos de seguridad

Ciertos puertos Juniper Networks dispositivos pueden funcionar como conmutadores de acceso Ethernet que conmutan el tráfico en la capa 2 y enruta el tráfico en la capa 3.

Puede implementar dispositivos compatibles en las sucursales como un conmutador de acceso o de escritorio con capacidad de enrutamiento integrada, lo que elimina los dispositivos de conmutación de acceso intermedio de la topología de la red. Los puertos Ethernet proporcionan conmutación mientras el motor de enrutamiento proporciona funciones de enrutamiento, lo que permite usar un único dispositivo para proporcionar enrutamiento, conmutación de acceso e interfaces WAN.

Este tema contiene las siguientes secciones:

Dispositivos y puertos compatibles

Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet ( Tabla 1consulte). La compatibilidad de la plataforma depende de la versión Junos OS de la instalación. Se incluyen los siguientes puertos y dispositivos:

  • Puertos Ethernet en placa (puertos integrados Gigabit y Fast Ethernet) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.

  • XPIM Gigabit Ethernet multipuerto en el dispositivo SRX650.

Tabla 1: Dispositivos y puertos compatibles para las funciones de conmutación

Dispositivo

Puerto

SRX100 dispositivos

Puertos integrados Fast Ethernet (fe-0/0/0 y fe-0/0/7)

SRX210 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 y GE-0/0/1) y puerto mini-PIM de 1 puerto Gigabit Ethernet.

Puertos integrados Fast Ethernet (fe-0/0/2 y fe-0/0/7)

SRX220 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/7) y puerto mini-PIM de 1 puerto Gigabit Ethernet.

SRX240 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/15) y puerto mini-PIM de 1 puerto Gigabit Ethernet.

SRX300 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/7)

Dispositivos SRX320

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/7)

Dispositivos SRX340

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/15)

Dispositivos SRX345

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/15)

SRX550 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/9, módulos multipuerto Gigabit Ethernet XPIM y puerto mini-PIM de 1 puerto Gigabit Ethernet.

Dispositivos SRX550M

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/9 y módulos multipuerto Gigabit Ethernet XPIM.

SRX650 dispositivos

Módulos XPIM Gigabit Ethernet de multipuerto

Nota:

En los dispositivos SRX650, la conmutación Ethernet no es compatible con las interfaces Gigabit Ethernet (GE-0/0/0 a GE-0/0/3 puertos).

SRX1500 dispositivos

Puertos Gigabit Ethernet en placa (GE-0/0/0 a GE-0/0/19)

En el SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345, puede configurar los puertos Gigabit Ethernet en placa para que funcionen como puertos conmutados o puertos enrutados. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Puente y enrutamiento integrados

El puente y enrutamiento integrados (IRB) proporcionan compatibilidad para el enrutamiento simultáneo de capa 2 swiching y capa 3 dentro de la misma red VLAN. Los paquetes que llegan a través de una interfaz de la VLAN se intercambian o enrutan según el destino dirección MAC del paquete. Los paquetes con la dirección MAC del enrutador como destino se enrutan a otras interfaces de capa 3.

Protocolo de detección de capa de vínculo y detección de puntos de conexión de LLDP-media

Los dispositivos utilizan el protocolo de detección de nivel de vínculo (LLDP) y detección de extremos de medios LLDP (MED) para aprender y distribuir información de dispositivos acerca de vínculos de red. La información permite al dispositivo identificar rápidamente una variedad de sistemas, lo que da como resultado una LAN que interopera de forma eficiente y fluida.

Los dispositivos compatibles con LLDP transmiten mensajes en el valor de longitud de tipo (TLV) a los dispositivos vecinos. La información del dispositivo puede incluir características específicas, como el chasis, la identificación del puerto y el nombre del sistema y las capacidades del sistema. El TLVs aprovechar esta información a partir de parámetros ya configurados en el Junos OS.

LLDP-MED va un paso más allá, intercambiando los mensajes de IP-telefonía entre el dispositivo y el teléfono IP. Estos mensajes de TLV proporcionan información detallada sobre la política de alimentación a través de Ethernet (PoE). La TLVs de administración de PoE permita a los puertos de los dispositivos anunciar el nivel de energía y la prioridad de alimentación de energía necesaria. Por ejemplo, el dispositivo puede comparar la potencia requerida por un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta alcanzar un compromiso de alimentación en el suministro de energía.

Se admiten los siguientes TLVs básicos:

  • Identificador del chasis: la dirección MAC asociada con el sistema local.

  • Identificador de puerto: la identificación del puerto para el puerto especificado en el sistema local.

  • Descripción del puerto: la descripción del puerto configurada por el usuario. La descripción del puerto puede tener un máximo de 256 caracteres.

  • Nombre del sistema: el nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.

  • Descripción general de las funciones de conmutación: esta información no es configurable, sino que se toma del software.

  • Capacidades del sistema: la función principal que realiza el sistema. Las capacidades que admite el sistema; por ejemplo, conmutación o enrutador Ethernet. Esta información no se puede configurar, sino que se basa en el modelo del producto.

  • Dirección de administración: la dirección de administración IP del sistema local.

Se admiten los siguientes TLVs LLDP-MED:

  • Capacidades LLDP-MED: una TLV que anuncia la función principal del puerto. Los valores oscilan entre 0 y 15:

    • 0: Capacidades

    • 1: política de red

    • 2: Identificación de la ubicación

    • 3: potencia extendida a través del equipo de abastecimiento de energía de interfaz de mediana dependencia (MDI-PSE)

    • 4: Inventario

    • 5–15—Reserved

  • Valores de clase de dispositivos LLDP-MED:

    • 0: clase no definida

    • 1: dispositivo de clase 1

    • 2: dispositivo de clase 2

    • 3: dispositivo de clase 3

    • 4: dispositivo de conectividad de red

    • 5–255: Reservado

    Nota:

    A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, el protocolo de descubrimiento de capa de enlace (LLDP) y la detección de puntos de conexión de medios LLDP (multifuncional) están activados en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.

  • Política de red: una TLV que anuncia la configuración de VLAN del puerto y los atributos de capa 2 y capa 3 asociados. Entre los atributos se incluyen el identificador de la Directiva, los tipos de aplicación, como voz o transmisión de vídeo, 802.1 Q VLAN tagging y 802.1 p de bits de prioridad y los puntos de código Diffserv.

  • Ubicación del punto de conexión: una TLV que anuncia la ubicación física del punto de conexión.

  • Alimentación extendida a través de MDI: una TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de potencia del puerto. Es responsabilidad del dispositivo de PSE (dispositivo de conectividad de red) anunciar la prioridad de alimentación en un puerto.

Los dispositivos LLDP y LLDP-MED deben configurarse de forma explícita en uPIMs (en el modo de conmutación mejorado) en puertos base de SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, y SRX345 los módulos de interfaz física (GPIMs) de Gigabit en los dispositivos de SRX650. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación). Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice lldp la instrucción en elset protocolsnivel de jerarquía []. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice lldp-med la instrucción en elset protocolsnivel de jerarquía [].

Tipos de puertos de conmutación

Los puertos, o interfaces, de un conmutador funcionan tanto en modo de acceso como en modo de tronco.

Una interfaz en modo de acceso conecta con un dispositivo de red, como un equipo de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La interfaz en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.

Las interfaces troncales gestionan el tráfico de varias VLAN, lo que multiplexa el tráfico de todas las VLAN a través de la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores entre sí.

uPIM en una cadena Margarita

No puede combinar varios uPIMs para que actúen como un conmutador integrado único. Sin embargo, puede conectar de manera externa uPIMs en el mismo chasis si conecta físicamente un puerto de un uPIM a un puerto de otro uPIM en una cadena en Margarita.

Dos o más uPIMs encadenados en Margarita crean un conmutador único con un número de puertos superior al de cada uPIM individual. Sólo se utiliza un puerto en cada uPIM para la conexión. Por ejemplo, si se encadenan en Margarita una uPIM de 6 puertos y una uPIM de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Puede usarse cualquier puerto de un uPIM para el encadenamiento en Margarita.

Configure la dirección IP para una sola uPIMs encadenada, lo que lo hará de uPIM principales. El uPIM secundario enruta el tráfico hacia el uPIM principal, que lo reenvía a la motor de enrutamiento. Esto da como resultado un aumento en la latencia y la caída de paquetes debido a la sobresuscripción del vínculo externo.

Solo se admite un vínculo entre los dos uPIMs. La conexión de más de un vínculo entre uPIMs crea una topología de bucle, lo que no se admite.

Etiquetado de VLAN de q-in-Q

El túnel q-in-Q, definido por el IEEE 802.1 ad Standard, permite que proveedores de servicios de redes de acceso Ethernet amplíen una conexión Ethernet de capa 2 entre dos sitios de clientes.

En el túnel Q-in-Q, a medida que un paquete viaja de una VLAN del cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega al paquete una etiqueta 802.1 de proveedor de servicio específico. Esta etiqueta adicional se utiliza para dividir el tráfico en las VLANs de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta de 802.1 Q original del cliente se mantiene y se transmite de forma transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete abandona la S-VLAN en la dirección del flujo de salida, se elimina la etiqueta extra 802.1 Q.

Nota:

Cuando la tunelización Q-in-Q está configurada para la VLAN de un proveedor de servicios, todos los paquetes de motor de enrutamiento, incluidos los paquetes de la interfaz de VLANenrutada, que se transmiten desde el puerto de acceso orientado al cliente de esa VLAN siempre estarán sin etiqueta.

Existen tres maneras de asignar C-VLAN a una S-VLAN:

  • Agrupación todo en uno: use la instrucción en el nivel de jerarquía [ ] para asignar sin especificar las dot1q-tunnelingedit vlans VLAN del cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.

  • Agrupación varios a uno: use la instrucción en el nivel de jerarquía [ ] para especificar qué C-VLAN están asignadas a customer-vlansedit vlans la S-VLAN.

  • Asignación de C-VLAN en una interfaz específica: use la instrucción en el nivel de jerarquía [ ] para asignar una C-VLAN específica en una interfaz de acceso especificada mappingedit vlans a la S-VLAN.

Tabla 2enumera la asignación de C-VLAN a S-VLAN admitida en dispositivos serie SRX. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Tabla 2: Métodos de asignación admitidos

Asignación

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Agrupación "todo en uno"

No

No

Agrupación de varios a uno

No

No

No

No

Asignación de C-VLAN en una interfaz específica

No

No

No

No

Nota:

La traducción de VLAN es compatible con dispositivos SRX300 y SRX320 y estos dispositivos no admiten el túnel Q-in-Q.

Nota:

En SRX650 dispositivos, en las opciones de configuración de túnel dot1q, el alcance de las VLANs del cliente y la inserción de VLAN no funcionan en conjunto para la misma S-VLAN, ni siquiera cuando se confirma la configuración. Si ambos están configurados, la inserción de VLAN tiene prioridad sobre el rango de VLANs de clientes.

Las interfaces IRB se admiten en VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan sin tener en consideración si el paquete es único o tiene una etiqueta doble. Los paquetes enrutados salientes contienen una etiqueta S-VLAN sólo al salir de una interfaz de tronco; los paquetes salen de la interfaz sin etiqueta al salir de una interfaz de acceso. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

En una implementación Q-in-Q, los paquetes de clientes de interfaces downstream se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede desactivar dirección MAC aprendizaje tanto en el nivel de interfaz como en el de VLAN. Al deshabilitar dirección MAC aprendizaje de una interfaz se deshabilita el aprendizaje de todas las VLAN a las que pertenece dicha interfaz. Cuando desactive dirección MAC aprendizaje en una VLAN, se vaciarán las direcciones MAC que ya se hayan aprendido.

En los dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con la compatibilidad con la plataforma en función de la versión Junos OS de la instalación), no se admiten las características siguientes:

  • Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)

  • J-Web

  • A partir de Junos OS versión 19.4 R2 , puede configurar LLDP en interfaces de Ethernet redundantes (Reth). Utilice el set protocol lldp interface <reth-interface> comando para configurar LLDP en la interfaz Reth.

  • En los dispositivos SRX550M la interfaz agregada Ethernet (AE) con la interfaz de miembro XE no se puede configurar con la familia de conmutación Ethernet.

  • En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad de Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:

    • No se admite el etiquetado doble en interfaces Reth y AE.

    • El enrutamiento Multitopology no se admite en los clústeres del modo de flujo y de chasis.

    • No se admiten los marcos etiquetados duales en encapsulaciones (como CCC, TCC, VPLS y PPPoE)

    • En las interfaces lógicas de input-vlan-mapcapa output-vlan-map3 inner-range,, inner-list , y no son aplicables

    • Solo se admiten TPIDs con 0x8100, mientras que el número máximo de etiquetas es 2.

    • Los marcos etiquetados duales sólo se aceptan para las interfaces lógicas con las familias IPV4 e IPv6.

  • En los dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con la compatibilidad con la plataforma en función de la versión Junos OS de la instalación), en la interfaz VLAN enrutada (RVI), no se admiten las siguientes características:

    • IS-IS (familia ISO)

    • Encapsulations (ether CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN

    • CLNS

    • DVMRP

    • Cambio en MAC de interfaz VLAN

    • G-ARP

    • Cambiar ID de VLAN para interfaz VLAN

Ejemplo Configuración de modos de conmutación en dispositivos de seguridad

Descripción general

En este ejemplo, configure chassis y configure el protocolo L2-Learning en el modo global de conmutación. A continuación, debe establecer un parámetro de puerto físico en los protocolos de aprendizaje L2.

Topología

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar el modo de conmutación:

  1. Defina el protocolo de aprendizaje L2 para la conmutación a modo global.

  2. Configure un parámetro de puerto físico en los protocolos de aprendizaje L2.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Desde el modo de configuración, escriba los show protocols comandos y show interfaces para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación del modo de conmutación

Purpose

Asegúrese de que el modo de conmutación está configurado como se esperaba.

Intervención

En modo operativo, escriba el show ethernet-switching global-information comando.

Efectos

El resultado del ejemplo muestra que el cambio de modo global está configurado como se esperaba.

Verificación de la conmutación Ethernet en la interfaz GE-0/0/1

Purpose

Asegúrese de que la conmutación Ethernet esté configurada como se esperaba en la interfaz GE-0/0/1.

Intervención

En modo operativo, escriba el show interfaces ge-0/0/1 brief comando.

Efectos

El resultado del ejemplo muestra que la conmutación Ethernet está configurada en la interfaz GE-0/0/1 según lo esperado.

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D60
A partir de Junos OS Release 15.1 X49-D60 y Junos OS Release 17.3 R1, el protocolo de descubrimiento de capa de enlace (LLDP) y la detección de puntos de conexión de medios LLDP (multifuncional) están activados en los dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.