Modos de conmutación de puerto Ethernet en dispositivos de seguridad
Descripción de los modos de conmutación en dispositivos de seguridad
Hay dos tipos de modos de conmutación:
Modo de conmutación: el uPIM aparece en la lista de interfaces como una sola interfaz, que es la primera interfaz en el uPIM. Por ejemplo, ge-2/0/0. Opcionalmente, puede configurar cada puerto uPIM solo para la negociación automática, la velocidad y el modo dúplex. Un uPIM en modo de conmutación puede realizar las siguientes funciones:
Reenvío de capa 3: enruta el tráfico destinado a interfaces WAN y otros PIM presentes en el chasis.
Reenvío de capa 2: conmutadores el tráfico intra-LAN de un host en la LAN a otro host LAN (un puerto de uPIM a otro puerto del mismo uPIM).
Modo de conmutación mejorado: cada puerto se puede configurar para el modo de conmutación o enrutamiento. Este uso difiere de los modos de enrutamiento y conmutación, en los que todos los puertos deben estar en modo de conmutación o enrutamiento. El uPIM en modo de conmutación mejorado ofrece los siguientes beneficios:
Ventajas del modo de conmutación mejorado:
Admite la configuración de diferentes tipos de VLAN y el enrutamiento entre VLAN.
Es compatible con el protocolo de plano de control de capa 2, como el protocolo de control de agregación de vínculos (LACP).
Admite el control de acceso a la red (PNAC) basado en puertos mediante servidores de autenticación.
Nota:Los dispositivos SRX300 y SRX320 solo admiten el modo de conmutación mejorado. Cuando se establece un uPIM multipuerto en modo de conmutación mejorado, todas las funciones de conmutación de capa 2 son compatibles con el uPIM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Puede configurar un uPIM Gigabit Ethernet multipuerto en un dispositivo en modo de conmutación o de conmutación mejorado.
Cuando se establece un uPIM multipuerto en modo de conmutación, el uPIM aparece como una sola entidad con fines de supervisión. Las únicas opciones de puerto físico que puede configurar son la negociación automática, la velocidad y el modo dúplex en cada puerto uPIM, y estas opciones son opcionales.
Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad
Ciertos puertos en los dispositivos de Juniper Networks pueden funcionar como conmutadores de acceso Ethernet que conmutan el tráfico en la capa 2 y enrutan el tráfico en la capa 3.
Puede implementar dispositivos compatibles en sucursales como un conmutador de acceso o de escritorio con capacidad de enrutamiento integrada, lo que elimina los dispositivos de conmutador de acceso intermedio de su topología de red. Los puertos Ethernet proporcionan conmutación, mientras que el motor de enrutamiento proporciona funcionalidad de enrutamiento, lo que le permite usar un solo dispositivo para proporcionar enrutamiento, conmutación de acceso e interfaces WAN.
Este tema contiene las siguientes secciones:
- Puertos y dispositivos compatibles
- Puente y enrutamiento integrados
- Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media
- Tipos de puertos de conmutación
- uPIM en cadena
- Etiquetado de VLAN Q-in-Q
Puertos y dispositivos compatibles
Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet (consulte la tabla 1). La compatibilidad de plataforma depende de la versión de Junos OS en su instalación. Se incluyen los siguientes puertos y dispositivos:
Puertos Ethernet incorporados (puertos integrados Gigabit y Fast Ethernet) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.
XPIM Gigabit Ethernet multipuerto en el dispositivo SRX650.
Dispositivo |
Puertos |
|---|---|
Dispositivos SRX100 |
Puertos Ethernet rápidos incorporados (fe-0/0/0 y fe-0/0/7) |
Dispositivos SRX210 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 y ge-0/0/1) y puerto SFP Mini-PIM Gigabit Ethernet de 1 puerto. Puertos Ethernet rápidos incorporados (fe-0/0/2 y fe-0/0/7) |
Dispositivos SRX220 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) y puerto SFP Mini-PIM Gigabit Ethernet de 1 puerto. |
Dispositivos SRX240 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) y puerto SFP Mini-PIM Gigabit Ethernet de 1 puerto. |
Dispositivos SRX300 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) |
Dispositivos SRX320 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) |
Dispositivos SRX340 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) |
Dispositivos SRX345 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) |
Dispositivos SRX550 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9), módulos XPIM Gigabit Ethernet multipuerto y puerto SFP Mini-PIM Gigabit Ethernet de 1 puerto. |
SRX550M dispositivos |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9 y módulos XPIM Gigabit Ethernet multipuerto). |
Dispositivos SRX650 |
Módulos XPIM Gigabit Ethernet multipuerto
Nota:
En dispositivos SRX650, la conmutación Ethernet no se admite en interfaces Gigabit Ethernet (puertos ge-0/0/0 a ge-0/0/3). |
Dispositivos SRX1500 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/19) |
en la SRX100. dispositivos SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345, puede configurar los puertos Gigabit Ethernet integrados para que funcionen como puertos conmutados o como puertos enrutados. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Puente y enrutamiento integrados
El puente y enrutamiento integrados (IRB) proporciona soporte para la conmutación de capa 2 y el enrutamiento de capa 3 simultáneos dentro de la misma VLAN. Los paquetes que llegan a una interfaz de la VLAN se conmutan o enrutan en función de la dirección MAC de destino del paquete. Los paquetes con la dirección MAC del enrutador como destino se enrutan a otras interfaces de capa 3.
Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media
Los dispositivos usan el protocolo de detección de capa de vínculo (LLDP) y el descubrimiento de puntos de conexión de medios (MED) para aprender y distribuir información del dispositivo sobre vínculos de red. La información permite que el dispositivo identifique rápidamente una variedad de sistemas, lo que da como resultado una LAN que interopera sin problemas y de manera eficiente.
Los dispositivos compatibles con LLDP transmiten información en mensajes de valor de longitud de tipo (TLV) a los dispositivos vecinos. La información del dispositivo puede incluir detalles específicos, como la identificación del chasis y el puerto, y el nombre del sistema y las capacidades del sistema. Los TLV aprovechan esta información de parámetros que ya se configuraron en Junos OS.
LLDP-MED va un paso más allá, intercambiando mensajes de telefonía IP entre el dispositivo y el teléfono IP. Estos mensajes TLV proporcionan información detallada acerca de la política de alimentación por Ethernet (PoE). Los TLV de administración de PoE permiten que los puertos de dispositivos anuncien el nivel de potencia y la prioridad de potencia necesarios. Por ejemplo, el dispositivo puede comparar la potencia que necesita un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta que se llegue a un compromiso en la energía.
Se admiten los siguientes TLV básicos:
Identificador de chasis: la dirección MAC asociada con el sistema local.
Identificador de puerto: la identificación del puerto especificado en el sistema local.
Descripción del puerto: la descripción del puerto configurada por el usuario. La descripción del puerto puede tener un máximo de 256 caracteres.
Nombre del sistema: el nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.
Descripción general de las funciones de conmutación: esta información no se puede configurar, sino que se toma del software.
Capacidades del sistema: la función principal realizada por el sistema. Las capacidades que admite el sistema; por ejemplo, conmutación o enrutador Ethernet. Esta información no es configurable, sino que se basa en el modelo del producto.
Dirección de administración: la dirección de administración IP del sistema local.
Se admiten los siguientes TLV LLDP-MED:
Capacidades de LLDP-MED: un TLV que anuncia la función principal del puerto. Los valores van de 0 a 15:
0: Capacidades
1: Política de red
2: Identificación de la ubicación
3: Potencia extendida a través de equipos de abastecimiento de energía de interfaz dependiente del medio (MDI-PSE)
4. Inventario
5–15: reservado
Valores de clase de dispositivo LLDP-MED:
0: clase no definida
1: dispositivo de clase 1
2: dispositivo de clase 2
3: dispositivo de clase 3
4: Dispositivo de conectividad de red
5–255— Reservado
Nota:A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el protocolo de detección de capa de vínculo (LLDP) y la detección de puntos de conexión de medios LLDP (MFD) se habilitan en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.
Política de red: un TLV que anuncia la configuración de VLAN del puerto y los atributos asociados de capa 2 y capa 3. Los atributos incluyen el identificador de política, los tipos de aplicación, como voz o transmisión de video, el etiquetado de VLAN 802.1Q, y los bits de prioridad 802.1p y puntos de código Diffserv.
Ubicación del punto de conexión: un TLV que anuncia la ubicación física del punto de conexión.
Potencia extendida a través de MDI: un TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de potencia del puerto. Es responsabilidad del dispositivo PSE (dispositivo de conectividad de red) anunciar la prioridad de alimentación en un puerto.
LLDP y LLDP-MED deben configurarse explícitamente en uPIM (en modo de conmutación mejorado) en puertos base en dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 y SRX345 y módulos de interfaz física de Gigabit Backplane (GPIM) en dispositivos SRX650. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación). Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice la lldp instrucción en el nivel de jerarquía [set protocols]. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice la lldp-med instrucción en el nivel de jerarquía [set protocols].
Tipos de puertos de conmutación
Los puertos, o interfaces, en un conmutador funcionan en modo de acceso o en modo de troncalización.
Una interfaz en modo de acceso se conecta a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La interfaz en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.
Las interfaces troncales administran el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN sobre la misma conexión física. Las interfaces troncalizadas se utilizan generalmente para interconectar conmutadores entre sí.
uPIM en cadena
No puede combinar varios uPIM para que actúen como un único conmutador integrado. Sin embargo, puede conectar uPIM en el mismo chasis externamente conectando físicamente un puerto en un uPIM a un puerto en otro uPIM en forma de conexión en cadena.
Dos o más uPIM conectados en cadena crean un único conmutador con un recuento de puertos mayor que cualquiera de los uPIM individuales. Un puerto en cada uPIM se utiliza únicamente para la conexión. Por ejemplo, si conecta en cadena un uPIM de 6 puertos y un uPIM de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Cualquier puerto de un uPIM se puede usar para la conexión en cadena.
Configure la dirección IP para solo uno de los uPIM conectados en cadena, convirtiéndolo en el uPIM principal. El uPIM secundario enruta el tráfico al uPIM principal, que lo reenvía al motor de enrutamiento. Esto provoca un aumento de la latencia y caídas de paquetes debido a un exceso de suscripción del vínculo externo.
Solo se admite un vínculo entre los dos uPIM. La conexión de más de un vínculo entre uPIM crea una topología de bucle, que no se admite.
Etiquetado de VLAN Q-in-Q
La tunelización Q-in-Q, definida por el estándar IEEE 802.1ad, permite a los proveedores de servicios en redes de acceso Ethernet extender una conexión Ethernet de capa 2 entre dos sitios de cliente.
En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a una VLAN de un proveedor de servicios, se agrega una etiqueta 802.1Q específica del proveedor de servicios al paquete. Esta etiqueta adicional se utiliza para dividir el tráfico en las VLAN de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q original del cliente en el paquete se mantiene y transmite de forma transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete abandona la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.
Cuando la tunelización Q-in-Q está configurada para una VLAN de proveedor de servicios, todos los paquetes del motor de enrutamiento, incluidos los paquetes de la interfaz de VLAN enrutada, que se transmiten desde el puerto de acceso orientado al cliente de esa VLAN siempre quedarán sin etiquetar.
Hay tres maneras de asignar C-VLAN a una S-VLAN:
Agrupación todo en uno: utilice la
dot1q-tunnelinginstrucción en el nivel de jerarquía [edit vlans] para asignar sin especificar VLAN de cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.Agrupación varios a uno: utilice la
customer-vlansinstrucción en el nivel de jerarquía [edit vlans] para especificar qué C-VLAN se asignan a la S-VLAN.Asignación de C-VLAN en una interfaz específica: utilice la
mappinginstrucción en el nivel de jerarquía [edit vlans] para asignar una C-VLAN específica en una interfaz de acceso especificada a la S-VLAN.
En la tabla 2 , se enumera la asignación de C-VLAN a S-VLAN admitida en los firewalls de la serie SRX. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Mapeo |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
|---|---|---|---|---|---|---|---|---|
Agrupación "todo en uno" |
Sí |
Sí |
No |
No |
Sí |
Sí |
Sí |
Sí |
Agrupación varios a uno |
No |
No |
No |
No |
Sí |
Sí |
Sí |
Sí |
Asignación de C-VLAN en una interfaz específica |
No |
No |
No |
No |
Sí |
Sí |
Sí |
Sí |
La traducción de VLAN se admite en dispositivos SRX300 y SRX320, y estos dispositivos no admiten la tunelización Q-in-Q.
En los dispositivos SRX650, en las opciones de configuración de tunelización dot1q, el rango de VLAN del cliente y la inserción de VLAN no funcionan juntos para la misma S-VLAN, incluso cuando se confirma la configuración. Si ambos están configurados, la inserción de VLAN tiene prioridad sobre el rango de VLAN del cliente.
Las interfaces IRB se admiten en VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan independientemente de si el paquete tiene una o dos etiquetas. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; Los paquetes salen de la interfaz sin etiqueta cuando salen de una interfaz de acceso. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
En una implementación Q-in-Q, los paquetes de clientes de interfaces descendentes se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de la dirección MAC tanto en el nivel de la interfaz como en el de VLAN. Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN a las cuales pertenece esa interfaz. Cuando desactive el aprendizaje de dirección MAC en una VLAN, se vaciarán las direcciones MAC que ya se hayan aprendido.
En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma que depende de la versión de Junos OS en su instalación), en la Ethernet agregada de capa 3, no se admiten las siguientes características:
Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)
J-Web
A partir de la versión 19.4R2 de Junos OS, puede configurar el LLDP en interfaces Ethernet redundantes (reth). Utilice el comando para configurar LLDP en la
set protocol lldp interface <reth-interface>interfaz reth.
En SRX550M dispositivos, la interfaz Ethernet agregada (ae) con la interfaz miembro XE no se puede configurar con la familia de conmutación Ethernet.
En dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad con Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:
El doble etiquetado no se admite en interfaces reth y ae.
El enrutamiento multitopología no se admite en el modo de flujo ni en los clústeres de chasis.
Las tramas con etiqueta dual no se admiten en encapsulaciones (como CCC, TCC, VPLS y PPPoE)
En las interfaces lógicas de capa 3,
input-vlan-map,output-vlan-map,inner-rangeyinner-listno son aplicablesSolo se admiten TPID con 0x8100 y el número máximo de etiquetas es 2.
Las tramas con etiqueta dual solo se aceptan para interfaces lógicas con familias IPV4 e IPv6.
En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma que depende de la versión de Junos OS en su instalación), en la interfaz de VLAN enrutada (RVI), no se admiten las siguientes características:
SI-SI (ISO de familia)
Encapsulaciones (ya sea CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN
CLNS
DVMRP
Cambio en MAC de interfaz VLAN
G-ARP
Cambio de ID de VLAN para interfaz VLAN
Ejemplo: Configuración de modos de conmutación en dispositivos de seguridad
Requisitos
Antes de comenzar, consulte Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad.
Descripción general
En este ejemplo, se configura chassis y establece el protocolo de aprendizaje L2 en conmutación de modo global. A continuación, establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Procedimiento paso a paso
Para configurar el modo de conmutación:
Establezca el protocolo de aprendizaje l2 en conmutación de modo global.
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
Establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Desde el modo de configuración, ingrese los comandos y show interfaces para confirmar la show protocols configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show protocols
l2-learning {
global-mode switching;
}
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del modo de conmutación
- Comprobación de la conmutación Ethernet en la interfaz ge-0/0/1
Verificación del modo de conmutación
Propósito
Asegúrese de que el modo de conmutación esté configurado según lo previsto.
Acción
Desde el modo operativo, introduzca el show ethernet-switching global-information comando.
user@host> show ethernet-switching global-information
Global Configuration:
MAC aging interval : 300
MAC learning : Enabled
MAC statistics : Disabled
MAC limit Count : 16383
MAC limit hit : Disabled
MAC packet action drop: Disabled
MAC+IP aging interval : IPv4 - 1200 seconds
IPv6 - 1200 seconds
MAC+IP limit Count : 393215
MAC+IP limit reached : No
LE aging time : 1200
LE VLAN aging time : 1200
Global Mode : Switching
RE state : Master
Significado
El resultado de ejemplo muestra que la conmutación de modo global está configurada según lo esperado.
Comprobación de la conmutación Ethernet en la interfaz ge-0/0/1
Propósito
Asegúrese de que la conmutación Ethernet esté configurada como se espera en la interfaz ge-0/0/1.
Acción
Desde el modo operativo, introduzca el show interfaces ge-0/0/1 brief comando.
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
Logical interface ge-0/0/1.0
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
Security: Zone: Null
eth-switch
Significado
El resultado de ejemplo muestra que la conmutación Ethernet está configurada en la interfaz ge-0/0/1 según lo esperado.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.