Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modos de conmutación de puerto Ethernet en dispositivos de seguridad

Descripción de los modos de conmutación en dispositivos de seguridad

Hay dos tipos de modos de conmutación:

  • Modo de conmutación: el uPIM aparece en la lista de interfaces como una sola interfaz, que es la primera interfaz en el uPIM. Por ejemplo, ge-2/0/0. Opcionalmente, puede configurar cada puerto uPIM solo para la negociación automática, la velocidad y el modo dúplex. Un uPIM en modo de conmutación puede realizar las siguientes funciones:

    • Reenvío de capa 3: enruta el tráfico destinado a interfaces WAN y otras PIC presentes en el chasis.

    • Reenvío de capa 2: conmuta el tráfico intraLAN de un host en la LAN a otro host LAN (un puerto de uPIM a otro puerto del mismo uPIM).

  • Modo de conmutación mejorado: cada puerto se puede configurar para el modo de conmutación o enrutamiento. Este uso difiere de los modos de enrutamiento y conmutación, en los que todos los puertos deben estar en modo de conmutación o enrutamiento. El uPIM en modo de conmutación mejorado ofrece las siguientes ventajas:

    Ventajas del modo de conmutación enhnanced:

    • Admite la configuración de diferentes tipos de VLAN y enrutamiento entre VLAN.

    • Es compatible con el protocolo del plano de control de capa 2, como el Protocolo de control de agregación de vínculos (LACP).

    • Es compatible con el control de acceso de red basado en puertos (PNAC) mediante servidores de autenticación.

    Nota:

    Los dispositivos SRX300 y SRX320 solo admiten el modo de conmutación mejorado. Cuando establece un uPIM multipuerto en modo de conmutación mejorado, todas las funciones de conmutación de capa 2 se admiten en el uPIM. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

Puede configurar un uPIM Gigabit Ethernet multipuerto en un dispositivo para conmutación o modo de conmutación mejorado.

Cuando se establece un uPIM multipuerto en modo de conmutación, el uPIM aparece como una sola entidad para fines de supervisión. La única configuración de puerto físico que puede configurar son la negociación automática, la velocidad y el modo dúplex en cada puerto uPIM, y estas opciones son opcionales.

Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad

Ciertos puertos de los dispositivos de Juniper Networks pueden funcionar como conmutadores de acceso Ethernet que conmutan el tráfico de la capa 2 y el tráfico de ruta en la capa 3.

Puede implementar dispositivos compatibles en sucursales como conmutadores de acceso o de escritorio con capacidad de enrutamiento integrado, lo que elimina los dispositivos de conmutadores de acceso intermedio de su topología de red. Los puertos Ethernet proporcionan conmutación, mientras que el motor de enrutamiento proporciona funcionalidad de enrutamiento, lo que le permite usar un solo dispositivo para proporcionar enrutamiento, conmutación de acceso e interfaces WAN.

Este tema contiene las siguientes secciones:

Dispositivos y puertos compatibles

Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet (consulte Tabla 1). La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación. Se incluyen los siguientes puertos y dispositivos:

  • Puertos Ethernet integrados (puertos integrados Gigabit y Fast Ethernet) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.

  • XPIM multipuerto Gigabit Ethernet en el dispositivo SRX650.

Tabla 1: Dispositivos y puertos compatibles para funciones de conmutación

Dispositivo

Puertos

Dispositivos SRX100

Puertos Ethernet rápidos a bordo (fe-0/0/0 y fe-0/0/7)

Dispositivos SRX210

Puertos Gigabit Ethernet integrados (ge-0/0/0 y ge-0/0/1) y puerto SFP Mini-PIM de 1 puerto Gigabit Ethernet.

Puertos Ethernet rápidos a bordo (fe-0/0/2 y fe-0/0/7)

Dispositivos SRX220

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/7) y puerto SFP Mini-PIM de 1 puerto Gigabit Ethernet.

Dispositivos SRX240

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/15) y puerto SFP Mini-PIM de 1 puerto Gigabit Ethernet.

Dispositivos SRX300

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/7)

Dispositivos SRX320

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/7)

Dispositivos SRX340

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/15)

Dispositivos SRX345

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/15)

Dispositivos SRX550

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/9, módulos XPIM Multiport Gigabit Ethernet y puerto SFP Mini-PIM de 1 puerto Gigabit Ethernet.

Dispositivos SRX550M

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/9 y módulos XPIM Multiport Gigabit Ethernet.

Dispositivos SRX650

Módulos XPIM multipuerto Gigabit Ethernet

Nota:

En los dispositivos SRX650, la conmutación Ethernet no se admite en interfaces Gigabit Ethernet (puertos ge-0/0/0 a ge-0/0/3).

Dispositivos SRX1500

Puertos Gigabit Ethernet integrados (ge-0/0/0 a ge-0/0/19)

En el SRX100. Los dispositivos SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345 pueden configurar los puertos Gigabit Ethernet integrados para que funcionen como puertos conmutados o como puertos enrutados. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

Puente y enrutamiento integrados

El puente y el enrutamiento integrados (IRB) admiten enrutamiento simultáneo de capa 2 y capa 3 dentro de la misma VLAN. Los paquetes que llegan a una interfaz de la VLAN se conmutan o enrutan según la dirección MAC de destino del paquete. Los paquetes con la dirección MAC del enrutador como destino se enrutan a otras interfaces de capa 3.

Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media

Los dispositivos utilizan el protocolo de descubrimiento de capa de vínculo (LLDP) y la detección de puntos de conexión de medios (MED) de LLDP para aprender y distribuir la información de los dispositivos acerca de los vínculos de red. La información permite que el dispositivo identifique rápidamente una variedad de sistemas, lo que resulta en una LAN que interopera sin problemas y de manera eficiente.

Los dispositivos compatibles con LLDP transmiten información en mensajes de valor de longitud de tipo (TLV) a dispositivos vecinos. La información del dispositivo puede incluir detalles específicos, como la identificación de chasis y puerto, y el nombre del sistema y las capacidades del sistema. Las TPV aprovechan esta información de parámetros que ya se han configurado en Junos OS.

LLDP-MED va un paso más allá, intercambiando mensajes de telefonía IP entre el dispositivo y el teléfono IP. Estos mensajes TLV proporcionan información detallada sobre la política de alimentación por Ethernet (PoE). Las TVS de administración de PoE permiten que los puertos del dispositivo anuncien el nivel de potencia y la prioridad de potencia necesarias. Por ejemplo, el dispositivo puede comparar la potencia que necesita un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta que se alcance un compromiso de alimentación.

Se admiten las siguientes TPV básicas:

  • Identificador de chasis: la dirección MAC asociada con el sistema local.

  • Identificador de puerto: la identificación de puerto para el puerto especificado en el sistema local.

  • Descripción del puerto: descripción del puerto configurado por el usuario. La descripción del puerto puede ser de un máximo de 256 caracteres.

  • Nombre del sistema: nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.

  • Descripción general de las funciones de conmutación: esta información no es configurable, sino que se toma del software.

  • Capacidades del sistema: la función principal que realiza el sistema. Las capacidades que admite el sistema; por ejemplo, la conmutación Ethernet o el enrutador. Esta información no es configurable, sino que se basa en el modelo del producto.

  • Dirección de administración: la dirección de administración IP del sistema local.

Se admiten las siguientes TVS LLDP-MED:

  • Capacidades LLDP-MED: una TLV que anuncia la función principal del puerto. Los valores van del 0 al 15:

    • 0: capacidades

    • 1: política de red

    • 2: identificación de ubicación

    • 3: potencia extendida a través de equipos de abastecimiento de energía de interfaz dependiente media (MDI-PSE)

    • 4: Inventario

    • 5–15—Reserved

  • Valores de clase de dispositivo LLDP-MED:

    • 0: clase no definida

    • 1: dispositivo de clase 1

    • 2: dispositivo de clase 2

    • 3: dispositivo de clase 3

    • 4: dispositivo de conectividad de red

    • 5–255: Reservado

    Nota:

    A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el protocolo de descubrimiento de capa de vínculo (LLDP) y el descubrimiento de punto de conexión de medios LLDP (MFD) se habilitan en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.

  • Política de red: una TLV que anuncia la configuración de VLAN del puerto y los atributos de capa 2 y capa 3 asociados. Los atributos incluyen el identificador de política, los tipos de aplicación, como voz o transmisión de video, etiquetado vlan 802.1Q, bits de prioridad 802.1p y puntos de código Diffserv.

  • Ubicación del punto de conexión: una TLV que anuncia la ubicación física del punto de conexión.

  • Potencia extendida a través de MDI: una TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de potencia del puerto. Es responsabilidad del dispositivo PSE (dispositivo de conectividad de red) anunciar la prioridad de alimentación en un puerto.

LlDP y LLDP-MED deben configurarse explícitamente en uPIM (en modo de conmutación mejorado) en puertos base en dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 y SRX345, y módulos de interfaz física (GPIMs) gigabit backplane en dispositivos SRX650. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.) Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice la lldp instrucción en el nivel de jerarquía [set protocols]. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice la lldp-med instrucción en el nivel de jerarquía [set protocols].

Tipos de puertos de conmutador

Los puertos o interfaces de un conmutador funcionan en modo de acceso o de troncalización.

Una interfaz en modo de acceso se conecta a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La propia interfaz pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.

Las interfaces de troncalización manejan el tráfico de varias VLAN, multiplexando el tráfico de todas esas VLAN a través de la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores entre sí.

uPIM en una cadena de margaritas

No puede combinar varios uPIM para actuar como un solo conmutador integrado. Sin embargo, puede conectar uPIM en el mismo chasis externamente mediante la conexión física de un puerto en un uPIM a un puerto en otro uPIM de manera de cadena de conexión.

Dos o más uPIM encadenados juntos crean un solo conmutador con un recuento de puertos más alto que cualquiera de los uPIM individuales. Un puerto en cada uPIM se utiliza únicamente para la conexión. Por ejemplo, si encadena una uPIM de 6 puertos y una uPIM de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Cualquier puerto de un uPIM se puede utilizar para el encadenamiento de la conexión en cadena.

Configure la dirección IP para solo una de las uPIM encadenadas en cadena, lo que la convierte en el uPIM principal. El uPIM secundario enruta el tráfico al uPIM principal, que lo reenvía al motor de enrutamiento. Esto da como resultado un aumento en la latencia y caídas de paquetes debido a la sobresuscripción del vínculo externo.

Solo se admite un vínculo entre las dos uPIM. La conexión de más de un vínculo entre uPIM crea una topología de bucle, que no es compatible.

Etiquetado de VLAN Q-in-Q

La tunelización Q-in-Q, definida por el estándar IEEE 802.1ad, permite a los proveedores de servicios en redes de acceso Ethernet extender una conexión Ethernet de capa 2 entre dos sitios de clientes.

En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN del cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega una etiqueta 802.1Q específica del proveedor de servicios al paquete. Esta etiqueta adicional se utiliza para segregar el tráfico en VLAN de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q del cliente original del paquete permanece y se transmite de manera transparente, pasando por la red del proveedor de servicios. A medida que el paquete deja la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.

Nota:

Cuando la tunelización Q-in-Q está configurada para la VLAN de un proveedor de servicios, todos los paquetes del motor de enrutamiento, incluidos los paquetes de la interfaz VLAN enrutada, que se transmiten desde el puerto de acceso orientado al cliente de esa VLAN siempre estarán sin etiquetar.

Hay tres maneras de asignar C-VLAN a una S-VLAN:

  • Agrupación todo en uno: utilice la dot1q-tunneling instrucción en el nivel de jerarquía [edit vlans] para asignar sin especificar vlan de cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.

  • Agrupación varios a uno: utilice la customer-vlans instrucción en el nivel de jerarquía [edit vlans] para especificar qué C-VLAN se asignan a la S-VLAN.

  • Asignación de C-VLAN en una interfaz específica: utilice la mapping instrucción en el nivel de jerarquía [edit vlans] para asignar una C-VLAN específica en una interfaz de acceso especificada a la S-VLAN.

Tabla 2 enumera la asignación de C-VLAN a S-VLAN compatible en dispositivos de la serie SRX. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

Tabla 2: Métodos de asignación compatibles

Asignación

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Agrupación todo en uno

No

No

Agrupación varios a uno

No

No

No

No

Asignación de C-VLAN en una interfaz específica

No

No

No

No

Nota:

La traducción de VLAN se admite en dispositivos SRX300 y SRX320, y estos dispositivos no son compatibles con la tunelización Q-in-Q.

Nota:

En los dispositivos SRX650, en las opciones de configuración de tunelización dot1q, el rango de VLAN del cliente y la inserción de VLAN no funcionan juntos para la misma S-VLAN, incluso cuando se confirma la configuración. Si ambos están configurados, la inserción de VLAN tiene prioridad sobre el intervalo de VLAN del cliente.

Las interfaces IRB se admiten en VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan independientemente de si el paquete tiene una o dos etiquetas. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz troncal; los paquetes salen de la interfaz sin etiquetar al salir de una interfaz de acceso. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

En una implementación Q-in-Q, los paquetes de clientes desde interfaces descendentes se transportan sin ningún cambio en las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC tanto en el nivel de interfaz como en el de VLAN. Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN de las que esa interfaz es miembro. Cuando deshabilita el aprendizaje de direcciones MAC en una VLAN, se vaciarán las direcciones MAC que ya se han aprendido.

En los dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con soporte de plataforma según la versión de Junos OS en su instalación), en la Ethernet agregada de capa 3, no se admiten las siguientes funciones:

  • Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)

  • J-Web

  • A partir de junos OS versión 19.4R2, puede configurar el LLDP en interfaces Ethernet redundantes (reth). Utilice el set protocol lldp interface <reth-interface> comando para configurar LLDP en la interfaz reth.

  • En los dispositivos SRX550M, la interfaz de Ethernet agregada (ae) con interfaz miembro XE no se puede configurar con la familia de conmutación Ethernet.

  • En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:

    • El etiquetado doble no se admite en interfaces de reth y ae.

    • El enrutamiento multitopología no se admite en el modo de flujo ni en los clústeres de chasis.

    • Las tramas etiquetadas duales no se admiten en encapsulaciones (como CCC, TCC, VPLS y PPPoE)

    • En interfaces lógicas de capa 3, input-vlan-map, output-vlan-map, inner-rangey inner-list no son aplicables

    • Solo se admiten TPID con 0x8100 y el número máximo de etiquetas es 2.

    • Solo se aceptan tramas con etiquetas duales para interfaces lógicas con familias IPV4 e IPv6.

  • En los dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con soporte de plataforma según la versión de Junos OS en la instalación), en la interfaz VLAN enrutada (RVI), no se admiten las siguientes funciones:

    • IS-IS (ISO de familia)

    • Encapsulaciones (Ether CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN

    • CLNS

    • DVMRP

    • Cambio de MAC de interfaz VLAN

    • G-ARP

    • Cambie el VLAN-Id para la interfaz VLAN

Ejemplo: Configuración de modos de conmutación en dispositivos de seguridad

Descripción general

En este ejemplo, configure chassis y establezca el protocolo l2-learning en la conmutación de modo global. A continuación, establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar el modo de conmutación:

  1. Establezca el protocolo de aprendizaje l2 en la conmutación en modo global.

  2. Establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Desde el modo de configuración, escriba los comandos y show interfaces para confirmar la show protocols configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar el modo de conmutación

Propósito

Asegúrese de que el modo de conmutación está configurado como se esperaba.

Acción

Desde el modo operativo, ingrese el show ethernet-switching global-information comando.

Significado

El resultado de ejemplo muestra que la conmutación de modo global está configurada como se esperaba.

Verificar la conmutación Ethernet en la interfaz ge-0/0/1

Propósito

Asegúrese de que la conmutación Ethernet está configurada como se espera en la interfaz ge-0/0/1.

Acción

Desde el modo operativo, ingrese el show interfaces ge-0/0/1 brief comando.

Significado

La salida de muestra muestra que la conmutación Ethernet está configurada en la interfaz ge-0/0/1 como se esperaba.

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D60
A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el protocolo de descubrimiento de capa de vínculo (LLDP) y el descubrimiento de punto de conexión de medios LLDP (MFD) se habilitan en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.