Configuración de la seguridad DHCP con tunelización Q-in-Q al estilo del proveedor de servicios
Junos OS admite dos estilos diferentes de configuración para interfaces de conmutador: estilo de proveedor de servicios y estilo empresarial. El estilo del proveedor de servicios requiere más configuración, pero proporciona una mayor flexibilidad. El estilo empresarial es más fácil de configurar, pero ofrece menos funcionalidad.
Con el estilo empresarial de configuración, las interfaces lógicas se colocan en modo de capa 2 especificando la conmutación Ethernet como familia de interfaces. La opción de conmutación Ethernet sólo se puede configurar en una única unidad lógica, la unidad 0. No puede enlazar un ID de VLAN a la unidad 0, ya que estas interfaces funcionan en modo de troncalización, que admite tráfico con varias etiquetas VLAN, o en modo de acceso, que admite tráfico sin etiquetar.
Algunas funciones de conmutación, como la tunelización Q-in-Q, no se pueden configurar en la unidad de interfaz lógica 0. La tunelización Q-in-Q requiere que la interfaz lógica transmita tramas etiquetadas con VLAN. Para permitir que una interfaz lógica reciba y reenvíe tramas Ethernet etiquetadas con VLAN, debe enlazar la interfaz lógica a esa VLAN. Dado que el estilo empresarial no permite el enlace de un ID de VLAN a la unidad 0, debe utilizar el estilo de proveedor de servicios para configurar la tunelización Q-in-Q.
Para admitir la seguridad DHCP junto con la tunelización Q-in-Q, puede configurar las siguientes características de seguridad DHCP al estilo del proveedor de servicios:
- Espionaje DHCP (DHCPv4 y DHCPv6)
- Inspección dinámica de ARP
- Inspección de descubrimiento de vecinos
- Opción 82 de DHCP
- DHCPv6 opción 18 y opción 37
- Agente de relé DHCPv6 ligero
Puede combinar los estilos de configuración del proveedor de servicios y de empresa en la misma interfaz física mediante la encapsulación flexible de servicios Ethernet. Con la encapsulación flexible de servicios Ethernet, puede configurar encapsulaciones en el nivel de interfaz lógica en lugar de en el nivel de interfaz física. La definición de varias encapsulaciones Ethernet por unidad facilita la personalización de los servicios basados en Ethernet para varios hosts conectados a la misma interfaz física. Para obtener más información, consulte Encapsulación flexible de servicios Ethernet .
Los conmutadores EX4300 no admiten la configuración del estilo del proveedor de servicios y el estilo empresarial en la misma interfaz física.
Ejemplo: seguridad DHCP y tunelización Q-in-Q con configuración de estilo de proveedor de servicios
Al configurar una interfaz física para admitir solo el estilo de proveedor de servicios, configure el extended-vlan-bridge tipo de encapsulación para admitir características de puente. También debe configurar el etiquetado VLAN nativo en la interfaz física para que pueda funcionar en modo troncal y transmitir tramas Ethernet con etiquetas VLAN para varias VLAN. Configure el etiquetado VLAN flexible en la interfaz para transmitir paquetes con tramas VLAN 802.1Q con etiqueta simple y con etiqueta doble.
La siguiente configuración de ejemplo encapsula la interfaz física ge-0/0/11 para la configuración del proveedor de servicios y define la unidad lógica 111. El ID de VLAN v111 está enlazado a la unidad 111 y la tunelización Q-in-Q está configurada en la interfaz lógica ge-0/0/11.111. La configuración permite la supervisión de DHCP, la inspección dinámica de ARP y la opción 82 de DHCP en VLAN v111.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation extended-vlan-bridge set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Ejemplo: seguridad DHCP y tunelización Q-in-Q con encapsulación flexible de servicios Ethernet
El tipo de encapsulación flexible de servicios Ethernet permite que una interfaz física admita ambos estilos de configuración. Para admitir el estilo del proveedor de servicios, los servicios Ethernet flexibles permiten configurar las encapsulaciones en el nivel de interfaz lógica en lugar de en la interfaz física. Para admitir el estilo empresarial, los servicios Ethernet flexibles permiten configurar la familia en cualquier número de ethernet-switching unidad de interfaz lógica.
La siguiente configuración de ejemplo encapsula la interfaz física ge-0/0/11 con flexible-ethernet-services para admitir configuraciones de proveedor de servicios y de estilo empresarial. En la interfaz física se definen dos unidades lógicas: la unidad 111 para el estilo del proveedor de servicios y la unidad 0 para el estilo empresarial. La vlan-bridge encapsulación habilita las funciones de puente en la unidad 111, y la familia permite las funciones de puente en la ethernet-switching unidad 0. La tunelización Q-in-Q se configura en la interfaz lógica ge-0/0/11.111.
VLAN v111 está enlazada a la unidad 111 y tiene las siguientes características de seguridad DHCP:
- Espionaje de DHCP con la opción 82 y reemplazo de confianza
- Inspección dinámica de ARP
El EP_v222 VLAN está enlazado a la unidad 0 y tiene las siguientes características de seguridad DHCP:
- Espionaje DHCP con la opción 82
- Inspección dinámica de ARP
- Inspección de descubrimiento de vecinos
Las interfaces con configuración de estilo de proveedor de servicios no son de confianza de forma predeterminada para DHCP. En las interfaces con configuración de estilo empresarial, las interfaces de acceso no son de confianza y las interfaces troncales son de confianza.
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation flexible-ethernet-services set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 encapsulation vlan-bridge set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members EP_V222 set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical set vlans EP_V222 vlan-id 222 set vlans EP_V222 forwarding-options dhcp-security arp-inspection set vlans EP_V222 forwarding-options dhcp-security neighbor-discovery-inspection set vlans EP_V222 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
Ejemplo: seguridad DHCP y tunelización Q-in-Q compatibles con Swap-Push/Pop-Swap
La tunelización Q-in-Q y la traducción de VLAN permiten a los proveedores de servicios crear una conexión Ethernet L2 entre dos sitios de cliente. Los proveedores pueden segregar el tráfico VLAN de diferentes clientes en un vínculo.
La tunelización Q-in-Q con soporte L2 swap-push/pop-swap es un escenario específico en el que la etiqueta VLAN del cliente (C-VLAN) se intercambia con la etiqueta y la etiqueta VLAN de servicio definida por el inner-vlan-id proveedor de servicios (S-VLAN) se inserta en ella (para el tráfico que fluye del sitio del cliente al proveedor de servicios). Este tráfico se envía a la red del proveedor de servicios con doble etiquetado (S-VLAN + C-VLAN). Para el tráfico que fluye desde la red del proveedor de servicios a la red del cliente, la etiqueta S-VLAN se elimina y la etiqueta C-VLAN se reemplaza por el ID de VLAN configurado en la interfaz lógica UNI.
En el ejemplo siguiente se muestran las operaciones de etiqueta dual swap-push/pop-swap.
- Inserción de intercambio: para la trama con etiqueta única entrante de UNI, la C-VLAN (ID DE VLAN 100) se intercambia con el ID de VLAN interno configurado (200) en la interfaz lógica y la S-VLAN (ID DE VLAN 900) se inserta en la trama. La trama de doble etiqueta sale de NNI.
- Pop-swap: para la trama entrante de doble etiqueta de NNI, la etiqueta S-VLAN aparece (ID de VLAN 900) de la trama y el ID de VLAN 100 de la interfaz lógica reemplaza a la etiqueta C-VLAN. La trama de etiqueta única sale de UNI.
Para admitir la seguridad DHCP junto con la tunelización Q-in-Q, puede configurar las siguientes características de seguridad DHCP:
- Espionaje DHCP (DHCPv4 y DHCPv6)
- Inspección dinámica de ARP
- Protección de origen DHCPv6
- Inspección de descubrimiento de vecinos
- Opción 82 de DHCP
- Opción 37 de DHCPv6
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900 set vlans vlan-900 forwarding-options dhcp-security arp-inspection set vlans vlan-900 forwarding-options dhcp-security ip-source-guard set vlans vlan-900 forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-900 forwarding-options dhcp-security ipv6-source-guard set vlans vlan-900 forwarding-options dhcp-security group trusted overrides trusted set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-option82 set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-dhcpv6-options set vlans vlan-900 forwarding-options dhcp-security group trusted interface ge-0/0/2.900
Si configura la interfaz lógica con una lista de ID de VLAN y input-vlan-map y output-vlan-map se configuran como swap-push/pop-swap, se produce un comportamiento no deseado, ya que el tráfico que sale de la UNI tiene un número de unidad lógica en lugar del ID de VLAN del cliente original de la lista de ID de VLAN configurada.