Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Режимы коммутации портов Ethernet на устройствах безопасности

Понимание режимов коммутации на устройствах безопасности

Существует два типа режимов коммутации:

  • Режим коммутации — uPIM отображается в списке интерфейсов как единый интерфейс, который является первым интерфейсом uPIM. Например, ge-2/0/0. Можно по желанию настраивать каждый uPIM-порт только для автоматического выбора, скорости и дуплексного режима. UPIM в режиме коммутации может выполнять следующие функции:

    • Перенастройка уровня 3 — трафик маршрутов, предназначенный для интерфейсов WAN и других PIM, присутствующих на шасси.

    • Переададатор уровня 2 — коммутирует внутри-LAN-трафик от одного хоста локальной сети к другому хосту LAN (один порт uPIM к другому порту того же uPIM).

  • Расширенный режим коммутации — каждый порт можно настроить для коммутации или режима маршрутов. Это использование отличается от режимов маршрутации и коммутации, в которых все порты должны быть либо в режиме коммутации, либо в режиме маршрутации. UPIM в улучшенном режиме коммутации предоставляет следующие преимущества:

    Преимущества режима enhnanced switch:

    • Поддерживает настройку различных типов VLAN и маршруты между VLAN.

    • Поддерживает протокол уровня 2 плоскость управления, такой как протокол управления агрегацией соединений (LACP).

    • Поддерживает управление сетевым доступом (PNAC) на базе портов с помощью серверов аутентификации.

    Прим.:

    Устройства SRX300 и SRX320 поддерживают только расширенный режим коммутации. При переходе мультипорта uPIM в расширенный режим коммутации все коммутация на уровне 2 поддерживаются в uPIM. (Поддержка платформы зависит от Junos OS версии установки.)

Для многопортовой сети Gigabit Ethernet uPIM на устройстве можно настроить либо режим коммутации, либо расширенный режим коммутации.

При назначении многопортового uPIM в режим коммутации uPIM отображается как единый объект для мониторинга. Единственными настройками физического порта, которые можно настроить, являются автоматическое конфигурирование, скорость и дуплексный режим на каждом порте uPIM, и эти настройки являются необязательными.

Обзор коммутатора портов Ethernet для устройств безопасности

Некоторые порты других Juniper Networks могут функционировать в качестве коммутаторов доступа Ethernet, коммутаторов трафика на уровне 2 и маршрутизации трафика на уровне 3.

Можно развертывать в филиалах поддерживаемые устройства в качестве коммутатора доступа или настольного компьютера со встроенной возможностью маршрутов, тем самым устраняя таким образом промежуточные коммутаторы доступа из топологии сети. Порты Ethernet обеспечивают коммутатор, модуль маршрутизации обеспечивают функцию маршрутизации, что позволяет использовать одно устройство для обеспечения маршрутизации, коммутатора доступа и интерфейсов WAN.

В этом разделе содержатся следующие разделы:

Поддерживаемые устройства и порты

Juniper Networks поддерживают функции коммутатора на различных портах и устройствах Ethernet Табл. 1 (см. ). Поддержка платформы зависит от Junos OS в установке. Включаются следующие порты и устройства:

  • Встроенные порты Ethernet (встроенные порты Gigabit и Fast Ethernet) на SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M и SRX1500 устройства.

  • Многопортовая сеть Gigabit Ethernet XPIM на SRX650 устройстве.

Табл. 1: Поддерживаемые устройства и порты для функций коммутатора

Устройства

Порты

SRX100 устройств

На портах Fast Ethernet (fe-0/0/0 и fe-0/0/7)

SRX210 устройств

На портах Gigabit Ethernet (ge-0/0/0 и ge-0/0/1) и 1-порт Gigabit Ethernet Mini-PIM.

Порты Fast Ethernet (fe-0/0/2 и fe-0/0/7)

SRX220 устройства

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/7) и 1-портОвый порт Gigabit Ethernet SFP Mini-PIM.

SRX240 устройств

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/15) и 1-порт Gigabit Ethernet SFP Mini-PIM.

SRX300 устройств

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/7)

Устройства SRX320

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/7)

Устройства SRX340

Onboard Gigabit Ethernet ports (ge-0/0/0 – ge-0/0/15)

Устройства SRX345

Onboard Gigabit Ethernet ports (ge-0/0/0 – ge-0/0/15)

SRX550 устройств

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/9, многопортовые модули Gigabit Ethernet XPIM и 1-портНый порт Gigabit Ethernet SFP Mini-PIM.

Устройства SRX550M

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/9 и многопортовых модулях Gigabit Ethernet XPIM).

SRX650 устройств

Многопортовые модули Gigabit Ethernet XPIM

Прим.:

На SRX650 устройств коммутатор Ethernet не поддерживается на интерфейсах Gigabit Ethernet (ge-0/0/0/0 через порты ge-0/0/3).

SRX1500 устройств

На портах Gigabit Ethernet (ge-0/0/0 через ge-0/0/19)

На SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 и SRX345 можно настроить на все платы порты Gigabit Ethernet для работы как коммутаторные порты или маршрутные порты. (Поддержка платформы зависит от Junos OS версии установки.)

Интегрированное замещение и маршрутирование

Интегрированная маршрутная маршрутная система (IRB) обеспечивает поддержку одновременных swiching-маршрутов уровня 2 и маршрутов 3-го уровня в пределах одной и той же сети VLAN. Пакеты, поступающие на интерфейс VLAN, коммутируются или маршрутируются на MAC-адрес назначения пакета. Пакеты с назначением MAC-адрес маршрутом на другие интерфейсы уровня 3.

Протокол обнаружения уровня связи и обнаружение конечных точек LLDP-Media

Устройства используют протокол обнаружения уровня соединений (LLDP) и обнаружение конечных точек LLDP-Media (MED) для получения и распределения сведений об сетевых соединениях. Данная информация позволяет устройству быстро идентифицировать различные системы, что обеспечивает плавную и быструю работу локальной сети.

Устройства с возможностью LLDP передают информацию в сообщениях Type Length Value (TLV) соседним устройствам. Информация об устройстве может включать такие специфические особенности, как идентификация шасси и портов, имя системы и возможности системы. TLV используют эти сведения из параметров, которые уже были настроены в Junos OS.

LLDP-MED идет на один шаг дальше, обмениваясь сообщениями IP-телефонии между устройством и IP-телефоном. Эти сообщения TLV предоставляют подробные сведения о политике питание через Ethernet (PoE). TLV PoE управления пусть порты устройства объявляют необходимый уровень мощности и приоритет мощности. Например, устройство может сравнить мощность, необходимую для IP-телефона, запущенного на интерфейсе PoE с доступными ресурсами. Если устройство не может удовлетворить ресурсы, необходимые для IP-телефона, устройство может согласовать с телефоном до тех пор, пока не будет достигнут компрометации по мощности.

Поддерживаются следующие основные TLV:

  • Идентификатор шасси — MAC-адрес локальной системой.

  • Идентификатор порта — идентификация порта указанного порта в локальной системе.

  • Port Description (Описание порта) — описание порта, настроенного пользователем. Максимальное значение описания порта — 256 символов.

  • System Name (Имя системы) — имя локальной системы, настроенное пользователем. Значение системного имени может быть не более 256 символов.

  • Обзор функций коммутатора — эта информация не настраивается, но взята из программного обеспечения.

  • System Capabilities (Возможности системы) — основная функция, выполняемая системой. возможности, поддерживаемые системой; например, коммутатор Ethernet или маршрутизатор. Эта информация не настраивается, а зависит от модели продукта.

  • Адрес управления . IP-адрес управления локальной системой.

Поддерживаются следующие TLV LLDP-MED:

  • LlDP-MED Capabilities (Возможности LLDP-MED) — TLV, объявляя основную функцию порта. Диапазон значений от 0 до 15:

    • 0 — возможности

    • 1 — сетвая политика

    • 2 — идентификация местоположения

    • 3 — Расширенная мощность через оборудование для питания интерфейса со средней зависимостью от него (MDI-PSE)

    • 4 — инвентаризация

    • 5–15—Reserved

  • Значения класса устройства LLDP-MED:

    • 0 — класс не определен

    • 1 — устройство класса 1

    • 2 — устройство класса 2

    • 3 — устройство 3-го класса

    • 4 — устройство сетевого подключения

    • 5— 255 — Зарезервировано

    Прим.:

    Начиная с Junos OS выпусков 15.1X49-D60 и Junos OS release 17.3R1, протокол обнаружения уровня соединения (LLDP) и обнаружение конечной точки связи LLDP-Media (MFD) включены на SRX300, SRX320, SRX340, SRX345, SRX550M и SRX1500 устройств.

  • Сетвая политика — TLV, которая объявляет конфигурацию VLAN порта и связанные атрибуты уровней 2 и 3. К атрибутам относятся идентификатор политики, типы приложений, такие как голосовое или потоковое видео, маркировка VLAN 802.1Q, а также биты приоритета 802.1p и кодЫ Diffserv.

  • Расположение конечной точки — TLV, в который сообщается физическое местоположение конечной точки.

  • Расширенная мощность через MDI — TLV, которая сообщает тип питания, источник питания, приоритет питания и значение мощности порта. Объявление приоритета питания порта возложено на устройство PSE (устройство сетевого подключения).

LLDP и LLDP-MED должны быть явно настроены на uPIM (в улучшенном режиме коммутации) на базовых портах SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 и SRX345, а также на модулях физического интерфейса Gigabit Backplane (GPIM) на SRX650 устройствах. (Поддержка платформы зависит от Junos OS версии установки.) Чтобы настроить LLDP на всех интерфейсах или на определенном интерфейсе, используйте утверждение на lldp уровне set protocols [] иерархии. Для настройки LLDP-MED на всех интерфейсах или на определенном интерфейсе используйте утверждение на lldp-med уровне set protocols [] иерархии.

Типы портов коммутатора

Порты или интерфейсы коммутатора работают либо в режиме доступа, либо trunk-режим.

Интерфейс в режиме доступа подключается к сетевому устройству, например к настольному компьютеру, IP-телефону, принтеру, файловом серверу или камере безопасности. Сам интерфейс принадлежит одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet.

Магистральные интерфейсы обрабатывают трафик для нескольких VLANs, мультиплексировать трафик для всех этих VNS, подключенных к одному физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов друг с другом.

uPIM в цепочке daisy

Нельзя объединить несколько uPIM для того, чтобы они действовали как один интегрированный коммутатор. Однако можно подключить uPIM на одном шасси внешне, физически подключив порт одного uPIM к порту другого uPIM в дейзи-цепочке.

Два или более uPIM-цепей создают один коммутатор с большим количеством портов по сравнению с отдельным uPIM. Один порт на каждом uPIM используется исключительно для подключения. Например, при цепной цепи uPIM с 6 портами и 8-портами uPIM результат будет действовать как 12-портовый uPIM. Любой порт uPIM можно использовать для цепочек с daisy-цепями.

Настройте IP-адрес только для одного из uPIM с цепями-цепями, что делает его основным uPIM. Вторичный uPIM передает трафик основному uPIM, который передает его модуль маршрутизации. Это приводит к некоторому увеличению задержки и отбрасывания пакетов из-за чрезмерной подписки внешнего соединения.

Поддерживается только один соединение между двумя uPIM. При соединении более чем одного соединения между uPIM создается не поддерживаемая топология петли.

Маркировка Q-in-Q VLAN

Туннелизация Q-in-Q, определяемая стандартом IEEE 802.1ad, позволяет поставщикам услуг в сетях доступа Ethernet расширить соединение Ethernet уровня 2 между двумя клиентами.

При туннелing Q-in-Q, когда пакет передается из клиентской VLAN (C-VLAN) в сеть VLAN поставщика услуг, к пакету добавляется метка 802.1Q для поставщика услуг. Эта дополнительная метка используется для разделения трафика на VLANs сервис-провайдеров (S-VLANs). Исходный тег пакета заказчика 802.1Q остается и передается прозрачным образом, проходя через сеть поставщика услуг. Когда пакет оставляет S-VLAN в 9-м направлении, дополнительная метка 802.1Q удаляется.

Прим.:

Когда туннелирование Q-in-Q настроено для сети VLAN поставщика услуг, все модуль маршрутизации, включая пакеты маршрутного интерфейса VLAN,которые передаются из клиентского порта доступа этой VLAN, всегда будут не разбиты.

Существует три способа соепарать сети C-VLAN с S-VLAN:

  • All-in-one bundling— используйте утверждение на уровне иерархии [] для карты без указания dot1q-tunnelingedit vlans клиентской сети VLANs. Все пакеты с определенного интерфейса доступа привязаны к S-VLAN.

  • Много к одному пучку — используйте утверждение на уровне иерархии [] чтобы указать, какие сети C-VLAN соотовяются с customer-vlansedit vlans S-VLAN.

  • Сопоставление C-VLAN на определенном интерфейсе — используйте утверждение уровня [] иерархии для сопоставления определенной C-VLAN на указанном интерфейсе доступа mappingedit vlans с S-VLAN.

Табл. 2 перечисляет сопоставление C-VLAN с сопоставлением S-VLAN, поддерживаемого серия SRX устройств. (Поддержка платформы зависит от Junos OS версии установки.)

Табл. 2: Поддерживаемые методы сопоставления

Сопоставление

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Все в одном комплектовом комплектовом подмене

да

да

Нет

Нет

да

да

да

да

много к одному комплекту

Нет

Нет

Нет

Нет

да

да

да

да

Сопоставление C-VLAN на определенном интерфейсе

Нет

Нет

Нет

Нет

да

да

да

да

Прим.:

Трансляция VLAN поддерживается на SRX300 и SRX320, и эти устройства не поддерживают туннеление Q-in-Q.

Прим.:

На SRX650 устройствах в параметрах конфигурации dot1q-туннелации клиентские сети VLAN диапазона и VLAN не работают вместе для одной и той же S-VLAN, даже если конфигурация не будет сконструироваться. Если настроены и те, и другое, то push-сети VLAN имеют приоритет над диапазоном VLAN клиента.

Интерфейсы IRB поддерживаются в VLANs Q-in-Q для SRX210, SRX240, SRX340, SRX345 и SRX650 устройств. Пакеты, поступающие на интерфейс IRB в сети Q-in-Q VLAN, маршрутзются независимо от того, является ли пакет одним или двойным тегом. Исходяльные маршрутные пакеты содержат тег S-VLAN только при выходе из магистрали интерфейса; при выходе из интерфейса доступа пакеты выходят из интерфейса без развязки. (Поддержка платформы зависит от Junos OS версии установки.)

При развертывании Q-in-Q клиентский пакеты с 9-х интерфейсов переносят без изменений MAC-адреса источника и назначения. Можно отключить MAC-адрес как на уровне интерфейса, так и на уровне VLAN. Отключение MAC-адрес на интерфейсе отключает обучение для всех VLANs, членом которых является этот интерфейс. При отключке MAC-адрес на VLAN, MAC-адреса, которые уже были выулены, сбрасываются.

На SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 и SRX650 (с поддержкой платформы в зависимости от Junos OS в установке), на агрегированном Ethernet уровня 3, следующие функции не поддерживают:

  • Инкапсуляция (например, CCC, VLAN CCC, VPLS и PPPoE)

  • J-Web

  • Начиная Junos OS выпуске 19.4R2, можно настроить LLDP на избыточных интерфейсах Ethernet (повторно). Используйте эту set protocol lldp interface <reth-interface> команду для настройки LLDP на повторном интерфейсе.

  • На устройствах SRX550M агрегируемый интерфейс Ethernet (ae) с интерфейсом-членом XE не может быть настроен с помощью семейства коммутаторов Ethernet.

  • На устройствах SRX320, SRX340, SRX345 и SRX550M поддержка Q-in-Q на интерфейсе 3-го уровня имеет следующие ограничения: SRX300

    • Двойная маркировка не поддерживается на интерфейсах reth и ae.

    • Многотопологическая маршрутизация не поддерживается в режиме потока и в кластерах с шасси.

    • Кадры с двойным тегом не поддерживаются в инкапсуляции (например, CCC, TCC, VPLS и PPPoE)

    • На логических интерфейсах уровня input-vlan-map 3, и они не output-vlan-mapinner-rangeinner-list применимы

    • Поддерживаются только 0x8100 TPID, а максимальное число тегов — 2.

    • Кадры с двойными тегами принимаются только для логических интерфейсов семейственности IPV4 и IPv6.

  • На SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 и SRX650 устройств (с поддержкой платформы в зависимости от Junos OS в установке), на маршрутизном интерфейсе VLAN (RVI) следующие функции не поддерживаются:

    • IS-IS (family ISO)

    • Инкапсуляция (Ether CCC, VLAN CCC, VPLS, PPPoE и так далее) на интерфейсах VLAN

    • CLNS

    • DVMRP

    • Изменение MAC-мас-интерфейса VLAN

    • G-ARP

    • Изменение VLAN-Id для интерфейса VLAN

Примере: Настройка режимов коммутации на устройствах безопасности

Требования

Перед началом работы см. обзор коммутатора портов Ethernet для устройств обеспечения безопасности.

Обзор

В данном примере вы настраивают и настраивают протокол chassis l2-learning в режим глобальной коммутации. Затем задан параметр физического порта для протоколов обучения l2.

Топологии

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Пошаговая процедура

Для настройки режима коммутации:

  1. Установите протокол l2-learning в режим глобальной коммутации.

  2. Установите параметр физического порта в протоколах обучения l2.

  3. После настройки устройства сфиксировать конфигурацию.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show protocolsshow interfaces команд и команд. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка режима коммутации

Цель

Убедитесь, что режим коммутации настроен, как ожидалось.

Действий

В рабочем режиме введите show ethernet-switching global-information команду.

Смысл

Пример выходных данных показывает, что глобальная коммутации режима настроена, как ожидалось.

Проверка коммутатора Ethernet на интерфейсе ge-0/0/1

Цель

Убедитесь, что коммутатор Ethernet настроен так, как ожидалось, на интерфейсе ge-0/0/1.

Действий

В рабочем режиме введите show interfaces ge-0/0/1 brief команду.

Смысл

Пример выходных данных показывает, что коммутатор Ethernet настроен на интерфейс ge-0/0/1, как и ожидалось.

Таблица истории выпусков
Версия
Описание
15.1X49-D60
Начиная с Junos OS выпусков 15.1X49-D60 и Junos OS release 17.3R1, протокол обнаружения уровня соединения (LLDP) и обнаружение конечной точки связи LLDP-Media (MFD) включены на SRX300, SRX320, SRX340, SRX345, SRX550M и SRX1500 устройств.