Modos de comutação de portas Ethernet em dispositivos de segurança
Entendendo os modos de comutação em dispositivos de segurança
Existem dois tipos de modos de comutação:
Modo de comutação — o uPIM aparece na lista de interfaces como uma única interface, que é a primeira interface no uPIM. Por exemplo, ge-2/0/0. Você pode configurar opcionalmente cada porta uPIM apenas para autonegotiação, velocidade e modo duplex. Um uPIM no modo de comutação pode executar as seguintes funções:
Encaminhamento de camada 3 — Roteia o tráfego destinado a interfaces WAN e outros PIMs presentes no chassi.
Encaminhamento de camada 2 — switches de tráfego intra-LAN de um host na LAN para outro host LAN (uma porta de uPIM para outra porta da mesma uPIM).
Modo de comutação aprimorado — cada porta pode ser configurada para o modo de comutação ou roteamento. Essa utilização difere dos modos de roteamento e comutação, nos quais todas as portas devem estar no modo de comutação ou roteamento. O uPIM no modo de comutação aprimorado oferece os seguintes benefícios:
Benefícios do modo switch enhnanced:
Oferece suporte à configuração de diferentes tipos de VLANs e roteamento entre VLAN.
Oferece suporte ao protocolo de plano de controle de Camada 2, como o Link Aggregation Control Protocol (LACP).
Oferece suporte ao controle de acesso à rede (PNAC) baseado em porta por meio de servidores de autenticação.
Nota:Os dispositivos SRX300 e SRX320 oferecem suporte apenas ao modo de comutação aprimorado. Quando você define um uPIM multiport para um modo de comutação aprimorado, todos os recursos de comutação de Camada 2 são suportados no uPIM. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Você pode definir um uPIM Ethernet Gigabit multiport em um dispositivo para comutação ou modo de comutação aprimorado.
Quando você define um uPIM multiport para o modo de comutação, o uPIM aparece como uma única entidade para fins de monitoramento. As únicas configurações físicas de porta que você pode configurar são autonegotiação, velocidade e modo duplex em cada porta uPIM, e essas configurações são opcionais.
Visão geral de comutação das portas Ethernet para dispositivos de segurança
Determinadas portas em dispositivos da Juniper Networks podem funcionar como switches de acesso Ethernet que trocam o tráfego na Camada 2 e roteam o tráfego na Camada 3.
Você pode implantar dispositivos compatíveis em escritórios de filiais como um switch de acesso ou desktop com recursos de roteamento integrados, eliminando assim dispositivos de switches de acesso intermediário da topologia de sua rede. As portas Ethernet oferecem comutação enquanto o Mecanismo de Roteamento oferece funcionalidade de roteamento, permitindo que você use um único dispositivo para fornecer interfaces de roteamento, comutação de acesso e WAN.
Este tópico contém as seguintes seções:
- Dispositivos e portas com suporte
- Pontes e roteamento integrados
- Link Layer Discovery Protocol e LLDP-Media Endpoint Discovery
- Tipos de portas de switch
- uPIM em uma cadeia de margaridas
- Tags Q-in-Q VLAN
Dispositivos e portas com suporte
A Juniper Networks oferece suporte a recursos de comutação em uma variedade de portas e dispositivos Ethernet (ver Tabela 1). O suporte da plataforma depende da versão do Junos OS em sua instalação. As seguintes portas e dispositivos estão incluídos:
Portas Ethernet integradas (Portas Gigabit e Fast Ethernet integradas) nos dispositivos SRX300, SRX320, SRX320, SRX320, SRX340, SRX345, SRX550M e SRX1500.
Multiport Gigabit Ethernet XPIM no dispositivo SRX650.
Dispositivo |
Portas |
---|---|
Dispositivos SRX100 |
Integre portas Ethernet rápidas (fe-0/0/0 e fe-0/0/7) |
Dispositivos SRX210 |
Portas Ethernet Gigabit integradas (ge-0/0/0 e ge-0/0/1) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit. Integre portas Ethernet rápidas (fe-0/0/2 e fe-0/0/7) |
Dispositivos SRX220 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit. |
Dispositivos SRX240 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15) e porta Ethernet SFP Mini-PIM de 1 porta Gigabit. |
Dispositivos SRX300 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7) |
Dispositivos SRX320 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/7) |
Dispositivos SRX340 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15) |
Dispositivos SRX345 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/15) |
Dispositivos SRX550 |
Integre as portas Gigabit Ethernet (ge-0/0/0 até ge-0/0/9, módulos Ethernet XPIM multiport Gigabit e 1 porta Gigabit Ethernet SFP Mini-PIM. |
dispositivos SRX550M |
Integre as portas Gigabit Ethernet (módulos ge-0/0/0 até ge-0/0/9 e multiport Gigabit Ethernet XPIM. |
Dispositivos SRX650 |
Módulos Ethernet XPIM multiport Gigabit Nota:
Nos dispositivos SRX650, a comutação Ethernet não é suportada em interfaces Ethernet Gigabit (ge-0/0/0 até portas ge-0/0/3). |
dispositivos SRX1500 |
Portas Ethernet Gigabit integradas (ge-0/0/0 até ge-0/0/19) |
No SRX100. SRX220, SRX240, SRX300, SRX320, SRX340 e SRX345, você pode definir as portas Ethernet Gigabit a bordo para operar como portas comutadas ou portas roteadas. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Pontes e roteamento integrados
A ponte integrada e o roteamento (IRB) oferecem suporte para o roteamento simultâneo de Camada 2 e roteamento de Camada 3 dentro da mesma VLAN. Os pacotes que chegam em uma interface da VLAN são comutos ou roteados com base no endereço MAC de destino do pacote. Os pacotes com o endereço MAC do roteador como destino são roteados para outras interfaces de Camada 3.
Link Layer Discovery Protocol e LLDP-Media Endpoint Discovery
Os dispositivos usam o Link Layer Discovery Protocol (LLDP) e o LLDP-Media Endpoint Discovery (MED) para aprender e distribuir informações de dispositivos sobre links de rede. As informações permitem que o dispositivo identifique rapidamente uma variedade de sistemas, resultando em uma LAN que interopera de maneira suave e eficiente.
Dispositivos capazes de LLDP transmitem informações em mensagens de Valor de Comprimento de Tipo (TLV) para dispositivos vizinhos. As informações do dispositivo podem incluir detalhes, como identificação de chassis e portas, nome do sistema e recursos do sistema. As TLVs aproveitam essas informações dos parâmetros que já foram configurados no Junos OS.
O LLDP-MED vai um passo adiante, trocando mensagens de telefonia IP entre o dispositivo e o telefone IP. Essas mensagens TLV fornecem informações detalhadas sobre a política de Power over Ethernet (PoE). As TLVs de gerenciamento de PoE permitem que as portas do dispositivo anunciem o nível de energia e a prioridade de energia necessárias. Por exemplo, o dispositivo pode comparar a energia necessária por um telefone IP em execução em uma interface PoE com recursos disponíveis. Se o dispositivo não conseguir atender aos recursos exigidos pelo telefone IP, o dispositivo pode negociar com o telefone até que um compromisso sobre a energia seja alcançado.
As TLVs básicas a seguir são suportadas:
Identificador de chassi — o endereço MAC associado ao sistema local.
Identificador de porta — A identificação da porta para a porta especificada no sistema local.
Descrição da porta — A descrição da porta configurada pelo usuário. A descrição da porta pode ser de no máximo 256 caracteres.
Nome do sistema — o nome configurado pelo usuário do sistema local. O nome do sistema pode ser de no máximo 256 caracteres.
Visão geral dos recursos de comutação — essas informações não são configuráveis, mas retiradas do software.
Recursos do sistema — a função primária executada pelo sistema. Os recursos que o sistema oferece suporte; por exemplo, comutação ou roteador Ethernet. Essas informações não são configuráveis, mas baseadas no modelo do produto.
Endereço de gerenciamento — o endereço de gerenciamento de IP do sistema local.
As TLVs LLDP-MED a seguir têm suporte:
Recursos LLDP-MED — um TLV que anuncia a função primária da porta. Os valores variam de 0 a 15:
0 — recursos
1 — Política de rede
2 — Identificação de localização
3 — Energia estendida por meio de equipamentos de fonte de energia de interface de média dependente (MDI-PSE)
4 — Inventário
5-15 — Reservado
Valores de classe de dispositivo LLDP-MED:
0 — Classe não definida
1 — dispositivo de classe 1
2 — dispositivo de classe 2
3 — dispositivo classe 3
4 — dispositivo de conectividade de rede
5-255 — Reservado
Nota:A partir do Junos OS Release 15.1X49-D60 e Junos OS Release 17.3R1, Link Layer Discovery Protocol (LLDP) e LLDP-Media Endpoint Discovery (MFD) estão habilitados para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500.
Política de rede — um TLV que anuncia a configuração VLAN de porta e atributos de Camada 2 e Camada 3 associados. Os atributos incluem o identificador de políticas, tipos de aplicativos, como voz ou streaming de vídeo, tags VLAN 802.1Q e bits de prioridade de 802.1p e pontos de código Diffserv.
Localização do endpoint — um TLV que anuncia a localização física do endpoint.
Energia estendida via MDI — um TLV que anuncia o tipo de energia, fonte de energia, prioridade de energia e valor de energia da porta. É responsabilidade do dispositivo PSE (dispositivo de conectividade de rede) anunciar a prioridade de energia em uma porta.
LLDP e LLDP-MED devem ser configurados explicitamente em uPIMs (no modo de comutação aprimorado) em portas base nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 e SRX345, e módulos de interface física gigabit backplane (GPIMs) em dispositivos SRX650. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) Para configurar o LLDP em todas as interfaces ou em uma interface específica, use a lldp
declaração no nível [set protocols
] de hierarquia. Para configurar o LLDP-MED em todas as interfaces ou em uma interface específica, use a lldp-med
declaração no nível [set protocols
] de hierarquia.
Tipos de portas de switch
As portas, ou interfaces, em um switch operam no modo de acesso ou no modo tronco.
Uma interface no modo de acesso se conecta a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A interface em si pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais.
As interfaces de tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego para todas essas VLANs pela mesma conexão física. As interfaces de tronco geralmente são usadas para interconectar switches entre si.
uPIM em uma cadeia de margaridas
Você não pode combinar vários uPIMs para agir como um único switch integrado. No entanto, você pode conectar uPIMs no mesmo chassi externamente conectando fisicamente uma porta em um uPIM a uma porta em outro uPIM de forma margarida.
Dois ou mais uPIMs encadeados juntos criam um único switch com uma contagem de portas maior do que qualquer uPIM individual. Uma única porta em cada uPIM é usada apenas para a conexão. Por exemplo, se você conectar um uPIM de 6 portas e um uPIM de 8 portas, o resultado funciona como um uPIM de 12 portas. Qualquer porta de uPIM pode ser usada para o encadeamento de margaridas.
Configure o endereço IP para apenas um dos uPIMs encadeados, tornando-o o uPIM primário. O uPIM secundário encaminha o tráfego para o uPIM primário, que o encaminha ao Mecanismo de Roteamento. Isso resulta em algum aumento na latência e quedas de pacotes devido à sobrescrição do link externo.
Apenas um link entre os dois uPIMs é suportado. Conectar mais de um link entre uPIMs cria uma topologia de loop, que não é suportada.
Tags Q-in-Q VLAN
O tunelamento Q-in-Q, definido pelo padrão IEEE 802.1ad, permite que provedores de serviços em redes de acesso Ethernet estendam uma conexão Ethernet de Camada 2 entre dois sites de clientes.
No tunelamento Q-in-Q, enquanto um pacote viaja de um VLAN do cliente (C-VLAN) para a VLAN de um provedor de serviços, uma tag 802.1Q específica para um provedor de serviços é adicionada ao pacote. Essa tag adicional é usada para segregar o tráfego em VLANs de serviços definidas por provedores de serviços (S-VLANs). A tag 802.1Q do cliente original do pacote permanece e é transmitida de forma transparente, passando pela rede do provedor de serviços. Conforme o pacote deixa o S-VLAN na direção downstream, a tag extra 802.1Q é removida.
Quando o tunelamento Q-in-Q for configurado para o VLAN de um provedor de serviços, todos os pacotes de Mecanismo de Roteamento, incluindo pacotes da interface VLAN roteada, que são transmitidos da porta de acesso voltada para o cliente dessa VLAN, sempre estarão desafaçados.
Existem três maneiras de mapear C-VLANs para uma S-VLAN:
Agrupamento all-in-one — Use a
dot1q-tunneling
declaração no nível [edit vlans
] de hierarquia para mapear sem especificar as VLANs dos clientes. Todos os pacotes de uma interface de acesso específica são mapeados para o S-VLAN.Agrupamento de muitos para um — Use a
customer-vlans
declaração no nível [edit vlans
] de hierarquia para especificar quais C-VLANs são mapeadas para a S-VLAN.Mapeamento do C-VLAN em uma interface específica — Use a
mapping
declaração no nível [edit vlans
] de hierarquia para mapear um C-VLAN específico em uma interface de acesso especificada para o S-VLAN.
Tabela 2 lista o mapeamento C-VLAN para S-VLAN suportado em firewalls da Série SRX. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Mapeamento |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
---|---|---|---|---|---|---|---|---|
Agrupamento all-in-one |
Sim |
Sim |
Não |
Não |
Sim |
Sim |
Sim |
Sim |
Agrupamento de muitos para um |
Não |
Não |
Não |
Não |
Sim |
Sim |
Sim |
Sim |
Mapeamento do C-VLAN em uma interface específica |
Não |
Não |
Não |
Não |
Sim |
Sim |
Sim |
Sim |
A tradução de VLAN é suportada em dispositivos SRX300 e SRX320 e esses dispositivos não suportam tunelamento Q-in-Q.
Nos dispositivos SRX650, nas opções de configuração de tunelamento de ponto1q, as VLANs do cliente e o push VLAN não funcionam juntos para o mesmo S-VLAN, mesmo quando você confirma a configuração. Se ambos estiverem configurados, o push VLAN tem prioridade sobre a faixa de VLANs do cliente.
As interfaces IRB são suportadas em VLANs Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 e SRX650. Os pacotes que chegam em uma interface IRB em um VLAN Q-in-Q são roteados, independentemente de o pacote ser único ou com marca dupla. Os pacotes roteados de saída contêm apenas uma tag S-VLAN ao sair de uma interface de tronco; os pacotes saem da interface sem registro ao sair de uma interface de acesso. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Em uma implantação Q-in-Q, os pacotes de clientes de interfaces downstream são transportados sem qualquer alteração nos endereços MAC de origem e destino. Você pode desativar o aprendizado de endereço MAC tanto no nível de interface quanto no nível de VLAN. Desativar o aprendizado de endereço MAC em uma interface desativa o aprendizado para todas as VLANs das quais essa interface é um membro. Quando você desativa o aprendizado de endereço MAC em uma VLAN, os endereços MAC que já foram aprendidos ficam limpos.
Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte de plataforma dependendo do lançamento do Junos OS em sua instalação), na Ethernet agregada de Camada 3, os seguintes recursos não são suportados:
Encapsulamentos (como CCC, VLAN CCC, VPLS e PPPoE)
J-Web
A partir do Junos OS Release 19.4R2, você pode configurar o LLDP em interfaces redundantes de Ethernet (reth). Use o
set protocol lldp interface <reth-interface>
comando para configurar o LLDP na interface de reth.
Em SRX550M dispositivos, a interface agregada de Ethernet (ae) com interface de membro XE não pode ser configurada com a família de comutação Ethernet.
Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, o suporte Q-in-Q em uma interface de Camada 3 tem as seguintes limitações:
A tag dupla não é suportada em interfaces de reth e ae.
O roteamento multitopologia não é suportado no modo de fluxo e em clusters de chassi.
Os quadros com tag dupla não são suportados em encapsulamentos (como CCC, TCC, VPLS e PPPoE)
Em interfaces lógicas de Camada 3,
input-vlan-map
output-vlan-map
inner-range
einner-list
não são aplicáveisApenas TPIDs com 0x8100 são suportados, e o número máximo de tags é 2.
Os quadros com tag dupla são aceitos apenas para interfaces lógicas com famílias IPV4 e IPv6.
Nos dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 e SRX650 (com suporte de plataforma dependendo da versão do Junos OS em sua instalação), na interface VLAN roteada (RVI), os seguintes recursos não são suportados:
IS-IS (ISO familiar)
Encapsulamentos (Ether CCC, VLAN CCC, VPLS, PPPoE e assim por diante) em interfaces VLAN
CLNS
DVMRP
Mudança MAC da interface VLAN
G-ARP
Altere o VLAN-Id para a interface VLAN
Exemplo: Configuração de modos de comutação em dispositivos de segurança
Requisitos
Antes de começar, veja a visão geral de comutação das portas Ethernet para dispositivos de segurança.
Visão geral
Neste exemplo, você configura chassis
e define o protocolo de aprendizado L2 para comutação de modo global. Em seguida, você define um parâmetro de porta física nos protocolos de aprendizado l2.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Procedimento passo a passo
Para configurar o modo de comutação:
Defina o protocolo de aprendizado L2 para a comutação de modo global.
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
Definir um parâmetro de porta física nos protocolos de aprendizado l2.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show protocols
comandos e show interfaces
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host# show protocols l2-learning { global-mode switching; }
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family ethernet-switching { interface-mode access; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando o modo de comutação
Propósito
Certifique-se de que o modo de comutação esteja configurado como esperado.
Ação
A partir do modo operacional, entre no show ethernet-switching global-information
comando.
user@host> show ethernet-switching global-information
Global Configuration: MAC aging interval : 300 MAC learning : Enabled MAC statistics : Disabled MAC limit Count : 16383 MAC limit hit : Disabled MAC packet action drop: Disabled MAC+IP aging interval : IPv4 - 1200 seconds IPv6 - 1200 seconds MAC+IP limit Count : 393215 MAC+IP limit reached : No LE aging time : 1200 LE VLAN aging time : 1200 Global Mode : Switching RE state : Master
Significado
A saída de amostra mostra que a comutação de modo global está configurada como esperado.
Verificando a comutação de ethernet na Interface ge-0/0/1
Propósito
Certifique-se de que a comutação Ethernet esteja configurada conforme esperado na interface ge-0/0/1.
Ação
A partir do modo operacional, entre no show interfaces ge-0/0/1 brief
comando.
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online Device flags : Present Running Down Interface flags: Hardware-Down SNMP-Traps Internal: 0x0 Link flags : None Logical interface ge-0/0/1.0 Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge Security: Zone: Null eth-switch
Significado
A saída de amostra mostra que a comutação Ethernet está configurada na interface ge-0/0/1, como esperado.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.