Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Modos de conmutación de puerto Ethernet en dispositivos de seguridad

Descripción de los modos de conmutación en dispositivos de seguridad

Hay dos tipos de modos de conmutación:

  • Modo de conmutación: el uPIM aparece en la lista de interfaces como una sola interfaz, que es la primera interfaz en el uPIM. Por ejemplo, ge-2/0/0. Opcionalmente, puede configurar cada puerto uPIM solo para la negociación automática, la velocidad y el modo dúplex. Un uPIM en modo de conmutación puede realizar las siguientes funciones:

    • Reenvío de capa 3: enruta el tráfico destinado a las interfaces WAN y otros PIM presentes en el chasis.

    • Reenvío de capa 2: conmuta el tráfico intraLAN de un host de la LAN a otro host de LAN (un puerto de uPIM a otro puerto del mismo uPIM).

  • Modo de conmutación mejorado: cada puerto se puede configurar para el modo de conmutación o enrutamiento. Este uso difiere de los modos de enrutamiento y conmutación, en los que todos los puertos deben estar en modo de conmutación o de enrutamiento. El uPIM en modo de conmutación mejorada ofrece las siguientes ventajas:

    Beneficios del modo de conmutación mejorado:

    • Admite la configuración de diferentes tipos de VLAN y enrutamiento entre VLAN.

    • Admite el protocolo de plano de control de capa 2, como el protocolo de control de agregación de vínculos (LACP).

    • Admite el control de acceso a la red basado en puertos (PNAC) mediante servidores de autenticación.

    Nota:

    Los dispositivos SRX300 y SRX320 solo admiten el modo de conmutación mejorado. Cuando se configura un uPIM multipuerto en modo de conmutación mejorado, todas las funciones de conmutación de capa 2 son compatibles con el uPIM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Puede establecer un uPIM de Gigabit Ethernet multipuerto en un dispositivo para que esté en modo de conmutación o de conmutación mejorado.

Cuando se establece un uPIM multipuerto en modo de conmutación, el uPIM aparece como una sola entidad para fines de supervisión. Las únicas opciones de puerto físico que puede configurar son la negociación automática, la velocidad y el modo dúplex en cada puerto uPIM, y estas opciones son opcionales.

Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad

Ciertos puertos en los dispositivos de Juniper Networks pueden funcionar como conmutadores de acceso Ethernet que conmutan el tráfico en la capa 2 y enrutan el tráfico en la capa 3.

Puede implementar dispositivos compatibles en sucursales como conmutadores de acceso o de escritorio con capacidad de enrutamiento integrada, eliminando así los dispositivos de conmutador de acceso intermedio de la topología de red. Los puertos Ethernet proporcionan conmutación, mientras que el motor de enrutamiento proporciona funcionalidad de enrutamiento, lo que le permite utilizar un único dispositivo para proporcionar enrutamiento, conmutación de acceso e interfaces WAN.

Este tema contiene las siguientes secciones:

Dispositivos y puertos compatibles

Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet (consulte Tabla 1). La compatibilidad de plataforma depende de la versión de Junos OS en su instalación. Se incluyen los siguientes puertos y dispositivos:

  • Puertos Ethernet incorporados (puertos Gigabit y Fast Ethernet integrados) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.

  • XPIM Gigabit Ethernet multipuerto en el dispositivo SRX650.

Tabla 1: Dispositivos y puertos compatibles con las funciones de conmutación

Dispositivo

Puertos

Dispositivos SRX100

Puertos Fast Ethernet integrados (fe-0/0/0 y fe-0/0/7)

Dispositivos SRX210

Puertos Gigabit Ethernet incorporados (ge-0/0/0 y ge-0/0/1) y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto.

Puertos Fast Ethernet integrados (fe-0/0/2 y fe-0/0/7)

Dispositivos SRX220

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto.

Dispositivos SRX240

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) y puerto Gigabit Ethernet SFP Mini-PIM de 1 puerto.

Dispositivos SRX300

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7)

Dispositivos SRX320

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7)

Dispositivos SRX340

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15)

Dispositivos SRX345

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15)

Dispositivos SRX550

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9, módulos XPIM Gigabit Ethernet multipuerto y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto.

SRX550M dispositivos

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9) y módulos XPIM Gigabit Ethernet multipuerto.

Dispositivos SRX650

Módulos XPIM Gigabit Ethernet multipuerto

Nota:

En los dispositivos SRX650, la conmutación Ethernet no se admite en las interfaces Gigabit Ethernet (puertos ge-0/0/0 a ge-0/0/3).

SRX1500 dispositivos

Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/19)

En el SRX100. En los dispositivos SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345, puede configurar los puertos Gigabit Ethernet integrados para que funcionen como puertos conmutados o puertos enrutados. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Puente y enrutamiento integrados

El enrutamiento y puente integrados (IRB) proporciona compatibilidad para el enrutamiento simultáneo de capa 2 y de capa 3 dentro de la misma VLAN. Los paquetes que llegan a una interfaz de la VLAN se conmutan o enrutan según la dirección MAC de destino del paquete. Los paquetes con la dirección MAC del router como destino se enrutan a otras interfaces de capa 3.

Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media

Los dispositivos usan el protocolo de detección de capa de vínculo (LLDP) y LLDP-Media Endpoint Discovery (MED) para aprender y distribuir información del dispositivo sobre los vínculos de red. La información permite que el dispositivo identifique rápidamente una variedad de sistemas, lo que resulta en una LAN que interopera sin problemas y de manera eficiente.

Los dispositivos compatibles con LLDP transmiten información en mensajes de valor de longitud de tipo (TLV) a dispositivos vecinos. La información del dispositivo puede incluir detalles específicos, como la identificación del chasis y del puerto, el nombre del sistema y las capacidades del sistema. Los TLV aprovechan esta información de parámetros que ya se han configurado en Junos OS.

LLDP-MED va un paso más allá, intercambiando mensajes de telefonía IP entre el dispositivo y el teléfono IP. Estos mensajes TLV proporcionan información detallada sobre la política de alimentación a través de Ethernet (PoE). Los TLV de administración PoE permiten que los puertos del dispositivo anuncien el nivel de energía y la prioridad de energía necesarios. Por ejemplo, el dispositivo puede comparar la energía que necesita un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta que se llegue a un compromiso sobre la alimentación.

Se admiten los siguientes TLV básicos:

  • Identificador de chasis: la dirección MAC asociada al sistema local.

  • Identificador de puerto: la identificación del puerto especificado en el sistema local.

  • Descripción del puerto: descripción del puerto configurada por el usuario. La descripción del puerto puede tener un máximo de 256 caracteres.

  • Nombre del sistema: el nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.

  • Descripción general de las funciones de conmutación: esta información no es configurable, sino que se ha tomado del software.

  • Capacidades del sistema: función principal que realiza el sistema. Las capacidades que admite el sistema; por ejemplo, conmutación Ethernet o enrutador. Esta información no es configurable, sino que se basa en el modelo del producto.

  • Dirección de administración: la dirección de administración IP del sistema local.

Se admiten los siguientes TLV LLDP-MED:

  • Capacidades de LLDP-MED: TLV que anuncia la función principal del puerto. Los valores oscilan entre 0 y 15:

    • 0—Capacidades

    • 1: Política de red

    • 2—Identificación de la ubicación

    • 3: Alimentación extendida a través de equipos de fuente de energía de interfaz dependientes del medio (MDI-PSE)

    • 4—Inventario

    • 5–15—Reservado

  • Valores de clase de dispositivo LLDP-MED:

    • 0: clase no definida

    • 1: dispositivo de clase 1

    • 2: dispositivo de clase 2

    • 3: dispositivo de clase 3

    • 4: Dispositivo de conectividad de red

    • 5–255— Reservado

    Nota:

    A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el Protocolo de detección de capa de vínculo (LLDP) y LLDP-Media Endpoint Discovery (MFD) están habilitados en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.

  • Política de red: TLV que anuncia la configuración de VLAN del puerto y los atributos asociados de capa 2 y capa 3. Los atributos incluyen el identificador de política, los tipos de aplicación, como voz o transmisión de video, el etiquetado VLAN 802.1Q, y los bits de prioridad 802.1p y los puntos de código Diffserv.

  • Ubicación del punto de conexión: TLV que anuncia la ubicación física del punto de conexión.

  • Alimentación extendida mediante MDI: un TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de energía del puerto. Es responsabilidad del dispositivo PSE (dispositivo de conectividad de red) anunciar la prioridad de energía en un puerto.

LLDP y LLDP-MED deben configurarse explícitamente en uPIM (en modo de conmutación mejorado) en puertos base en dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 y SRX345, y módulos de interfaz física de plano posterior Gigabit (GPIM) en dispositivos SRX650. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice la lldp instrucción en el nivel de jerarquía [set protocols]. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice la lldp-med instrucción en el nivel de jerarquía [set protocols].

Tipos de puertos de conmutación

Los puertos, o interfaces, en un conmutador funcionan en modo de acceso o en modo de troncalización.

Una interfaz en modo de acceso se conecta a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La interfaz en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.

Las interfaces troncales controlan el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN a través de la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores entre sí.

uPIM en cadena margarita

No puede combinar varios uPIM para actuar como un único conmutador integrado. Sin embargo, puede conectar uPIM en el mismo chasis externamente conectando físicamente un puerto en un uPIM a un puerto en otro uPIM en forma de conexión en cadena.

Dos o más uPIM conectados en cadena crean un único conmutador con un mayor número de puertos que cualquiera de los uPIM individuales. Un puerto en cada uPIM se utiliza únicamente para la conexión. Por ejemplo, si conecta en cadena un uPIM de 6 puertos y uno de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Cualquier puerto de un uPIM se puede utilizar para la conexión en cadena.

Configure la dirección IP para solo uno de los uPIM conectados en cadena, convirtiéndolo en el uPIM principal. El uPIM secundario enruta el tráfico al uPIM primario, que lo reenvía al motor de enrutamiento. Esto resulta en un cierto aumento en la latencia y caídas de paquetes debido a la sobresuscripción del enlace externo.

Solo se admite un vínculo entre los dos uPIM. La conexión de más de un vínculo entre uPIM crea una topología de bucle, que no se admite.

Etiquetado VLAN Q-in-Q

La tunelización Q-in-Q, definida por el estándar IEEE 802.1ad, permite a los proveedores de servicios en redes de acceso Ethernet extender una conexión Ethernet de capa 2 entre dos sitios de cliente.

En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega al paquete una etiqueta 802.1Q específica del proveedor de servicios. Esta etiqueta adicional se utiliza para dividir el tráfico en las VLAN de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q original del cliente en el paquete se mantiene y transmite de forma transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete abandona la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.

Nota:

Cuando se configura la tunelización Q-in-Q para la VLAN de un proveedor de servicios, todos los paquetes del motor de enrutamiento, incluidos los paquetes de la interfaz VLAN enrutada, que se transmiten desde el puerto de acceso orientado al cliente de esa VLAN siempre se desetiquetarán.

Existen tres formas de asignar C-VLAN a una S-VLAN:

  • Agrupación todo en uno: utilice la dot1q-tunneling instrucción en el nivel de jerarquía [edit vlans] para asignar sin especificar VLAN de cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.

  • Agrupación varios a uno: utilice la customer-vlans instrucción en el nivel de jerarquía [edit vlans] para especificar qué C-VLAN se asignan a la S-VLAN.

  • Asignación de C-VLAN en una interfaz específica: utilice la mapping instrucción en el nivel de jerarquía [edit vlans] para asignar una C-VLAN específica en una interfaz de acceso especificada a la S-VLAN.

Tabla 2 enumera la asignación de C-VLAN a S-VLAN admitida en los firewalls de la serie SRX. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Tabla 2: Métodos de asignación admitidos

Cartografía

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

Agrupación todo en uno

No

No

Agrupación varios a uno

No

No

No

No

Mapeo de C-VLAN en una interfaz específica

No

No

No

No

Nota:

La traducción de VLAN se admite en dispositivos SRX300 y SRX320, y estos dispositivos no admiten la tunelización Q-in-Q.

Nota:

En los dispositivos SRX650, en las opciones de configuración de túnel dot1q, el rango de VLAN del cliente y la inserción de VLAN no funcionan juntos para la misma S-VLAN, incluso cuando se confirma la configuración. Si ambos están configurados, la inserción de VLAN tiene prioridad sobre el rango de VLAN del cliente.

Las interfaces IRB son compatibles con VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan independientemente de si el paquete tiene una o dos etiquetas. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz de troncalización; los paquetes salen de la interfaz sin etiqueta cuando salen de una interfaz de acceso. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

En una implementación Q-in-Q, los paquetes de clientes de interfaces descendentes se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC tanto en el nivel de interfaz como en el de VLAN. Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN a las cuales pertenece esa interfaz. Cuando desactive el aprendizaje de dirección MAC en una VLAN, se vaciarán las direcciones MAC que ya se hayan aprendido.

En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma según la versión de Junos OS en su instalación), en Ethernet agregada de capa 3, no se admiten las siguientes funciones:

  • Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)

  • J-Web

  • A partir de Junos OS versión 19.4R2, puede configurar el LLDP en interfaces Ethernet redundantes (reth). Utilice el set protocol lldp interface <reth-interface> comando para configurar LLDP en la interfaz reth.

  • En SRX550M dispositivos, la interfaz Ethernet agregada (ae) con la interfaz miembro XE no se puede configurar con la familia de conmutación Ethernet.

  • En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:

    • El doble etiquetado no se admite en las interfaces reth y ae.

    • El enrutamiento multitopología no se admite en el modo de flujo ni en los clústeres de chasis.

    • Las tramas de etiqueta dual no se admiten en encapsulaciones (como CCC, TCC, VPLS y PPPoE)

    • En las interfaces lógicas de capa 3, input-vlan-map, output-vlan-mapinner-range, y inner-list no son aplicables

    • Solo se admiten TPID con 0x8100 y el número máximo de etiquetas es 2.

    • Las tramas con etiqueta dual solo se aceptan para interfaces lógicas con familias IPV4 e IPv6.

  • En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma según la versión de Junos OS en su instalación), en la interfaz VLAN enrutada (RVI), no se admiten las siguientes funciones:

    • IS-IS (ISO de familia)

    • Encapsulaciones (ya sea CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN

    • CLNS

    • DVMRP

    • Cambio en MAC de interfaz VLAN

    • G-ARP

    • Cambio de ID de VLAN para interfaz VLAN

Ejemplo: Configuración de modos de conmutación en dispositivos de seguridad

Descripción general

En este ejemplo, configure chassis y establezca el protocolo de aprendizaje l2 en conmutación de modo global. A continuación, establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar el modo de conmutación:

  1. Establezca el protocolo de aprendizaje l2 en la conmutación de modo global.

  2. Establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Resultados

Desde el modo de configuración, escriba los comandos show protocols y show interfaces para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Verificación del modo de conmutación

Propósito

Asegúrese de que el modo de conmutación está configurado como se esperaba.

Acción

Desde el modo operativo, ingrese el comando show ethernet-switching global-information.

Significado

El resultado de ejemplo muestra que la conmutación de modo global está configurada como se esperaba.

Verificación de la conmutación Ethernet en la interfaz ge-0/0/1

Propósito

Asegúrese de que la conmutación Ethernet esté configurada como se esperaba en la interfaz ge-0/0/1.

Acción

Desde el modo operativo, ingrese el comando show interfaces ge-0/0/1 brief.

Significado

El resultado de ejemplo muestra que la conmutación Ethernet está configurada en la interfaz ge-0/0/1 como se esperaba.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
15.1X49-D60
A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el Protocolo de detección de capa de vínculo (LLDP) y LLDP-Media Endpoint Discovery (MFD) están habilitados en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.