Modos de conmutación de puerto Ethernet en dispositivos de seguridad
Descripción de los modos de conmutación en dispositivos de seguridad
Hay dos tipos de modos de conmutación:
Modo de conmutación: el uPIM aparece en la lista de interfaces como una sola interfaz, que es la primera interfaz en el uPIM. Por ejemplo, ge-2/0/0. Opcionalmente, puede configurar cada puerto uPIM solo para la negociación automática, la velocidad y el modo dúplex. Un uPIM en modo de conmutación puede realizar las siguientes funciones:
Reenvío de capa 3: enruta el tráfico destinado a las interfaces WAN y otros PIM presentes en el chasis.
Reenvío de capa 2: conmuta el tráfico intraLAN de un host de la LAN a otro host de LAN (un puerto de uPIM a otro puerto del mismo uPIM).
Modo de conmutación mejorado: cada puerto se puede configurar para el modo de conmutación o enrutamiento. Este uso difiere de los modos de enrutamiento y conmutación, en los que todos los puertos deben estar en modo de conmutación o de enrutamiento. El uPIM en modo de conmutación mejorada ofrece las siguientes ventajas:
Beneficios del modo de conmutación mejorado:
Admite la configuración de diferentes tipos de VLAN y enrutamiento entre VLAN.
Admite el protocolo de plano de control de capa 2, como el protocolo de control de agregación de vínculos (LACP).
Admite el control de acceso a la red basado en puertos (PNAC) mediante servidores de autenticación.
Nota:Los dispositivos SRX300 y SRX320 solo admiten el modo de conmutación mejorado. Cuando se configura un uPIM multipuerto en modo de conmutación mejorado, todas las funciones de conmutación de capa 2 son compatibles con el uPIM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Puede establecer un uPIM de Gigabit Ethernet multipuerto en un dispositivo para que esté en modo de conmutación o de conmutación mejorado.
Cuando se establece un uPIM multipuerto en modo de conmutación, el uPIM aparece como una sola entidad para fines de supervisión. Las únicas opciones de puerto físico que puede configurar son la negociación automática, la velocidad y el modo dúplex en cada puerto uPIM, y estas opciones son opcionales.
Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad
Ciertos puertos en los dispositivos de Juniper Networks pueden funcionar como conmutadores de acceso Ethernet que conmutan el tráfico en la capa 2 y enrutan el tráfico en la capa 3.
Puede implementar dispositivos compatibles en sucursales como conmutadores de acceso o de escritorio con capacidad de enrutamiento integrada, eliminando así los dispositivos de conmutador de acceso intermedio de la topología de red. Los puertos Ethernet proporcionan conmutación, mientras que el motor de enrutamiento proporciona funcionalidad de enrutamiento, lo que le permite utilizar un único dispositivo para proporcionar enrutamiento, conmutación de acceso e interfaces WAN.
Este tema contiene las siguientes secciones:
- Dispositivos y puertos compatibles
- Puente y enrutamiento integrados
- Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media
- Tipos de puertos de conmutación
- uPIM en cadena margarita
- Etiquetado VLAN Q-in-Q
Dispositivos y puertos compatibles
Juniper Networks admite funciones de conmutación en una variedad de puertos y dispositivos Ethernet (consulte Tabla 1). La compatibilidad de plataforma depende de la versión de Junos OS en su instalación. Se incluyen los siguientes puertos y dispositivos:
Puertos Ethernet incorporados (puertos Gigabit y Fast Ethernet integrados) en los dispositivos SRX300, SRX320, SRX320 PoE, SRX340, SRX345, SRX550M y SRX1500.
XPIM Gigabit Ethernet multipuerto en el dispositivo SRX650.
Dispositivo |
Puertos |
|---|---|
Dispositivos SRX100 |
Puertos Fast Ethernet integrados (fe-0/0/0 y fe-0/0/7) |
Dispositivos SRX210 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 y ge-0/0/1) y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto. Puertos Fast Ethernet integrados (fe-0/0/2 y fe-0/0/7) |
Dispositivos SRX220 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto. |
Dispositivos SRX240 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) y puerto Gigabit Ethernet SFP Mini-PIM de 1 puerto. |
Dispositivos SRX300 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) |
Dispositivos SRX320 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/7) |
Dispositivos SRX340 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) |
Dispositivos SRX345 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/15) |
Dispositivos SRX550 |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9, módulos XPIM Gigabit Ethernet multipuerto y puerto Mini-PIM SFP Gigabit Ethernet de 1 puerto. |
SRX550M dispositivos |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/9) y módulos XPIM Gigabit Ethernet multipuerto. |
Dispositivos SRX650 |
Módulos XPIM Gigabit Ethernet multipuerto Nota:
En los dispositivos SRX650, la conmutación Ethernet no se admite en las interfaces Gigabit Ethernet (puertos ge-0/0/0 a ge-0/0/3). |
SRX1500 dispositivos |
Puertos Gigabit Ethernet incorporados (ge-0/0/0 a ge-0/0/19) |
En el SRX100. En los dispositivos SRX220, SRX240, SRX300, SRX320, SRX340 y SRX345, puede configurar los puertos Gigabit Ethernet integrados para que funcionen como puertos conmutados o puertos enrutados. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Puente y enrutamiento integrados
El enrutamiento y puente integrados (IRB) proporciona compatibilidad para el enrutamiento simultáneo de capa 2 y de capa 3 dentro de la misma VLAN. Los paquetes que llegan a una interfaz de la VLAN se conmutan o enrutan según la dirección MAC de destino del paquete. Los paquetes con la dirección MAC del router como destino se enrutan a otras interfaces de capa 3.
Protocolo de descubrimiento de capa de vínculo y descubrimiento de punto de conexión LLDP-Media
Los dispositivos usan el protocolo de detección de capa de vínculo (LLDP) y LLDP-Media Endpoint Discovery (MED) para aprender y distribuir información del dispositivo sobre los vínculos de red. La información permite que el dispositivo identifique rápidamente una variedad de sistemas, lo que resulta en una LAN que interopera sin problemas y de manera eficiente.
Los dispositivos compatibles con LLDP transmiten información en mensajes de valor de longitud de tipo (TLV) a dispositivos vecinos. La información del dispositivo puede incluir detalles específicos, como la identificación del chasis y del puerto, el nombre del sistema y las capacidades del sistema. Los TLV aprovechan esta información de parámetros que ya se han configurado en Junos OS.
LLDP-MED va un paso más allá, intercambiando mensajes de telefonía IP entre el dispositivo y el teléfono IP. Estos mensajes TLV proporcionan información detallada sobre la política de alimentación a través de Ethernet (PoE). Los TLV de administración PoE permiten que los puertos del dispositivo anuncien el nivel de energía y la prioridad de energía necesarios. Por ejemplo, el dispositivo puede comparar la energía que necesita un teléfono IP que se ejecuta en una interfaz PoE con los recursos disponibles. Si el dispositivo no puede cumplir con los recursos requeridos por el teléfono IP, el dispositivo podría negociar con el teléfono hasta que se llegue a un compromiso sobre la alimentación.
Se admiten los siguientes TLV básicos:
Identificador de chasis: la dirección MAC asociada al sistema local.
Identificador de puerto: la identificación del puerto especificado en el sistema local.
Descripción del puerto: descripción del puerto configurada por el usuario. La descripción del puerto puede tener un máximo de 256 caracteres.
Nombre del sistema: el nombre configurado por el usuario del sistema local. El nombre del sistema puede tener un máximo de 256 caracteres.
Descripción general de las funciones de conmutación: esta información no es configurable, sino que se ha tomado del software.
Capacidades del sistema: función principal que realiza el sistema. Las capacidades que admite el sistema; por ejemplo, conmutación Ethernet o enrutador. Esta información no es configurable, sino que se basa en el modelo del producto.
Dirección de administración: la dirección de administración IP del sistema local.
Se admiten los siguientes TLV LLDP-MED:
Capacidades de LLDP-MED: TLV que anuncia la función principal del puerto. Los valores oscilan entre 0 y 15:
0—Capacidades
1: Política de red
2—Identificación de la ubicación
3: Alimentación extendida a través de equipos de fuente de energía de interfaz dependientes del medio (MDI-PSE)
4—Inventario
5–15—Reservado
Valores de clase de dispositivo LLDP-MED:
0: clase no definida
1: dispositivo de clase 1
2: dispositivo de clase 2
3: dispositivo de clase 3
4: Dispositivo de conectividad de red
5–255— Reservado
Nota:A partir de Junos OS versión 15.1X49-D60 y Junos OS versión 17.3R1, el Protocolo de detección de capa de vínculo (LLDP) y LLDP-Media Endpoint Discovery (MFD) están habilitados en dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M y SRX1500.
Política de red: TLV que anuncia la configuración de VLAN del puerto y los atributos asociados de capa 2 y capa 3. Los atributos incluyen el identificador de política, los tipos de aplicación, como voz o transmisión de video, el etiquetado VLAN 802.1Q, y los bits de prioridad 802.1p y los puntos de código Diffserv.
Ubicación del punto de conexión: TLV que anuncia la ubicación física del punto de conexión.
Alimentación extendida mediante MDI: un TLV que anuncia el tipo de alimentación, la fuente de alimentación, la prioridad de alimentación y el valor de energía del puerto. Es responsabilidad del dispositivo PSE (dispositivo de conectividad de red) anunciar la prioridad de energía en un puerto.
LLDP y LLDP-MED deben configurarse explícitamente en uPIM (en modo de conmutación mejorado) en puertos base en dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340 y SRX345, y módulos de interfaz física de plano posterior Gigabit (GPIM) en dispositivos SRX650. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Para configurar LLDP en todas las interfaces o en una interfaz específica, utilice la lldp instrucción en el nivel de jerarquía [set protocols]. Para configurar LLDP-MED en todas las interfaces o en una interfaz específica, utilice la lldp-med instrucción en el nivel de jerarquía [set protocols].
Tipos de puertos de conmutación
Los puertos, o interfaces, en un conmutador funcionan en modo de acceso o en modo de troncalización.
Una interfaz en modo de acceso se conecta a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. La interfaz en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales.
Las interfaces troncales controlan el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN a través de la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores entre sí.
uPIM en cadena margarita
No puede combinar varios uPIM para actuar como un único conmutador integrado. Sin embargo, puede conectar uPIM en el mismo chasis externamente conectando físicamente un puerto en un uPIM a un puerto en otro uPIM en forma de conexión en cadena.
Dos o más uPIM conectados en cadena crean un único conmutador con un mayor número de puertos que cualquiera de los uPIM individuales. Un puerto en cada uPIM se utiliza únicamente para la conexión. Por ejemplo, si conecta en cadena un uPIM de 6 puertos y uno de 8 puertos, el resultado funciona como un uPIM de 12 puertos. Cualquier puerto de un uPIM se puede utilizar para la conexión en cadena.
Configure la dirección IP para solo uno de los uPIM conectados en cadena, convirtiéndolo en el uPIM principal. El uPIM secundario enruta el tráfico al uPIM primario, que lo reenvía al motor de enrutamiento. Esto resulta en un cierto aumento en la latencia y caídas de paquetes debido a la sobresuscripción del enlace externo.
Solo se admite un vínculo entre los dos uPIM. La conexión de más de un vínculo entre uPIM crea una topología de bucle, que no se admite.
Etiquetado VLAN Q-in-Q
La tunelización Q-in-Q, definida por el estándar IEEE 802.1ad, permite a los proveedores de servicios en redes de acceso Ethernet extender una conexión Ethernet de capa 2 entre dos sitios de cliente.
En la tunelización Q-in-Q, a medida que un paquete viaja de una VLAN de cliente (C-VLAN) a la VLAN de un proveedor de servicios, se agrega al paquete una etiqueta 802.1Q específica del proveedor de servicios. Esta etiqueta adicional se utiliza para dividir el tráfico en las VLAN de servicio definidas por el proveedor de servicios (S-VLAN). La etiqueta 802.1Q original del cliente en el paquete se mantiene y transmite de forma transparente, pasando a través de la red del proveedor de servicios. A medida que el paquete abandona la S-VLAN en la dirección descendente, se elimina la etiqueta 802.1Q adicional.
Cuando se configura la tunelización Q-in-Q para la VLAN de un proveedor de servicios, todos los paquetes del motor de enrutamiento, incluidos los paquetes de la interfaz VLAN enrutada, que se transmiten desde el puerto de acceso orientado al cliente de esa VLAN siempre se desetiquetarán.
Existen tres formas de asignar C-VLAN a una S-VLAN:
Agrupación todo en uno: utilice la
dot1q-tunnelinginstrucción en el nivel de jerarquía [edit vlans] para asignar sin especificar VLAN de cliente. Todos los paquetes de una interfaz de acceso específica se asignan a la S-VLAN.Agrupación varios a uno: utilice la
customer-vlansinstrucción en el nivel de jerarquía [edit vlans] para especificar qué C-VLAN se asignan a la S-VLAN.Asignación de C-VLAN en una interfaz específica: utilice la
mappinginstrucción en el nivel de jerarquía [edit vlans] para asignar una C-VLAN específica en una interfaz de acceso especificada a la S-VLAN.
Tabla 2 enumera la asignación de C-VLAN a S-VLAN admitida en los firewalls de la serie SRX. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Cartografía |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
|---|---|---|---|---|---|---|---|---|
Agrupación todo en uno |
Sí |
Sí |
No |
No |
Sí |
Sí |
Sí |
Sí |
Agrupación varios a uno |
No |
No |
No |
No |
Sí |
Sí |
Sí |
Sí |
Mapeo de C-VLAN en una interfaz específica |
No |
No |
No |
No |
Sí |
Sí |
Sí |
Sí |
La traducción de VLAN se admite en dispositivos SRX300 y SRX320, y estos dispositivos no admiten la tunelización Q-in-Q.
En los dispositivos SRX650, en las opciones de configuración de túnel dot1q, el rango de VLAN del cliente y la inserción de VLAN no funcionan juntos para la misma S-VLAN, incluso cuando se confirma la configuración. Si ambos están configurados, la inserción de VLAN tiene prioridad sobre el rango de VLAN del cliente.
Las interfaces IRB son compatibles con VLAN Q-in-Q para dispositivos SRX210, SRX240, SRX340, SRX345 y SRX650. Los paquetes que llegan a una interfaz IRB en una VLAN Q-in-Q se enrutan independientemente de si el paquete tiene una o dos etiquetas. Los paquetes enrutados salientes contienen una etiqueta S-VLAN solo cuando salen de una interfaz de troncalización; los paquetes salen de la interfaz sin etiqueta cuando salen de una interfaz de acceso. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
En una implementación Q-in-Q, los paquetes de clientes de interfaces descendentes se transportan sin ningún cambio a las direcciones MAC de origen y destino. Puede deshabilitar el aprendizaje de direcciones MAC tanto en el nivel de interfaz como en el de VLAN. Deshabilitar el aprendizaje de dirección MAC en una interfaz deshabilita el aprendizaje para todas las VLAN a las cuales pertenece esa interfaz. Cuando desactive el aprendizaje de dirección MAC en una VLAN, se vaciarán las direcciones MAC que ya se hayan aprendido.
En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma según la versión de Junos OS en su instalación), en Ethernet agregada de capa 3, no se admiten las siguientes funciones:
Encapsulaciones (como CCC, VLAN CCC, VPLS y PPPoE)
J-Web
A partir de Junos OS versión 19.4R2, puede configurar el LLDP en interfaces Ethernet redundantes (reth). Utilice el
set protocol lldp interface <reth-interface>comando para configurar LLDP en la interfaz reth.
En SRX550M dispositivos, la interfaz Ethernet agregada (ae) con la interfaz miembro XE no se puede configurar con la familia de conmutación Ethernet.
En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la compatibilidad Q-in-Q en una interfaz de capa 3 tiene las siguientes limitaciones:
El doble etiquetado no se admite en las interfaces reth y ae.
El enrutamiento multitopología no se admite en el modo de flujo ni en los clústeres de chasis.
Las tramas de etiqueta dual no se admiten en encapsulaciones (como CCC, TCC, VPLS y PPPoE)
En las interfaces lógicas de capa 3,
input-vlan-map,output-vlan-mapinner-range, yinner-listno son aplicablesSolo se admiten TPID con 0x8100 y el número máximo de etiquetas es 2.
Las tramas con etiqueta dual solo se aceptan para interfaces lógicas con familias IPV4 e IPv6.
En dispositivos SRX100, SRX210, SRX240, SRX300, SRX320, SRX340, SRX345 y SRX650 (con compatibilidad de plataforma según la versión de Junos OS en su instalación), en la interfaz VLAN enrutada (RVI), no se admiten las siguientes funciones:
IS-IS (ISO de familia)
Encapsulaciones (ya sea CCC, VLAN CCC, VPLS, PPPoE, etc.) en interfaces VLAN
CLNS
DVMRP
Cambio en MAC de interfaz VLAN
G-ARP
Cambio de ID de VLAN para interfaz VLAN
Ejemplo: Configuración de modos de conmutación en dispositivos de seguridad
Requisitos
Antes de comenzar, consulte Descripción general de la conmutación de puertos Ethernet para dispositivos de seguridad.
Descripción general
En este ejemplo, configure chassis y establezca el protocolo de aprendizaje l2 en conmutación de modo global. A continuación, establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Procedimiento paso a paso
Para configurar el modo de conmutación:
Establezca el protocolo de aprendizaje l2 en la conmutación de modo global.
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
Establezca un parámetro de puerto físico en los protocolos de aprendizaje l2.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Desde el modo de configuración, escriba los comandos show protocols y show interfaces para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show protocols
l2-learning {
global-mode switching;
}
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Verificación del modo de conmutación
- Verificación de la conmutación Ethernet en la interfaz ge-0/0/1
Verificación del modo de conmutación
Propósito
Asegúrese de que el modo de conmutación está configurado como se esperaba.
Acción
Desde el modo operativo, ingrese el comando show ethernet-switching global-information.
user@host> show ethernet-switching global-information
Global Configuration:
MAC aging interval : 300
MAC learning : Enabled
MAC statistics : Disabled
MAC limit Count : 16383
MAC limit hit : Disabled
MAC packet action drop: Disabled
MAC+IP aging interval : IPv4 - 1200 seconds
IPv6 - 1200 seconds
MAC+IP limit Count : 393215
MAC+IP limit reached : No
LE aging time : 1200
LE VLAN aging time : 1200
Global Mode : Switching
RE state : MasterSignificado
El resultado de ejemplo muestra que la conmutación de modo global está configurada como se esperaba.
Verificación de la conmutación Ethernet en la interfaz ge-0/0/1
Propósito
Asegúrese de que la conmutación Ethernet esté configurada como se esperaba en la interfaz ge-0/0/1.
Acción
Desde el modo operativo, ingrese el comando show interfaces ge-0/0/1 brief.
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
Logical interface ge-0/0/1.0
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
Security: Zone: Null
eth-switchSignificado
El resultado de ejemplo muestra que la conmutación Ethernet está configurada en la interfaz ge-0/0/1 como se esperaba.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.