Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Redes de Camada 2

Visão geral da rede de Camada 2

A Camada 2, também conhecida como Camada de Enlace de Dados, é o segundo nível do modelo de referência DEI de sete camadas para projeto de protocolo de rede. A camada 2 equivale à camada de enlace (a camada mais baixa) do modelo de rede TCP/IP. A camada2 é a camada de rede usada para transferir dados entre nós de rede adjacentes em uma rede de ampla área ou entre nós na mesma rede local.

Um quadro é uma unidade de dados de protocolo, a menor unidade de bits em uma rede de Camada 2. Os quadros são transmitidos e recebidos de dispositivos na mesma rede local (LAN). Em bits unilke, os quadros têm uma estrutura definida e podem ser usados para detecção de erros, atividades de plano de controle e assim por diante. Nem todos os quadros transportam dados do usuário. A rede usa alguns quadros para controlar o próprio link de dados..

Na Camada 2, o unicast refere-se ao envio de quadros de um nó para um único nó outro, enquanto o multicast denota o envio de tráfego de um nó a vários nós, e a transmissão refere-se à transmissão de quadros a todos os nós em uma rede. Um domínio de broadcast é uma divisão lógica de uma rede na qual todos os nós dessa rede podem ser alcançados na Camada 2 por uma transmissão.

Segmentos de uma LAN podem ser vinculados no nível do quadro usando pontes. A ponte cria domínios de broadcast separados na LAN, criando VLANs, que são redes lógicas independentes que agrupam dispositivos relacionados em segmentos de rede separados. O agrupamento de dispositivos em um VLAN é independente de onde os dispositivos estão fisicamente localizados na LAN. Sem pontes e VLANs, todos os dispositivos na LAN Ethernet estão em um único domínio de broadcast, e todos os dispositivos detectam todos os pacotes na LAN.

O encaminhamento é o retransmissão de pacotes de um segmento de rede para outro por nós na rede. Em um VLAN, um quadro cuja origem e destino estão no mesmo VLAN são encaminhados apenas dentro do VLAN local. Um segmento de rede é uma parte de uma rede de computador em que cada dispositivo se comunica usando a mesma camada física.

A Camada 2 contém duas subcamas:

  • Subcamado de controle de enlace lógico (LLC), responsável por gerenciar links de comunicações e lidar com o tráfego de quadros.

  • Subcamada de controle de acesso de mídia (MAC), que rege o acesso de protocolo ao meio de rede físico. Ao usar os endereços MAC atribuídos a todas as portas em um switch, vários dispositivos no mesmo enlace físico podem identificar uns aos outros de maneira única.

    As portas ou interfaces em um switch operam em modo de acesso, acesso marcado ou modo de tronco:

    • As portas de modo de acesso se conectam a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta em si pertence a um único VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas de um switch estão no modo de acesso.

    • As portas de modo de acesso marcado se conectam a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta em si pertence a um único VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas de um switch estão no modo de acesso. O modo de acesso marcado acomoda a computação em nuvem, especificamente cenários, incluindo máquinas virtuais ou computadores virtuais. Como vários computadores virtuais podem ser incluídos em um servidor físico, os pacotes gerados por um servidor podem conter uma agregação de pacotes VLAN de diferentes máquinas virtuais nesse servidor. Para acomodar essa situação, o modo de acesso marcado reflete os pacotes de volta ao servidor físico na mesma porta downstream quando o endereço de destino do pacote foi aprendido naquela porta downstream. Os pacotes também são refletidos de volta ao servidor físico na porta downstream quando o destino ainda não foi aprendido. Portanto, o terceiro modo de interface, o acesso marcado, tem algumas características do modo de acesso e algumas características do modo tronco:

    • As portas de modo tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego para todas essas VLANs na mesma conexão física. As interfaces de tronco geralmente são usadas para interconectar switches para outros dispositivos ou switches.

      Com VLAN nativo configurado, os quadros que não transportam etiquetas VLAN são enviados pela interface do tronco. Se você tiver uma situação em que os pacotes passam de um dispositivo para um switch no modo de acesso, e você quiser enviar esses pacotes do switch por uma porta de tronco, use o modo VLAN nativo. Configure o único VLAN na porta do switch (que está no modo de acesso) como um VLAN nativo. A porta-tronco do switch tratará esses quadros de maneira diferente dos outros pacotes marcados. Por exemplo, se uma porta-tronco tiver três VLANs, 10, 20 e 30, atribuídas a ela com VLAN 10 sendo o VLAN nativo, os quadros no VLAN 10 que deixam a porta do tronco na outra extremidade não têm cabeçalho 802.1Q (tag). Existe outra opção VLAN nativa. Você pode ter o switch adicionar e remover tags para pacotes não registrados. Para isso, você primeiro configura o único VLAN como um VLAN nativo em uma porta anexada a um dispositivo na borda. Em seguida, atribua uma tag VLAN ID ao único VLAN nativo na porta conectada a um dispositivo. Por último, adicione o VLAN ID à porta do porta-malas. Agora, quando o switch recebe o pacote não registrado, ele adiciona o ID que você especificou e envia e recebe os pacotes marcados na porta do tronco configurados para aceitar esse VLAN.

Incluindo as subcamas, a Camada 2 da Série QFX oferece suporte às seguintes funcionalidades:

  • Tráfego unicast, multicast e broadcast.

  • Ponte.

  • VLAN 802.1Q — também conhecido como tags VLAN, esse protocolo permite que várias redes em ponte compartilhem de maneira transparente o mesmo link físico de rede adicionando tags VLAN a um quadro Ethernet.

  • A extensão das VLANs de Camada 2 em vários switches usando o Protocolo de Árvore de Abrangência (STP) impede o looping por toda a rede.

  • APRENDIZADO MAC, incluindo aprendizado por VLAN MAC e supressão de aprendizado de Camada 2— Esse processo obtém os endereços MAC de todos os nós em uma rede

  • Agregação de enlace — Grupos de processo de interfaces Ethernet na camada física para formar uma única interface de camada de enlace, também conhecida como um grupo de agregação de enlace (LAG) ou pacote LAG

    Nota:

    A agregação de enlace não é compatível com dispositivos NFX150.

  • Controle de tempestade na porta física para unicast, multicast e broadcast

    Nota:

    O controle de tempestade não é compatível com dispositivos NFX150.

  • Suporte para STP, incluindo 802.1d, RSTP, MSTP e Root Guard

Visão geral do modo transparente de comutação de Ethernet e Camada 2

O modo transparente de Camada 2 oferece a capacidade de implantar o firewall sem fazer alterações na infraestrutura de roteamento existente. O firewall é implantado como um switch de Camada 2 com vários segmentos de VLAN e fornece serviços de segurança dentro de segmentos de VLAN. O secure wire é uma versão especial do modo transparente de Camada 2 que permite a implantação bump-in-wire.

Um dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) se não houver interfaces físicas configuradas como interfaces de Camada 2.

Para dispositivos da Série SRX, o modo transparente oferece serviços de segurança completos para recursos de comutação de Camada 2. Nesses dispositivos da Série SRX, você pode configurar um ou mais VLANs para realizar comutação de Camada 2. Um VLAN é um conjunto de interfaces lógicas que compartilham as mesmas características de inundação ou transmissão. Como uma LAN virtual (VLAN), um VLAN abrange uma ou mais portas de vários dispositivos. Assim, o dispositivo da Série SRX pode funcionar como um switch de Camada 2 com várias VLANs que participam da mesma rede de Camada 2.

No modo transparente, o dispositivo da Série SRX filtra pacotes que atravessam o dispositivo sem modificar nenhuma das informações de origem ou destino nos cabeçalhos de pacotes IP. O modo transparente é útil para proteger servidores que recebem principalmente tráfego de fontes não confiáveis porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.

No modo transparente, todas as portas físicas do dispositivo são atribuídas a interfaces de Camada 2. Não encaminhe o tráfego de Camada 3 pelo dispositivo. As zonas de camada 2 podem ser configuradas para hospedar interfaces de Camada 2, e as políticas de segurança podem ser definidas entre zonas de Camada 2. Quando os pacotes viajam entre zonas de Camada 2, as políticas de segurança podem ser aplicadas nesses pacotes.

Tabela 1 lista os recursos de segurança que são suportados e não são suportados no modo transparente para comutação de Camada 2.

Tabela 1: Recursos de segurança suportados no modo transparente

Tipo de modo

Suportado

Não suportado

Modo transparente

  • Gateways de camada de aplicativos (ALGs)

  • Autenticação do usuário de firewall (FWAUTH)

  • Detecção e prevenção de invasões (IDP)

  • Tela

  • AppSecure

  • Gerenciamento unificado de ameaças (UTM)

  • Tradução de endereços de rede (NAT)

  • VPN

Nota:

Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, a propagação do servidor DHCP não é suportada no modo transparente de Camada 2.

Além disso, os dispositivos da Série SRX não oferecem suporte aos seguintes recursos de Camada 2 no modo transparente de Camada 2:

  • Protocolo de árvores de abrangência (STP), RSTP ou MSTP — é responsabilidade do usuário garantir que não existam loops de inundação na topologia da rede.

  • Protocolo de gerenciamento de grupos de Internet (IGMP) — protocolo de sinalização de host para roteador para IPv4 usado para relatar seus membros de grupos multicast a roteadores vizinhos e determinar se os membros do grupo estão presentes durante a multicasting ip.

  • VLANs com marca dupla ou identificadores de VLAN IEEE 802.1Q encapsulados em pacotes 802.1Q (também chamados de identificação de VLAN "Q in Q")— Apenas identificadores VLAN não registrados ou com marca única são suportados em dispositivos da Série SRX.

  • Aprendizado VLAN não qualificado, onde apenas o endereço MAC é usado para aprendizado dentro do VLAN — o aprendizado de VLAN em dispositivos da Série SRX é qualificado; ou seja, o identificador de VLAN e o endereço MAC são usados.

Além disso, no SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou dispositivos SRX650, alguns recursos não são suportados. (O suporte à plataforma depende da versão do Junos OS em sua instalação.) Os recursos a seguir não são suportados para o modo transparente de Camada 2 nos dispositivos mencionados:

  • G-ARP na interface de Camada 2

  • Monitoramento de endereços IP em qualquer interface

  • Tráfego de trânsito por IRB

  • Interface IRB em uma instância de roteamento

  • Tratamento de interface IRB do tráfego de Camada 3

    Nota:

    A interface IRB é uma pseudointerface e não pertence ao grupo de interface de reth e redundância.

Modo transparente de camada 2 no concentrador de portas do módulo de linha SRX5000

O concentrador de porta de módulo da linha SRX5000 (SRX5K-MPC) oferece suporte ao modo transparente de Camada 2 e processa o tráfego quando o dispositivo da Série SRX é configurado no modo transparente de Camada 2.

Quando o SRX5K-MPC está operando no modo camada 2, você pode configurar todas as interfaces no SRX5K-MPC como portas de comutação de Camada 2 para oferecer suporte ao tráfego de Camada 2.

A unidade de processamento de segurança (SPU) oferece suporte a todos os serviços de segurança para funções de comutação de Camada 2, e o MPC entrega os pacotes de entrada para a SPU e encaminha os pacotes de saída que são encapsulados pela SPU para as interfaces de saída.

Quando o dispositivo da Série SRX está configurado no modo transparente de Camada 2, você pode permitir que as interfaces no MPC funcionem no modo de Camada 2 definindo uma ou mais unidades lógicas em uma interface física com o tipo de endereço da família como Ethernet switching. Mais tarde, você pode prosseguir com a configuração de zonas de segurança de Camada 2 e a configuração de políticas de segurança em modo transparente. Assim que isso for feito, as topologias de next-hop são configuradas para processar pacotes de entrada e saída.

Entender os fluxos IPv6 em modo transparente em dispositivos de segurança

No modo transparente, o dispositivo da Série SRX filtra pacotes que atravessam o dispositivo sem modificar nenhuma das informações de origem ou destino nos cabeçalhos MAC do pacote. O modo transparente é útil para proteger servidores que recebem principalmente tráfego de fontes não confiáveis porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.

Um dispositivo opera em modo transparente quando todas as interfaces físicas do dispositivo são configuradas como interfaces de Camada 2. Uma interface física é uma interface de Camada 2 se sua interface lógica estiver configurada com a opção ethernet-switching no nível [edit interfaces interface-name unit unit-number family] de hierarquia. Não há comando para definir ou habilitar o modo transparente no dispositivo. O dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) se todas as interfaces físicas forem configuradas como interfaces de Camada 3.

Por padrão, os fluxos IPv6 são descartados em dispositivos de segurança. Para permitir o processamento por recursos de segurança, como zonas, telas e políticas de firewall, você deve habilitar o encaminhamento baseado em fluxo para tráfego IPv6 com a opção mode flow-based de configuração no nível [edit security forwarding-options family inet6] de hierarquia. Você deve reiniciar o dispositivo quando mudar o modo.

No modo transparente, você pode configurar zonas de Camada 2 para hospedar interfaces de Camada 2 e definir políticas de segurança entre zonas de Camada 2. Quando os pacotes viajam entre zonas de Camada 2, as políticas de segurança podem ser aplicadas nesses pacotes. Os seguintes recursos de segurança são compatíveis com o tráfego IPv6 em modo transparente:

Os seguintes recursos de segurança não são compatíveis com fluxos IPv6 em modo transparente:

  • Sistemas lógicos

  • IPv6 GTPv2

  • Interface J-Web

  • NAT

  • IPsec VPN

  • Com exceção de DNS, FTP e TFTP ALGs, todas as outras ALGs não têm suporte.

Configurar VLANs e interfaces lógicas de Camada 2 para fluxos IPv6 é o mesmo que configurar VLANs e interfaces lógicas de Camada 2 para fluxos IPv4. Opcionalmente, você pode configurar uma interface de roteamento e ponte integrada (IRB) para o tráfego de gerenciamento em um VLAN. A interface IRB é a única interface de Camada 3 permitida no modo transparente. A interface IRB no dispositivo da Série SRX não oferece suporte ao encaminhamento ou roteamento de tráfego. A interface IRB pode ser configurada com endereços IPv4 e IPv6. Você pode atribuir um endereço IPv6 para a interface IRB com a address declaração de configuração no nível [edit interfaces irb unit number family inet6] de hierarquia. Você pode atribuir um endereço IPv4 para a interface IRB com a declaração de address configuração no nível [edit interfaces irb unit number family inet] de hierarquia.

As funções de comutação de Ethernet em dispositivos da Série SRX são semelhantes aos recursos de comutação nos roteadores da Série MX da Juniper Networks. No entanto, nem todos os recursos de rede de Camada 2 suportados em roteadores da Série MX são suportados em dispositivos da Série SRX. Veja a visão geral do modo transparente de comutação Ethernet e camada 2.

O dispositivo da Série SRX mantém tabelas de encaminhamento que contêm endereços MAC e interfaces associadas para cada VLAN de Camada 2. O processamento de fluxo IPv6 é semelhante aos fluxos IPv4. Veja Visão geral do aprendizado e encaminhamento da Camada 2 para VLANs.

Entender clusters de chassi de modo transparente de Camada 2 em dispositivos de segurança

Um par de dispositivos da Série SRX no modo transparente de Camada 2 pode ser conectado em um cluster de chassi para fornecer redundância de nó de rede. Quando configurado em um cluster de chassi, um nó atua como o dispositivo principal e o outro como o dispositivo secundário, garantindo um failover stateful de processos e serviços em caso de falha no sistema ou hardware. Se o dispositivo principal falhar, o dispositivo secundário assume o processamento do tráfego.

Nota:

Se o dispositivo principal falhar em um cluster de chassi de modo transparente de Camada 2, as portas físicas do dispositivo com falha ficam inativas (diminuir) por alguns segundos antes de se tornarem ativas (subam) novamente.

Para formar um cluster de chassi, um par do mesmo tipo de dispositivos da Série SRX suportados combina-se para funcionar como um único sistema que aplica a mesma segurança geral.

Dispositivos no modo transparente de Camada 2 podem ser implantados em configurações ativas/de backup e cluster ativo/ativo do chassi.

Os seguintes recursos de cluster de chassi não são compatíveis com dispositivos no modo transparente de Camada 2:

  • ARP gratuito — As primárias recém-eleitas em um grupo de redundância não podem enviar solicitações gratuitas de ARP para notificar dispositivos de rede de uma mudança na função primária nos links redundantes da interface Ethernet.

  • Monitoramento de endereços IP — a falha de um dispositivo upstream não pode ser detectada.

Um grupo de redundância é uma construção que inclui uma coleção de objetos em ambos os nós. Um grupo de redundância é primário em um nó e backup do outro. Quando um grupo de redundância é primário em um nó, seus objetos nesse nó estão ativos. Quando um grupo de redundância falha, todos os seus objetos falham juntos.

Você pode criar um ou mais grupos de redundância numerados de 1 a 128 para uma configuração de cluster de chassi ativo/ativo. Cada grupo de redundância contém uma ou mais interfaces Ethernet redundantes. Uma interface Ethernet redundante é um pseudointerface que contém interfaces físicas de cada nó do cluster. As interfaces físicas em uma interface Ethernet redundante devem ser do mesmo tipo — seja a Fast Ethernet ou a Gigabit Ethernet. Se um grupo de redundância estiver ativo no nó 0, os links infantis de todas as interfaces Ethernet redundantes associadas no nó 0 estão ativos. Se o grupo de redundância falhar no nó 1, os links infantis de todas as interfaces Ethernet redundantes no nó 1 ficarão ativos.

Nota:

Na configuração de cluster de chassi ativo/ativo, o número máximo de grupos de redundância é igual ao número de interfaces Ethernet redundantes que você configura. Na configuração de cluster ativo/de chassi de backup, o número máximo de grupos de redundância suportados é de dois.

Configurar interfaces Ethernet redundantes em um dispositivo no modo transparente de Camada 2 é semelhante à configuração de interfaces Ethernet redundantes em um dispositivo no modo de rota de Camada 3, com a seguinte diferença: a interface Ethernet redundante em um dispositivo no modo transparente de Camada 2 é configurada como uma interface lógica de Camada 2.

A interface Ethernet redundante pode ser configurada como uma interface de acesso (com um único VLAN ID atribuído a pacotes não registrados recebidos na interface) ou como uma interface de tronco (com uma lista de IDs VLAN aceitos na interface e, opcionalmente, um native-vlan-id para pacotes não registrados recebidos na interface). As interfaces físicas (uma de cada nó no cluster do chassi) estão vinculadas como interfaces infantis à interface Ethernet redundante dos pais.

No modo transparente de Camada 2, o aprendizado de MAC é baseado na interface Ethernet redundante. A tabela MAC é sincronizada em interfaces Ethernet redundantes e unidades de processamento de serviços (SPUs) entre o par de dispositivos de cluster de chassi.

A interface IRB é usada apenas para gerenciamento de tráfego, e não pode ser atribuída a nenhuma interface Ethernet ou grupo de redundância redundante.

Todas as opções de tela do Junos OS disponíveis para um único dispositivo nãocluso estão disponíveis para dispositivos em clusters de chassi de modo transparente de Camada 2.

Nota:

Os protocolos de árvores de abrangência (STPs) não têm suporte para o modo transparente de Camada 2. Você deve garantir que não há conexões de loop na topologia de implantação.

Configuração do gerenciamento fora da banda em dispositivos SRX

Você pode configurar a fxp0 interface de gerenciamento fora da banda no dispositivo da Série SRX como uma interface de Camada 3, mesmo se as interfaces de Camada 2 forem definidas no dispositivo. Com exceção da fxp0 interface, você pode definir interfaces de Camada 2 e Camada 3 nas portas de rede do dispositivo.

Nota:

Não há interface de gerenciamento fora de banda fxp0 nos dispositivos SRX300, SRX320 e SRX550M . (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Comutação de ethernet

A comutação de ethernet encaminha os quadros Ethernet dentro ou por todo o segmento de LAN (ou VLAN) usando as informações de endereço MAC Ethernet. A comutação de ethernet no dispositivo SRX1500 é executada no hardware usando ASICs.

A partir do Junos OS Release 15.1X49-D40, use o set protocols l2-learning global-mode(transparent-bridge | switching) comando para alternar entre o modo de ponte transparente de Camada 2 e o modo de comutação Ethernet. Após a comutação do modo, você deve reinicializar o dispositivo para que a configuração entre em vigor. Tabela 2 descreve o modo global padrão de Camada 2 em dispositivos da Série SRX.

Tabela 2: Modo global de Camada 2 padrão em dispositivos da Série SRX

Versão do Junos OS

Plataformas

Modo global de Camada 2 padrão

Detalhes

Antes da versão do Junos OS 15.1X49-D50

e

Versão do Junos OS 17.3R1 em diante

SRX300, SRX320, SRX340 e SRX345

Modo de comutação

Nenhum

Junos OS Versão 15.1X49-D50 para Junos OS Versão 15.1X49-D90

SRX300, SRX320, SRX340 e SRX345

Modo de comutação

Quando você exclui a configuração do modo global de Camada 2 em um dispositivo, o dispositivo está em modo de ponte transparente.

Versão do Junos OS 15.1X49-D100 em diante

SRX300, SRX320, SRX340, SRX345, SRX550 e SRX550M

Modo de comutação

Quando você exclui a configuração do modo global de Camada 2 em um dispositivo, o dispositivo está no modo de comutação. Configure o set protocols l2-learning global-mode transparent-bridge comando sob o nível de hierarquia para mudar para um [edit] modo de ponte transparente. Reinicialize o dispositivo para que a configuração entre em vigor.

Versão do Junos OS 15.1X49-D50 em diante

SRX1500

Modo de ponte transparente

Nenhum

O protocolo de Camada 2 suportado no modo de comutação é o Protocolo de Controle de Agregação de Links (LACP).

Você pode configurar o modo transparente de Camada 2 em uma interface Ethernet redundante. Use os seguintes comandos para definir uma interface Ethernet redundante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Exceções de comutação de Camada 2 em dispositivos da Série SRX

As funções de comutação nos dispositivos da Série SRX são semelhantes aos recursos de comutação nos roteadores da Série MX da Juniper Networks. No entanto, os seguintes recursos de rede de Camada 2 nos roteadores da Série MX não são suportados em dispositivos da Série SRX:

  • Protocolos de controle de camada 2 — esses protocolos são usados em roteadores da Série MX para o protocolo de árvores de abrangência rápida (RSTP) ou protocolo de árvore de abrangência múltipla (MSTP) em interfaces de borda do cliente de uma instância de roteamento VPLS.

  • Instância de roteamento de switch virtual — a instância de roteamento de comutação virtual é usada em roteadores da Série MX para agrupar um ou mais VLANs.

  • Instância de roteamento de serviços de LAN privada virtual (VPLS) — a instância de roteamento VPLS é usada em roteadores da Série MX para implementações lan ponto a multiponto entre um conjunto de sites em uma VPN.

Entendendo a Unicast

A unicasting é o ato de enviar dados de um nó da rede para outro. Por outro lado, as transmissões multicast enviam tráfego de um nó de dados para vários outros nós de dados.

O tráfego unicast desconhecido consiste em quadros unicast com endereços MAC de destino desconhecidos. Por padrão, o switch inunda esses quadros unicast que estão viajando em um VLAN para todas as interfaces que são membros do VLAN. Encaminhar esse tipo de tráfego para interfaces no switch pode desencadear um problema de segurança. A LAN está subitamente inundada de pacotes, criando tráfego desnecessário que leva a um desempenho de rede ruim ou até mesmo a uma perda completa do serviço de rede. Isso é conhecido como uma tempestade de tráfego.

Para evitar uma tempestade, você pode desabilitar a inundação de pacotes unicast desconhecidos para todas as interfaces, configurando um VLAN ou todas as VLANs para encaminhar qualquer tráfego unicast desconhecido para uma interface de tronco específica. (Isso canaliza o tráfego unicast desconhecido para uma única interface.)

Entendendo a broadcast de Camada 2 em switches

Em uma rede de Camada 2, a broadcasting refere-se ao envio de tráfego a todos os nós em uma rede.

O tráfego de transmissão de camada 2 permanece dentro de um limite de rede de área local (LAN); conhecido como domínio de broadcast. O tráfego de broadcast de camada 2 é enviado para o domínio de broadcast usando um endereço MAC de FF:FF:FF:FF:FF:FF:FF. Todos os dispositivos do domínio de broadcast reconhecem este endereço MAC e passam o tráfego de transmissão para outros dispositivos no domínio de broadcast, se aplicável. A transmissão pode ser comparada à unicasting (envio de tráfego para um único nó) ou multicasting (entregando tráfego a um grupo de nós simultaneamente).

O tráfego de transmissão de Camada 3, no entanto, é enviado para todos os dispositivos em uma rede usando um endereço de rede de broadcast. Por exemplo, se seu endereço de rede for 10.0.0.0, o endereço da rede de broadcast é 10.255.255.255. Nesse caso, apenas dispositivos que pertencem à rede 10.0.0.0 recebem o tráfego de transmissão de Camada 3. Dispositivos que não pertencem a essa rede derrubam o tráfego.

A broadcast é usada nas seguintes situações:

  • O Protocolo de Resolução de Endereços (ARP) usa a broadcast para mapear endereços MAC para endereços IP. O ARP vincula dinamicamente o endereço IP (o endereço lógico) ao endereço MAC correto. Antes que os pacotes ip unicast possam ser enviados, o ARP descobre o endereço MAC usado pela interface Ethernet onde o endereço IP está configurado.

  • O Protocolo dinâmico de configuração de host (DHCP) usa a broadcast para atribuir dinamicamente endereços IP a hosts em um segmento de rede ou sub-rede.

  • Protocolos de roteamento usam a broadcast para anunciar rotas.

O tráfego excessivo de transmissão às vezes pode criar uma tempestade de broadcast. Uma tempestade de broadcast ocorre quando mensagens são transmitidas em uma rede e cada mensagem solicita um nó de recebimento para responder transmitindo suas próprias mensagens na rede. Isso, por sua vez, provoca mais respostas que criam um efeito bola de neve. A LAN está subitamente inundada de pacotes, criando tráfego desnecessário que leva a um desempenho de rede ruim ou até mesmo a uma perda completa do serviço de rede.

Usando o CLI aprimorado de software de Camada 2

O software de camada 2 aprimorado (ELS) oferece uma CLI uniforme para configurar e monitorar recursos de Camada 2 em switches da Série QFX, switches da Série EX e outros dispositivos da Juniper Networks, como roteadores da Série MX. Com o ELS, você configura recursos de Camada 2 da mesma forma em todos esses dispositivos da Juniper Networks.

Este tópico explica como saber se sua plataforma está executando ELS. Ele também explica como executar algumas tarefas comuns usando o estilo de configuração ELS.

Entender quais dispositivos oferecem suporte a ELS

O ELS é automaticamente suportado se o seu dispositivo estiver executando uma versão do Junos OS que o oferece suporte. Você não precisa tomar nenhuma ação para habilitar o ELS e não pode desabilitar o ELS. Consulte o Feature Explorer para obter informações sobre quais plataformas e versões oferecem suporte ao ELS.

Entender como configurar recursos de Camada 2 usando ELS

Como o ELS oferece uma CLI uniforme, agora você pode executar as seguintes tarefas em dispositivos suportados da mesma maneira:

Configuração de um VLAN

Você pode configurar uma ou mais VLANs para realizar a ponte de Camada 2. As funções de ponte de Camada 2 incluem roteamento integrado e ponte (IRB) para suporte à ponte de Camada 2 e roteamento IP de Camada 3 na mesma interface. Os switches das Séries EX e QFX podem funcionar como switches de Camada 2, cada um com várias pontes, ou broadcast, domínios que participam da mesma rede de Camada 2. Você também pode configurar o suporte de roteamento de Camada 3 para um VLAN.

Para configurar um VLAN:

  1. Crie o VLAN definindo um nome VLAN exclusivo e configurando o VLAN ID:

    Usando a opção de lista de ID VLAN, você pode especificar opcionalmente uma variedade de IDs VLAN.

  2. Atribua pelo menos uma interface ao VLAN:

Configuração do identificador VLAN nativo

Os switches da Série EX e da Série QFX oferecem suporte ao recebimento e encaminhamento de quadros Ethernet roteado ou em ponte com etiquetas VLAN de 802.1Q. Normalmente, as portas de tronco, que conectam switches entre si, aceitam pacotes de controle não registrados, mas não aceitam pacotes de dados não registrados. Você pode permitir que uma porta de tronco aceite pacotes de dados não registrados configurando um ID VLAN nativo na interface na qual você deseja que os pacotes de dados não registrados sejam recebidos.

Para configurar o VLAN ID nativo:

  1. Na interface na qual você deseja receber pacotes de dados não registrados, defina o modo de interface para trunk, que especifica que a interface está em várias VLANs e pode multiplexar o tráfego entre diferentes VLANs.
  2. Configure o VLAN ID nativo e atribua a interface ao VLAN ID nativo:
  3. Atribua a interface ao VLAN ID nativo:

Configuração de interfaces de camada 2

Para garantir que sua rede de alto tráfego esteja ajustada para um desempenho ideal, configure explicitamente algumas configurações nas interfaces de rede do switch.

Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como interface trunk :

Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como interface access :

Para atribuir uma interface ao VLAN:

Configuração de interfaces de camada 3

Para configurar uma interface de Camada 3, você deve atribuir um endereço IP à interface. Você atribui um endereço a uma interface especificando o endereço quando configura a família de protocolo. Para a família ou inet6 para a inet família, configure o endereço IP da interface.

Você pode configurar interfaces com um endereço IP versão 4 (IPv4) de 32 bits e opcionalmente com um prefixo de destino, às vezes chamado de máscara de sub-rede. Um endereço IPv4 usa uma sintaxe de endereço decimal pontilhada de 4 octets (por exemplo, 192.168.1.1.1). Um endereço IPv4 com prefixo de destino usa uma sintaxe de endereço decimal pontilhada de 4 octets com um prefixo de destino apetitoso (por exemplo, 192.168.1.1/16).

Especificar um endereço IP4 para a unidade lógica:

Você representa endereços ip versão 6 (IPv6) em notação hexadecimal usando uma lista separada de pontos de valores de 16 bits. Você atribui um endereço IPv6 de 128 bits a uma interface.

Para especificar um endereço IP6 para a unidade lógica:

Configuração de uma interface IRB

O roteamento integrado e a ponte (IRB) oferecem suporte para a ponte de Camada 2 e o roteamento IP de Camada 3 na mesma interface. A IRB permite que você encaminhe pacotes para outra interface roteada ou para outro VLAN que tenha um protocolo de Camada 3 configurado. As interfaces IRB permitem que o dispositivo reconheça pacotes que estão sendo enviados para endereços locais para que eles sejam conectados (comucionados) sempre que possível e sejam roteados apenas quando necessário. Sempre que os pacotes podem ser trocados em vez de roteados, várias camadas de processamento são eliminadas. Uma interface nomeada como irb funciona como um roteador lógico no qual você pode configurar uma interface lógica de Camada 3 para VLAN. Para redundância, você pode combinar uma interface IRB com implementações do Protocolo de Redundância de Roteador Virtual (VRRP) em ambientes de ponte e serviço de LAN privada virtual (VPLS).

Para configurar uma interface IRB:

  1. Crie um VLAN de Camada 2 atribuindo-lhe um nome e um ID VLAN:
  2. Crie uma interface lógica IRB:
  3. Associe a interface IRB com o VLAN:

Configurando uma interface de ethernet agregada e configurando LACP nessa interface

Use o recurso de agregação de link para agregar um ou mais links para formar um link virtual ou grupo de agregação de links (LAG). O cliente MAC pode tratar esse link virtual como se fosse um único link para aumentar a largura de banda, fornecer degradação graciosa conforme ocorre falha e aumentar a disponibilidade.

Para configurar uma interface Ethernet agregada:

  1. Especifique o número de interfaces Ethernet agregadas a serem criadas:
  2. Especifique o nome da interface de grupo de agregação de link:
  3. Especifique o número mínimo de links para a interface Ethernet agregada (aex), ou seja, o pacote definido, a ser rotulado:
  4. Especifique a velocidade do enlace para o pacote Ethernet agregado:
  5. Especifique os membros a serem incluídos no pacote Ethernet agregado:
  6. Especifique uma família de interface para o pacote Ethernet agregado:

Para interfaces Ethernet agregadas no dispositivo, você pode configurar o Protocolo de Controle de Agregação de Enlace (LACP). O LACP agrega várias interfaces físicas para formar uma interface lógica. Você pode configurar Ethernet agregada com ou sem LACP habilitado.

Quando o LACP está habilitado, os lados local e remoto dos links Ethernet agregados trocam unidades de dados de protocolo (PDUs), contendo informações sobre o estado do link. Você pode configurar links Ethernet para transmitir Ativamente PDUs ou configurar os links para transmiti-los passivamente, enviando PDUs LACP apenas quando eles as recebem de outro link. Um lado do link deve ser configurado como ativo para que o link esteja ativo.

Para configurar o LACP:

  1. Habilite um lado do enlace Ethernet agregado como ativo:

  2. Especifique o intervalo em que as interfaces enviam pacotes LACP:

Entender a declaração de configuração e as mudanças de comando do ELS

O ELS foi introduzido no Junos OS Release 12.3R2 para switches EX9200. O ELS muda o CLI para alguns dos recursos de Camada 2 em switches da Série EX e QFX suportados.

As seções a seguir fornecem uma lista de comandos existentes que foram transferidos para novos níveis de hierarquia ou alterados nos switches da Série EX como parte deste esforço de aprimoramento do CLI. Essas seções são fornecidas apenas como uma referência de alto nível. Para obter informações detalhadas sobre esses comandos, use os links para as declarações de configuração fornecidas ou veja a documentação técnica.

Alterações no nível de hierarquia de opções de comutação de ethernet

Esta seção descreve as mudanças no nível de ethernet-switching-options hierarquia.

Nota:

O ethernet-switching-options nível de hierarquia foi renomeado como switch-options.

Tabela 3: Renomeando a hierarquia de opções de comutação de ethernet

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabela 4: Declarações da RTG

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabela 5: Declarações excluídas

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

As declarações foram retiradas da switch-options hierarquia.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

As declarações foram retiradas da switch-options hierarquia.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Nota:

A port-error-disable declaração foi substituída por uma nova declaração.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Mudanças no nível de hierarquia de espelhamento de porta

Nota:

As declarações passaram do nível de ethernet-switching-options hierarquia para o nível de forwarding-options hierarquia.

Tabela 6: Hierarquia de espelhamento de porta

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Alterações no nível de hierarquia do protocolo de controle de camada 2

As declarações do protocolo de controle de Camada 2 passaram da ethernet-switching-options hierarquia para a protocols hierarquia.

Tabela 7: Protocolo de controle de camada 2

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Alterações na Declaração de tunelamento dot1q

A dot1q-tunneling declaração foi substituída por uma nova declaração e passou para um nível de hierarquia diferente.

Tabela 8: dot1q-tunneling

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Alterações no protocolo de aprendizado L2

A mac-table-aging-time declaração foi substituída por uma nova declaração e passou para um nível de hierarquia diferente.

Tabela 9: declaração de tempo de envelhecimento mac-table

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Mudanças na ponte sem parar

A nonstop-bridging declaração passou para um nível de hierarquia diferente.

Tabela 10: Declaração de ponte sem parar

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Mudanças na segurança de portas e no DHCP

As declarações sobre segurança de portas e DHCP passaram para diferentes níveis de hierarquia.

Nota:

A declaração examine-dhcp não existe na hierarquia alterada. A proteção contra DHCP agora é ativada automaticamente quando outros recursos de segurança DHCP são ativados em um VLAN. Consulte configurando a segurança de porta (ELS) para obter informações adicionais.

Tabela 11: Declarações de segurança de porta

Hierarquia original

Hierarquia alterada

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Dica:

Para configuração mac permitida, a declaração set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 de hierarquia original é substituída pelo comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Nota:

As declarações de espionagem do DHCP passaram para um nível de hierarquia diferente.

Tabela 12: Declarações do DHCP Snooping

Hierarquia original

Hierarquia alterada

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Alterações na configuração de VLANs

As declarações para a configuração de VLANs passaram para um nível de hierarquia diferente.

Nota:

Começando com o Junos OS Release 14.1X53-D10 para switches EX4300 e EX4600, ao ativar o xSTP, você pode habilitá-lo em algumas ou todas as interfaces incluídas em um VLAN. Por exemplo, se você configurar o VLAN 100 para incluir interfaces ge-0/0/0, ge-0/0/1 e ge-0/2, e você quiser habilitar o MSTP nas interfaces ge-0/0/0 e ge-0/0/2, você pode especificar o e set protocols mstp interface ge-0/0/2 os set protocols mstp interface ge-0/0/0 comandos. Neste exemplo, você não habilitou explicitamente o MSTP na interface ge-0/0/1; portanto, o MSTP não está habilitado nesta interface.

Tabela 13: Hierarquia de VLAN

Hierarquia original

Hierarquia alterada

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Nota:

A declaração é substituída por uma nova declaração e passou para um nível de hierarquia diferente.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Essas declarações foram removidas. Você pode atribuir interfaces a um VLAN usando a [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] hierarquia.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

As declarações foram retiradas.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Nota:

A sintaxe mudou.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

A declaração foi retirada. O tráfego de entrada é rastreado automaticamente.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

A declaração foi retirada.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

A declaração foi transferida para uma hierarquia diferente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

A declaração foi retirada.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

A declaração foi retirada.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Nota:

A declaração foi substituída por uma nova declaração.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Nota:

A sintaxe mudou.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabela 14: Declarações transferidas para uma hierarquia diferente

Hierarquia original

Hierarquia alterada

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

Para dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Para layer2-protocol-tunneling (reescrever MAC habilitado em uma interface):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Mudanças nos perfis de controle de tempestades

O controle da tempestade está configurado em duas etapas. O primeiro passo é criar um perfil de controle de tempestades no nível da [edit forwarding-options] hierarquia, e a segunda etapa é vincular o perfil a uma interface lógica no nível de [edit interfaces] hierarquia. Veja exemplo: Configurando o controle de tempestades para evitar interrupções de rede nos switches da Série EX para o procedimento alterado.

Tabela 15: Mudanças no nível de hierarquia do perfil do controle de tempestade

Hierarquia original

Hierarquia alterada

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Mudanças na hierarquia de interfaces

Nota:

As declarações foram movidas para uma hierarquia diferente.

Tabela 16: Mudanças na hierarquia de interfaces

Hierarquia original

Hierarquia alterada

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Nota:

A declaração foi substituída por uma nova declaração.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Nota:

A declaração foi substituída por uma nova declaração.

interfaces irb

Mudanças no IGMP Snooping

Tabela 17: Hierarquia do IGMP Snooping

Hierarquia original

Hierarquia alterada

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Declaração aprimorada de configuração de CLI de Camada 2 e mudanças de comando para dispositivos de segurança

Começando no Junos OS Release 15.1X49-D10 e Junos OS Release 17.3R1, algumas declarações de configuração de CLI de Camada 2 são aprimoradas e alguns comandos são alterados. Tabela 18 e Tabela 19 fornecer listas de comandos existentes que foram transferidos para novas hierarquias ou alterados em dispositivos da Série SRX como parte deste esforço de aprimoramento do CLI. As tabelas são fornecidas apenas como uma referência de alto nível. Para obter informações detalhadas sobre esses comandos, consulte o CLI Explorer.

Tabela 18: Mudanças aprimoradas na declaração de configuração da Camada 2

Hierarquia original

Hierarquia alterada

Nível de hierarquia

Descrição da mudança

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[editar]

Hierarquia renomeada.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[editar nome vlans vlans]

Declaração renomeada.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[editar nome vlans vlans]

Declaração renomeada.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[editar fluxo de segurança]

Declaração renomeada.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[editar interfaces nome de interface ] número de unidade de unidade

Hierarquia renomeada.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[editar nome vlans vlans]

Declaração renomeada.

Tabela 19: Mudanças aprimoradas no comando operacional da Camada 2

Comando operacional original

Comando operacional modificado

mac-table clear bridge

tabela de comutação de ethernet clara

clear bridge mac-table aprendizado persistente

tabela de comutação de ethernet clara aprendizado persistente

mostrar domínio da ponte

mostrar vlans

mostrar ponte mac-table

tabela de comutação de ethernet

mostrar interface de aprendizado l2

mostrar interface de comutação de ethernet

Nota:

Não há interface de gerenciamento fora de banda fxp0 nos dispositivos SRX300, SRX320 e SRX500HM. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Modo de próxima geração de Camada 2 para a Série ACX

O modo De Próxima Geração de Camada 2, também chamado de Software de Camada 2 Aprimorada (ELS), é suportado nos roteadores ACX5048, ACX5096 e ACX5448 para configurar recursos de Camada 2. As configurações de CLI de Camada 2 e os comandos de exibição para roteadores ACX5048, ACX5096 e ACX5448 diferem dos de outros roteadores da Série ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 e ACX4000) e roteadores da Série MX.

Tabela 20 mostra as diferenças na hierarquia de CLI para configurar recursos de Camada 2 no modo de próxima geração da Camada 2.

Tabela 20: Diferenças na hierarquia de CLI para recursos de Camada 2 no modo de próxima geração da Camada 2

Recursos

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 e roteadores da Série MX

Roteadores ACX5048, ACX5096 e ACX5448

Domínio da ponte

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Família bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Opções de camada 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Opções de ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Roteamento e ponte integrados (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Controle de tempestades

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Protocolo de gerenciamento de grupos de Internet (IGMP)

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtro de firewall da família bridge

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabela 21 mostra as diferenças de show comandos para recursos de Camada 2 no modo de próxima geração da Camada 2.

Tabela 21: Diferenças nos comandos de exibição para recursos de Camada 2 no modo de próxima geração da Camada 2

Recursos

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 e roteadores da Série MX

Roteadores ACX5048, ACX5096 e ACX5448

VLAN

show bridge-domain

show vlans

Tabela MAC

show bridge mac-table

show ethernet-switching table

Opções de tabela MAC

show bridge mac-table(endereço MAC, nome de domínio de ponte, interface, VLAN ID e instância)

show ethernet-switching table

Lista de portas de switches com atribuições de VLAN

show l2-learning interface

show ethernet-switching interfaces

Estado do kernel do banco de dados flush

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tabela de histórico de liberação
Versão
Descrição
15.1X49-D40
A partir do Junos OS Release 15.1X49-D40, use o set protocols l2-learning global-mode(transparent-bridge | switching) comando para alternar entre o modo de ponte transparente de Camada 2 e o modo de comutação Ethernet.
15.1X49-D10
Começando no Junos OS Release 15.1X49-D10 e Junos OS Release 17.3R1, algumas declarações de configuração de CLI de Camada 2 são aprimoradas e alguns comandos são alterados.