Redes de camada 2
Visão geral das redes de camada 2
A camada 2, também conhecida como Camada de Enlace de Dados, é o segundo nível do modelo de referência de OSI de sete camadas para design de protocolo de rede. A camada 2 equivale à camada de enlace (a camada mais baixa) do modelo de rede TCP/IP. A camada2 é a camada de rede usada para transferir dados entre nós de rede adjacentes em uma rede de ampla área ou entre nós na mesma rede local.
Um quadro é uma unidade de dados de protocolo, a menor unidade de bits em uma rede de Camada 2. Os quadros são transmitidos e recebidos de dispositivos na mesma rede de área local (LAN). Bits unilke, os quadros têm uma estrutura definida e podem ser usados para detecção de erros, atividades de plano de controle e assim por diante. Nem todos os quadros transportam dados do usuário. A rede usa alguns quadros para controlar o próprio link de dados..
Na Camada 2, a unicast refere-se ao envio de quadros de um nó a um único outro nó, enquanto o multicast denota o envio de tráfego de um nó a vários nós, e a transmissão refere-se à transmissão de quadros a todos os nós em uma rede. Um domínio de broadcast é uma divisão lógica de uma rede na qual todos os nós dessa rede podem ser alcançados na Camada 2 por uma transmissão.
Segmentos de uma LAN podem ser vinculados no nível do quadro usando pontes. A ponte cria domínios de broadcast separados na LAN, criando VLANs, que são redes lógicas independentes que agrupam dispositivos relacionados em segmentos de rede separados. O agrupamento de dispositivos em uma VLAN é independente de onde os dispositivos estão fisicamente localizados na LAN. Sem pontes e VLANs, todos os dispositivos na LAN Ethernet estão em um único domínio de broadcast, e todos os dispositivos detectam todos os pacotes na LAN.
O encaminhamento é o retransmissão de pacotes de um segmento de rede para outro por nós na rede. Em uma VLAN, um quadro cuja origem e destino estão na mesma VLAN são encaminhados apenas dentro da VLAN local. Um segmento de rede é uma parte de uma rede de computador em que todos os dispositivos se comunicam usando a mesma camada física.
A camada 2 contém duas subcamadores:
Subcamadas de controle lógico de enlaces (LLC), que é responsável pelo gerenciamento de links de comunicações e manuseio do tráfego de quadros.
Subcamada de controle de acesso ao meio de mídia (MAC), que rege o acesso de protocolo ao meio de rede físico. Ao usar os endereços MAC que são atribuídos a todas as portas em um switch, vários dispositivos no mesmo link físico podem se identificar de forma única.
As portas ou interfaces em um switch operam no modo de acesso, acesso com tags ou modo tronco:
As portas de modo de acesso se conectam a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta em si pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas em um switch estão no modo de acesso.
As portas de modo de acesso com tags se conectam a um dispositivo de rede, como um computador desktop, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta em si pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas em um switch estão no modo de acesso. O modo de acesso com tags acomoda a computação em nuvem, especificamente cenários, incluindo máquinas virtuais ou computadores virtuais. Como vários computadores virtuais podem ser incluídos em um servidor físico, os pacotes gerados por um servidor podem conter uma agregação de pacotes VLAN de diferentes máquinas virtuais nesse servidor. Para acomodar essa situação, o modo de acesso com tags reflete pacotes de volta ao servidor físico na mesma porta downstream quando o endereço de destino do pacote foi aprendido naquela porta downstream. Os pacotes também são refletidos de volta ao servidor físico na porta downstream quando o destino ainda não foi aprendido. Portanto, o terceiro modo de interface, o acesso com tags, tem algumas características do modo de acesso e algumas características do modo tronco:
As portas de modo tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego para todas essas VLANs pela mesma conexão física. As interfaces de tronco geralmente são usadas para interconectar switches a outros dispositivos ou switches.
Com VLAN nativo configurado, quadros que não transportam tags VLAN são enviados pela interface do tronco. Se você tiver uma situação em que os pacotes passem de um dispositivo para um switch no modo de acesso, e então você quiser enviar esses pacotes do switch por uma porta de tronco, use o modo VLAN nativo. Configure a VLAN única na porta do switch (que está no modo de acesso) como uma VLAN nativa. A porta-tronco do switch tratará esses quadros de forma diferente dos outros pacotes marcados. Por exemplo, se uma porta tronco tiver três VLANs, 10, 20 e 30, atribuídas a ela, sendo o VLAN 10 o VLAN nativo, os quadros na VLAN 10 que deixam a porta do tronco na outra extremidade não têm cabeçalho 802.1Q (tag). Existe outra opção de VLAN nativa. Você pode fazer com que o switch adicione e remova tags para pacotes não registrados. Para isso, você configura primeiro a VLAN única como uma VLAN nativa em uma porta anexada a um dispositivo na borda. Em seguida, atribua uma tag VLAN ID à VLAN nativa única na porta conectada a um dispositivo. Por último, adicione o ID VLAN na porta do porta-malas. Agora, quando o switch recebe o pacote não registrado, ele adiciona o ID que você especificou e envia e recebe os pacotes com tags na porta do tronco configurados para aceitar essa VLAN.
Incluindo as subcamadas, a Camada 2 da Série QFX oferece suporte às seguintes funcionalidades:
Tráfego unicast, multicast e broadcast.
Ponte.
VLAN 802.1Q — também conhecido como taging VLAN, esse protocolo permite que várias redes em ponte compartilhem de forma transparente o mesmo link de rede físico adicionando tags VLAN a um quadro Ethernet.
A extensão das VLANs de Camada 2 em vários switches usando o Spanning Tree Protocol (STP) evita loops por toda a rede.
Aprendizado MAC, incluindo aprendizado MAC por VLAN e supressão de aprendizado de Camada 2— Esse processo obtém os endereços MAC de todos os nós em uma rede
Agregação de enlaces — Grupos de processo de interfaces Ethernet na camada física para formar uma única interface de camada de link, também conhecida como grupo de agregação de links (LAG) ou pacote LAG
Nota:A agregação de enlaces não é suportada em dispositivos NFX150.
Controle de tempestade na porta física para unicast, multicast e broadcast
Nota:O controle de tempestade não é suportado em dispositivos NFX150.
Suporte para STP, incluindo 802.1d, RSTP, MSTP e Root Guard
Consulte também
Entendendo as VLANs
Uma VLAN (LAN virtual) é uma coleção de nós de rede agrupados para formar domínios de broadcast separados. Em uma rede Ethernet que é uma única LAN, todo o tráfego é encaminhado para todos os nós na LAN. Nas VLANs, os quadros cuja origem e destino estão na mesma VLAN são encaminhados apenas dentro da VLAN local. Os quadros que não estão destinados à VLAN local são os únicos encaminhados a outros domínios de broadcast. Assim, as VLANs limitam a quantidade de tráfego que flui por toda a LAN, reduzindo o possível número de colisões e retransmissões de pacotes em uma VLAN e em toda a LAN.
Em uma LAN Ethernet, todos os nós de rede devem estar fisicamente conectados à mesma rede. Nas VLANs, a localização física dos nós não é importante; portanto, você pode agrupar dispositivos de rede de qualquer maneira que faça sentido para a sua organização, como por departamento ou função comercial, por tipos de nós de rede ou por localização física. Cada VLAN é identificada por uma única sub-rede IP e pelo encapsulamento padronizado IEEE 802.1Q.
Para identificar a qual VLAN o tráfego pertence, todos os quadros em um VLAN Ethernet são identificados por uma tag, conforme definido no padrão IEEE 802.1Q. Esses quadros são marcados e encapsulados com tags 802.1Q.
Para uma rede simples que tem apenas uma única VLAN, todo o tráfego tem a mesma tag 802.1Q. Quando uma LAN Ethernet é dividida em VLANs, cada VLAN é identificada por uma tag exclusiva 802.1Q. A tag é aplicada a todos os quadros para que os nós de rede que recebem os quadros saibam a qual VLAN pertence a um quadro. As portas de tronco, que multiplexam o tráfego entre várias VLANs, usam a tag para determinar a origem dos quadros e onde encaminhá-los.
Consulte também
Visão geral do modo transparente de comutação e camada 2 da Ethernet
O modo transparente de camada 2 oferece a capacidade de implantar o firewall sem fazer alterações na infraestrutura de roteamento existente. O firewall é implantado como um switch de Camada 2 com vários segmentos de VLAN e fornece serviços de segurança dentro de segmentos de VLAN. O fio seguro é uma versão especial do modo transparente de Camada 2 que permite a implantação de bump-in-wire.
Um dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) se não houver interfaces físicas configuradas como interfaces de Camada 2.
Para firewalls da Série SRX, o modo transparente oferece serviços de segurança completos para recursos de comutação de Camada 2. Nesses firewalls da Série SRX, você pode configurar uma ou mais VLANs para realizar comutação de Camada 2. VLAN é um conjunto de interfaces lógicas que compartilham as mesmas características de inundação ou transmissão. Como uma LAN virtual (VLAN), uma VLAN abrange uma ou mais portas de vários dispositivos. Assim, o firewall da Série SRX pode funcionar como um switch de Camada 2 com várias VLANs que participam da mesma rede de Camada 2.
No modo transparente, o firewall da Série SRX filtra pacotes que atravessam o dispositivo sem modificar nenhuma das informações de origem ou destino nos cabeçalhos de pacotes IP. O modo transparente é útil para proteger servidores que recebem principalmente tráfego de fontes não confiáveis porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.
No modo transparente, todas as portas físicas do dispositivo são atribuídas a interfaces de Camada 2. Não encaminhe o tráfego de Camada 3 pelo dispositivo. As zonas de camada 2 podem ser configuradas para hospedar interfaces de Camada 2, e as políticas de segurança podem ser definidas entre zonas de Camada 2. Quando os pacotes viajam entre zonas de Camada 2, as políticas de segurança podem ser aplicadas nesses pacotes.
Tabela 1 lista os recursos de segurança que são suportados e não são suportados no modo transparente para comutação de Camada 2.
Tipo de modo |
Possibilitada |
Não suportado |
|---|---|---|
Modo transparente |
|
|
Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, a propagação do servidor DHCP não é suportada no modo transparente de Camada 2.
Além disso, os firewalls da Série SRX não oferecem suporte aos seguintes recursos de Camada 2 no modo transparente de Camada 2:
Spanning Tree Protocol (STP), RSTP ou MSTP — é responsabilidade do usuário garantir que não existam loops de inundação na topologia da rede.
Snooping do Internet Group Management Protocol (IGMP) — protocolo de sinalização de host para roteador para IPv4 usado para relatar suas associações de grupos multicast a roteadores vizinhos e determinar se os membros do grupo estão presentes durante a multicasting de IP.
VLANs com tag dupla ou identificadores IEEE 802.1Q VLAN encapsulados em pacotes de 802.1Q (também chamados de taging VLAN "Q in Q") — apenas identificadores de VLAN não registrados ou com marca única são suportados em firewalls da Série SRX.
Aprendizado de VLAN não qualificado, onde apenas o endereço MAC é usado para o aprendizado dentro da VLAN — o aprendizado de VLAN em firewalls da Série SRX é qualificado; ou seja, tanto o identificador de VLAN quanto o endereço MAC são usados.
Além disso, nos dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650, alguns recursos não são suportados. (O suporte da plataforma depende da versão do Junos OS em sua instalação.) Os recursos a seguir não são suportados para o modo transparente de Camada 2 nos dispositivos mencionados:
G-ARP na interface de Camada 2
Monitoramento de endereço IP em qualquer interface
Tráfego de trânsito pela IRB
Interface IRB em uma instância de roteamento
Manuseio de interface IRB do tráfego de Camada 3
Nota:A interface IRB é uma pseudointerface e não pertence ao grupo de interface de reth e redundância.
- Modo transparente de camada 2 no concentrador de portas do módulo de linha de SRX5000
- Entender os fluxos IPv6 no modo transparente em dispositivos de segurança
- Entenda os clusters de chassi do modo transparente de Camada 2 em dispositivos de segurança
- Configuração do gerenciamento fora de banda em firewalls da Série SRX
- Comutação de ethernet
- Exceções de comutação de Camada 2 em dispositivos da Série SRX
Modo transparente de camada 2 no concentrador de portas do módulo de linha de SRX5000
O concentrador de porta de módulo de linha SRX5000 (SRX5K-MPC) oferece suporte ao modo transparente de Camada 2 e processa o tráfego quando o firewall da Série SRX é configurado no modo transparente de Camada 2.
Quando o SRX5K-MPC está operando no modo Camada 2, você pode configurar todas as interfaces no SRX5K-MPC como portas de comutação de Camada 2 para oferecer suporte ao tráfego de Camada 2.
A unidade de processamento de segurança (SPU) oferece suporte a todos os serviços de segurança para funções de comutação de Camada 2, e o MPC entrega os pacotes de entrada para a SPU e encaminha os pacotes de saída que são encapsulados pela SPU para as interfaces de saída.
Quando o firewall da Série SRX é configurado no modo transparente de Camada 2, você pode permitir que as interfaces no MPC funcionem no modo de Camada 2, definindo uma ou mais unidades lógicas em uma interface física com o tipo de endereço da família como .Ethernet switching Mais tarde, você pode prosseguir com a configuração de zonas de segurança de Camada 2 e a configuração de políticas de segurança em modo transparente. Assim que isso é feito, topologias de próximo salto são configuradas para processar pacotes de entrada e saída.
Entender os fluxos IPv6 no modo transparente em dispositivos de segurança
No modo transparente, o firewall da Série SRX filtra pacotes que atravessam o dispositivo sem modificar nenhuma das informações de origem ou destino nos cabeçalhos MAC do pacote. O modo transparente é útil para proteger servidores que recebem principalmente tráfego de fontes não confiáveis porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.
Um dispositivo opera em modo transparente quando todas as interfaces físicas do dispositivo são configuradas como interfaces de Camada 2. Uma interface física é uma interface de Camada 2 se sua interface lógica estiver configurada com a opção no nível [] de hierarquia.ethernet-switchingedit interfaces interface-name unit unit-number family Não há comando para definir ou habilitar o modo transparente no dispositivo. O dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) se todas as interfaces físicas forem configuradas como interfaces de Camada 3.
Por padrão, os fluxos IPv6 são descartados em dispositivos de segurança. Para permitir o processamento por recursos de segurança, como zonas, telas e políticas de firewall, você deve habilitar o encaminhamento baseado em fluxo para tráfego IPv6 com a opção de configuração no nível [] de hierarquia.mode flow-basededit security forwarding-options family inet6 Você deve reiniciar o dispositivo quando mudar o modo.
No modo transparente, você pode configurar zonas de Camada 2 para hospedar interfaces de Camada 2 e definir políticas de segurança entre zonas de Camada 2. Quando os pacotes viajam entre zonas de Camada 2, as políticas de segurança podem ser aplicadas nesses pacotes. Os seguintes recursos de segurança são suportados para tráfego IPv6 em modo transparente:
Zonas de segurança e políticas de segurança de camada 2. Veja a compreensão das zonas de segurança da camada 2 e a compreensão das políticas de segurança no modo transparente .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-layer-2-security-zoneshttps://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-security-policies-in-transparent-mode
Autenticação do usuário do firewall. Veja a compreensão da autenticação do usuário do firewall no modo transparente .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-firewall-user-authentication-in-transparent-mode
Clusters de chassi de modo transparente de camada 2.
Classe de funções de serviço . Veja as funções de classe de serviço em uma visão geral do modo transparente.https://www.juniper.net/documentation/en_US/junos/topics/concept/security-class-of-service-function-transparent-mode-overview.html
Os seguintes recursos de segurança não são suportados para fluxos IPv6 em modo transparente:
Sistemas lógicos
IPv6 GTPv2
Interface J-Web
NAT
IPsec VPN
Com exceção das ALGs DNS, FTP e TFTP, todas as outras ALGs não têm suporte.
Configurar VLANs e interfaces lógicas de Camada 2 para fluxos IPv6 é o mesmo que configurar VLANs e interfaces lógicas de Camada 2 para fluxos IPv4. Você pode configurar opcionalmente uma interface integrada de roteamento e ponte (IRB) para o tráfego de gerenciamento em uma VLAN. A interface IRB é a única interface de Camada 3 permitida no modo transparente. A interface IRB no firewall da Série SRX não oferece suporte a encaminhamento ou roteamento de tráfego. A interface IRB pode ser configurada com endereços IPv4 e IPv6. Você pode atribuir um endereço IPv6 para a interface IRB com a declaração de configuração no nível [] de hierarquia.addressedit interfaces irb unit number family inet6 Você pode atribuir um endereço IPv4 para a interface IRB com a declaração de configuração no nível [] de hierarquia.addressedit interfaces irb unit number family inet
As funções de comutação Ethernet em firewalls da Série SRX são semelhantes aos recursos de comutação nos roteadores da Série MX da Juniper Networks. No entanto, nem todos os recursos de rede de Camada 2 suportados nos roteadores da Série MX são suportados em firewalls da Série SRX. Veja a visão geral do modo transparente de comutação e camada 2 da Ethernet.https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/layer-2-understanding.html#id-ethernet-switching-and-layer-2-transparent-mode-overview
O firewall da Série SRX mantém tabelas de encaminhamento que contêm endereços MAC e interfaces associadas para cada VLAN de Camada 2. O processamento de fluxo IPv6 é semelhante aos fluxos IPv4. Veja .Visão geral do aprendizado e encaminhamento da camada 2 para VLANs
Entenda os clusters de chassi do modo transparente de Camada 2 em dispositivos de segurança
Um par de firewalls da Série SRX no modo transparente de Camada 2 pode ser conectado em um cluster de chassi para fornecer redundância de nós de rede. Quando configurado em um cluster de chassi, um nó atua como o dispositivo principal e o outro como o dispositivo secundário, garantindo falhas stateful de processos e serviços em caso de falha no sistema ou hardware. Se o dispositivo primário falhar, o dispositivo secundário assume o processamento do tráfego.
Se o dispositivo principal falhar em um cluster de chassi de modo transparente de Camada 2, as portas físicas do dispositivo com falha ficam inativas (desativas) por alguns segundos antes de ficarem ativas (subir) novamente.
Para formar um cluster de chassi, um par do mesmo tipo de firewalls da Série SRX suportados combina agir como um único sistema que aplica a mesma segurança geral.
Dispositivos no modo transparente de Camada 2 podem ser implantados em configurações ativas/de backup e cluster ativo/ativo do chassi.
Os seguintes recursos de cluster de chassi não são suportados para dispositivos no modo transparente de Camada 2:
ARP gratuito — As primárias recém-eleitas em um grupo de redundância não podem enviar solicitações gratuitas de ARP para notificar os dispositivos de rede de uma mudança na função primária nos links redundantes de interface Ethernet.
Monitoramento de endereço IP — a falha de um dispositivo upstream não pode ser detectada.
Um grupo de redundância é uma construção que inclui uma coleção de objetos em ambos os nós. Um grupo de redundância é primário em um nó e backup do outro. Quando um grupo de redundância é primário em um nó, seus objetos nesse nó estão ativos. Quando um grupo de redundância falha, todos os seus objetos falham juntos.
Você pode criar um ou mais grupos de redundância numerados de 1 a 128 para uma configuração de cluster de chassi ativo/ativo. Cada grupo de redundância contém uma ou mais interfaces Ethernet redundantes. Uma interface Ethernet redundante é uma pseudointerface que contém interfaces físicas de cada nó do cluster. As interfaces físicas em uma interface Ethernet redundante devem ser do mesmo tipo — seja a Fast Ethernet ou a Gigabit Ethernet. Se um grupo de redundância estiver ativo no nó 0, então as ligações infantis de todas as interfaces Ethernet redundantes associadas no nó 0 estarão ativas. Se o grupo de redundância falhar no nó 1, então as ligações infantis de todas as interfaces Ethernet redundantes no nó 1 ficarão ativas.
Na configuração ativa/ativa do cluster do chassi, o número máximo de grupos de redundância é igual ao número de interfaces Ethernet redundantes que você configura. Na configuração ativa/de backup do cluster do chassi, o número máximo de grupos de redundância suportados é de dois.
Configurar interfaces Ethernet redundantes em um dispositivo no modo transparente de Camada 2 é semelhante à configuração de interfaces Ethernet redundantes em um dispositivo no modo de rota de Camada 3, com a seguinte diferença: a interface Ethernet redundante em um dispositivo no modo transparente de Camada 2 é configurada como uma interface lógica de Camada 2.
A interface Ethernet redundante pode ser configurada como uma interface de acesso (com uma única ID VLAN atribuída a pacotes não registrados recebidos na interface) ou como uma interface de tronco (com uma lista de IDs VLAN aceitos na interface e, opcionalmente, um nativo-vlan-id para pacotes não registrados recebidos na interface). As interfaces físicas (uma de cada nó no cluster do chassi) são vinculadas como interfaces infantis à interface Ethernet redundante dos pais.
No modo transparente de Camada 2, o aprendizado MAC é baseado na interface Ethernet redundante. A tabela MAC é sincronizada em interfaces Ethernet redundantes e unidades de processamento de serviços (SPUs) entre o par de dispositivos de cluster de chassi.
A interface IRB é usada apenas para gerenciamento de tráfego, e não pode ser atribuída a nenhuma interface Ethernet redundante ou grupo de redundância.
Todas as opções de tela do Junos OS que estão disponíveis para um único dispositivo nãoclustered estão disponíveis para dispositivos em clusters de chassi de modo transparente de Camada 2.
Os protocolos spanning tree (STPs) não são suportados para o modo transparente de Camada 2. Você deve garantir que não há conexões de loop na topologia de implantação.
Configuração do gerenciamento fora de banda em firewalls da Série SRX
Você pode configurar a interface de gerenciamento fora da banda no firewall da Série SRX como uma interface de Camada 3, mesmo se as interfaces de Camada 2 forem definidas no dispositivo.fxp0 Com exceção da interface, você pode definir interfaces de Camada 2 e Camada 3 nas portas de rede do dispositivo.fxp0
Não há interface de gerenciamento fora de banda no SRX300, SRX320 e SRX550M dispositivos. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Comutação de ethernet
A comutação Ethernet encaminha os quadros Ethernet dentro ou por todo o segmento de LAN (ou VLAN) usando as informações de endereço MAC da Ethernet. A comutação de ethernet no dispositivo SRX1500 é realizada no hardware usando ASICs.
A partir do Junos OS Release 15.1X49-D40, use o comando para alternar entre o modo ponte transparente de Camada 2 e o modo de comutação Ethernet.set protocols l2-learning global-mode(transparent-bridge | switching) Após a comutação do modo, você deve reiniciar o dispositivo para que a configuração entre em vigor. descreve o modo global padrão de Camada 2 no Firewalls da Série SRX.Tabela 2
Versão do Junos OS |
Plataformas |
Modo global de camada 2 padrão |
Detalhes |
|---|---|---|---|
Antes da versão do Junos OS 15.1X49-D50 e Versão Junos OS 17.3R1 em diante |
SRX300, SRX320, SRX340 e SRX345 |
Modo de comutação |
Nenhum |
Versão Junos OS 15.1X49-D50 para Junos OS Versão 15.1X49-D90 |
SRX300, SRX320, SRX340 e SRX345 |
Modo de comutação |
Quando você exclui a configuração global de modo de Camada 2 em um dispositivo, o dispositivo fica no modo bridge transparente. |
Versão Junos OS 15.1X49-D100 em diante |
SRX300, SRX320, SRX340, SRX345, SRX550 e SRX550M |
Modo de comutação |
Quando você apaga a configuração global de modo de Camada 2 em um dispositivo, o dispositivo está no modo de comutação. Configure o comando sob o nível de hierarquia para mudar para o modo bridge transparente. |
Versão Junos OS 15.1X49-D50 em diante |
SRX1500 |
Modo ponte transparente |
Nenhum |
O protocolo de Camada 2 suportado no modo de comutação é o Link Aggregation Control Protocol (LACP).
Você pode configurar o modo transparente de Camada 2 em uma interface Ethernet redundante. Use os seguintes comandos para definir uma interface Ethernet redundante:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Exceções de comutação de Camada 2 em dispositivos da Série SRX
As funções de comutação nos firewalls da Série SRX são semelhantes aos recursos de comutação nos roteadores da Série MX da Juniper Networks. No entanto, os seguintes recursos de rede de Camada 2 nos roteadores da Série MX não são suportados em firewalls da Série SRX:
Protocolos de controle de camada 2 — esses protocolos são usados em roteadores da Série MX para o Protocolo de Árvores de Spanning Rápida (RSTP) ou Protocolo de Múltiplas Árvores de Abrangência (MSTP) em interfaces de borda do cliente de uma instância de roteamento VPLS.
Instância de roteamento de switch virtual — a instância de roteamento de comutação virtual é usada em roteadores da Série MX para agrupar uma ou mais VLANs.
Instância de roteamento de serviços de LAN privada virtual (VPLS) — A instância de roteamento VPLS é usada em roteadores da Série MX para implementações lan de ponto a multiponto entre um conjunto de sites em uma VPN.
Consulte também
Entendendo a Unicast
A unicasting é o ato de enviar dados de um nó da rede para outro. Em contraste, transmissões multicast enviam tráfego de um nó de dados para vários outros nós de dados.
O tráfego unicast desconhecido consiste em quadros unicast com endereços MAC de destino desconhecidos. Por padrão, o switch inunda esses quadros unicast que estão viajando em uma VLAN para todas as interfaces que são membros da VLAN. O encaminhamento desse tipo de tráfego para interfaces no switch pode desencadear um problema de segurança. A LAN está subitamente inundada de pacotes, criando tráfego desnecessário que leva a um desempenho de rede ruim ou até mesmo a uma perda completa do serviço de rede. Isso é conhecido como uma tempestade de tráfego.
Para evitar uma tempestade, você pode desativar a inundação de pacotes unicast desconhecidos em todas as interfaces, configurando uma VLAN ou todas as VLANs para encaminhar qualquer tráfego unicast desconhecido para uma interface de tronco específica. (Isso canaliza o tráfego unicast desconhecido para uma única interface.)
Consulte também
Entendendo a broadcasting de Camada 2 em switches
Em uma rede de Camada 2, a radiodifusão refere-se ao envio de tráfego a todos os nós em uma rede.
O tráfego de transmissão de camada 2 permanece dentro de um limite de rede de área local (LAN); conhecido como domínio de broadcast. O tráfego de transmissão de camada 2 é enviado para o domínio de broadcast usando um endereço MAC de FF:FF:FF:FF:FF:FF. Cada dispositivo no domínio de broadcast reconhece este endereço MAC e passa o tráfego de transmissão para outros dispositivos no domínio de broadcast, se aplicável. A radiodifusão pode ser comparada à unicasting (enviando tráfego para um único nó) ou multicasting (entregando tráfego a um grupo de nós simultaneamente).
No entanto, o tráfego de transmissão de camada 3 é enviado a todos os dispositivos em uma rede usando um endereço de rede de broadcast. Por exemplo, se seu endereço de rede for 10.0.0.0, o endereço da rede de broadcast será 10.255.255.255. Neste caso, apenas os dispositivos que pertencem à rede 10.0.0.0 recebem o tráfego de transmissão de Camada 3. Dispositivos que não pertencem a essa rede reduzem o tráfego.
A radiodifusão é usada nas seguintes situações:
O Address Resolution Protocol (ARP) usa a broadcasting para mapear endereços MAC em endereços IP. O ARP vincula dinamicamente o endereço IP (o endereço lógico) ao endereço MAC correto. Antes que os pacotes ip unicast possam ser enviados, o ARP descobre o endereço MAC usado pela interface Ethernet onde o endereço IP está configurado.
O Protocolo dinâmico de configuração de host (DHCP) usa a radiodifusão para atribuir dinamicamente endereços IP aos hosts em um segmento ou sub-rede de rede.
Os protocolos de roteamento usam a broadcasting para anunciar rotas.
O tráfego excessivo de transmissão às vezes pode criar uma tempestade de transmissão. Uma tempestade de transmissão ocorre quando mensagens são transmitidas em uma rede e cada mensagem solicita que um nó receptor responda transmitindo suas próprias mensagens na rede. Isso, por sua vez, solicita mais respostas que criam um efeito bola de neve. A LAN está subitamente inundada de pacotes, criando tráfego desnecessário que leva a um desempenho de rede ruim ou até mesmo a uma perda completa do serviço de rede.
Consulte também
Usando o CLI aprimorado de software de Camada 2
O software aprimorado de Camada 2 (ELS) oferece uma CLI uniforme para configurar e monitorar recursos de Camada 2 em switches da Série QFX, switches da Série EX e outros dispositivos da Juniper Networks, como roteadores da Série MX. Com o ELS, você configura recursos de Camada 2 da mesma forma em todos esses dispositivos da Juniper Networks.
Esse tópico explica como saber se sua plataforma está executando ELS. Ele também explica como executar algumas tarefas comuns usando o estilo de configuração els.
- Entender quais dispositivos oferecem suporte ao ELS
- Entender como configurar recursos de Camada 2 usando ELS
- Entendendo as mudanças na declaração de configuração e comando do ELS
Entender quais dispositivos oferecem suporte ao ELS
O ELS é suportado automaticamente se o seu dispositivo estiver executando uma versão do Junos OS que o oferece suporte. Você não precisa tomar nenhuma ação para habilitar o ELS e não pode desabilitar o ELS. Consulte o Feature Explorer para obter informações sobre quais plataformas e versões oferecem suporte ao ELS.https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=5890&fn=Uniform+Enhanced+Layer+2+Software+(ELS)+CLI+configuration+statements+and+operational+commands
Entender como configurar recursos de Camada 2 usando ELS
Como o ELS oferece uma CLI uniforme, agora você pode executar as seguintes tarefas em dispositivos suportados da mesma maneira:
- Configuração de uma VLAN
- Configurando o identificador VLAN nativo
- Configuração de interfaces de camada 2
- Configuração de interfaces de camada 3
- Configuração de uma interface IRB
- Configurando uma interface de ethernet agregada e configurando LACP nessa interface
Configuração de uma VLAN
Você pode configurar uma ou mais VLANs para realizar a ponte de Camada 2. As funções de ponte de Camada 2 incluem roteamento integrado e ponte (IRB) para suporte à ponte de Camada 2 e roteamento IP de Camada 3 na mesma interface. Os switches da Série EX e da Série QFX podem funcionar como switches de Camada 2, cada um com várias pontes, ou broadcast, domínios que participam da mesma rede de Camada 2. Você também pode configurar o suporte de roteamento de Camada 3 para uma VLAN.
Para configurar uma VLAN:
Configurando o identificador VLAN nativo
Os switches da Série EX e da Série QFX suportam o recebimento e o encaminhamento de quadros Ethernet roteado ou em ponte com tags VLAN de 802.1Q. Normalmente, as portas de tronco, que conectam switches entre si, aceitam pacotes de controle não registrados, mas não aceitam pacotes de dados não registrados. Você pode permitir que uma porta de tronco aceite pacotes de dados não registrados configurando um ID VLAN nativo na interface na qual você deseja que os pacotes de dados não registrados sejam recebidos.
Para configurar a ID VLAN nativa:
Configuração de interfaces de camada 2
Para garantir que sua rede de alto tráfego esteja ajustada para um desempenho ideal, configure explicitamente algumas configurações nas interfaces de rede do switch.
Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como interface :trunk
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como interface :access
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Para atribuir uma interface à VLAN:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuração de interfaces de camada 3
Para configurar uma interface de Camada 3, você deve atribuir um endereço IP à interface. Você atribui um endereço a uma interface especificando o endereço quando configura a família de protocolo. Para a família ou a família, configure o endereço IP da interface.inetinet6
Você pode configurar interfaces com um endereço IP versão 4 (IPv4) de 32 bits e opcionalmente com um prefixo de destino, às vezes chamado de máscara de sub-rede. Um endereço IPv4 utiliza uma sintaxe de endereço decimal pontilhada de 4 octets (por exemplo, 192.168.1.1.1). Um endereço IPv4 com prefixo de destino utiliza uma sintaxe de endereço decimal pontilhada de 4 octets com um prefixo de destino apensado (por exemplo, 192.168.1.1/16).
Especificar um endereço IP4 para a unidade lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Você representa endereços ip versão 6 (IPv6) em notação hexadima, usando uma lista separada de pontos de valores de 16 bits. Você atribui um endereço IPv6 de 128 bits a uma interface.
Especificar um endereço IP6 para a unidade lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuração de uma interface IRB
O roteamento integrado e a ponte (IRB) oferecem suporte para pontes de Camada 2 e roteamento IP de Camada 3 na mesma interface. A IRB permite que você encaminhe pacotes para outra interface roteada ou para outra VLAN que tenha um protocolo de Camada 3 configurado. As interfaces IRB permitem que o dispositivo reconheça os pacotes que estão sendo enviados para endereços locais para que sejam conectados (comuados) sempre que possível e sejam roteados apenas quando necessário. Sempre que os pacotes podem ser trocados em vez de roteados, várias camadas de processamento são eliminadas. Uma interface chamada irb funciona como um roteador lógico no qual você pode configurar uma interface lógica de Camada 3 para VLAN. Para redundância, você pode combinar uma interface IRB com implementações do Protocolo de redundância de roteador virtual (VRRP) em ambientes de ponte e serviços de LAN privada virtual (VPLS).
Para configurar uma interface IRB:
Configurando uma interface de ethernet agregada e configurando LACP nessa interface
Use o recurso de agregação de links para agregar um ou mais links para formar um link virtual ou grupo de agregação de links (LAG). O cliente MAC pode tratar este link virtual como se fosse um único link para aumentar a largura de banda, fornecer degradação graciosa à medida que a falha ocorre e aumentar a disponibilidade.
Para configurar uma interface Ethernet agregada:
Para interfaces Ethernet agregadas no dispositivo, você pode configurar o Link Aggregation Control Protocol (LACP). O LACP agrupa várias interfaces físicas para formar uma interface lógica. Você pode configurar a Ethernet agregada com ou sem LACP habilitado.
Quando o LACP é habilitado, os lados local e remoto dos links Ethernet agregados trocam unidades de dados de protocolo (PDUs), contendo informações sobre o estado do link. Você pode configurar links Ethernet para transmitir Ativamente PDUs ou configurar os links para transmiti-los passivamente, enviando PDUs LACP apenas quando eles os recebem de outro link. Um lado do link deve ser configurado como ativo para que o link esteja ativo.
Para configurar o LACP:
Habilite um lado do link Ethernet agregado como ativo:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Especifique o intervalo em que as interfaces enviam pacotes LACP:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Entendendo as mudanças na declaração de configuração e comando do ELS
O ELS foi introduzido no Junos OS Release 12.3R2 para switches EX9200. O ELS muda a CLI para alguns dos recursos de Camada 2 em switches da Série EX e da Série QFX suportados.
As seções a seguir fornecem uma lista de comandos existentes que foram movidos para novos níveis de hierarquia ou alterados nos switches da Série EX como parte deste esforço de aprimoramento da CLI. Essas seções são fornecidas apenas como uma referência de alto nível. Para obter informações detalhadas sobre esses comandos, use os links para as declarações de configuração fornecidas ou veja a documentação técnica.
- Alterações no nível hierárquicos de opções de comutação de ethernet
- Mudanças no nível de hierarquia de espelhamento de portas
- Alterações no nível de hierarquia do protocolo de controle de camada 2
- Alterações na Declaração de tunelamento de dot1q
- Mudanças no protocolo de aprendizado L2
- Mudanças na ponte sem interrupções
- Mudanças na segurança de porta e snooping do DHCP
- Alterações na configuração de VLANs
- Mudanças nos perfis de controle de tempestade
- Mudanças na hierarquia de interfaces
- Mudanças no IGMP Snooping
Alterações no nível hierárquicos de opções de comutação de ethernet
Esta seção descreve as mudanças no nível de hierarquia.ethernet-switching-options
O nível de hierarquia foi renomeado como .ethernet-switching-optionsswitch-options
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
As declarações foram removidas da hierarquia. |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
As declarações foram removidas da hierarquia. |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
Nota:
A declaração foi substituída por uma nova declaração. interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Mudanças no nível de hierarquia de espelhamento de portas
As declarações passaram do nível de hierarquia para o nível de hierarquia.ethernet-switching-optionsforwarding-options
Alterações no nível de hierarquia do protocolo de controle de camada 2
As declarações de protocolo de controle de Camada 2 passaram da hierarquia para a hierarquia.ethernet-switching-optionsprotocols
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Alterações na Declaração de tunelamento de dot1q
A declaração foi substituída por uma nova declaração e passou para um nível de hierarquia diferente.dot1q-tunneling
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Mudanças no protocolo de aprendizado L2
A declaração foi substituída por uma nova declaração e passou para um nível de hierarquia diferente.mac-table-aging-time
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Mudanças na ponte sem interrupções
A declaração passou para um nível de hierarquia diferente.nonstop-bridging
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Mudanças na segurança de porta e snooping do DHCP
As declarações de espionagem de segurança de portas e DHCP passaram para diferentes níveis de hierarquia.
A declaração não existe na hierarquia alterada.examine-dhcp A espionagem DHCP agora é habilitada automaticamente quando outros recursos de segurança DHCP são habilitados em uma VLAN. Consulte Configurando a segurança de porta (ELS) para obter mais informações.Overview of Port Security
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Para configuração mac permitida, a declaração de hierarquia original é substituída pelo comando ELS set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
As declarações de espionagem do DHCP mudaram para um nível hierárquico diferente.
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Alterações na configuração de VLANs
As declarações para a configuração de VLANs passaram para um nível de hierarquia diferente.
Começando com o Junos OS Release 14.1X53-D10 para switches EX4300 e EX4600, ao habilitar o STP, você pode habilitá-lo em algumas ou todas as interfaces incluídas em uma VLAN.x Por exemplo, se você configurar o VLAN 100 para incluir interfaces ge-0/0/0, ge-0/0/1 e ge-0/2, e quiser habilitar o MSTP em interfaces ge-0/0/0 e ge-0/0/2, você pode especificar o e os comandos.set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 Neste exemplo, você não habilitou explicitamente o MSTP na interface ge-0/0/1; portanto, o MSTP não está habilitado nesta interface.
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
Nota:
A declaração é substituída por uma nova declaração e passou para um nível de hierarquia diferente. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Essas declarações foram removidas. Você pode atribuir interfaces a uma VLAN usando a hierarquia. |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
As declarações foram removidas. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
Nota:
A sintaxe mudou. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
A declaração foi removida. O tráfego de entrada é rastreado automaticamente. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
A declaração foi removida. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
A declaração foi movida para uma hierarquia diferente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
A declaração foi removida. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
A declaração foi removida. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
Nota:
A declaração foi substituída por uma nova declaração. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
Nota:
A sintaxe mudou. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Hierarquia original |
Hierarquia alterada |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Por : interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Para (reescrita mac habilitada em uma interface): protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Mudanças nos perfis de controle de tempestade
O controle de tempestade está configurado em duas etapas. O primeiro passo é criar um perfil de controle de tempestade no nível de hierarquia, e a segunda etapa é vincular o perfil a uma interface lógica no nível hierárquicos .[edit forwarding-options][edit interfaces] Veja exemplo: Configurando o controle de tempestade para evitar interrupções de rede nos switches da Série EX para o procedimento alterado.
Hierarquia original |
Hierarquia alterada |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Mudanças na hierarquia de interfaces
As declarações foram movidas para uma hierarquia diferente.
Hierarquia original |
Hierarquia alterada |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
Nota:
A declaração foi substituída por uma nova declaração. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
Nota:
A declaração foi substituída por uma nova declaração. interfaces irb |
Mudanças no IGMP Snooping
Hierarquia original |
Hierarquia alterada |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Declaração aprimorada de configuração de CLI de Camada 2 e mudanças de comando para dispositivos de segurança
A partir do Junos OS Release 15.1X49-D10 e Junos OS Release 17.3R1, algumas declarações de configuração de CLI de Camada 2 são aprimoradas e alguns comandos são alterados. Tabela 18 e Tabela 19 fornecer listas de comandos existentes que foram movidos para novas hierarquias ou alterados em firewalls da Série SRX como parte deste esforço de aprimoramento da CLI. As tabelas são fornecidas apenas como uma referência de alto nível. Para obter informações detalhadas sobre esses comandos, veja CLI Explorer.
Hierarquia original |
Hierarquia alterada |
Nível de hierarquia |
Descrição da mudança |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[editar] |
Hierarquia renomeada. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[editar vlans ]vlans-name |
Declaração renomeada. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[editar vlans ]vlans-name |
Declaração renomeada. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[editar fluxo de segurança] |
Declaração renomeada. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[editar interfaces ] Unidade interface-nameunit-number |
Hierarquia renomeada. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[editar vlans ]vlans-name |
Declaração renomeada. |
Comando operacional original |
Comando operacional modificado |
|---|---|
mac-table de ponte clara |
tabela clara de comutação de ethernet |
ponte clara mac-table aprendizado persistente |
tabela de comutação de ethernet clara aprendizado persistente |
mostrar domínio da ponte |
vlans show |
mostrar ponte mac-table |
tabela de comutação de ethernet |
mostrar interface de aprendizado L2 |
mostrar interface de comutação de ethernet |
Não há interface de gerenciamento fora de banda no SRX300, SRX320 e SRX500HM dispositivos. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
Consulte também
Modo de próxima geração da Camada 2 para a Série ACX
O modo Next Generation da Camada 2, também chamado de Software de Camada 2 Aprimorada (ELS), é suportado em roteadores de ACX5048, ACX5096 e ACX5448 para configurar recursos de Camada 2. As configurações e comandos de exibição de Camada 2 para roteadores de ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 e ACX7509 diferem dos outros roteadores da Série ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 e ACX4000) e roteadores da Série MX.
Tabela 20 mostra as diferenças na hierarquia de CLI para configurar recursos de Camada 2 no modo de próxima geração da Camada 2.
Recursos |
ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 e roteadores da Série MX |
ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 e roteadores de ACX7509 |
|---|---|---|
Domínio da ponte |
[] |
[] |
Família |
[] |
[] |
Opções de camada 2 |
[] |
[] |
Opções de ethernet |
[] |
[] |
Roteamento e ponte integrados (IRB) |
[; |
|
Controle de tempestade |
[] |
[] [ |
Protocolo de gerenciamento de grupos de Internet (IGMP) bisbilhotando |
[] |
[] |
Filtro de firewall da família |
[] |
[] |
mostra as diferenças de comandos para recursos de Camada 2 no modo de próxima geração da Camada 2.Tabela 21show
Recursos |
ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 e roteadores da Série MX |
ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 e roteadores de ACX7509 |
|---|---|---|
VLAN |
|
|
Tabela MAC |
|
|
Opções de tabela MAC |
|
|
Lista de portas de switches com atribuições de VLAN |
|
|
Estado do kernel do banco de dados flush |
|
|
Consulte também
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.
set protocols l2-learning global-mode(transparent-bridge | switching)