Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Redes de Camada 2

Visão geral das redes de Camada 2

A Camada 2, também conhecida como Camada de Enlace de Dados, é o segundo nível do modelo de referência de OSI de sete camadas para design de protocolo de rede. A Camada 2 é equivalente à camada de enlace (a camada mais baixa) do modelo de rede TCP/IP. Layer2 é a camada de rede usada para transferir dados entre nós de rede adjacentes em uma rede de grande área ou entre nós na mesma rede da área local.

Um quadro é uma unidade de dados de protocolo, a menor unidade de bits em uma rede de Camada 2. Os quadros são transmitidas e recebidas de dispositivos na mesma rede local (LAN). Bits unilke, os quadros têm uma estrutura definida e podem ser usados para detecção de erros, atividades de plano de controle e assim por diante. Nem todos os quadros transportam dados do usuário. A rede usa alguns quadros para controlar o próprio enlace de dados..

Na Camada 2, unicast refere-se ao envio de quadros de um nó para um único outro nó, enquanto o multicast indica o envio de tráfego de um nó para vários nós, e a broadcasting refere-se à transmissão de quadros para todos os nós em uma rede. Um domínio de broadcast é uma divisão lógica de uma rede na qual todos os nós dessa rede podem ser atingidos na Camada 2 por uma transmissão.

Segmentos de uma LAN podem ser vinculados no nível do quadro usando pontes. A conexão cria domínios de broadcast separados na LAN, criando VLANs, que são redes lógicas independentes que agrupam dispositivos relacionados em segmentos de rede separados. O grupo de dispositivos em uma VLAN é independente de onde os dispositivos estão fisicamente localizados na LAN. Sem pontes e VLANs, todos os dispositivos na LAN Ethernet estão em um único domínio de broadcast, e todos os dispositivos detectam todos os pacotes na LAN.

O encaminhamento é o retransmissão de pacotes de um segmento de rede para outro por nós na rede. Em uma VLAN, um quadro cuja origem e destino estão no mesmo VLAN são encaminhados apenas dentro da VLAN local. Um segmento de rede é uma porção de uma rede de computador na qual todos os dispositivos se comunicam usando a mesma camada física.

A Camada 2 contém dois subcamados:

  • Subcamada de controle de enlace lógico (LLC), responsável pelo gerenciamento de enlaces de comunicações e pelo gerenciamento do tráfego de quadros.

  • Subcamada de controle de acesso ao meio (MAC), que rege o acesso do protocolo ao meio de rede física. Ao usar os endereços MAC atribuídos a todas as portas de um switch, vários dispositivos no mesmo enlace físico podem se identificar com exclusividade.

    As portas ou interfaces de um switch operam no modo de acesso, com tags-access ou no modo tronco:

    • As portas do modo de acesso se conectam a um dispositivo de rede, como um computador de área de trabalho, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas de um switch estão em modo de acesso.

    • As portas do modo tagged-Access se conectam a um dispositivo de rede, como um computador de área de trabalho, um telefone IP, uma impressora, um servidor de arquivo ou uma câmera de segurança. A porta pertence a uma única VLAN. Os quadros transmitidos por uma interface de acesso são quadros Ethernet normais. Por padrão, todas as portas de um switch estão em modo de acesso. O modo tagged-access acomoda computação em nuvem, especificamente cenários, incluindo máquinas virtuais ou computadores virtuais. Como vários computadores virtuais podem ser incluídos em um servidor físico, os pacotes gerados por um servidor podem conter uma agregação de pacotes VLAN de diferentes máquinas virtuais nesse servidor. Para acomodar essa situação, o modo de acesso marcado reflete os pacotes de volta ao servidor físico na mesma porta downstream quando o endereço de destino do pacote foi informado na porta downstream. Os pacotes também são refletidos de volta ao servidor físico na porta downstream quando o destino ainda não foi aprendido. Portanto, o terceiro modo de interface, o acesso marcado, tem algumas características do modo de acesso e algumas características do modo tronco:

    • As portas do modo tronco lidam com o tráfego para várias VLANs, multiplexando o tráfego de todas essas VLANs pela mesma conexão física. As interfaces de tronco são geralmente usadas para interconectar switches a outros dispositivos ou switches.

      Com a VLAN nativa configurada, os quadros que não transportam tags VLAN são enviados pela interface do tronco. Se tiver uma situação em que os pacotes passam de um dispositivo para um switch no modo de acesso, e você quiser enviar esses pacotes do switch por uma porta de tronco, use o modo VLAN nativo. Configure a VLAN única na porta do switch (que está no modo de acesso) como uma VLAN nativa. A porta do tronco do switch tratará esses quadros de maneira diferente dos outros pacotes marcados. Por exemplo, se uma porta de tronco tiver três VLANs, 10, 20 e 30, atribuídos a ela, sendo a VLAN 10 a VLAN nativa, os quadros em VLAN 10 que deixam a porta do tronco na outra ponta não têm o título (tag) 802.1Q. Existe outra opção de VLAN nativa. Você pode pedir para o switch adicionar e remover tags para pacotes não etiquetados. Para isso, você primeiro configura a VLAN única como uma VLAN nativa em uma porta conectada a um dispositivo na borda. Em seguida, atribua uma etiqueta de ID VLAN à VLAN nativa única na porta conectada a um dispositivo. Por último, adicione a ID de VLAN à porta do tronco. Quando o switch recebe o pacote não etiquetado, ele adiciona a ID que você especificou e envia e recebe os pacotes marcados na porta de tronco configurada para aceitar essa VLAN.

Incluindo os subcamados, a Camada 2 da Série QFX oferece suporte à seguinte funcionalidade:

  • Tráfego unicast, multicast e broadcast.

  • Ponte.

  • VLAN 802.1Q — também conhecido como tags VLAN,esse protocolo permite que várias redes em ponte compartilhem de forma transparente o mesmo enlace de rede física adicionando tags VLAN a um quadro de Ethernet.

  • A extensão de VLANs de Camada 2 em vários switches usando o Spanning Tree Protocol (STP) impede o looping na rede.

  • APRENDIZADO DE MAC, incluindo aprendizado por VLAN MAC e eliminação de aprendizado de Camada 2 – Esse processo obtém os endereços MAC de todos os nós em uma rede

  • Agregação de enlace — Esses grupos de processo de interfaces Ethernet na camada física para formar uma única interface de camada de enlace, também conhecida como grupo de agregação de enlace (LAG) ou pacote DE LAG

    Nota:

    A agregação de enlace não é compatível com NFX150 dispositivos.

  • Controle de tempestade na porta física para unicast, multicast e broadcast

    Nota:

    O controle de tempestade não é compatível com NFX150 dispositivos.

  • Suporte a STP, incluindo 802.1d, RSTP, MSTP e Root Guard

Visão geral do modo transparente de com switching de Ethernet e Camada 2

O modo transparente de Camada 2 fornece a capacidade de implantar o firewall sem fazer alterações na infraestrutura de roteamento existente. O firewall é implantado como um switch de Camada 2 com vários segmentos de VLAN e fornece serviços de segurança nos segmentos VLAN. Secure Wire é uma versão especial do modo transparente de Camada 2 que permite a implantação bump-in-wire.

Um dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) caso não haja interfaces físicas configuradas como interfaces de Camada 2.

Para dispositivos da Série SRX, o modo transparente fornece serviços completos de segurança para comutação de Camada 2 recursos. Nesses dispositivos da Série SRX, você pode configurar um ou mais VLANs para realizar comutação de Camada 2. Uma VLAN é um conjunto de interfaces lógicas que compartilham as mesmas características de flooding ou broadcast. Como uma LAN virtual (VLAN), uma VLAN abrange uma ou mais portas de vários dispositivos. Assim, o dispositivo da Série SRX pode funcionar como um switch de Camada 2 com várias VLANs que participam da mesma rede de Camada 2.

No modo transparente, o dispositivo série SRX filtra pacotes que atravessam o dispositivo sem modificar qualquer uma das informações de origem ou destino nos headers de pacotes IP. O modo transparente é útil para proteger servidores que recebem tráfego principalmente de fontes não confiáveis, porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.

No modo transparente, todas as portas físicas do dispositivo são atribuídas às interfaces de Camada 2. Não rotee o tráfego da Camada 3 pelo dispositivo. As zonas de Camada 2 podem ser configuradas para hospedar interfaces de Camada 2, e as políticas de segurança podem ser definidas entre as zonas da Camada 2. Quando os pacotes viajam entre zonas de Camada 2, políticas de segurança podem ser aplicadas a esses pacotes.

Tabela 1 lista os recursos de segurança que são suportados e não são suportados no modo transparente para comutação de Camada 2.

Tabela 1: Recursos de segurança suportados no modo transparente

Tipo de modo

Suportado

Não suportado

Modo transparente

  • aplicativo Gateways (ALGs)

  • Autenticação de usuário de firewall (FWAUTH)

  • Intrusion Detection and Prevention (IDP)

  • Tela

  • AppSecure

  • Gerenciamento unificado de ameaças (UTM)

  • Tradução de endereços de rede (NAT)

  • VPN

Nota:

Nos dispositivos SRX300, SRX320, SRX340, SRX345 e SRX550M, a propagação do servidor DHCP não é compatível com o modo transparente de Camada 2.

Além disso, os dispositivos da Série SRX não são compatíveis com os seguintes recursos de Camada 2 no modo transparente de Camada 2:

  • Spanning Tree Protocol (STP), RSTP ou MSTP — é responsabilidade do usuário garantir que não haja loops de inundação na topologia da rede.

  • Internet Group Management Protocol (IGMP) — Protocolo de sinalização host-to-roteador para IPv4 usado para relatar suas filiações de grupo multicast a roteadores vizinhos e determinar se os membros do grupo estão presentes durante a multicasting ip.

  • VLANs com duas tags ou IEEE 802.1Q identificadores VLAN encapsulados em pacotes de 802,1Q (também chamados de tags VLAN "Q in Q")— Somente identificadores VLAN não etiquetados ou com marcação única são compatíveis com dispositivos da Série SRX.

  • Aprendizado de VLAN não qualificado, onde apenas o endereço MAC é usado para aprendizado dentro da VLAN; o aprendizado de VLAN em dispositivos da Série SRX é qualificado; ou seja, tanto o identificador de VLAN como o endereço MAC são usados.

Além disso, SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650 dispositivos, alguns recursos não são suportados. (O suporte à plataforma depende da versão do Junos OS em sua instalação.) Os seguintes recursos não são compatíveis com o modo transparente de Camada 2 nos dispositivos mencionados:

  • G-ARP na interface de Camada 2

  • Monitoramento de endereços IP em qualquer interface

  • Tráfego de trânsito por IRB

  • interface IRB em uma instância de roteamento

  • Tratamento de interface IRB do tráfego de Camada 3

    Nota:

    A interface do IRB é uma pseudointerface e não pertence ao grupo de reth interface e redundância.

Modo transparente de Camada 2 no Concentrador de Portas do Módulo de Linha SRX5000

O Módulo de Porta Concentrador de Portas da Linha SRX5000 (SRX5K-MPC) aceita o modo transparente de Camada 2 e processa o tráfego quando o dispositivo da Série SRX está configurado no modo transparente de Camada 2.

Quando o SRX5K-MPC está funcionando no modo Camada 2, você pode configurar todas as interfaces no SRX5K-MPC como portas comutação de Camada 2 para dar suporte ao tráfego de Camada 2.

A unidade de processamento de segurança (SPU) aceita todos os serviços de segurança para comutação de Camada 2 funções, e o MPC entrega os pacotes de entrada ao SPU e encaminha os pacotes de saída que são encapsulados pela SPU às interfaces de saída.

Quando o dispositivo da Série SRX está configurado no modo transparente de Camada 2, você pode habilitar as interfaces do MPC a funcionar no modo Camada 2 definindo uma ou mais unidades lógicas em uma interface física com o tipo de endereço da família como Ethernet switching . Mais tarde, você pode continuar configurando segurança de Camada 2 zonas de segurança e configurando políticas de segurança no modo transparente. Assim que isso for feito, as topologias de next-hop são configuradas para processar pacotes de entrada e saída.

Entender que o IPv6 flue em modo transparente em dispositivos de segurança

No modo transparente, o dispositivo série SRX filtra pacotes que atravessam o dispositivo sem modificar qualquer uma das informações de origem ou destino nos headers MAC do pacote. O modo transparente é útil para proteger servidores que recebem tráfego principalmente de fontes não confiáveis, porque não há necessidade de reconfigurar as configurações de IP de roteadores ou servidores protegidos.

Um dispositivo opera em modo transparente quando todas as interfaces físicas do dispositivo estão configuradas como interfaces de Camada 2. Uma interface física é uma interface de Camada 2 se sua interface lógica estiver configurada com a opção no ethernet-switching nível edit interfaces interface-name unit unit-number family [] da hierarquia. Não existe nenhum comando para definir ou habilitar o modo transparente no dispositivo. O dispositivo opera em modo transparente quando há interfaces definidas como interfaces de Camada 2. O dispositivo opera no modo de rota (o modo padrão) se todas as interfaces físicas estão configuradas como interfaces de Camada 3.

Por padrão, os fluxos IPv6 são descartados em dispositivos de segurança. Para habilitar o processamento por recursos de segurança, como zonas, telas e políticas de firewall, você deve habilitar o encaminhamento baseado em fluxo para tráfego IPv6 com a opção de configuração no nível [] da mode flow-basededit security forwarding-options family inet6 hierarquia. Você deve reinicializar o dispositivo quando alterar o modo.

No modo transparente, você pode configurar zonas de Camada 2 para hospedar interfaces de Camada 2 e definir políticas de segurança entre as zonas da Camada 2. Quando os pacotes viajam entre zonas de Camada 2, políticas de segurança podem ser aplicadas a esses pacotes. Os seguintes recursos de segurança são suportados para tráfego IPv6 no modo transparente:

Os seguintes recursos de segurança não são suportados para fluxos IPv6 no modo transparente:

  • Sistemas lógicos

  • IPv6 GTPv2

  • interface J-Web

  • NAT

  • IPsec VPN

  • Com exceção de ALGs dns, FTP e TFTP, todos os outros ALGs não são suportados.

Configurar interfaces lógicas de VLANs e Camada 2 para fluxos IPv6 é o mesmo que configurar VLANs e interfaces lógicas de Camada 2 para fluxos IPv4. Opcionalmente, você pode configurar uma interface integrada de roteamento e ponte (IRB) para tráfego de gerenciamento em uma VLAN. A interface IRB é a única interface de Camada 3 permitida no modo transparente. A interface IRB do dispositivo da Série SRX não tem suporte para encaminhamento ou roteamento de tráfego. A interface do IRB pode ser configurada com endereços IPv4 e IPv6. Você pode designar um endereço IPv6 para a interface do IRB com a instrução address de configuração no nível [ edit interfaces irb unit number family inet6 ] da hierarquia. Você pode designar um endereço IPv4 para a interface do IRB com a instrução de configuração address no nível [ ] da edit interfaces irb unit number family inet hierarquia.

As funções de com switching Ethernet em dispositivos da Série SRX são semelhantes aos recursos de com Juniper Networks roteadores da série MX. No entanto, nem todos os recursos de rede de Camada 2 suportados em roteadores da Série MX são compatíveis com dispositivos da Série SRX. Veja Visão geral do modo transparente de com switching de Ethernet e Camada 2 .

O dispositivo da Série SRX mantém tabelas de encaminhamento que contêm endereços MAC e interfaces associadas para cada VLAN camada 2. O processamento do fluxo IPv6 é semelhante aos fluxos IPv4. Veja Aprendizado e encaminhamento de Camada 2 para visão geral de VLANs .

Compreender clusters de chassi de modo transparente de Camada 2 em dispositivos de segurança

Um par de dispositivos da Série SRX no modo transparente de Camada 2 pode ser conectado em um cluster de chassi para fornecer redundância de nós de rede. Quando configurado em um cluster de chassi, um nó funciona como o dispositivo principal e o outro como o dispositivo secundário, garantindo failover stateful de processos e serviços no caso de falha do sistema ou do hardware. Se o dispositivo principal falhar, o dispositivo secundário assumirá o processamento do tráfego.

Nota:

Se o dispositivo principal falhar em um cluster de chassi do modo transparente Camada 2, as portas físicas do dispositivo com falha tornam-se inativas (descer) por alguns segundos antes de tornarem-se ativas (subir) novamente.

Para formar um cluster de chassi, um par do mesmo tipo de dispositivos da Série SRX suportados combina-se para atuar como um único sistema que aplica a mesma segurança geral.

Dispositivos no modo transparente de Camada 2 podem ser implantados em configurações de cluster ativo/backup e ativo/ativo de chassi.

Os seguintes recursos de cluster de chassi não são compatíveis com dispositivos no modo transparente de Camada 2:

  • ARP gratuito — As primárias recém-eleitas em um grupo de redundância não podem enviar solicitações gratuitas de ARP para notificar dispositivos de rede de uma mudança na função primária nos links redundantes de interface Ethernet.

  • Monitoramento de endereços IP — não é possível detectar falha em um dispositivo upstream.

Um grupo de redundância é uma construção que inclui uma coleção de objetos em ambos os nós. Um grupo de redundância é principal em um nó e um backup no outro. Quando um grupo de redundância é principal em um nó, seus objetos nesse nó estão ativos. Quando um grupo de redundância falha, todos os seus objetos falham juntos.

Você pode criar um ou mais grupos de redundância de 1 a 128 para uma configuração ativa/ativa de cluster de chassi. Cada grupo de redundância contém uma ou mais interfaces Ethernet redundantes. Uma interface Ethernet redundante é uma pseudointerface que contém interfaces físicas de cada nó do cluster. As interfaces físicas em uma interface Ethernet redundante devem ser do mesmo tipo: Fast Ethernet ou Gigabit Ethernet. Se um grupo de redundância estiver ativo no nó 0, os links-filho de todas as interfaces Ethernet redundantes associadas no nó 0 estão ativos. Se o grupo de redundância falhar até o nó 1, os links-filho de todas as interfaces Ethernet redundantes no nó 1 tornam-se ativos.

Nota:

Na configuração de cluster de chassi ativo/ativo, o número máximo de grupos de redundância é igual ao número de interfaces Ethernet redundantes configuradas. Na configuração de cluster de chassi ativo/backup, o número máximo de grupos de redundância suportados é de dois.

Configurar interfaces Ethernet redundantes em um dispositivo no modo transparente de Camada 2 é semelhante à configuração de interfaces Ethernet redundantes em um dispositivo no modo de rota da Camada 3, com a seguinte diferença: a interface ethernet redundante em um dispositivo no modo transparente de Camada 2 está configurada como uma interface lógica de Camada2.

A interface Ethernet redundante pode ser configurada como uma interface de acesso (com uma única ID VLAN atribuído a pacotes não conectados recebidos na interface) ou como uma interface de tronco (com uma lista de IDs VLAN aceitas na interface e, opcionalmente, uma id nativa para pacotes não atagged recebidos na interface). As interfaces físicas (uma de cada nó do cluster de chassi) são ligadas como interfaces crianças à interface Ethernet redundante dos pais.

No modo transparente de Camada 2, o aprendizado do MAC é baseado na interface Ethernet redundante. A tabela MAC é sincronizada em interfaces Ethernet redundantes e unidades de processamento de serviços (SPUs) entre o par de dispositivos de cluster de chassi.

A interface IRB é usada apenas para tráfego de gerenciamento e não pode ser atribuído a nenhuma interface Ethernet redundante ou grupo de redundância.

Todas as opções de tela do Junos OS disponíveis para um único dispositivo não agrupado estão disponíveis para dispositivos em clusters de chassi em modo transparente Camada 2.

Nota:

Os protocolos de árvore de abrangção (STPs) não são suportados para o modo transparente de Camada 2. Você deve garantir que não haja conexões de loop na topologia de implantação.

Configurando o gerenciamento fora da banda em dispositivos SRX

Você pode configurar a interface de gerenciamento fora da banda no dispositivo da Série SRX como uma interface de Camada 3, mesmo que as interfaces de Camada 2 sejam fxp0 definidas no dispositivo. Com exceção da interface, você pode definir interfaces de Camada 2 e Camada 3 nas portas fxp0 de rede do dispositivo.

Nota:

Não existe interface de gerenciamento fora da banda fxp0 nos dispositivos SRX300, SRX320 e SRX550M. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Comutação de ethernet

A comutagem ethernet encaminha os quadros ethernet dentro ou em todo o segmento de LAN (ou VLAN) usando as informações de endereço MAC Ethernet. A com switching ethernet no SRX1500 é executada no hardware usando ASICs.

A partir do junos OS Release 15.1X49-D40, use o comando para alternar entre o modo de ponte transparente camada 2 e o modo set protocols l2-learning global-mode(transparent-bridge | switching) de composição ethernet. Depois de alternar o modo, você deve reinicializar o dispositivo para que a configuração entre em vigor. Tabela 2 descreve o modo global de Camada 2 padrão em dispositivos da Série SRX.

Tabela 2: Modo global de Camada 2 padrão em dispositivos da série SRX

Versão do Junos OS

Plataformas

Modo global de camada 2 padrão

Detalhes

Antes da versão do Junos OS 15.1X49-D50

e

A versão do Junos OS 17.3R1 adiante

SRX300, SRX320, SRX340 e SRX345

Modo de comação

Nenhum

Lançamento do Junos OS 15.1X49-D50 Junos OS Release 15.1X49-D90

SRX300, SRX320, SRX340 e SRX345

Modo de comação

Ao excluir a configuração do modo global Camada 2 em um dispositivo, o dispositivo fica no modo ponte transparente.

Lançamento do Junos OS 15.1X49-D100 adiante

SRX300, SRX320, SRX340, SRX345, SRX550 e SRX550M

Modo de comação

Ao excluir a configuração do modo global Camada 2 em um dispositivo, o dispositivo está em modo de com switching. Configure o set protocols l2-learning global-mode transparent-bridge comando no nível da hierarquia para mudar para o modo de ponte [edit] transparente. Reinicie o dispositivo para que a configuração entre em vigor.

A versão do Junos OS 15.1X49-D50 adiante

SRX1500

Modo de ponte transparente

Nenhum

O protocolo de Camada 2 suportado no modo de computação é o Link Aggregation Control Protocol (LACP).

Você pode configurar o modo transparente de Camada 2 em uma interface Ethernet redundante. Use os seguintes comandos para definir uma interface Ethernet redundante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Exceções de com switching de Camada 2 em dispositivos da série SRX

As funções de com switching nos dispositivos da série SRX são semelhantes aos recursos de com Juniper Networks roteadores da série MX. Entretanto, os seguintes recursos de rede de Camada 2 nos roteadores da Série MX não são compatíveis com dispositivos da Série SRX:

  • Protocolos de controle de Camada 2 — Esses protocolos são usados em roteadores da Série MX para RSTP (Rapid Spanning Tree Protocol) ou MSTP (Multiple Spanning Tree Protocol) em interfaces de borda do cliente de uma instância de roteamento VPLS.

  • Instância de roteamento de comutadores virtuais — a instância de roteamento de comutamento virtual é usada em roteadores da Série MX para agrupar um ou mais VLANs.

  • Instância de roteamento de SERVIÇOS DE LAN privadas virtuais (VPLS) — A instância de roteamento VPLS é usada em roteadores da Série MX para implementações de LAN ponto a multipoint entre um conjunto de sites em uma VPN.

Entender a Unicast

A unicasting é o ato de enviar dados de um nó da rede para outro. Em comparação, as transmissões multicast enviam tráfego de um nó de dados para vários outros nós de dados.

O tráfego unicast desconhecido consiste em quadros unicast com endereços MAC de destino desconhecidos. Por padrão, o switch inunda esses quadros unicast que viajam em uma VLAN para todas as interfaces que são membros da VLAN. O encaminhamento desse tipo de tráfego para interfaces no switch pode acionar um problema de segurança. De repente, a LAN é inundada por pacotes, criando tráfego desnecessária que leva a um desempenho ruim da rede ou até mesmo a uma perda completa do serviço de rede. Isso é conhecido como uma tempestade de tráfego.

Para evitar uma tempestade, você pode desativar a inundação de pacotes unicast desconhecidos para todas as interfaces configurando um VLAN ou todas as VLANs para encaminhar qualquer tráfego unicast desconhecido para uma interface de tronco específica. (Isso canalia o tráfego unicast desconhecido para uma única interface.)

Entender a radiodimissão de Camada 2 nos switches

Em uma rede de Camada 2, a broadcasting refere-se ao envio de tráfego para todos os nós em uma rede.

O tráfego de broadcast de Camada 2 permanece dentro de um limite de rede local (LAN); conhecido como domínio de broadcast. O tráfego de broadcast de Camada 2 é enviado ao domínio de broadcast usando um endereço MAC de FF:FF:FF:FF:FF:FF:FF. Todos os dispositivos do domínio de broadcast reconhecem esse endereço MAC e passam o tráfego de broadcast para outros dispositivos no domínio da broadcast, se for o caso. A broadcasting pode ser comparada à unicasting (envio de tráfego para um único nó) ou multicasting (fornecendo tráfego a um grupo de nós simultaneamente).

Entretanto, o tráfego de broadcast de Camada 3 é enviado para todos os dispositivos de uma rede usando um endereço de rede de broadcast. Por exemplo, se seu endereço de rede for 10.0.0.0, o endereço da rede de broadcast é 10.255.255.255. Nesse caso, somente os dispositivos que pertencem à rede 10.0.0.0 recebem o tráfego de broadcast de Camada 3. Dispositivos que não pertencem a essa rede rebaixam o tráfego.

A radiodimissão é usada nas seguintes situações:

  • O Protocolo de Resolução de Endereço (ARP) usa a radiodimissão para mapear endereços MAC para endereços IP. O ARP vincula dinamicamente o endereço IP (o endereço lógico) ao endereço MAC correto. Antes de enviar pacotes IP unicast, a ARP descobre o endereço MAC usado pela interface Ethernet onde o endereço IP está configurado.

  • O DHCP (Dynamic Host Configuration Protocol, Protocolo de Configuração de Host Dinâmico) usa a broadcasting para designar dinamicamente endereços IP a hosts em um segmento ou subnet de rede.

  • Os protocolos de roteamento usam a radiodimissão para anunciar rotas.

Tráfego de broadcast excessivo às vezes pode criar uma tempestade de broadcast. Ocorre uma tempestade de broadcast quando mensagens são transmitidas em uma rede e cada mensagem solicita a um nó receptor que responda transmitindo suas próprias mensagens na rede. Isso, por sua vez, alerta para novas respostas que criam um efeito bola de neve. De repente, a LAN é inundada por pacotes, criando tráfego desnecessária que leva a um desempenho ruim da rede ou até mesmo a uma perda completa do serviço de rede.

Usando a CLI de software de Camada 2 aprimorada

O software enhanced Layer 2 (ELS) fornece uma CLI uniforme para configurar e monitorar recursos de Camada 2 em switches da Série QFX, switches da Série EX e outros dispositivos Juniper Networks, como roteadores da Série MX. Com o ELS, você configura os recursos de Camada 2 da mesma maneira em todos esses Juniper Networks de segurança.

Este tópico explica como saber se sua plataforma está executando ELS. Ele também explica como realizar algumas tarefas comuns usando o estilo de configuração ELS.

Entender quais dispositivos são compatíveis com ELS

O ELS é compatível automaticamente se seu dispositivo estiver executando uma versão do Junos OS compatível com ele. Você não precisa tomar nenhuma ação para habilitar ELS e não pode desativar o ELS. Consulte o Feature Explorer para obter informações sobre quais plataformas e versões são de suporte a ELS.

Entender como configurar recursos de Camada 2 usando ELS

Como a ELS fornece uma CLI uniforme, agora você pode realizar as seguintes tarefas nos dispositivos suportados da mesma maneira:

Configuração de uma VLAN

Você pode configurar uma ou mais VLANs para realizar a ponte de Camada 2. As funções de ponte de Camada 2 incluem roteamento e ponte integrado (IRB) para suporte a pontes de Camada 2 e roteamento IP de Camada 3 na mesma interface. Os switches série EX e série QFX podem funcionar como switches de Camada 2, cada um com múltiplos domínios de ponte ou transmissão que participam da mesma rede de Camada 2. Você também pode configurar o suporte ao roteamento de Camada 3 para uma VLAN.

Para configurar uma VLAN:

  1. Crie a VLAN definindo um nome VLAN exclusivo e configurando a ID VLAN:

    Usando a opção de ID da VLAN, você pode especificar opcionalmente uma variedade de IDs VLAN.

  2. Atribua pelo menos uma interface à VLAN:

Configurando o identificador de VLAN nativo

Switches série EX e série QFX são de suporte para recebimento e encaminhamento de quadros Ethernet roteados ou conectados com tags VLAN 802.1Q. Normalmente, as portas de tronco, que conectam switches entre si, aceitam pacotes de controle sem atagged, mas não aceitam pacotes de dados não marcados. Você pode permitir que uma porta de tronco aceite pacotes de dados não marcados configurando uma ID VLAN nativa na interface na qual deseja que os pacotes de dados não marcados sejam recebidos.

Para configurar a ID VLAN nativa:

  1. Na interface na qual você deseja que pacotes de dados não marcados sejam recebidos, decodfique o modo de interface para, que especifica que a interface está em várias VLANs e pode multiplexar o tráfego entre trunk VLANs diferentes.
  2. Configure a ID VLAN nativa e atribua a interface à ID VLAN nativa:
  3. Atribua a interface à ID VLAN nativa:

Configuração de interfaces de Camada 2

Para garantir que sua rede de alto tráfego seja ajustada para obter o desempenho ideal, configure explicitamente algumas configurações nas interfaces de rede do switch.

Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como trunk interface:

Para configurar uma interface Ethernet Gigabit ou uma interface Ethernet de 10 Gigabits como access interface:

Para designar uma interface ao VLAN:

Configuração de interfaces de Camada 3

Para configurar uma interface de Camada 3, você deve designar um endereço IP à interface. Você atribua um endereço a uma interface especificando o endereço quando configura a família de protocolos. Para a inet família ou inet6 a interface, configure o endereço IP.

Você pode configurar interfaces com um endereço IP versão 4 (IPv4) de 32 bits e, opcionalmente, com um prefixo de destino, às vezes chamado de máscara de sub-rede. Um endereço IPv4 usa uma sintaxe de endereço decimal pontilhada de 4 octetos (por exemplo, 192.168.1.1). Um endereço IPv4 com prefixo de destino usa uma sintaxe de endereço decimal pontilhado de 4 octetos com um prefixo de destino anexado (por exemplo, 192.168.1.1/16).

Para especificar um endereço IP4 para a unidade lógica:

Você representa os endereços IP versão 6 (IPv6) na notação hexadecimal usando uma lista separada por dois pontos de valores de 16 bits. Você atribua um endereço IPv6 de 128 bits a uma interface.

Para especificar um endereço IP6 para a unidade lógica:

Configuração de uma interface IRB

O roteamento e a ponte integrados (IRB) fornece suporte para pontes de Camada 2 e roteamento IP de Camada 3 na mesma interface. O IRB permite rotear pacotes para outra interface roteada ou para outra VLAN que tenha um protocolo de Camada 3 configurado. As interfaces IRB permitem que o dispositivo reconheça pacotes que estão sendo enviados para endereços locais para que sejam conectados (comutado) sempre que possível e sejam roteados somente quando necessário. Sempre que os pacotes podem ser comutado em vez de roteados, várias camadas de processamento são eliminadas. Uma interface chamada irb funciona como um roteador lógico no qual você pode configurar uma interface lógica de Camada 3 para VLAN. Para redundância, você pode combinar uma interface IRB com implementações do Protocolo de Redundância do Roteador Virtual (VRRP) em ambientes de conexão e de VPLS (Virtual Private Lan Service, Serviço de LAN privada virtual).

Para configurar uma interface IRB:

  1. Crie uma VLAN de Camada 2 ao atribuí-la um nome e uma ID VLAN:
  2. Crie uma interface lógica do IRB:
  3. Associe a interface do IRB com a VLAN:

Configurando uma interface ethernet agregada e configurando LACP nessa interface

Use o recurso de agregação de enlace para agregar um ou mais enlaces para formar um enlace virtual ou grupo de agregação de enlace (LAG). O cliente MAC pode tratar esse enlace virtual como se fosse um único enlace para aumentar a largura de banda, proporcionar degradação graciosa conforme ocorrem falhas e aumentar a disponibilidade.

Para configurar uma interface Ethernet agregada:

  1. Especifique o número de interfaces Ethernet agregadas a serem criadas:
  2. Especifique o nome da interface do grupo de agregação de enlace:
  3. Especifique o número mínimo de links para a interface Ethernet agregada (aex), ou seja, o pacote definido, a ser identificadocomo :
  4. Especifique a velocidade de enlace do pacote ethernet agregado:
  5. Especifique os membros a serem incluídos no pacote ethernet agregado:
  6. Especifique uma família de interface para o pacote ethernet agregado:

Para interfaces Ethernet agregadas no dispositivo, você pode configurar o Protocolo de Controle de Agregação de Enlace (LACP). LACP empacota várias interfaces físicas para formar uma interface lógica. Você pode configurar Ethernet agregada com ou sem LACP ativado.

Quando o LACP está ativado, os lados locais e remotos dos enlaces ethernet agregados trocam as data units (PDUs) do protocolo, contendo informações sobre o estado do enlace. Você pode configurar enlaces de Ethernet para transmitir PDUs ativamente ou configurar os enlaces para transmiti-los passivamente, enviando PDUs LACP somente quando eles os receberem de outro enlace. Um lado do enlace deve estar configurado como ativo para o enlace estar ativo.

Para configurar LACP:

  1. Habilitar um lado do enlace Ethernet agregado como ativo:

  2. Especifique o intervalo no qual as interfaces enviam pacotes LACP:

Entender a declaração de configuração e as mudanças de comando da ELS

A ELS foi lançada no Junos OS Release 12.3R2 para EX9200 switches. A ELS muda a CLI para alguns dos recursos da Camada 2 em switches da Série EX e série QFX suportados.

As seções a seguir fornecem uma lista de comandos existentes que foram transferidos para novos níveis de hierarquia ou alterados nos switches da Série EX como parte deste esforço de aprimoramento da CLI. Essas seções são fornecidas apenas como uma referência de alto nível. Para obter informações detalhadas sobre esses comandos, use os links para as declarações de configuração fornecidas ou consulte a documentação técnica.

Alterações no nível hierárquico das opções de ethernet

Esta seção descreve as alterações no nível ethernet-switching-options da hierarquia.

Nota:

O ethernet-switching-options nível da hierarquia foi rebatizado como switch-options .

Tabela 3: Como renomear a hierarquia de opções de com switching ethernet

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabela 4: Declarações de RTG

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabela 5: Declarações excluídos

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

As declarações foram removidas da switch-options hierarquia.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

As declarações foram removidas da switch-options hierarquia.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Nota:

A port-error-disable declaração foi trocada por uma nova declaração.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Alterações no nível da hierarquia do espelhamento de portas

Nota:

As declarações mudaram do nível ethernet-switching-options da hierarquia para o nível da forwarding-options hierarquia.

Tabela 6: Hierarquia de espelhamento de portas

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Alterações no nível da hierarquia do protocolo de controle de Camada 2

As declarações de protocolo de controle de Camada 2 mudaram da ethernet-switching-options hierarquia para a protocols hierarquia.

Tabela 7: Protocolo de controle de Camada 2

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Alterações na declaração de tunelamento dot1q

A dot1q-tunneling declaração foi trocada por uma nova declaração e transferida para um nível de hierarquia diferente.

Tabela 8: dot1q-tunneling

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Alterações no protocolo de aprendizado L2

A mac-table-aging-time declaração foi trocada por uma nova declaração e transferida para um nível de hierarquia diferente.

Tabela 9: instrução mac-table-ging-time

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Alterações para pontes sem parar

A nonstop-bridging declaração passou para um nível de hierarquia diferente.

Tabela 10: Declaração de ponte sem parar

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Alterações na segurança de porta e no DHCP Snooping

As declarações de espionagem da segurança de porta e do DHCP mudaram para diferentes níveis de hierarquia.

Nota:

A declaração examine-dhcp não existe na hierarquia alterada. A espionagem DHCP agora está ativada automaticamente quando outros recursos de segurança DHCP estão ativados em uma VLAN. Consulte Configurando a segurança de porta (ELS) para obter informações adicionais.

Tabela 11: Declarações de segurança de porta

Hierarquia original

Hierarquia mudada

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Dica:

Para a configuração de mac permitida, a instrução de hierarquia original set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 é trocada pelo comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Nota:

As declarações de espionagem do DHCP mudaram para um nível de hierarquia diferente.

Tabela 12: Declarações do DHCP Snooping

Hierarquia original

Hierarquia mudada

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Alterações para configurar VLANs

As declarações para a configuração de VLANs mudaram para um nível de hierarquia diferente.

Nota:

A partir do Junos OS Release 14.1X53-D10 para switches EX4300 e EX4600, ao habilitar xSTP, você pode habilitar ele em algumas ou todas as interfaces incluídas em uma VLAN. Por exemplo, se você configurar VLAN 100 para incluir interfaces ge-0/0/0, ge-0/0/1 e ge-0/0/2, e você quiser habilitar o MSTP nas interfaces ge-0/0/0 e ge-0/0/2, você pode especificar os comandos e os set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 comandos. Neste exemplo, você não ative explicitamente o MSTP na interface ge-0/0/1; portanto, o MSTP não está ativado nesta interface.

Tabela 13: hierarquia VLAN

Hierarquia original

Hierarquia mudada

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Nota:

A declaração é trocada por uma nova declaração e passou para um nível de hierarquia diferente.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Essas declarações foram removidas. Você pode designar interfaces para uma VLAN usando a [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] hierarquia.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

As declarações foram removidas.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Nota:

A sintaxe mudou.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

A declaração é removida. O tráfego de entrada é monitorado automaticamente.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

A declaração é removida.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

A declaração foi transferida para uma hierarquia diferente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

A declaração foi removida.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

A declaração é removida.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Nota:

A declaração foi trocada por uma nova declaração.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Nota:

A sintaxe mudou.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabela 14: Declarações transferidas para uma hierarquia diferente

Hierarquia original

Hierarquia mudada

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunnelingPara:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Para layer2-protocol-tunneling (reescrito MAC ativado em uma interface):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Alterações nos perfis de controle de tempestade

O controle de tempestade está configurado em duas etapas. O primeiro passo é criar um perfil de controle de tempestade em nível de hierarquia, e o segundo passo é vincular o perfil a uma interface lógica em [edit forwarding-options] nível [edit interfaces] de hierarquia. Veja o exemplo: Configurando o Storm Control para evitar paralisações na rede nos switches da Série EX para o procedimento alterado.

Tabela 15: Alterações no nível da hierarquia do perfil de controle de tempestade

Hierarquia original

Hierarquia mudada

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Alterações na hierarquia de interfaces

Nota:

As declarações foram transferidas para uma hierarquia diferente.

Tabela 16: Alterações na hierarquia de interfaces

Hierarquia original

Hierarquia mudada

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Nota:

A declaração foi trocada por uma nova declaração.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Nota:

A declaração foi trocada por uma nova declaração.

interfaces irb

Alterações para IGMP Snooping

Tabela 17: Hierarquia do IGMP Snooping

Hierarquia original

Hierarquia mudada

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Declaração de configuração cli de camada 2 aprimorada e mudanças de comando para dispositivos de segurança

A partir do Junos OS Release 15.1X49-D10 Junos OS Release 17.3R1, algumas declarações de configuração clI de Camada 2 são aprimoradas e alguns comandos são alterados. e fornecer listas de comandos existentes que foram transferidos para novas hierarquias ou alteradas em dispositivos da Série SRX como parte deste esforço de Tabela 18Tabela 19 aprimoramento da CLI. As tabelas são fornecidas apenas como referência de alto nível. Para obter informações detalhadas sobre esses comandos, consulte CLI Explorer.

Tabela 18: Mudança na declaração de configuração da Camada 2 aprimorada

Hierarquia original

Hierarquia mudada

Nível de hierarquia

Descrição de alterações

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[editar]

Hierarquia rebatizada.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[editar vlans vlans-name]

Declaração rebatizada.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[editar vlans vlans-name]

Declaração rebatizada.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[editar fluxo de segurança]

Declaração rebatizada.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[nome da interface de interface editar ] número de unidade

Hierarquia rebatizada.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[editar vlans vlans-name]

Declaração rebatizada.

Tabela 19: Alterações de comando operacional aprimoradas de Camada 2

Comando operacional original

Comando operacional modificado

clear bridge mac-table

tabela de com switching ethernet clara

clear bridge mac-table persistent-learning

clear ethernet-switching table persistent-learning

mostrar domínio bridge

mostrar vlans

mostrar bridge mac-table

mostrar tabela de com switching ethernet

mostrar interface de aprendizado l2

mostrar interface de com switching ethernet

Nota:

Não existe interface de gerenciamento fora da banda fxp0 nos dispositivos SRX300, SRX320 e SRX500HM. (O suporte à plataforma depende da versão do Junos OS em sua instalação.)

Modo de Próxima Geração Camada 2 para Série ACX

O modo Camada 2 da Próxima Geração, também chamado de Software enhanced Layer 2 (ELS), é suportado em roteadores ACX5048, ACX5096 e ACX5448 para configurar recursos de Camada 2. As configurações de CLI de Camada 2 e os comandos show para ROTEADORES ACX5048, ACX5096 e ACX5448 diferem dessas para outros roteadores da série ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 e ACX4000) e série MX.

Tabela 20 mostra as diferenças na hierarquia de CLI para configurar recursos de Camada 2 no modo de próxima geração da Camada 2.

Tabela 20: Diferenças na hierarquia de CLI para recursos de Camada 2 no modo de próxima geração

Recursos

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000, ACX5448 e roteadores da série MX

Roteadores ACX5048 e ACX5096

Domínio da ponte

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Família bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Opções de Camada 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Opções de Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Roteamento e ponte integrados (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Controle de tempestade

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Internet Group Management Protocol (IGMP) xeretando

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtro bridge de firewall da família

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabela 21 mostra as diferenças nos show comandos dos recursos da Camada 2 no modo de próxima geração da Camada 2.

Tabela 21: Diferenças no show Commands para recursos de Camada 2 no modo de próxima geração

Recursos

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 e roteadores da série MX

Roteadores ACX5048, ACX5096 e ACX5448

Vlan

show bridge-domain

show vlans

tabela MAC

show bridge mac-table

show ethernet-switching table

opções de tabela MAC

show bridge mac-table(endereço MAC, nome do domínio da ponte, interface, ID de VLAN e instância)

show ethernet-switching table

Listagem de portas de switch com atribuições de VLAN

show l2-learning interface

show ethernet-switching interfaces

Estado do kernel do banco de dados em descarga

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tabela de histórico de liberação
Versão
Descrição
15.1X49-D40
A partir do junos OS Release 15.1X49-D40, use o comando para alternar entre o modo de ponte transparente camada 2 e o modo set protocols l2-learning global-mode(transparent-bridge | switching) de composição ethernet.
15.1X49-D10
A partir do Junos OS Release 15.1X49-D10 Junos OS Release 17.3R1, algumas declarações de configuração clI de Camada 2 são aprimoradas e alguns comandos são alterados.