Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

2层网络

2层网络概述

第2层又称为数据链路层,是用于网络协议设计的七层 OSI 参考模型中的另一层。第2层等效于 TCP/IP 网络模型中的链路层(最低层)。L2 是用于在广域网中的相邻网络节点之间或同一局域网上的节点之间传输数据的网络层。

是一种协议数据单元,第2层网络中的最小位数单位。帧将在同一局域网(LAN)上的设备中传输和接收。Unilke 位,帧具有定义的结构,可用于错误检测、控制平面活动等。并非所有帧都携带用户数据。网络使用某些帧控制数据链路本身。。

在第2层,单播指从一个节点向一个其他节点发送帧,而多播表示从一个节点向多个节点发送信息流,而广播指的是网络中所有节点的帧传输。广播域是网络的逻辑部门,其中的所有节点都可通过广播到达第2层。

LAN 段可使用网桥在帧级别上链接。桥接会在 LAN 上创建单独的广播域,从而创建 Vlan,这是一种独立的逻辑网络,可将相关设备组合到不同的网段中。VLAN 上的设备组合与设备物理位于 LAN 中的位置无关。如果没有桥接和 Vlan,以太网 LAN 上的所有设备都在单个广播域中,所有设备都将检测 LAN 上的所有数据包。

转发是指网络中的节点将数据包从一个网段中继到另一个分段。在 VLAN 上,其原点和目标位于同一 VLAN 中的帧仅在本地 VLAN 中转发。网络段是计算机网络的一部分,每个设备都使用相同的物理层进行通信。

第2层包含两个子层:

  • 逻辑链路控制(LLC)子层,负责管理通信链路和处理帧信息流。

  • 媒体访问控制(MAC)子层,用于控制对物理网络介质的协议访问。通过使用分配给交换机上所有端口的 MAC 地址,同一物理链路上的多个设备可以唯一标识另一个。

    交换机上的端口或接口在访问模式、标记访问或中继模式下运行:

    • 访问模式端口连接到网络设备,例如台式计算机、IP 电话、打印机、文件服务器或安全摄像机。端口本身属于单个 VLAN。通过接入接口传输的帧是正常的以太网帧。默认情况下,交换机上的所有端口均处于访问模式。

    • 标记访问模式端口连接到网络设备,例如台式计算机、IP 电话、打印机、文件服务器或安全摄像机。端口本身属于单个 VLAN。通过接入接口传输的帧是正常的以太网帧。默认情况下,交换机上的所有端口均处于访问模式。标记访问模式可容纳云计算,具体包括虚拟机或虚拟计算机等场景。由于多个虚拟计算机可包含在一个物理服务器上,因此一台服务器生成的数据包可以包含来自该服务器上不同虚拟机的 VLAN 数据包的聚合。为了适应这种情况,当在下游端口上发现数据包的目标地址时,标记访问模式会将数据包返回到同一个下游端口上的物理服务器。当目标尚未得到学习时,数据包也会反映到下游端口上的物理服务器上。因此,第三接口模式(标记为 access)具有访问模式的某些特征和中继模式的一些特征:

    • 中继模式端口处理多个 vlan 的信息流,通过多路传输同一物理连接上所有这些 vlan 的信息流。中继接口通常用于将交换机互连到其他设备或交换机。

      配置了本机 VLAN 的情况下,不带 VLAN 标记的帧将通过中继接口发送。如果您有这样一种情况,数据包在接入模式中从设备传输到交换机,然后您希望随后通过中继端口从交换机发送这些数据包,请使用本机 VLAN 模式。将交换机端口上的单个 VLAN(进入接入模式)配置为本机 VLAN。交换机的中继端口随后会与其他已标记的数据包不同处理这些帧。例如,如果中继端口具有三个 Vlan、10、20和30(分配给它),VLAN 10 将成为本机 VLAN,VLAN 10 上的帧,用于离开另一端的中继端口,没有 802.1 Q 标头(标记)。还有另一个本机 VLAN 选项。您可以为无标签数据包提供交换机添加和删除标记。为此,首先将单个 VLAN 配置为连接到边缘设备的端口上的本机 VLAN。然后,将 VLAN ID 标记分配至连接到设备的端口上的单个本机 VLAN。最后,将 VLAN ID 添加到中继端口。现在,当交换机收到未加标签的数据包时,它会添加您指定的 ID,并在配置为接受该 VLAN 的中继端口上发送和接收标记数据包。

在 QFX 系列上包括子层、第2层支持以下功能:

  • 单播、多播和广播信息流。

  • 过渡.

  • VLAN 802.1Q — 也称为 VLAN标记,此协议允许多个桥接网络通过向以太网帧添加 VLAN 标记来透明地共享相同的物理网络链路。

  • 使用生成树协议(STP)跨多个交换机的第2层 Vlan 的扩展可防止跨网络的循环。

  • MAC 学习,包括每 VLAN MAC 学习和第 2 层学习抑制 - 此过程可获取网络上所有节点的 MAC 地址

  • 链路聚合 — 物理层的以太网接口组,用于形成单个链路层接口,也称为链路聚合 组 (LAG) 或 LAG 束

    注:

    NFX150 设备上不支持链路聚合。

  • 单播、多播和广播物理端口上的风暴控制

    注:

    NFX150 设备不支持风暴控制。

  • STP 支持,包括 802.1 d、RSTP、MSTP 和 Root 保护

以太网交换和2层透明模式概述

2层透明模式提供无需更改现有路由基础架构即可部署防火墙的功能。防火墙部署为具有多个 VLAN 区段的第2层交换机,并在 VLAN 分段内提供安全服务。安全电缆是第2层透明模式的一种特殊版本,允许使用凹凸部署。

当接口定义为2层接口时,设备在透明模式下运行。如果没有配置为2层接口的物理接口,则设备在路由模式下运行(默认模式)。

对于 SRX 系列设备,透明模式为2层交换功能提供全面的安全服务。在这些 SRX 系列设备上,您可以配置一个或多个 Vlan 以执行2层交换。VLAN 是一组共享相同泛滥或广播特征的逻辑接口。与虚拟 LAN (VLAN)一样,VLAN 跨越多个设备的一个或多个端口。因此,SRX 系列设备可用作第2层交换机,其中多个 Vlan 参与同一个第2层网络。

在透明模式下,SRX 系列设备将过滤穿过设备的数据包,而无需修改 IP 数据包标头中的任何来源或目标信息。透明模式对于保护主要接收来自不受信任来源的流量的服务器很有用,因为无需重新配置路由器或受保护服务器的 IP 设置。

在透明模式下,设备上的所有物理端口都分配给第2层接口。不要路由3层流量穿过设备。2层区域可配置为承载2层接口,可在第2层区域之间定义安全策略。当数据包在第2层分区之间传送时,可以在这些数据包上实施安全策略。

表 1列出了受支持且在透明模式下不受2层交换支持的安全功能。

表 1: 透明模式下支持的安全功能

模式类型

支持

不支持

透明模式

  • 应用层网关(Alg)

  • 防火墙用户认证(FWAUTH)

  • 入侵检测和防御(IDP)

  • 筛选

  • AppSecure

  • 统一威胁管理 (UTM)

  • 网络地址转换 (NAT)

  • VPN

注:

在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,DHCP 服务器传播在第2层透明模式中不受支持。

此外,SRX 系列设备不支持2层透明模式下的以下第2层功能:

  • 生成树协议 (STP)、RSTP 或 MSTP — 用户负责确保网络拓扑中不存在泛洪环路。

  • 互联网组管理协议 (IGMP) 窥探—用于 IPv4 的主机到路由器信号协议,用于向邻接路由器报告其组播成员关系并确定 IP 组播期间存在哪些组成员。

  • 在 802.1Q 数据包中封装的双标记 VLAN 或 IEEE 802.1Q VLAN 标识符(又称为"Q 中的 Q" VLAN 标记)— SRX 系列设备仅支持未标记或单标记 VLAN 标识符。

  • 非设计 VLAN 学习,其中MAC 地址 VLAN 内仅用于学习 — SRX 系列设备的 VLAN 学习具有资格;也就是说,会同时使用 VLAN 标识符MAC 地址标识符。

此外,在 SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550 或 SRX650 设备上,某些功能不受支持。(平台支持取决于安装中的 Junos OS 版本。)在提到的设备上,2层透明模式不支持以下功能:

  • 2层接口上的 G ARP

  • 任何接口上的 IP 地址监控

  • 通过 IRB 的传输流量

  • 路由实例中的 IRB 接口

  • IRB 接口处理第3层信息流

    注:

    IRB 接口是 pseudointerface,不属于 reth 接口和冗余组。

SRX5000 线路模块端口集中器的2层透明模式

当 SRX 系列设备配置为2层透明模式时,SRX5000 line 模块端口集中器(SRX5K-SPC-MPC)支持第2层透明模式并处理流量。

当 SRX5K-SPC-MPC 在2层模式下运行时,您可以将 SRX5K-SPC-MPC 上的所有接口配置为支持2层流量的2层交换端口。

安全处理单元(SPU)支持2层交换功能的所有安全服务,MPC 将入口数据包传递给 SPU,并将由 SPU 封装的出口数据包转发到传出接口。

在第2层透明模式中配置 SRX 系列设备时,您可以通过在物理接口上定义一个或多个逻辑单元,并使用 "系列地址类型为Ethernet switching",来使 MPC 上的接口可在2层模式下工作。稍后,您可以继续在透明模式下配置2层安全区域和配置安全策略。完成此操作后,将设置下一跳跃拓扑来处理入向和出向数据包。

了解安全设备上透明模式下的 IPv6 流

在透明模式下,SRX 系列设备将过滤穿过设备的数据包,而不修改数据包 MAC 标头中的任何来源或目标信息。透明模式对于保护主要接收来自不受信任来源的流量的服务器很有用,因为无需重新配置路由器或受保护服务器的 IP 设置。

当设备上的所有物理接口都配置为2层接口时,设备在透明模式下运行。如果逻辑接口在 [ ethernet-switchingedit interfaces interface-name unit unit-number family] 层次结构级别上配置了选项,则物理接口为2层接口。设备上没有定义或启用透明模式的命令。当接口定义为2层接口时,设备在透明模式下运行。如果所有物理接口均配置为3层接口,则设备在路由模式下运行(默认模式)。

默认情况下,将在安全设备上丢弃 IPv6 流。要启用由区域、屏幕和防火墙策略等安全功能进行处理,必须使用 [ mode flow-basededit security forwarding-options family inet6] 层次结构级别的 configuration 选项启用基于流的转发以实现 IPv6 流量。更改模式时,必须重新启动设备。

在透明模式下,您可以将第2层分区配置为托管2层接口,并且可以在第2层区域之间定义安全策略。当数据包在第2层分区之间传送时,可以在这些数据包上实施安全策略。透明模式下的 IPv6 流量支持以下安全功能:

透明模式下的 IPv6 流支持以下安全功能:

  • 逻辑系统

  • IPv6 GTPv2

  • J-Web 界面

  • NAT

  • IPsec VPN

  • 除了 DNS、FTP 和 TFTP Alg,所有其他 Alg 都不受支持。

为 IPv6 流配置 Vlan 和2层逻辑接口与为 IPv4 流配置 Vlan 和2层逻辑接口相同。您可以选择为 VLAN 中的管理流量配置集成路由和桥接(IRB)接口。IRB 接口是透明模式下唯一允许的第3层接口。SRX 系列设备上的 IRB 接口不支持流量转发或路由。IRB 接口可配置 IPv4 和 IPv6 地址。您可以使用 [ edit interfaces irb unit number family inet6] 层次结构级别的address 配置语句为 IRB 接口分配 IPv6 地址。您可以使用 [ addressedit interfaces irb unit number family inet] 层次结构级别的配置语句为 IRB 接口分配 IPv4 地址。

SRX 系列设备上的以太网交换功能类似于瞻博网络 MX 系列路由器上的交换功能。但是,并非所有 MX 系列路由器支持的第2层网络功能在 SRX 系列设备上均受支持。请参阅以太网交换和2层透明模式概述

SRX 系列设备维护包含每个第2层 VLAN 的 MAC 地址和关联接口的转发表。IPv6 流处理类似于 IPv4 流。请参阅V VPN 2 层学习和转发概述

了解安全设备上的2层透明模式机箱群集

2层透明模式中的一对 SRX 系列设备可连接到机箱集群中,以提供网络节点冗余。在机箱集群中配置时,一个节点充当主要设备,另一个作为辅助设备,在发生系统或硬件故障时确保进程和服务的状态故障转移。如果主设备发生故障,则从属设备将接管信息流处理。

注:

如果主设备在第2层透明模式机箱集群中出现故障,则发生故障的设备中的物理端口将变为非活动状态(关闭)几秒钟,然后才会激活(重新启动)。

要形成机箱集群,一对相同类型的受支持的 SRX 系列设备组合为可实施相同整体安全性的单个系统。

2层透明模式中的设备可部署在 active/backup 和主动/主动机箱群集配置中。

第2层透明模式中的设备不支持以下机箱群集功能:

  • 无用 ARP — 冗余组中新当选的主设备无法发送无用 ARP 请求,通知网络设备冗余以太网接口链路上的主要角色改变。

  • IP 地址监控 - 无法检测到上游设备故障。

冗余组是一种包含两个节点上的对象集合的结构。冗余组在一个节点上是主要的,而在另一个则备份。如果冗余组在节点上为主设备,则该节点上的对象将处于活动状态。当冗余组发生故障转移时,其所有对象将一起进行故障转移。

您可为主动/主动机箱集群配置创建一个或多个编号为1到128的冗余组。每个冗余组都包含一个或多个冗余以太网接口。冗余以太网接口是包含来自集群的每个节点的物理接口的 pseudointerface。冗余以太网接口中的物理接口必须相同—快速以太网或千兆位以太网。如果冗余组在节点0上处于活动状态,则节点0上所有关联冗余以太网接口的子链路均处于活动状态。如果冗余组故障转移到节点1,则节点1上所有冗余以太网接口的子链路将变为活动状态。

注:

在主动/主动机箱集群配置中,冗余组的最大数量等于您配置的冗余以太网接口的数量。在主动/备份机箱群集配置中,支持的最大冗余组数为2个。

在第2层透明模式的设备上配置冗余以太网接口类似于在第3层路由模式下配置设备上的冗余以太网接口,区别如下:第2层透明模式的设备上的冗余以太网接口配置为2层逻辑接口

冗余以太网接口可配置为访问接口(为接口上接收的无标记数据包分配一个 VLAN ID)或用作中继接口(可在接口上接受 VLAN Id 列表,也可选择本机 VLAN id用于接口上接收的未标记数据包)。物理接口(机箱集群中每个节点的一个)作为子接口绑定到父冗余以太网接口。

在第2层透明模式下,MAC 学习基于冗余以太网接口。MAC 表在一对机箱集群设备之间的冗余以太网接口和服务处理单元(Spu)上保持同步。

IRB 接口仅用于管理流量,不能分配给任何冗余以太网接口或冗余组。

适用于单个非聚集设备的所有 Junos OS 屏幕选项均可用于第2层透明模式机箱集群中的设备。

注:

2层透明模式不支持生成树协议(STPs)。您必须确保部署拓扑中没有环路连接。

在 SRX 设备上配置带外管理

您可以将 SRX 系列设备上带外管理接口配置为第 3 层接口,即使设备上已定义了第 fxp0 2 层接口也一样。除了接口之外,您还可以在设备的网络端口上定义第 2 层和第 fxp0 3 层接口。

注:

SRX300、SRX320 和 SRX550M设备上没有 fxp0 带外管理接口。(平台支持取决于安装中的 Junos OS 版本。)

以太网交换

以太网交换使用以太网 MAC 地址信息在 LAN 分段(或 VLAN)内或之间转发以太网帧。使用 Asic 在硬件中执行 SRX1500 设备上的以太网交换。

从 Junos OS Release 15.1 X 49-D40 中开始,使用set protocols l2-learning global-mode(transparent-bridge | switching)命令在第2层透明桥接模式和以太网交换模式之间切换。切换模式后,必须重新启动设备,配置才能生效。 表 2 介绍了 SRX 系列设备上的默认第 2 层全局模式。

表 2: SRX 系列设备上的默认第2层全局模式

Junos OS 版本

平台

默认2层全局模式

详细信息

在 Junos OS Release 15.1 X 49-D50 之前

Junos OS 从后释放 17.3 R1

SRX300、SRX320、SRX340 和 SRX345

交换模式

Junos OS Release 15.1 X 49-D50 到 Junos OS Release 15.1 X 49-D90

SRX300、SRX320、SRX340 和 SRX345

交换模式

在设备上删除第2层全局模式配置时,设备处于透明网桥模式。

Junos OS 版本 15.1 X 49-D100 向上

SRX300、SRX320、SRX340、SRX345、SRX550 和 SRX550M

交换模式

在设备上删除第2层全局模式配置时,设备处于交换模式。在set protocols l2-learning global-mode transparent-bridge层次[edit]结构级别下配置命令以切换到透明网桥模式。重新启动设备以使配置生效。

Junos OS 版本 15.1 X 49-D50 向上

SRX1500

透明网桥模式

交换模式中支持的第2层协议是链路聚合控制协议(LACP)。

您可在冗余以太网接口上配置2层透明模式。使用以下命令定义冗余以太网接口:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX 系列设备上的2层交换例外

SRX 系列设备上的交换功能类似于瞻博网络 MX 系列路由器上的交换功能。但是,SRX 系列设备上不支持 MX 系列路由器上的以下第2层网络功能:

  • 第 2 层控制协议 — 这些协议在 MX 系列路由器上用于 VPLS 路由实例的客户边缘接口中的快速生成树协议 (RSTP) 或多生成树协议 (MSTP)。

  • 虚拟交换机路由实例 — 虚拟交换路由实例用于 MX 系列路由器上,以对一个或多个 VLAN 进行分组。

  • 虚拟专用 LAN 服务 (VPLS) 路由实例 — VPLS 路由实例在 MX 系列路由器上用于 VPN 中一组站点之间的点对多点 LAN 实施。

了解单播

单播是在网络的一个节点之间发送数据的操作。相反,多播传输会将流量从一个数据节点发送至多个其他数据节点。

未知的单播流量由具有未知目标 MAC 地址的单播帧构成。默认情况下,交换机将 VLAN 中传输的这些单播帧泛滥到作为 VLAN 成员的所有接口。将此类流量转发到交换机上的接口可能会触发安全问题。LAN 突然被数据包淹没,创建不必要的信息流,导致网络性能降低,甚至完全丢失网络服务。这称为信息流风暴。

为防止风暴,您可以通过配置一个 VLAN 或所有 Vlan 禁用到所有接口的未知单播数据包淹没,以将任何未知的单播流量转发至特定的中继接口。(这会将未知单播流量传输到单个接口。)

了解交换机上的2层广播

在第2层网络中,广播是指向网络上的所有节点发送信息流。

第2层广播信息流保持在局域网(LAN)边界内;称为广播域。第2层广播流量使用 MAC 地址 FF: FF: ff: FF: FF: FF 发送到广播域。广播域中的每个设备都识别此 MAC 地址,并将广播流量传递到广播域中的其他设备(如果适用)。可以将广播与单播(向单个节点发送信息流)或多播(同时向一组节点提供信息流)进行比较。

但是,3层广播流量使用广播网络地址发送到网络中的所有设备。例如,如果您的网络地址为10.0.0.0,则广播网络地址为10.255.255.255。在这种情况下,只有属于10.0.0.0 网络的设备才会收到第3层广播信息流。不属于此网络的设备会丢弃流量。

广播在以下情况下使用:

  • 地址解析协议(ARP)使用广播将 MAC 地址映射到 IP 地址。ARP 会将 IP 地址(逻辑地址)动态绑定到正确的 MAC 地址。在发送 IP 单播数据包之前,ARP 会发现配置了 IP 地址的以太网接口所使用的 MAC 地址。

  • 动态主机配置协议(DHCP)使用广播将 IP 地址动态分配给网段或子网上的主机。

  • 路由协议使用广播来通告路由。

过多的广播流量有时会造成广播风暴。当邮件在网络上广播时,会发生广播风暴,每条消息提示接收节点通过在网络上广播自己的消息来做出响应。这反过来又会提示产生 snowball 效果的进一步响应。LAN 突然被数据包淹没,创建不必要的信息流,导致网络性能降低,甚至完全丢失网络服务。

使用增强型第2层软件 CLI

增强型2层软件(ELS)提供统一的 CLI,用于配置和监控 QFX 系列交换机、EX 系列交换机和其他瞻博网络设备(如 MX 系列路由器)上的第2层功能。借助 ELS,您可以在所有这些瞻博网络设备上以相同的方式配置2层功能。

本主题介绍如何了解您的平台是否运行 ELS。此外,还介绍如何使用 ELS 样式的配置执行一些常见任务。

了解支持 ELS 的设备

如果设备运行的 Junos OS 版本支持,则自动支持 ELS。您无需执行任何操作即可启用 ELS,并且不能禁用 ELS。有关哪些平台和版本支持 ELS 的信息,请参阅功能资源管理器

了解如何使用 ELS 配置2层功能

由于 ELS 提供统一 CLI,因此您现在可以按相同的方式在支持的设备上执行以下任务:

配置 VLAN

您可配置一个或多个 Vlan 以执行第2层桥接。第2层桥接功能包括集成路由和桥接(IRB),用于在同一接口上支持第2层桥接和第3层 IP 路由。EX 系列和 QFX 系列交换机可用作第2层交换机,每一台都有多个桥接或广播,加入相同第2层网络的域。您也可为 VLAN 配置第3层路由支持。

要配置 VLAN:

  1. 通过设置唯一 VLAN 名称并配置 VLAN ID 来创建 VLAN:

    使用 VLAN ID 列表选项,您可以选择指定 VLAN Id 的范围。

  2. 至少为 VLAN 分配一个接口:

配置本机 VLAN 标识符

EX 系列和 QFX 系列交换机支持使用 802.1 Q VLAN 标记接收和转发路由或桥接的以太网帧。通常,彼此连接交换机的中继端口接受未加标签控制数据包,但不接受未标记的数据包。您可通过在要接收未标记数据包的接口上配置本机 VLAN ID 来允许中继端口接受未标记的数据包。

要配置本机 VLAN ID:

  1. 在要接收未标记数据包的接口上,将接口模式设置为trunk,它指定接口位于多个 vlan 中,并可在不同 vlan 之间复用流量。
  2. 配置本机 VLAN ID 并将接口分配给本机 VLAN ID:
  3. 将接口分配给本机 VLAN ID:

配置2层接口

为了确保您的高流量网络获得最佳性能,在交换机的网络接口上显式配置一些设置。

要将千兆位以太网接口或10千兆位以太网接口配置trunk为接口:

要将千兆位以太网接口或10千兆位以太网接口配置access为接口:

要将接口分配至 VLAN:

配置3层接口

要配置3层接口,必须为接口分配 IP 地址。通过在配置协议系列时指定地址,可为接口分配地址。对于inetinet6系列,请配置接口 IP 地址。

您可使用32位 IP 版本4(IPv4)地址配置接口,还可以选择使用目标前缀(有时称为子网掩码)。IPv4 地址利用4字节点分十进制地址语法(例如192.168.1.1)。带有目标前缀的 IPv4 地址使用4字节点分十进制地址语法并追加目标前缀(例如 192.168.1.1/16)。

要指定逻辑单元的 IP4 地址:

您可以使用冒号分隔的16位值列表,以十六进制表示法表示 IP 版本6(IPv6)地址。您可以将128位 IPv6 地址分配给一个接口。

要指定逻辑单元的 IP6 地址:

配置 IRB 接口

集成路由和桥接(IRB)在同一接口上提供2层桥接和3层 IP 路由支持。IRB 允许您将数据包路由到另一个路由接口或另一个已配置第3层协议的 VLAN。IRB 接口使设备能够识别发送到本地地址的数据包,以便在可能时桥接(交换),并且仅在必要时才路由。每当可以交换数据包而不是路由时,就会消除多层处理。名为 irb 的接口用作逻辑路由器,您可在其上为 VLAN 配置3层逻辑接口。为实现冗余,您可以将 IRB 接口与桥接和虚拟专用 LAN 服务(VPLS)环境中的虚拟路由器冗余协议(VRRP)的实施相结合。

要配置 IRB 接口:

  1. 为第2层 VLAN 分配名称和 VLAN ID:
  2. 创建 IRB 逻辑接口:
  3. 将 IRB 接口与 VLAN 关联:

配置聚合以太网接口并在该接口上配置 LACP

使用链路聚合功能聚合一个或多个链路,形成虚拟链路或链路聚合组(LAG)。MAC 客户端可以将此虚拟链路视为可增加带宽的单个链路,从而提供平滑的故障发生,并提高可用性。

要配置聚合以太网接口:

  1. 指定要创建的聚合以太网接口数量:
  2. 指定链路聚合组接口的名称:
  3. 指定要标记为 up 的聚合以太网接口 (aex) 的最小链路数– 即定义的 捆绑包
  4. 指定聚合以太网包的链路速度:
  5. 指定要包含在聚合以太网包中的成员:
  6. 为聚合的以太网包指定接口系列:

对于设备上的聚合以太网接口,您可以配置链路聚合控制协议(LACP)。LACP 捆绑多个物理接口以形成一个逻辑接口。您可以使用或不启用 LACP 来配置聚合以太网。

启用 LACP 时,聚合以太网链路的本地和远程方交换协议数据单元(Pdu),其中包含有关链路状态的信息。您可以将以太网链路配置为主动传输 Pdu,也可以将链路配置为被动传输它们,仅在从另一个链路接收 LACP Pdu 时才发送它们。必须将链路的一侧配置为活动,才能使链路正常运行。

要配置 LACP:

  1. 使聚合以太网链路的一侧处于活动状态:

  2. 指定接口发送 LACP 数据包的间隔:

了解 ELS 配置语句和命令更改

ELS 在 Junos OS 版本 12.3 r 中引入,用于 EX9200 交换机。ELS 为支持的 EX 系列和 QFX 系列交换机上的部分第2层功能更改 CLI。

以下各节提供了已移至新层次结构级别或在 EX 系列交换机上更改的现有命令的列表,作为此 CLI 增强工作的一部分。这些部分仅作为高级参考提供。有关这些命令的详细信息,请使用提供的配置语句链接或参阅技术文档。

对以太网交换选项层次结构级别的更改

本节概述ethernet-switching-options层次结构的变化。

注:

ethernet-switching-options层次结构级别已重命名为switch-options

表 3: 重命名以太网交换选项层次结构

原始层次结构

更改的层次结构

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
表 4: RTG 语句

原始层次结构

更改的层次结构

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
表 5: 已删除语句

原始层次结构

更改的层次结构

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

这些语句已从switch-options层次结构中删除。

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

这些语句已从switch-options层次结构中删除。

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
注:

port-error-disable语句已替换为新语句。

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

端口镜像层次结构级别的更改

注:

语句已从ethernet-switching-options层次结构级别移至forwarding-options层次结构级别。

表 6: 端口镜像层次结构

原始层次结构

更改的层次结构

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

2层控制协议层次结构级别的更改

2层控制协议语句已从ethernet-switching-options层次结构移至protocols层次结构。

表 7: 2层控制协议

原始层次结构

更改的层次结构

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

对 dot1q-隧道语句的更改

dot1q-tunneling语句已由新语句取代,并已移至不同的层次结构级别。

表 8: dot1q-tunneling

原始层次结构

更改的层次结构

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

对 L2 学习协议的更改

mac-table-aging-time语句已由新语句取代,并已移至不同的层次结构级别。

表 9: mac 表老化时间声明

原始层次结构

更改的层次结构

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

不间断桥接的变化

nonstop-bridging语句已移至不同的层次结构级别。

表 10: 不间断桥接语句

原始层次结构

更改的层次结构

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

端口安全和 DHCP 侦听的更改

端口安全和 DHCP 侦听语句已迁移到不同的层次结构级别。

注:

更改的examine-dhcp层次结构中不存在该语句。现在,在 VLAN 上启用其他 DHCP 安全功能时,将自动启用 DHCP 侦听。有关其他信息,请参阅配置端口安全(ELS)

表 11: 端口安全语句

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
提示:

对于允许的 mac 配置,由 ELS 命令set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8替换的原始层次结构语句set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

注:

DHCP 侦听语句已移至不同的层次结构级别。

表 12: DHCP 侦听声明

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

配置 Vlan 的更改

用于配置 Vlan 的语句已迁移到不同的层次结构级别。

注:

从 Junos OS 14.1X53-D10 EX4300 和 EX4600 交换机的 EX4600 开始,启用 xSTP 时,您可以在 VLAN 中包含的部分或所有接口上启用。例如,如果将 VLAN 100 配置为包括接口 ge-0/0/0、ge-0/0/1 和 ge-0/0/2,并且您希望在接口 ge-0/0/0 和 ge-0/0/2 上启用 MSTP,则可以指定set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2命令。在此示例中,您未在接口 ge 上显式启用 MSTP-0/0/1;因此,不会在此接口上启用 MSTP。

表 13: VLAN 层次结构

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
注:

语句将被新语句取代,并已移至不同的层次结构级别。

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

这些语句已删除。您可以使用[edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name]层次结构将接口分配给 VLAN。

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

语句已删除。

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
注:

语法已更改。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

语句被移除。自动跟踪入口流量。

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

语句被移除。

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

语句已迁移到不同的层次结构。

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

语句已删除。

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

语句被移除。

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
注:

语句已替换为新语句。

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
注:

语法已更改。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
表 14: 将语句移至不同的层次结构

原始层次结构

更改的层次结构

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

对于dot1q-tunneling

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

For layer2-protocol-tunneling (在接口上启用 MAC 重写):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

更改风暴控制配置文件

风暴控制按两个步骤进行配置。第一步是在[edit forwarding-options]层次结构级别创建风暴控制配置文件,第二步是将配置文件绑定到[edit interfaces]层次结构级别的逻辑接口。请参阅示例:配置风暴控制以防止 EX 系列交换机上的网络中断。

表 15: 更改风暴控制配置文件层次结构级别

原始层次结构

更改的层次结构

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

接口层次结构的更改

注:

语句已移至不同的层次结构。

表 16: 接口层次结构的更改

原始层次结构

更改的层次结构

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
注:

语句已替换为新语句。

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
注:

语句已替换为新语句。

interfaces irb

对 IGMP 侦听的更改

表 17: IGMP 侦听层次结构

原始层次结构

更改的层次结构

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

增强型第2层 CLI 配置语句和安全设备的命令更改

从 Junos OS 15.1X49-D10 Junos OS版本17.3R1,某些第 2 层CLI配置语句会增强,并且更改一些命令。并提供了作为此增强工作一部分已在 SRX 系列设备上移动到新层次结构或更改的现有 表 18表 19 CLI列表。这些表仅作为高级参考提供。有关这些命令的详细信息,请参阅CLI Explorer

表 18: 增强型2层配置语句变更

原始层次结构

更改的层次结构

层次结构级别

更改说明

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[edit]

层次结构已重命名。

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[编辑 vlans vlans-name]

语句已重命名。

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[编辑 vlans vlans-name]

语句已重命名。

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[编辑安全流]

语句已重命名。

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[edit interfaces interface-name]单元编号

层次结构已重命名。

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[编辑 vlans vlans-name]

语句已重命名。

表 19: 增强型2层操作命令更改

原始操作命令

修改后的操作命令

清除桥接 mac 表

清除以太网交换表

清除桥接 mac 表永久性学习

清除以太网交换表持续学习

显示桥接域

显示 vlan

显示桥接 mac 表

显示以太网交换表

显示 l2-学习界面

显示以太网交换接口

注:

SRX300、SRX320 和 SRX500HM 设备上没有 fxp0 带外管理接口。(平台支持取决于安装中的 Junos OS 版本。)

ACX 系列的2层下一代模式

第2层下一代模式又称为增强型2层软件(ELS),在 ACX5048、ACX5096 和 ACX5448 路由器上受支持,用于配置2层功能。ACX5048、ACX5096 和 ACX5448 路由器的2层 CLI 配置和 show 命令不同于其他 ACX 系列路由器(ACX1000、ACX1100、ACX2000、ACX2100、ACX2200 和 ACX4000)和 MX 系列路由器。

表 20显示了 CLI 层次结构中用于配置第2层下一代模式中第2层功能的差异。

表 20: 2层下一代模式中第2层功能的 CLI 层次结构差异

功能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000、ACX5448 和 MX 系列路由器

ACX5048 和 ACX5096 路由器

桥接域

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

产品bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

2层选项

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

以太网选项

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

集成路由和桥接 (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

风暴控制

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

互联网组管理协议 (IGMP) 窥探

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

家庭bridge防火墙过滤器

[edit firewall family bridge]

[edit firewall family ethernet-switching]

表 21显示了第 2 show层下一代模式命令中的2层功能的差异。

表 21: 2层下一代模式中2层功能的 show 命令差异

功能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000 和 MX 系列路由器

ACX5048、ACX5096 和 ACX5448 路由器

VLAN

show bridge-domain

show vlans

MAC 表

show bridge mac-table

show ethernet-switching table

MAC 表选项

show bridge mac-table(MAC 地址、桥接域名、接口、VLAN ID 和实例)

show ethernet-switching table

使用 VLAN 分配的交换机端口清单

show l2-learning interface

show ethernet-switching interfaces

刷新数据库的内核状态

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

发布历史记录表
版本
说明
15.1X49-D40
从 Junos OS Release 15.1 X 49-D40 中开始,使用set protocols l2-learning global-mode(transparent-bridge | switching)命令在第2层透明桥接模式和以太网交换模式之间切换。
15.1X49-D10
从 Junos OS Release 15.1 X 49-D10 和 Junos OS 版本 17.3 R1 开始,某些第2层 CLI 配置语句已增强,某些命令已更改。