Ethernet-Switching auf Gehäuse-Cluster
Sie können einen Chassis-Cluster so konfigurieren, dass er als Layer-2-Ethernet-Switch fungiert. Weitere Informationen finden Sie in den folgenden Themen:.
Layer-2-Ethernet-Switching-Funktion in einem Chassis-Cluster-Modus
- Grundlegendes zur Layer-2-Ethernet-Switching-Funktion in einem Chassis-Cluster auf Geräten der SRX-Serie
- Grundlegendes zu Chassis-Cluster-Failover und neu gewählten Primärwahlen
- Vorteile von Ethernet-Switching auf Chassis-Clustern
Grundlegendes zur Layer-2-Ethernet-Switching-Funktion in einem Chassis-Cluster auf Geräten der SRX-Serie
Ethernet-Ports unterstützen verschiedene Layer 2-Funktionen wie Spanning-Tree-Protokolle (STPs), IEEE 802.1x, Link Layer Discovery Protocol (LLDP) und Multiple VLAN Registration Protocol (MVRP). Mit der Erweiterung der Layer-2-Switching-Funktion auf Geräte in einem Chassis-Cluster können Sie Ethernet-Switching-Funktionen auf beiden Knoten eines Chassis-Clusters verwenden.
Um sicherzustellen, dass Layer-2-Switching nahtlos über Gehäuse-Cluster-Knoten hinweg funktioniert, ist eine dedizierte physische Verbindung erforderlich, die die Knoten verbindet. Diese Art von Verbindung wird als switching fabric interface. Es dient dazu, Layer-2-Datenverkehr zwischen Knoten zu übertragen.
Die Konfiguration einer LAG mit
family ethernet-switchingwird nicht unterstützt.Die Konfiguration einer Reth mit
family ethernet-switchingwird nicht unterstützt. Dies wird nur im transparenten Modus unterstützt.Wenn keine Switching-Fabric-Schnittstelle (swfab) auf beiden Knoten konfiguriert ist und Sie versuchen, Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren, kann das Verhalten der Knoten unvorhersehbar sein.
Grundlegendes zu Chassis-Cluster-Failover und neu gewählten Primärwahlen
Wenn ein Chassis-Cluster-Failover auftritt, wird ein neuer primärer Knoten ausgewählt und der Ethernet-Switching-Prozess (eswd) läuft in einem anderen Knoten. Während des Failovers wird das Chassis Control Subsystem neu gestartet. Auch während des Failovers tritt ein Datenverkehrsausfall auf, bis die PICs verfügbar sind und die VLAN-Einträge neu programmiert sind. Nach dem Failover werden alle Layer-2-Protokolle neu konfiguriert, da die Layer-2-Protokollzustände im sekundären Knoten nicht beibehalten werden.
Die Q-in-Q-Funktion im Gehäuse-Cluster-Modus wird aufgrund der Chipbeschränkungen für die Swfab-Schnittstellenkonfiguration in Broadcom-Chipsätzen nicht unterstützt.
Vorteile von Ethernet-Switching auf Chassis-Clustern
Ermöglicht Ethernet-Switching-Funktionalität auf beiden Knoten eines Chassis-Clusters und bietet die Option, die Ethernet-Ports an beiden Knoten für das Ethernet-Switching der Produktfamilie zu konfigurieren.
Ermöglicht die Konfiguration einer Layer-2-VLAN-Domäne mit Mitgliedsports von beiden Knoten und den Layer-2-Switching-Protokollen auf beiden Geräten.
Siehe auch
Beispiel: Konfigurieren von Switch-Fabric-Schnittstellen zur Aktivierung des Switching im Chassis-Cluster-Modus auf einem Sicherheitsgerät
Dieses Beispiel zeigt, wie Sie Switching-Fabric-Schnittstellen konfigurieren, um Switching im Chassis-Cluster-Modus zu aktivieren.
Anforderungen
Die physische Verbindung, die als Switch-Fabric-Member verwendet wird, muss direkt mit dem Gerät verbunden sein.
Switching-Fabric-Schnittstellen müssen auf Ports konfiguriert werden, die Switching-Funktionen unterstützen. Informationen zu den Ports, auf denen Switching-Funktionen unterstützt werden, finden Sie in der Übersicht über Ethernet-Ports-Switching für Sicherheitsgeräte .
Die physische Verbindung, die als Switch-Fabric-Member verwendet wird, muss direkt mit dem Gerät verbunden sein. Für Switching-Fabric-Schnittstellen müssen Switching-unterstützte Ports verwendet werden. Siehe Übersicht über Ethernet-Ports-Switching für Sicherheitsgeräte für Switching-unterstützte Ports.
Bevor Sie beginnen, siehe Beispiel: Konfigurieren der Chassis-Cluster-Fabric-Schnittstellen.
Übersicht
In diesem Beispiel werden Pseudoschnittstellen swfab0 und swfab1 für Layer-2-Fabric-Funktionen erstellt. Außerdem konfigurieren Sie auf jedem Knoten dedizierte Ethernet-Ports, die den Swfab-Schnittstellen zugeordnet werden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces swfab0 fabric-options member-interfaces ge-0/0/3 set interfaces swfab1 fabric-options member-interfaces ge-9/0/3
Schritt-für-Schritt-Verfahren
So konfigurieren Sie SWFAB-Schnittstellen:
Konfigurieren Sie swfab0 und swfab1, und zuordnen Sie diese Switch-Fabric-Schnittstellen, um Switching über die Knoten hinweg zu ermöglichen. Beachten Sie, dass swfab0 dem Knoten 0 und swfab1 dem Knoten 1 entspricht.
{primary:node0} [edit] user@host# set interfaces swfab0 fabric-options member-interfaces ge-0/0/3 user@host# set interfaces swfab1 fabric-options member-interfaces ge-9/0/3Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
{primary:node0} [edit] user@host# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show interfaces swfab0 Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces swfab0
fabric-options{
member-interfaces {
ge-0/0/3;
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
Überprüfung von Switching-Fabric-Ports
Zweck
Stellen Sie sicher, dass Sie mehrere Ports als Mitglieder von Switching-Fabric-Ports konfigurieren können.
Aktion
Geben Sie im Konfigurationsmodus den show interfaces swfab0 Befehl ein, um die konfigurierten Schnittstellen für jeden Port anzuzeigen.
user@host# show interfaces swfab0
fabric-options{
member-interfaces {
ge-0/0/3;
}
}
Geben Sie im Betriebsmodus den show chassis cluster ethernet-switching interfaces Befehl ein, um die entsprechenden Memberschnittstellen anzuzeigen.
user@host> show chassis cluster ethernet-switching interfaces
swfab0:
Name Status
ge-0/0/3 up
swfab1:
Name Status
ge-9/0/3 up
Beispiel: Konfigurieren Sie IRB und VLAN mit Mitgliedern über zwei Knoten auf einem Sicherheitsgerät mit Tagged
Unser Inhaltstestteam hat dieses Beispiel validiert und aktualisiert.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
konfigurieren Sie eine Switching-Fabric-Schnittstelle auf beiden Knoten, um Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren. Siehe Beispiel: Konfigurieren von Switch-Fabric-Schnittstellen zur Aktivierung von Switching im Chassis-Cluster-Modus auf einem Sicherheitsgerät
Sicherheitsgerät SRX550
interface-modewird in Version 15.1X49 unterstützt.port-modewird in den Versionen 12.1 und 12.3X48 unterstützt.
Übersicht
Dieses Beispiel zeigt die Konfiguration eines VLANs mit Mitgliedern über Knoten 0 und Knoten 1 hinweg.
Topologie
Abbildung 1 zeigt das Layer-2-Ethernet-Switching über Gehäuse-Cluster-Knoten mit getaggten Datenverkehr.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces irb.100 set security zones security-zone trust interfaces irb.200 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members v200 set interfaces ge-9/0/4 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-9/0/4 unit 0 family ethernet-switching vlan members v100 set interfaces ge-9/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-9/0/5 unit 0 family ethernet-switching vlan members v200 set interfaces fab0 fabric-options member-interfaces ge-0/0/2 set interfaces fab1 fabric-options member-interfaces ge-9/0/2 set interfaces irb unit 100 family inet address 10.1.100.254/24 set interfaces irb unit 200 family inet address 10.1.200.254/24 set interfaces swfab0 fabric-options member-interfaces ge-0/0/3 set interfaces swfab1 fabric-options member-interfaces ge-9/0/3 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200
Schritt-für-Schritt-Verfahren
So konfigurieren Sie IRB und ein VLAN:
Konfigurieren Sie Sicherheitszonen.
{primary:node0} [edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust interfaces irb.100 user@host# set security-zone trust interfaces irb.200Konfigurieren Sie Ethernet-Switching auf den Node0-Schnittstellen.
{primary:node0} [edit interfaces] user@host# set ge-0/0/4 unit 0 family ethernet-switching interface-mode trunk user@host# set ge-0/0/4 unit 0 family ethernet-switching vlan members v100 user@host# set ge-0/0/5 unit 0 family ethernet-switching interface-mode trunk user@host# set ge-0/0/5 unit 0 family ethernet-switching vlan members v200 user@host# set ge-9/0/4 unit 0 family ethernet-switching interface-mode trunk user@host# set ge-9/0/4 unit 0 family ethernet-switching vlan members v100 user@host# set ge-9/0/5 unit 0 family ethernet-switching interface-mode trunk user@host# set ge-9/0/5 unit 0 family ethernet-switching vlan members v200Definieren Sie die für die Fab-Verbindung verwendeten Schnittstellen (Data Plane-Links für RTOsync), indem Sie physische Ports von jedem Knoten verwenden. Diese Schnittstellen müssen back-to-back oder über eine Layer-2-Infrastruktur verbunden sein.
{primary:node0} [edit interfaces] user@host# set fab0 fabric-options member-interfaces ge-0/0/2 user@host# set fab1 fabric-options member-interfaces ge-9/0/2konfigurieren Sie eine Switching-Fabric-Schnittstelle auf beiden Knoten, um Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren.
{primary:node0} [edit interfaces] user@host# set swfab0 fabric-options member-interfaces ge-0/0/3 user@host# set swfab1 fabric-options member-interfaces ge-9/0/3Konfigurieren Sie die irb-Schnittstelle.
{primary:node0} [edit interfaces] user@host# set irb unit 100 family inet address 10.1.100.254/24 user@host# set irb unit 200 family inet address 10.1.200.254/24Erstellen und zuordnen Sie eine VLAN-Schnittstelle mit dem VLAN.
{primary:node0} [edit vlans] user@host# set v100 vlan-id 100 user@host# set v100 l3-interface irb.100 user@host# set v200 vlan-id 200 user@host# set v200 l3-interface irb.200Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show securityBefehle und show vlans show interfacesdie Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
irb.100;
irb.200;
}
}
}
[edit]
user@host# show interfaces
ge-0/0/4 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members v100;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members v200;
}
}
}
}
ge-9/0/4 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members v100;
}
}
}
}
ge-9/0/5 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members v200;
}
}
}
}
fab0 {
fabric-options {
member-interfaces {
ge-0/0/2;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-9/0/2;
}
}
}
irb {
unit 100 {
family inet {
address 10.1.100.254/24;
}
}
unit 200 {
family inet {
address 10.1.200.254/24;
}
}
}
swfab0 {
fabric-options {
member-interfaces {
ge-0/0/3;
}
}
}
swfab1 {
fabric-options {
member-interfaces {
ge-9/0/3;
}
}
}
[edit]
user@host# show vlans
v100 {
vlan-id 100;
l3-interface irb.100;
}
v200 {
vlan-id 200;
l3-interface irb.200;
}
Überprüfung
Verifizieren von getaggten VLAN mit IRB
Zweck
Stellen Sie sicher, dass die Konfiguration für getaggtes VLAN mit IRB ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 fxp1 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 ge-0/0/2 Up / Up Enabled
fab0
fab1 ge-9/0/2 Up / Up Enabled
fab1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0 Geben Sie im Betriebsmodus den show ethernet-switching table Befehl ein.
user@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 4 entries, 4 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
v100 08:81:f4:8a:eb:52 D - ge-9/0/4.0 0 0
v100 08:81:f4:8a:eb:54 D - ge-0/0/4.0 0 0
v200 08:81:f4:8a:eb:53 D - ge-9/0/5.0 0 0
v200 08:81:f4:8a:eb:55 D - ge-0/0/5.0 0 0Geben Sie im Betriebsmodus den show arp Befehl ein.
user@host> show arp
MAC Address Address Name Interface Flags
08:81:f4:8a:eb:54 10.1.100.1 10.1.100.1 irb.100 none
08:81:f4:8a:eb:52 10.1.100.2 10.1.100.2 irb.100 none
08:81:f4:8a:eb:55 10.1.200.1 10.1.200.1 irb.200 none
08:81:f4:8a:eb:53 10.1.200.2 10.1.200.2 irb.200 none
ec:3e:f7:c6:81:b0 30.17.0.2 30.17.0.2 fab0.0 permanent
f0:4b:3a:09:cb:30 30.18.0.1 30.18.0.1 fab1.0 permanent
ec:3e:f7:c6:80:81 130.16.0.1 130.16.0.1 fxp1.0 none
Total entries: 7
Geben Sie im Betriebsmodus den show ethernet-switching interface Befehl ein, um die Informationen über Ethernet-Switching-Schnittstellen anzuzeigen.
user@host> show ethernet-switching interface
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-0/0/5.0 16383 8192 tagged
v200 200 1024 1024 Forwarding tagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-0/0/4.0 16383 8192 tagged
v100 100 1024 1024 Forwarding tagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-9/0/4.0 16383 8192 tagged
v100 100 1024 1024 Forwarding tagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-9/0/5.0 16383 8192 tagged
v200 200 1024 1024 Forwarding tagged Bedeutung
Die Ausgabe zeigt, dass die VLANs konfiguriert sind und einwandfrei funktionieren.
Beispiel: Konfigurieren Sie IRB und VLAN mit Mitgliedern über zwei Knoten auf einem Sicherheitsgerät mit nicht getaggten Datenverkehr
Unser Inhaltstestteam hat dieses Beispiel validiert und aktualisiert.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
konfigurieren Sie eine Switching-Fabric-Schnittstelle auf beiden Knoten, um Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren. Siehe Beispiel: Konfigurieren von Switch-Fabric-Schnittstellen zur Aktivierung von Switching im Chassis-Cluster-Modus auf einem Sicherheitsgerät
Sicherheitsgerät SRX550
interface-modewird in Version 15.1X49 unterstützt.port-modewird in den Versionen 12.1 und 12.3X48 unterstützt.
Übersicht
Dieses Beispiel zeigt die Konfiguration eines VLANs mit Mitgliedern über Knoten 0 und Knoten 1 hinweg.
Topologie
Abbildung 2 zeigt das Layer-2-Ethernet-Switching über Gehäuse-Cluster-Knoten hinweg mit nicht getaggten Datenverkehr.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust interfaces irb.100 set security zones security-zone trust interfaces irb.200 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members v200 set interfaces ge-9/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-9/0/4 unit 0 family ethernet-switching vlan members v100 set interfaces ge-9/0/5 unit 0 family ethernet-switching interface-mode access set interfaces ge-9/0/5 unit 0 family ethernet-switching vlan members v200 set interfaces fab0 fabric-options member-interfaces ge-0/0/2 set interfaces fab1 fabric-options member-interfaces ge-9/0/2 set interfaces irb unit 100 family inet address 10.1.100.254/24 set interfaces irb unit 200 family inet address 10.1.200.254/24 set interfaces swfab0 fabric-options member-interfaces ge-0/0/3 set interfaces swfab1 fabric-options member-interfaces ge-9/0/3 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200
Schritt-für-Schritt-Verfahren
So konfigurieren Sie IRB und ein VLAN:
Konfigurieren Sie Sicherheitszonen.
{primary:node0} [edit security zones] user@host# set security-zone trust host-inbound-traffic system-services all user@host# set security-zone trust interfaces irb.100 user@host# set security-zone trust interfaces irb.200Konfigurieren Sie Ethernet-Switching auf den Node0-Schnittstellen.
{primary:node0} [edit interfaces] user@host# set ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/4 unit 0 family ethernet-switching vlan members v100 user@host# set ge-0/0/5 unit 0 family ethernet-switching interface-mode access user@host# set ge-0/0/5 unit 0 family ethernet-switching vlan members v200 user@host# set ge-9/0/4 unit 0 family ethernet-switching interface-mode access user@host# set ge-9/0/4 unit 0 family ethernet-switching vlan members v100 user@host# set ge-9/0/5 unit 0 family ethernet-switching interface-mode access user@host# set ge-9/0/5 unit 0 family ethernet-switching vlan members v200Definieren Sie die Schnittstellen, die für die Fab-Verbindungen (Data Plane-Verbindungen für RTOsync) verwendet werden, indem Sie physische Ports von jedem Knoten verwenden. Diese Schnittstellen müssen back-to-back oder über eine Layer-2-Infrastruktur verbunden sein.
{primary:node0} [edit interfaces] user@host# set fab0 fabric-options member-interfaces ge-0/0/2 user@host# set fab1 fabric-options member-interfaces ge-9/0/2konfigurieren Sie eine Switching-Fabric-Schnittstelle auf beiden Knoten, um Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren.
{primary:node0} [edit interfaces] user@host# set swfab0 fabric-options member-interfaces ge-0/0/3 user@host# set swfab1 fabric-options member-interfaces ge-9/0/3Konfigurieren Sie die irb-Schnittstelle.
{primary:node0} [edit interfaces] user@host# set irb unit 100 family inet address 10.1.100.254/24 user@host# set irb unit 200 family inet address 10.1.200.254/24Erstellen und zuordnen Sie eine VLAN-Schnittstelle mit dem VLAN.
{primary:node0} [edit vlans] user@host# set v100 vlan-id 100 user@host# set v100 l3-interface irb.100 user@host# set v200 vlan-id 200 user@host# set v200 l3-interface irb.200Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show securityBefehle und show vlans show interfacesdie Befehle eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show security
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
}
interfaces {
irb.100;
irb.200;
}
}
}
[edit]
user@host# show interfaces
ge-0/0/4 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members v100;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members v200;
}
}
}
}
ge-9/0/4 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members v100;
}
}
}
}
ge-9/0/5 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members v200;
}
}
}
}
fab0 {
fabric-options {
member-interfaces {
ge-0/0/2;
}
}
}
fab1 {
fabric-options {
member-interfaces {
ge-9/0/2;
}
}
}
irb {
unit 100 {
family inet {
address 10.1.100.254/24;
}
}
unit 200 {
family inet {
address 10.1.200.254/24;
}
}
}
swfab0 {
fabric-options {
member-interfaces {
ge-0/0/3;
}
}
}
swfab1 {
fabric-options {
member-interfaces {
ge-9/0/3;
}
}
}
[edit]
user@host# show vlans
v100 {
vlan-id 100;
l3-interface irb.100;
}
v200 {
vlan-id 200;
l3-interface irb.200;
}
Überprüfung
Verifizieren von nicht getaggten VLANs mit IRB
Zweck
Stellen Sie sicher, dass die Konfiguration des nicht getaggten VLANs mit IRB ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show chassis cluster interfaces Befehl ein.
user@host> show chassis cluster interfaces
Control link status: Up
Control interfaces:
Index Interface Monitored-Status Internal-SA Security
0 fxp1 Up Disabled Disabled
Fabric link status: Up
Fabric interfaces:
Name Child-interface Status Security
(Physical/Monitored)
fab0 ge-0/0/2 Up / Up Enabled
fab0
fab1 ge-9/0/2 Up / Up Enabled
fab1
Redundant-pseudo-interface Information:
Name Status Redundancy-group
lo0 Up 0 Geben Sie im Betriebsmodus den show ethernet-switching table Befehl ein.
user@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 4 entries, 4 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
v100 08:81:f4:8a:eb:52 D - ge-9/0/4.0 0 0
v100 08:81:f4:8a:eb:54 D - ge-0/0/4.0 0 0
v200 08:81:f4:8a:eb:53 D - ge-9/0/5.0 0 0
v200 08:81:f4:8a:eb:55 D - ge-0/0/5.0 0 0Geben Sie im Betriebsmodus den show arp Befehl ein.
user@host> show arp
MAC Address Address Name Interface Flags
08:81:f4:8a:eb:54 10.1.100.1 10.1.100.1 irb.100 none
08:81:f4:8a:eb:52 10.1.100.2 10.1.100.2 irb.100 none
08:81:f4:8a:eb:55 10.1.200.1 10.1.200.1 irb.200 none
08:81:f4:8a:eb:53 10.1.200.2 10.1.200.2 irb.200 none
ec:3e:f7:c6:81:b0 30.17.0.2 30.17.0.2 fab0.0 permanent
f0:4b:3a:09:cb:30 30.18.0.1 30.18.0.1 fab1.0 permanent
ec:3e:f7:c6:80:81 130.16.0.1 130.16.0.1 fxp1.0 none
Total entries: 7
Geben Sie im Betriebsmodus den show ethernet-switching interface Befehl ein, um die Informationen über Ethernet-Switching-Schnittstellen anzuzeigen.
user@host> show ethernet-switching interface
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-0/0/5.0 16383 8192 untagged
v200 200 1024 1024 Forwarding untagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-0/0/4.0 16383 8192 untagged
v100 100 1024 1024 Forwarding untagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-9/0/4.0 16383 8192 untagged
v100 100 1024 1024 Forwarding untagged
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control, MI - MAC+IP limit hit)
Logical Vlan TAG MAC MAC+IP STP Logical Tagging
interface members limit limit state interface flags
ge-9/0/5.0 16383 8192 untagged
v200 200 1024 1024 Forwarding untaggedBedeutung
Die Ausgabe zeigt, dass die VLANs konfiguriert sind und einwandfrei funktionieren.
Beispiel: Konfigurieren von VLAN mit Mitgliedern über zwei Knoten auf einem Sicherheitsgerät
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
konfigurieren Sie eine Switching-Fabric-Schnittstelle auf beiden Knoten, um Ethernet-Switching-bezogene Funktionen auf den Knoten zu konfigurieren. Siehe Beispiel: Konfigurieren von Switch-Fabric-Schnittstellen zur Aktivierung von Switching im Chassis-Cluster-Modus auf einem Sicherheitsgerät
Sicherheitsgerät SRX240
Junos OS 12.3X48-D90
der Schnittstellenmodus wird in Version 15.1X49 unterstützt.
der Port-Modus wird in den Versionen 12.1 und 12.3X48 unterstützt.
Übersicht
Dieses Beispiel zeigt die Konfiguration eines VLANs mit Mitgliedern über Knoten 0 und Knoten 1 hinweg.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um diesen Abschnitt des Beispiels schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members vlan100 set interfaces ge0/0/4 unit 0 family ethernrt-switching port-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members vlan100 set interfaces ge-7/0/5 unit 0 family ethernet-switching port-mode trunk set interfaces ge-7/0/5 unit 0 family ethernet-switching vlan members vlan100 set interfaces vlan unit 100 family inet address 11.1.1.1/24 set vlans vlan100 vlan-id 100 set vlans vlan100 l3-interface vlan.100
Schritt-für-Schritt-Verfahren
So konfigurieren Sie VLAN:
Konfigurieren Sie Ethernet-Switching auf der Node0-Schnittstelle.
{primary:node0} [edit] user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode access user@host# set interfaces ge0/0/4 unit 0 family ethernet-switching port-mode accessKonfigurieren Sie Ethernet-Switching auf der Node1-Schnittstelle.
{primary:node0} [edit] user@host# set interfaces ge-7/0/5 unit 0 family ethernet-switching port-mode trunkErstellen Sie VLAN vlan100 mit vlan-id 100.
{primary:node0} [edit] user@host# set vlans vlan100 vlan-id 100Fügen Sie Schnittstellen von beiden Knoten zum VLAN hinzu.
{primary:node0} [edit] user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members vlan100 user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members vlan100 user@host# set interfaces ge-7/0/5 unit 0 family ethernet-switching vlan members vlan100Erstellen Sie eine VLAN-Schnittstelle.
user@host# set interfaces vlan unit 100 family inet address 11.1.1.1/24
Zuordnen einer VLAN-Schnittstelle mit dem VLAN.
user@host# set vlans vlan100 l3-interface vlan.100
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show vlans befehle eingeben show interfaces . Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show vlans
vlan100 {
vlan-id 100;
l3-interface vlan.100;
}
[edit]
user@host# show interfaces
ge-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members vlan100;
}
}
}
}
ge-0/0/4 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members vlan100;
}
}
}
}
ge-7/0/5 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan100;
}
}
}
}
Überprüfung
VLAN überprüfen
Zweck
Stellen Sie sicher, dass die Konfiguration des VLANs ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show interfaces terse ge-0/0/3 Befehl ein, um die Schnittstelle des Knotens 0 anzuzeigen.
user@host> show interfaces terse ge-0/0/3 Interface Admin Link Proto Local Remote ge-0/0/3 up up ge-0/0/3.0 up up eth-switch
Geben Sie im Betriebsmodus den show interfaces terse ge-0/0/4 Befehl ein, um die Schnittstelle des Knotens 0 anzuzeigen.
user@host> show interfaces terse ge-0/0/4 Interface Admin Link Proto Local Remote ge-0/0/4 up up ge-0/0/4.0 up up eth-switch
Geben Sie im Betriebsmodus den show interfaces terse ge-7/0/5 Befehl ein, um die Node1-Schnittstelle anzuzeigen.
user@host> show interfaces terse ge-7/0/5 Interface Admin Link Proto Local Remote ge-7/0/5 up up ge-7/0/5.0 up up eth-switch
Geben Sie im Betriebsmodus den show vlans Befehl ein, um die VLAN-Schnittstelle anzuzeigen.
user@host> show vlans
Routing instance VLAN name Tag Interfaces
default-switch default 1
default-switch vlan100 100 ge-0/0/3.0*
ge-0/0/4.0*
ge-7/0/5.0*
Geben Sie im Betriebsmodus den show ethernet-switching interface Befehl ein, um die Informationen über Ethernet-Switching-Schnittstellen anzuzeigen.
Routing Instance Name : default-switch
Logical Interface flags (DL - disable learning, AD - packet action drop,
LH - MAC limit hit, DN - interface down,
MMAS - Mac-move action shutdown, AS - Autostate-exclude enabled,
SCTL - shutdown by Storm-control )
Logical Vlan TAG MAC STP Logical Tagging
interface members limit state interface flags
ge-0/0/3.0 16383 DN untagged
vlan100 100 1024 Discarding untagged
ge-0/0/4.0 16383 DN untagged
vlan100 100 1024 Discarding untagged
ge-7/0/5.0 16383 DN tagged
vlan100 100 1024 Discarding tagged
Bedeutung
Die Ausgabe zeigt, dass die VLANs konfiguriert sind und einwandfrei funktionieren.