Layer 2-Netzwerke
Überblick über Layer 2-Netzwerke
Layer 2, auch Data Link Layer genannt, ist die zweite Ebene des siebenschichtigen OSI-Referenzmodells für das Design von Netzwerkprotokollen. Layer 2 entspricht dem Link Layer (der untersten Ebene) im TCP/IP-Netzwerkmodell. Layer2 ist die Netzwerkschicht, die zur Übertragung von Daten zwischen benachbarten Netzwerkknoten in einem Wide Area Network oder zwischen Knoten auf demselben lokalen Netzwerk verwendet wird.
Ein Frame ist eine Protokolldateneinheit, die kleinste Biteinheit in einem Layer-2-Netzwerk. Frames werden an Geräte im selben LOKALEN Netzwerk (LAN) übertragen und von ihnen empfangen. Unilke Bits, Frames haben eine definierte Struktur und können für die Fehlererkennung, Control Plane-Aktivitäten usw. verwendet werden. Nicht alle Frames übertragen Benutzerdaten. Das Netzwerk verwendet einige Frames, um die Datenverbindung selbst zu steuern.
Auf Layer 2 bezieht sich Unicast auf das Senden von Frames von einem Knoten zu einem einzelnen anderen Knoten, während Multicast das Senden von Datenverkehr von einem Knoten an mehrere Knoten bezeichnet, während Sich Broadcasting auf die Übertragung von Frames an alle Knoten in einem Netzwerk bezieht. Eine Broadcast-Domain ist eine logische Aufteilung eines Netzwerks, in der alle Knoten dieses Netzwerks auf Layer 2 durch einen Broadcast erreicht werden können.
Segmente eines LAN können auf Frameebene mit Bridges verknüpft werden. Bridging erstellt separate Broadcast-Domänen im LAN und erstellt VLANs, bei denen es sich um unabhängige logische Netzwerke handelt, die verwandte Geräte in separate Netzwerksegmente gruppieren. Die Gruppierung von Geräten in einem VLAN ist unabhängig davon, wo sich die Geräte physisch im LAN befinden. Ohne Bridging und VLANs befinden sich alle Geräte im Ethernet-LAN in einer einzigen Broadcast-Domain und alle Geräte erkennen alle Pakete im LAN.
Die Weiterleitung ist das Weiterleiten von Paketen von einem Netzwerksegment zum anderen durch Knoten im Netzwerk. Auf einem VLAN werden Frame, dessen Ursprung und Ziel sich im selben VLAN befinden, nur innerhalb des lokalen VLANs weitergeleitet. Ein Netzwerksegment ist ein Teil eines Computernetzwerks, in dem jedes Gerät über dieselbe physische Ebene kommuniziert.
Layer 2 enthält zwei Sublayer:
Logische Link Control (LLC)-Sublayer, der für die Verwaltung von Kommunikationsverbindungen und die Verarbeitung des Frame-Datenverkehrs verantwortlich ist.
Mac-Sublayer (Media Access Control), der den Protokollzugriff auf das physische Netzwerkmedium steuert. Durch die Verwendung der MAC-Adressen, die allen Ports auf einem Switch zugewiesen sind, können sich mehrere Geräte auf derselben physischen Verbindung eindeutig miteinander identifizieren.
Die Ports oder Schnittstellen eines Switches arbeiten entweder im Zugriffsmodus, im Tagged-Access-Modus oder im Trunk-Modus:
Ports im Zugriffsmodus verbinden sich mit einem Netzwerkgerät, z. B. einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera. Der Port selbst gehört zu einem einzigen VLAN. Die über eine Zugangsschnittstelle übertragenen Frames sind normale Ethernet-Frames. Standardmäßig befinden sich alle Ports auf einem Switch im Zugriffsmodus.
Ports im Tagged-Access-Modus stellen eine Verbindung zu einem Netzwerkgerät wie einem Desktopcomputer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera her. Der Port selbst gehört zu einem einzigen VLAN. Die über eine Zugangsschnittstelle übertragenen Frames sind normale Ethernet-Frames. Standardmäßig befinden sich alle Ports auf einem Switch im Zugriffsmodus. Der Tagged-Access-Modus unterstützt Cloud-Computing, insbesondere Szenarien wie virtuelle Maschinen oder virtuelle Computer. Da mehrere virtuelle Computer auf einem physischen Server enthalten können, können die von einem Server generierten Pakete eine Aggregation von VLAN-Paketen von verschiedenen virtuellen Maschinen auf diesem Server enthalten. Um dieser Situation Rechnung zu tragen, reflektiert der Zugriffsmodus Pakete zurück an den physischen Server am selben Downstream-Port, wenn die Zieladresse des Pakets auf diesem Downstream-Port gelernt wurde. Pakete werden auch wieder an den physischen Server am Downstream-Port zurückgespiegelt, wenn das Ziel noch nicht gelernt wurde. Daher weist der dritte Schnittstellenmodus, getaggter Zugriff, einige Merkmale des Zugriffsmodus und einige Merkmale des Trunk-Modus auf:
Ports im Trunk-Modus verarbeiten den Datenverkehr für mehrere VLANs und multiplexen den Datenverkehr für all diese VLANs über dieselbe physische Verbindung. Trunk-Schnittstellen werden im Allgemeinen verwendet, um Switches mit anderen Geräten oder Switches zu verbinden.
Wenn natives VLAN konfiguriert ist, werden Frames, die keine VLAN-Tags enthalten, über die Trunk-Schnittstelle gesendet. Wenn Sie eine Situation haben, in der Pakete im Zugriffsmodus von einem Gerät zu einem Switch übertragen werden und Sie diese Pakete dann vom Switch über einen Trunk-Port senden möchten, verwenden Sie den nativen VLAN-Modus. Konfigurieren Sie das einzelne VLAN am Port des Switches (der sich im Zugriffsmodus befindet) als natives VLAN. Der Trunk-Port des Switches behandelt diese Frames dann anders als die anderen getaggten Pakete. Wenn beispielsweise ein Trunk-Port über drei VLANs 10, 20 und 30 verfügt, wobei VLAN 10 das native VLAN ist, haben Frames auf VLAN 10, die den Trunk-Port am anderen Ende verlassen, keinen 802.1Q-Header (Tag). Es gibt eine weitere native VLAN-Option. Sie können mit dem Switch Tags für nicht getaggte Pakete hinzufügen und entfernen. Dazu konfigurieren Sie das einzelne VLAN zuerst als natives VLAN an einem Port, der an ein Gerät am Edge angeschlossen ist. Weisen Sie dann dem einzelnen nativen VLAN am mit einem Gerät verbundenen Port ein VLAN-ID-Tag zu. Fügen Sie schließlich die VLAN-ID zum Trunk-Port hinzu. Wenn der Switch das nicht getaggte Paket empfängt, fügt er die angegebene ID hinzu und sendet die getaggten Pakete auf dem Trunk-Port, der so konfiguriert ist, dass er dieses VLAN akzeptiert.
Einschließlich der Sublayer unterstützt Layer 2 der QFX-Serie die folgenden Funktionen:
Unicast-, Multicast- und Broadcast-Datenverkehr.
Überbrückung.
VLAN 802.1Q– Dieses Protokoll, auch bekannt als VLAN-Tagging, ermöglicht es mehreren Bridged-Netzwerken, die gleiche physische Netzwerkverbindung transparent gemeinsam zu nutzen, indem einem Ethernet-Frame VLAN-Tags hinzugefügt werden.
Die Erweiterung von Layer-2-VLANs auf mehrere Switches mit Spanning Tree Protocol (STP) verhindert Schleifen im gesamten Netzwerk.
MAC-Lernen, einschließlich MAC-Lernen per VLAN und Layer-2-Lernunterdrückung– Dieser Prozess erhält die MAC-Adressen aller Knoten in einem Netzwerk
Link-Aggregation: Diese Prozessgruppen von Ethernet-Schnittstellen auf der physischen Ebene bilden eine einzelne Link-Layer-Schnittstelle, auch bekannt als Link Aggregation Group (LAG) oder LAG-Paket
HINWEIS:Link-Aggregation wird auf NFX150-Geräten nicht unterstützt.
Sturmkontrolle am physischen Port für Unicast, Multicast und Broadcast
HINWEIS:Storm Control wird auf NFX150-Geräten nicht unterstützt.
STP-Unterstützung, einschließlich 802.1d, RSTP, MSTP und Root Guard
Siehe auch
Vlans verstehen
Ein VLAN (virtuelles LAN) ist eine Ansammlung von Netzwerkknoten, die zu separaten Broadcast-Domänen zusammengefasst sind. In einem Ethernet-Netzwerk, bei dem es sich um ein einziges LAN handelt, wird der gesamte Datenverkehr an alle Knoten im LAN weitergeleitet. Auf VLANs werden Frames, deren Ursprung und Ziel sich im selben VLAN befinden, nur innerhalb des lokalen VLANs weitergeleitet. Frames, die nicht für das lokale VLAN bestimmt sind, sind die einzigen, die an andere Broadcast-Domänen weitergeleitet werden. VLANs begrenzen somit den Datenverkehr, der über das gesamte LAN fließt, und reduzieren die mögliche Anzahl von Kollisionen und Paketwiederholungen innerhalb eines VLANs und im gesamten LAN.
In einem Ethernet-LAN müssen alle Netzwerkknoten physisch mit demselben Netzwerk verbunden sein. Auf VLANs ist der physische Standort der Knoten nicht wichtig. Daher können Sie Netzwerkgeräte beliebig gruppieren, die für Ihr Unternehmen sinnvoll ist, z. B. nach Abteilung oder Geschäftsbereich, nach Arten von Netzwerkknoten oder nach physischem Standort. Jedes VLAN wird durch ein einzelnes IP-Subnetz und durch eine standardisierte IEEE 802.1Q-Kapselung identifiziert.
Um zu ermitteln, zu welchem VLAN der Datenverkehr gehört, werden alle Frames auf einem Ethernet-VLAN durch ein Tag identifiziert, wie im IEEE 802.1Q-Standard definiert. Diese Frames werden getaggt und mit 802.1Q-Tags gekapselt.
Für ein einfaches Netzwerk, das nur über ein einziges VLAN verfügt, hat der gesamte Datenverkehr das gleiche 802.1Q-Tag. Wenn ein Ethernet-LAN in VLANs unterteilt wird, wird jedes VLAN durch ein eindeutiges 802.1Q-Tag identifiziert. Das Tag wird auf alle Frames angewendet, sodass die Netzwerkknoten, die die Frames empfangen, wissen, zu welchem VLAN ein Frame gehört. Trunk-Ports, die den Datenverkehr zwischen einer Reihe von VLANs multiplexen, verwenden das Tag, um den Ursprung der Frames zu bestimmen und zu bestimmen, wo sie weitergeleitet werden sollen.
Siehe auch
Ethernet-Switching und transparenter Layer 2-Modus – Übersicht
Der transparente Layer-2-Modus bietet die Möglichkeit, die Firewall bereitzustellen, ohne Änderungen an der vorhandenen Routing-Infrastruktur vorzunehmen. Die Firewall wird als Layer-2-Switch mit mehreren VLAN-Segmenten bereitgestellt und bietet Sicherheitsservices innerhalb von VLAN-Segmenten. Secure Wire ist eine spezielle Version des transparenten Layer-2-Modus, die die Bereitstellung von Bump-in-Wire ermöglicht.
Ein Gerät arbeitet im transparenten Modus, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät arbeitet im Routenmodus (Standardmodus), wenn keine physischen Schnittstellen als Layer-2-Schnittstellen konfiguriert sind.
Für Firewalls der SRX-Serie bietet der transparente Modus vollständige Sicherheitsservices für Layer-2-Switching-Funktionen. Auf diesen Firewalls der SRX-Serie können Sie ein oder mehrere VLANs konfigurieren, um Layer-2-Switching durchzuführen. Ein VLAN ist eine Reihe von logischen Schnittstellen, die die gleichen Flooding- oder Broadcast-Merkmale haben. Wie ein virtuelles LAN (VLAN) umfasst ein VLAN einen oder mehrere Ports mehrerer Geräte. Daher kann die Firewall der SRX-Serie als Layer-2-Switch mit mehreren VLANs fungieren, die am selben Layer-2-Netzwerk teilnehmen.
Im transparenten Modus filtert die Firewall der SRX-Serie Pakete, die das Gerät passieren, ohne die Quell- oder Zielinformationen in den IP-Paket-Headern zu ändern. Der transparente Modus ist nützlich für den Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen empfangen, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.
Im transparenten Modus werden alle physischen Ports auf dem Gerät Layer-2-Schnittstellen zugewiesen. Leiten Sie Layer-3-Datenverkehr nicht über das Gerät. Layer 2-Zonen können als Host für Layer-2-Schnittstellen konfiguriert werden, und Sicherheitsrichtlinien können zwischen Layer-2-Zonen definiert werden. Wenn Pakete zwischen Layer-2-Zonen reisen, können Sicherheitsrichtlinien auf diesen Paketen durchgesetzt werden.
Tabelle 1 listet die unterstützten Sicherheitsfunktionen auf, die im transparenten Modus für Layer 2-Switching nicht unterstützt werden.
Modelltyp |
Routingprotokolle |
Nicht unterstützt |
|---|---|---|
Transparenter Modus |
|
|
Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten wird die DHCP-Serverweiterleitung im transparenten Layer-2-Modus nicht unterstützt.
Darüber hinaus unterstützen die Firewalls der SRX-Serie die folgenden Layer-2-Funktionen im transparenten Layer-2-Modus nicht:
Spanning Tree Protocol (STP), RSTP oder MSTP: Der Benutzer ist dafür verantwortlich, sicherzustellen, dass in der Netzwerktopologie keine Flooding-Schleifen vorhanden sind.
Internet Group Management Protocol (IGMP)-Snooping – Host-to-Router-Signaling-Protokoll für IPv4, das verwendet wird, um ihre Multicast-Gruppenmitgliedschaft an benachbarte Router zu melden und zu bestimmen, ob Gruppenmitglieder während des IP-Multicastings vorhanden sind.
Doppelt getaggte VLANs oder IEEE 802.1Q VLAN-Kennungen, die in 802.1Q-Paketen gekapselt sind (auch "Q in Q"-VLAN-Tagging genannt) – Nur nicht getaggte oder einfach getaggte VLAN-Kennungen werden auf den Firewalls der SRX-Serie unterstützt.
Nicht qualifiziertes VLAN-Lernen, bei dem nur die MAC-Adresse für das Lernen innerhalb des VLANs verwendet wird– VLAN-Lernen auf Firewalls der SRX-Serie ist qualifiziert, das heißt, sowohl die VLAN-Kennung als auch die MAC-Adresse werden verwendet.
Auf Geräten wie SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 oder SRX650 werden einige Funktionen nicht unterstützt. (Die Plattformunterstützung hängt von der Version des Junos OS in Ihrer Installation ab.) Die folgenden Funktionen werden für den transparenten Layer-2-Modus auf den genannten Geräten nicht unterstützt:
G-ARP auf der Layer-2-Schnittstelle
IP-Adressenüberwachung auf jeder Schnittstelle
Transitverkehr über IRB
IRB-Schnittstelle in einer Routing-Instanz
IRB-Schnittstellenhandhabung von Layer-3-Datenverkehr
HINWEIS:Die IRB-Schnittstelle ist eine Pseudoschnittstelle und gehört nicht zur reth-Schnittstelle und Redundanzgruppe.
- Transparenter Layer 2-Modus auf dem SrX5000 Line Module Port Concentrator
- Grundlegendes zu IPv6-Datenströmen im transparenten Modus auf Sicherheitsgeräten
- Grundlegendes zu Layer-2-Gehäuseclustern im transparenten Modus auf Sicherheitsgeräten
- Konfiguration des Out-of-Band-Managements auf Firewalls der SRX-Serie
- Ethernet-Switching
- Layer-2-Switching-Ausnahmen auf Geräten der SRX-Serie
Transparenter Layer 2-Modus auf dem SrX5000 Line Module Port Concentrator
Der SRX5000 Module Port Concentrator (SRX5K-MPC) unterstützt den transparenten Layer-2-Modus und verarbeitet den Datenverkehr, wenn die Firewall der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist.
Wenn das SRX5K-MPC im Layer-2-Modus ausgeführt wird, können Sie alle Schnittstellen auf dem SRX5K-MPC als Layer-2-Switching-Ports konfigurieren, um Layer-2-Datenverkehr zu unterstützen.
Die Security Processing Unit (SPU) unterstützt alle Sicherheitsservices für Layer-2-Switching-Funktionen, und das MPC liefert die eingehenden Pakete an die SPU und leitet die ausgehenden Pakete, die von der SPU gekapselt werden, an die ausgehenden Schnittstellen weiter.
Wenn die Firewall der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist, können Sie die Schnittstellen auf dem MPC aktivieren, um im Layer-2-Modus zu arbeiten, indem Sie eine oder mehrere logische Einheiten auf einer physischen Schnittstelle mit dem Adresstyp der Familie als definierenEthernet switching. Später können Sie mit der Konfiguration von Layer 2-Sicherheitszonen und der Konfiguration von Sicherheitsrichtlinien im transparenten Modus fortfahren. Sobald dies erledigt ist, werden Next-Hop-Topologien eingerichtet, um eingehende und ausgehende Pakete zu verarbeiten.
Grundlegendes zu IPv6-Datenströmen im transparenten Modus auf Sicherheitsgeräten
Im transparenten Modus filtert die Firewall der SRX-Serie Pakete, die das Gerät passieren, ohne die Quell- oder Zielinformationen in den Paket-MAC-Headern zu ändern. Der transparente Modus ist nützlich für den Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen empfangen, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.
Ein Gerät arbeitet im transparenten Modus, wenn alle physischen Schnittstellen auf dem Gerät als Layer-2-Schnittstellen konfiguriert sind. Eine physische Schnittstelle ist eine Layer-2-Schnittstelle, wenn ihre logische Schnittstelle mit der ethernet-switching Option auf Hierarchieebene [edit interfaces interface-name unit unit-number family] konfiguriert ist. Es gibt keinen Befehl, um den transparenten Modus auf dem Gerät zu definieren oder zu aktivieren. Das Gerät arbeitet im transparenten Modus, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät arbeitet im Routenmodus (Standardmodus), wenn alle physischen Schnittstellen als Layer-3-Schnittstellen konfiguriert sind.
Standardmäßig werden IPv6-Datenströme auf Sicherheitsgeräten unterbrochen. Um die Verarbeitung nach Sicherheitsfunktionen wie Zonen, Bildschirmen und Firewall-Richtlinien zu ermöglichen, müssen Sie die ablaufbasierte Weiterleitung für IPv6-Datenverkehr mit der mode flow-based Konfigurationsoption auf [edit security forwarding-options family inet6] Hierarchieebene aktivieren. Sie müssen das Gerät neu starten, wenn Sie den Modus ändern.
Im transparenten Modus können Sie Layer-2-Zonen so konfigurieren, dass sie Layer-2-Schnittstellen hosten, und Sie können Sicherheitsrichtlinien zwischen Layer-2-Zonen definieren. Wenn Pakete zwischen Layer-2-Zonen reisen, können Sicherheitsrichtlinien auf diesen Paketen durchgesetzt werden. Die folgenden Sicherheitsfunktionen werden für IPv6-Datenverkehr im transparenten Modus unterstützt:
Layer 2-Sicherheitszonen und Sicherheitsrichtlinien. Siehe Grundlegendes zu Layer-2-Sicherheitszonen und Sicherheitsrichtlinien im transparenten Modus .
Firewall-Benutzerauthentifizierung. Siehe Grundlegendes zur Firewall-Benutzerauthentifizierung im transparenten Modus .
Gehäusecluster im transparenten Layer-2-Modus.
Class-of-Service-Funktionen . Siehe Übersicht über die Class of Service Functions im transparenten Modus.
Die folgenden Sicherheitsfunktionen werden für IPv6-Datenströme im transparenten Modus nicht unterstützt:
Logische Systeme
IPv6 GTPv2
J-Web-Schnittstelle
NAT
IPsec-VPN
Mit Ausnahme von DNS-, FTP- und TFTP-ALGs werden alle anderen ALGs nicht unterstützt.
Die Konfiguration von VLANs und logischen Layer 2-Schnittstellen für IPv6-Datenströme ist identisch mit der Konfiguration von VLANs und logischen Layer 2-Schnittstellen für IPv4-Datenströme. Optional können Sie eine integrierte Routing- und Bridging -Schnittstelle (IRB) für das Management des Datenverkehrs in einem VLAN konfigurieren. Die IRB-Schnittstelle ist die einzige Layer-3-Schnittstelle, die im transparenten Modus zugelassen ist. Die IRB-Schnittstelle der Firewall der SRX-Serie unterstützt weder die Weiterleitung des Datenverkehrs noch das Routing. Die IRB-Schnittstelle kann sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert werden. Sie können eine IPv6-Adresse für die IRB-Schnittstelle mit der address Konfigurationsaussage auf Hierarchieebene [edit interfaces irb unit number family inet6] zuweisen. Sie können eine IPv4-Adresse für die IRB-Schnittstelle mit der address Konfigurationsaussage aufedit interfaces irb unit number family inet [] Hierarchieebene zuweisen.
Die Ethernet-Switching-Funktionen der Firewalls der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Allerdings werden nicht alle Layer-2-Netzwerkfunktionen, die auf Routern der MX-Serie unterstützt werden, von den Firewalls der SRX-Serie unterstützt. Siehe Übersicht über Ethernet-Switching und layer 2 Transparent Mode.
Die Firewall der SRX-Serie verwaltet Weiterleitungstabellen, die MAC-Adressen und zugehörige Schnittstellen für jedes Layer-2-VLAN enthalten. Die IPv6-Datenstromverarbeitung ähnelt den IPv4-Datenströmen. Siehe Layer 2 Learning and Forwarding for VLANs – Übersicht.
Grundlegendes zu Layer-2-Gehäuseclustern im transparenten Modus auf Sicherheitsgeräten
Ein Paar Firewalls der SRX-Serie im transparenten Layer-2-Modus können in einem Chassis-Cluster verbunden werden, um eine Netzwerkknotenredundanz zu gewährleisten. Bei der Konfiguration in einem Chassis-Cluster fungiert ein Knoten als primäres Gerät und der andere als sekundäres Gerät, um ein zustandsbehaftetes Failover von Prozessen und Services im Falle eines System- oder Hardwareausfalls zu gewährleisten. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs.
Wenn das primäre Gerät in einem Gehäusecluster im transparenten Layer 2-Modus ausfällt, werden die physischen Ports im ausgefallenen Gerät für einige Sekunden inaktiv (heruntergefahren), bevor sie wieder aktiviert werden (wieder hochkommen).
Um einen Chassis-Cluster zu bilden, fungieren ein Paar derselben Art unterstützter Firewalls der SRX-Serie als ein einziges System, das dieselbe allgemeine Sicherheit durchsetzt.
Geräte im transparenten Layer-2-Modus können in Aktiv/Backup- und Aktiv/Aktiv-Chassis-Cluster-Konfigurationen bereitgestellt werden.
Die folgenden Gehäuse-Cluster-Funktionen werden für Geräte im transparenten Layer-2-Modus nicht unterstützt:
Unentgeltliches ARP: Der neu gewählte Primärer in einer Redundanzgruppe kann keine unentgeltlichen ARP-Anfragen senden, um Netzwerkgeräte über eine Änderung der primären Rolle an den redundanten Ethernet-Schnittstellenverbindungen zu benachrichtigen.
IP-Adressüberwachung: Ein Ausfall eines Upstream-Geräts kann nicht erkannt werden.
Eine Redundanzgruppe ist ein Konstrukt, das eine Sammlung von Objekten auf beiden Knoten enthält. Eine Redundanzgruppe ist primär auf einem Knoten und ein Backup auf dem anderen. Wenn eine Redundanzgruppe primär auf einem Knoten ist, sind ihre Objekte auf diesem Knoten aktiv. Wenn eine Redundanzgruppe fehlschlägt, schlagen alle ihre Objekte zusammen fehl.
Sie können eine oder mehrere Redundanzgruppen mit den Nummern 1 bis 128 für eine Aktiv/Aktiv-Chassis-Cluster-Konfiguration erstellen. Jede Redundanzgruppe enthält eine oder mehrere redundante Ethernet-Schnittstellen. Eine redundante Ethernet-Schnittstelle ist eine Pseudoschnittstelle, die physische Schnittstellen von jedem Knoten des Clusters enthält. Die physischen Schnittstellen in einer redundanten Ethernet-Schnittstelle müssen dieselbe Art sein – entweder Fast Ethernet oder Gigabit Ethernet. Wenn auf Knoten 0 eine Redundanzgruppe aktiv ist, sind die untergeordneten Verbindungen aller zugehörigen redundanten Ethernet-Schnittstellen auf Knoten 0 aktiv. Wenn die Redundanzgruppe nicht zum Knoten 1 übergeht, werden die untergeordneten Verbindungen aller redundanten Ethernet-Schnittstellen auf Knoten 1 aktiv.
In der Aktiv/Aktiv-Chassis-Clusterkonfiguration entspricht die maximale Anzahl von Redundanzgruppen der Anzahl redundanter Ethernet-Schnittstellen, die Sie konfigurieren. In der Aktiv-/Backup-Chassis-Clusterkonfiguration werden maximal zwei Redundanzgruppen unterstützt.
Die Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im transparenten Layer-2-Modus ähnelt der Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im Layer-3-Routenmodus, mit dem folgenden Unterschied: die redundante Ethernet-Schnittstelle auf einem Gerät im transparenten Layer-2-Modus ist als logische Layer 2-Schnittstelle konfiguriert.
Die redundante Ethernet-Schnittstelle kann entweder als Zugangsschnittstelle (mit einer einzigen VLAN-ID, die nicht mit Tags auf der Schnittstelle empfangenen Paketen zugewiesen wird) oder als Trunk-Schnittstelle (mit einer Liste von VLAN-IDs, die auf der Schnittstelle akzeptiert wird, und optional als native vlan-id für nicht getaggte Pakete, die auf der Schnittstelle empfangen werden) konfiguriert werden. Physische Schnittstellen (eine von jedem Knoten im Chassis-Cluster) sind als untergeordnete Schnittstellen an die redundante übergeordnete Ethernet-Schnittstelle gebunden.
Im transparenten Layer 2-Modus basiert das MAC-Lernen auf der redundanten Ethernet-Schnittstelle. Die MAC-Tabelle wird über redundante Ethernet-Schnittstellen und Services Processing Units (SPUs) zwischen dem Paar von Gehäuse-Cluster-Geräten synchronisiert.
Die IRB-Schnittstelle wird nur für den Management-Datenverkehr verwendet und kann keiner redundanten Ethernet-Schnittstelle oder Redundanzgruppe zugewiesen werden.
Alle Junos OS-Bildschirmoptionen, die für ein einzelnes, nicht geclustertes Gerät verfügbar sind, sind für Geräte in Layer-2-Gehäuseclustern im transparenten Modus verfügbar.
Spanning Tree Protocols (STPs) werden für den transparenten Layer 2-Modus nicht unterstützt. Sie müssen sicherstellen, dass in der Bereitstellungstopologie keine Schleifenverbindungen vorhanden sind.
Konfiguration des Out-of-Band-Managements auf Firewalls der SRX-Serie
Sie können die fxp0 Out-of-Band-Managementschnittstelle auf der Firewall der SRX-Serie als Layer-3-Schnittstelle konfigurieren, auch wenn Layer-2-Schnittstellen auf dem Gerät definiert sind. Mit Ausnahme der fxp0 Schnittstelle können Sie Layer-2- und Layer-3-Schnittstellen auf den Netzwerk-Ports des Geräts definieren.
Auf den Geräten SRX300, SRX320 und SRX550M gibt es keine Out-of-Band-Managementschnittstelle für fxp0. (Die Plattformunterstützung hängt von der Version des Junos OS in Ihrer Installation ab.)
Ethernet-Switching
Ethernet-Switching leitet die Ethernet-Frames innerhalb oder über das LAN-Segment (oder VLAN) über die Ethernet-MAC-Adressinformationen weiter. Das Ethernet-Switching auf dem SRX1500-Gerät erfolgt in der Hardware mit ASICs.
Ab Junos OS Version 15.1X49-D40 wechseln Sie mit dem set protocols l2-learning global-mode(transparent-bridge | switching) Befehl zwischen dem transparenten Layer 2-Bridge-Modus und dem Ethernet-Switching-Modus. Nach dem Wechseln des Modus müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. Tabelle 2 beschreibt den globalen Standardmodus für Layer 2 auf Firewalls der SRX-Serie.
Junos OS-Version |
Plattformen |
Standardmäßiger globaler Layer 2-Modus |
Details |
|---|---|---|---|
Vor Junos OS-Version 15.1X49-D50 und Junos OS Version 17.3R1 ab |
SRX300, SRX320, SRX340 und SRX345 |
Switching-Modus |
Keine |
Junos OS-Version 15.1X49-D50 auf Junos OS Version 15.1X49-D90 |
SRX300, SRX320, SRX340 und SRX345 |
Switching-Modus |
Wenn Sie den globalen Layer 2-Modus auf einem Gerät löschen, befindet sich das Gerät im transparenten Bridge-Modus. |
Junos OS-Version 15.1X49-D100 ab |
SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M |
Switching-Modus |
Wenn Sie den globalen Layer 2-Modus auf einem Gerät löschen, befindet sich das Gerät im Switching-Modus. Konfigurieren Sie den |
Junos OS-Version 15.1X49-D50 ab |
SRX1500 |
Transparenter Bridge-Modus |
Keine |
Das layer 2-Protokoll, das im Switching-Modus unterstützt wird, ist das Link Aggregation Control Protocol (LACP).
Sie können den transparenten Layer-2-Modus auf einer redundanten Ethernet-Schnittstelle konfigurieren. Verwenden Sie die folgenden Befehle, um eine redundante Ethernet-Schnittstelle zu definieren:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Layer-2-Switching-Ausnahmen auf Geräten der SRX-Serie
Die Switching-Funktionen der Firewalls der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Die folgenden Layer-2-Netzwerkfunktionen auf Routern der MX-Serie werden von Firewalls der SRX-Serie jedoch nicht unterstützt:
Layer 2-Steuerungsprotokolle: Diese Protokolle werden auf Routern der MX-Serie für Rapid Spanning Tree Protocol (RSTP) oder Multiple Spanning Tree Protocol (MSTP) in Kunden-Edge-Schnittstellen einer VPLS-Routing-Instanz verwendet.
Virtuelle Switch-Routing-Instanz: Die virtuelle Switching-Routing-Instanz wird auf Routern der MX-Serie verwendet, um ein oder mehrere VLANs zu gruppieren.
Routing-Instanz für virtuelle private LAN-Services (VPLS): Die VPLS-Routing-Instanz wird auf Routern der MX-Serie für Point-to-Multipoint-LAN-Implementierungen zwischen einer Reihe von Standorten in einem VPN verwendet.
Siehe auch
Unicast verstehen
Unicasting ist der Akt des Sendens von Daten von einem Knoten des Netzwerks an einen anderen. Im Gegensatz dazu senden Multicast-Übertragungen Datenverkehr von einem Datenknoten zu mehreren anderen Datenknoten.
Unbekannter Unicast-Datenverkehr besteht aus Unicast-Frames mit unbekannten ZIEL-MAC-Adressen. Standardmäßig überflutet der Switch diese Unicast-Frames, die in einem VLAN übertragen werden, an alle Schnittstellen, die Mitglieder des VLANs sind. Die Weiterleitung dieser Art von Datenverkehr an Schnittstellen auf dem Switch kann ein Sicherheitsproblem auslösen. Das LAN wird plötzlich mit Paketen überflutet, was zu unnötigem Datenverkehr führt, der zu einer schlechten Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkdienstes führt. Dies wird als Datenverkehrssturm bezeichnet.
Um einen Sturm zu verhindern, können Sie das Überfluten unbekannter Unicast-Pakete auf alle Schnittstellen deaktivieren, indem Sie ein VLAN oder alle VLANs konfigurieren, um unbekannten Unicast-Datenverkehr an eine bestimmte Trunk-Schnittstelle weiterzuleiten. (Dadurch wird der unbekannte Unicast-Datenverkehr über eine einzige Schnittstelle kanalt.)
Siehe auch
Grundlegendes zur Layer-2-Übertragung auf Switches
In einem Layer-2-Netzwerk bezieht sich Broadcasting auf das Senden von Datenverkehr an alle Knoten in einem Netzwerk.
Layer-2-Broadcast-Datenverkehr bleibt innerhalb einer LAN-Grenze (Local Area Network); die als Broadcast-Domain bekannt ist. Der Layer-2-Broadcast-Datenverkehr wird über eine MAC-Adresse von FF:FF:FF:FF:FF:FF:FF an die Broadcast-Domain gesendet. Jedes Gerät in der Broadcast-Domäne erkennt diese MAC-Adresse und leitet den Broadcast-Datenverkehr gegebenenfalls an andere Geräte in der Broadcast-Domäne weiter. Broadcasting kann mit Unicasting (Senden von Datenverkehr an einen einzelnen Knoten) oder Multicasting (gleichzeitige Übertragung des Datenverkehrs an eine Gruppe von Knoten) verglichen werden.
Der Layer-3-Broadcast-Datenverkehr wird jedoch über eine Broadcast-Netzwerkadresse an alle Geräte in einem Netzwerk gesendet. Wenn Ihre Netzwerkadresse z. B. 10.0.0.0 ist, lautet die Broadcast-Netzwerkadresse 10.255.255.255.255. In diesem Fall erhalten nur Geräte, die zum 10.0.0.0-Netzwerk gehören, den Layer-3-Broadcast-Datenverkehr. Geräte, die nicht zu diesem Netzwerk gehören, legen den Datenverkehr ab.
Rundfunk wird in den folgenden Situationen verwendet:
Address Resolution Protocol (ARP) verwendet Broadcasting, um MAC-Adressen IP-Adressen zuzuordnen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Bevor IP-Unicast-Pakete gesendet werden können, erkennt ARP die MAC-Adresse, die von der Ethernet-Schnittstelle verwendet wird, wo die IP-Adresse konfiguriert ist.
Dynamic Host Configuration Protocol (DHCP) verwendet Broadcasting, um Hosts in einem Netzwerksegment oder Subnetz dynamisch IP-Adressen zuzuweisen.
Routing-Protokolle verwenden Broadcasting, um Routen anzukündigen.
Übermäßiger Broadcast-Datenverkehr kann manchmal einen Broadcast-Sturm verursachen. Ein Broadcast-Sturm tritt auf, wenn Nachrichten in einem Netzwerk gesendet werden und jede Nachricht einen empfangenden Knoten dazu auffordern wird, seine eigenen Nachrichten im Netzwerk zu senden. Dies wiederum führt zu weiteren Reaktionen, die einen Schneeballeffekt erzeugen. Das LAN wird plötzlich mit Paketen überflutet, was zu unnötigem Datenverkehr führt, der zu einer schlechten Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkdienstes führt.
Siehe auch
Verwendung der erweiterten Layer 2-Software-CLI
Enhanced Layer 2 Software (ELS) bietet eine einheitliche CLI zur Konfiguration und Überwachung von Layer 2-Funktionen auf Switches der QFX-Serie, Switches der EX-Serie und anderen Geräten von Juniper Networks wie Routern der MX-Serie. Mit ELS konfigurieren Sie Layer-2-Funktionen auf allen Geräten von Juniper Networks auf dieselbe Weise.
In diesem Thema erfahren Sie, ob auf Ihrer Plattform ELS ausgeführt wird. Außerdem wird erläutert, wie einige gängige Aufgaben mit dem ELS-Konfigurationsstil ausgeführt werden.
- Verstehen, welche Geräte ELS unterstützen
- So konfigurieren Sie Layer 2-Funktionen mit ELS
- Grundlegendes zu ELS-Konfigurationsaussagen und -Befehlsänderungen
Verstehen, welche Geräte ELS unterstützen
ELS wird automatisch unterstützt, wenn auf Ihrem Gerät eine Junos OS-Version ausgeführt wird, die dies unterstützt. Sie müssen keine Maßnahmen ergreifen, um ELS zu aktivieren, und Sie können ELS nicht deaktivieren. Im Feature-Explorer finden Sie Informationen dazu, welche Plattformen und Versionen ELS unterstützen.
So konfigurieren Sie Layer 2-Funktionen mit ELS
Da ELS eine einheitliche CLI bereitstellt, können Sie jetzt die folgenden Aufgaben auf unterstützten Geräten auf dieselbe Weise ausführen:
- Konfigurieren eines VLANs
- Konfigurieren der nativen VLAN-Kennung
- Konfigurieren von Layer-2-Schnittstellen
- Konfigurieren von Layer-3-Schnittstellen
- Konfigurieren einer IRB-Schnittstelle
- Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfiguration von LACP auf dieser Schnittstelle
Konfigurieren eines VLANs
Sie können ein oder mehrere VLANs konfigurieren, um Layer-2-Bridging durchzuführen. Die Layer-2-Bridging-Funktionen umfassen integriertes Routing und Bridging (IRB) zur Unterstützung für Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle. Switches der EX- und QFX-Serie können als Layer-2-Switches mit jeweils mehreren Bridging- oder Broadcast-Domänen fungieren, die am selben Layer-2-Netzwerk teilnehmen. Sie können auch layer 3-Routing-Unterstützung für ein VLAN konfigurieren.
So konfigurieren Sie ein VLAN:
Konfigurieren der nativen VLAN-Kennung
Die Switches der EX- und QFX-Serie unterstützen den Empfang und die Weiterleitung von Routing- oder Bridged-Ethernet-Frames mit 802.1Q-VLAN-Tags. In der Regel akzeptieren Trunk-Ports, die Switches miteinander verbinden, nicht getaggte Steuerungspakete, aber keine nicht getaggten Datenpakete. Sie können einen Trunk-Port aktivieren, um nicht getaggte Datenpakete zu akzeptieren, indem Sie eine native VLAN-ID auf der Schnittstelle konfigurieren, auf der die nicht getaggten Datenpakete empfangen werden sollen.
So konfigurieren Sie die native VLAN-ID:
Konfigurieren von Layer-2-Schnittstellen
Um sicherzustellen, dass Ihr netzwerk mit hohem Datenverkehr auf eine optimale Leistung abgestimmt ist, konfigurieren Sie explizit einige Einstellungen an den Netzwerkschnittstellen des Switches.
So konfigurieren Sie eine Gigabit-Ethernet- oder 10-Gigabit-Ethernet-Schnittstelle als trunk Schnittstelle:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
So konfigurieren Sie eine Gigabit-Ethernet- oder 10-Gigabit-Ethernet-Schnittstelle als access Schnittstelle:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
So weisen Sie VLAN eine Schnittstelle zu:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Konfigurieren von Layer-3-Schnittstellen
Um eine Layer-3-Schnittstelle zu konfigurieren, müssen Sie der Schnittstelle eine IP-Adresse zuweisen. Sie weisen einer Schnittstelle eine Adresse zu, indem Sie die Adresse angeben, wenn Sie die Protokollfamilie konfigurieren. Konfigurieren Sie für die inet Oder-Familie inet6 die IP-Adresse der Schnittstelle.
Sie können Schnittstellen mit einer 32-Bit-IP-Version 4 (IPv4)-Adresse und optional mit einem Zielpräfix konfigurieren, das manchmal auch als Subnetzmaske bezeichnet wird. Eine IPv4-Adresse verwendet eine 4-Oktett punktierte Dezimaladressensyntax (z. B. 192.168.1.1). Eine IPv4-Adresse mit Zielpräfix verwendet eine 4-Oktett punktierte Dezimal-Adresssyntax mit einem Zielpräfix (z. B. 192.168.1.1/16).
So geben Sie eine IP4-Adresse für die logische Einheit an:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Sie stellen IP-Version 6 (IPv6)-Adressen in hexadezimaler Schreibweise dar, indem Sie eine durch Doppelpunkt getrennte Liste von 16-Bit-Werten verwenden. Sie weisen einer Schnittstelle eine 128-Bit-IPv6-Adresse zu.
So geben Sie eine IP6-Adresse für die logische Einheit an:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Konfigurieren einer IRB-Schnittstelle
Integriertes Routing und Bridging (IRB) unterstützt Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle. Mit IRB können Sie Pakete an eine andere geroutete Schnittstelle oder an ein anderes VLAN weiterleiten, das über ein Layer-3-Protokoll konfiguriert ist. IRB-Schnittstellen ermöglichen es dem Gerät, Pakete zu erkennen, die an lokale Adressen gesendet werden, sodass sie nach Möglichkeit überbrückt (switcht) und nur bei Bedarf geroutet werden. Immer wenn Pakete switcht statt geroutet werden können, entfallen mehrere Verarbeitungsschichten. Eine Schnittstelle namens irb fungiert als logischer Router, auf dem Sie eine logische Layer 3-Schnittstelle für VLAN konfigurieren können. Zur Redundanz können Sie eine IRB-Schnittstelle mit Implementierungen des Virtual Router Redundancy Protocol (VRRP) in Bridging- und VPLS-Umgebungen (Virtual Private LAN Service) kombinieren.
So konfigurieren Sie eine IRB-Schnittstelle:
Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfiguration von LACP auf dieser Schnittstelle
Verwenden Sie die Link-Aggregationsfunktion, um einen oder mehrere Links zu einem virtuellen Link oder einer Link Aggregation Group (LAG) zu aggregieren. Der MAC-Client kann diese virtuelle Verbindung wie eine einzige Verbindung behandeln, um die Bandbreite zu erhöhen, bei Einem Ausfall eine graceful-Verschlechterung bereitzustellen und die Verfügbarkeit zu erhöhen.
So konfigurieren Sie eine aggregierte Ethernet-Schnittstelle:
Für aggregierte Ethernet-Schnittstellen auf dem Gerät können Sie das Link Aggregation Control Protocol (LACP) konfigurieren. LACP bündelt mehrere physische Schnittstellen zu einer logischen Schnittstelle. Sie können aggregiertes Ethernet mit oder ohne LACP-aktiviert konfigurieren.
Wenn LACP aktiviert ist, tauschen die lokalen und Remote-Seiten der aggregierten Ethernet-Verbindungen Protokolldateneinheiten (PDUs) aus, die Informationen über den Zustand der Verbindung enthalten. Sie können Ethernet-Verbindungen so konfigurieren, dass sie PDUs aktiv übertragen, oder Sie können die Links so konfigurieren, dass sie passiv übertragen werden und LACP-PDUs nur dann senden, wenn sie sie von einem anderen Link erhalten. Eine Seite der Verbindung muss als aktiv konfiguriert sein, damit die Verbindung eingerichtet werden kann.
So konfigurieren Sie LACP:
Aktivieren Sie eine Seite der aggregierten Ethernet-Verbindung als aktiv:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Geben Sie das Intervall an, in dem die Schnittstellen LACP-Pakete senden:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Grundlegendes zu ELS-Konfigurationsaussagen und -Befehlsänderungen
ELS wurde in Junos OS Version 12.3R2 für EX9200-Switches eingeführt. ELS ändert die CLI für einige der Layer-2-Funktionen auf unterstützten Switches der EX- und QFX-Serie.
In den folgenden Abschnitten finden Sie eine Liste der vorhandenen Befehle, die im Rahmen dieser Bemühungen zur Cli-Verbesserung in neue Hierarchieebenen verschoben oder auf Switches der EX-Serie geändert wurden. Diese Abschnitte werden nur als allgemeine Referenz bereitgestellt. Ausführliche Informationen zu diesen Befehlen finden Sie über die Links zu den bereitgestellten Konfigurationsanweisungen oder in der technischen Dokumentation.
- Änderungen an der Hierarchieebene für Ethernet-Switching-Optionen
- Änderungen an der Portspiegelungshierarchieebene
- Änderungen an der Hierarchieebene des Control Protocol auf Layer 2
- Änderungen an der Dot1q-Tunneling-Anweisung
- Änderungen am L2 Learning Protocol
- Änderungen zu Nonstop Bridging
- Änderungen an Portsicherheit und DHCP-Snooping
- Änderungen an der Konfiguration von VLANs
- Änderungen an Storm Control Profilen
- Änderungen an der Schnittstellenhierarchie
- Änderungen am IGMP-Snooping
Änderungen an der Hierarchieebene für Ethernet-Switching-Optionen
In diesem Abschnitt werden die Änderungen an der ethernet-switching-options Hierarchieebene beschrieben.
Die ethernet-switching-options Hierarchieebene wurde in switch-options.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Die Anweisungen wurden aus der |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Die Anweisungen wurden aus der |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
HINWEIS:
Die interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Änderungen an der Portspiegelungshierarchieebene
Anweisungen wurden von der ethernet-switching-options Hierarchieebene auf die forwarding-options Hierarchieebene verschoben.
Änderungen an der Hierarchieebene des Control Protocol auf Layer 2
Die Layer 2-Steuerungsprotokollanweisungen sind von der ethernet-switching-options Hierarchie in die protocols Hierarchie verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Änderungen an der Dot1q-Tunneling-Anweisung
Die dot1q-tunneling Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Änderungen am L2 Learning Protocol
Die mac-table-aging-time Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Änderungen zu Nonstop Bridging
Die nonstop-bridging Anweisung wurde auf eine andere Hierarchieebene verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Änderungen an Portsicherheit und DHCP-Snooping
Portsicherheit und DHCP-Snooping-Anweisungen wurden in unterschiedliche Hierarchieebenen verlagert.
Die Anweisung examine-dhcp ist in der geänderten Hierarchie nicht vorhanden. DHCP-Snooping wird jetzt automatisch aktiviert, wenn andere DHCP-Sicherheitsfunktionen in einem VLAN aktiviert sind. Weitere Informationen finden Sie unter Konfigurieren von Portsicherheit (ELS).
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Bei zulässiger Mac-Konfiguration wird die ursprüngliche Hierarchie-Anweisung set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 durch den ELS-Befehl ersetzt. set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
DHCP-Snooping-Anweisungen wurden auf eine andere Hierarchieebene verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Änderungen an der Konfiguration von VLANs
Die Anweisungen für die Konfiguration von VLANs wurden auf eine andere Hierarchieebene verschoben.
Ab Junos OS-Version 14.1X53-D10 für EX4300- und EX4600-Switches xkönnen Sie stP auf einigen oder allen schnittstellen aktivieren, die in einem VLAN enthalten sind. Wenn Sie beispielsweise VLAN 100 so konfigurieren, dass es Schnittstellen ge-0/0/0, ge-0/0/1 und ge-0/0/2 umfasst, und Sie MSTP auf den Schnittstellen ge-0/0/0 und ge-0/0/2 aktivieren möchten, können Sie die Befehle und set protocols mstp interface ge-0/0/2 die set protocols mstp interface ge-0/0/0 Befehle angeben. In diesem Beispiel haben Sie MSTP nicht explizit auf Schnittstelle ge-0/0/1 aktiviert; daher ist MSTP auf dieser Schnittstelle nicht aktiviert.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
HINWEIS:
Die Anweisung wird durch eine neue Anweisung ersetzt und wurde auf eine andere Hierarchieebene verschoben. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Diese Aussagen wurden entfernt. Über die |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Aussagen wurden entfernt. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
HINWEIS:
Die Syntax wurde geändert. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
Anweisung wird entfernt. Eingehender Datenverkehr wird automatisch verfolgt. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
Anweisung wird entfernt. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
Die Anweisung wurde in eine andere Hierarchie verschoben. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
Die Anweisung wurde entfernt. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
Anweisung wird entfernt. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
HINWEIS:
Statement wurde durch eine neue Anweisung ersetzt. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
HINWEIS:
Die Syntax wurde geändert. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Für interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Für protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Änderungen an Storm Control Profilen
Storm Control wird in zwei Schritten konfiguriert. Der erste Schritt besteht darin, ein Storm Control-Profil auf Hierarchieebene [edit forwarding-options] zu erstellen, und der zweite Schritt besteht darin, das Profil an eine logische Schnittstelle auf Hierarchieebene [edit interfaces] zu binden. Siehe Beispiel: Konfigurieren von Storm Control zur Vermeidung von Netzwerkausfällen auf Switches der EX-Serie für das geänderte Verfahren.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Änderungen an der Schnittstellenhierarchie
Anweisungen wurden in eine andere Hierarchie verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
HINWEIS:
Statement wurde durch eine neue Anweisung ersetzt. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
HINWEIS:
Statement wurde durch eine neue Anweisung ersetzt. interfaces irb |
Änderungen am IGMP-Snooping
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Erweiterte Layer 2-CLI-Konfigurationsaussage und -Befehlsänderungen für Sicherheitsgeräte
Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 werden einige Layer-2-CLI-Konfigurationsanweisungen erweitert und einige Befehle geändert. Tabelle 18 und Tabelle 19 Stellen Sie Listen mit vorhandenen Befehlen bereit, die im Rahmen dieser Bemühungen zur CLI-Verbesserung in neue Hierarchien verschoben oder auf Firewalls der SRX-Serie geändert wurden. Die Tabellen werden nur als Referenz auf hoher Ebene bereitgestellt. Ausführliche Informationen zu diesen Befehlen finden Sie unter CLI-Explorer.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
Hierarchieebene |
Beschreibung ändern |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[Bearbeiten] |
Hierarchie umbenannt. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[Vlans vlans-namebearbeiten ] |
Anweisung umbenannt. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[Vlans vlans-namebearbeiten ] |
Anweisung umbenannt. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[Sicherheitsfluss bearbeiten] |
Anweisung umbenannt. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[Schnittstellen interface-name bearbeiten ] Einheit unit-number |
Hierarchie umbenannt. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[Vlans vlans-namebearbeiten ] |
Anweisung umbenannt. |
Ursprüngliches Betriebskommando |
Geändertes Betriebskommando |
|---|---|
Clear Bridge Mac-Tabelle |
übersichtliche Ethernet-Switching-Tabelle |
Clear Bridge Mac-Tabelle persistentes Lernen |
Clear Ethernet-Switching-Tabelle Persistent-Learning |
Bridge-Domain anzeigen |
Vlans anzeigen |
Bridge Mac-Tabelle anzeigen |
Ethernet-Switching-Tabelle anzeigen |
L2-Learning-Schnittstelle anzeigen |
Ethernet-Switching-Schnittstelle anzeigen |
Auf den Geräten SRX300, SRX320 und SRX500HM gibt es keine Fxp0-Out-of-Band-Managementschnittstelle. (Die Plattformunterstützung hängt von der Version des Junos OS in Ihrer Installation ab.)
Siehe auch
Layer 2-Modus der nächsten Generation für die ACX-Serie
Der Layer-2-Modus der nächsten Generation, auch als Enhanced Layer 2 Software (ELS) bezeichnet, wird auf den Routern ACX5048, ACX5096 und ACX5448 zur Konfiguration von Layer 2-Funktionen unterstützt. Die Layer-2-CLI-Konfigurationen und show-Befehle für ACX5048-, ACX5096-, ACX5448- und ACX710-Router unterscheiden sich von denen für andere Router der ACX-Serie (ACX1000, ACX1100, ACX2100, ACX2200 und ACX4000) und Router der MX-Serie.
Tabelle 20 zeigt die Unterschiede in der CLI-Hierarchie für die Konfiguration von Layer-2-Funktionen im Layer 2-Modus der nächsten Generation.
Funktion |
Router der Serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX |
Router ACX5048, ACX5096, ACX5448 und ACX710 |
|---|---|---|
Bridge-Domain |
[ |
[ |
Familie |
[ |
[ |
Layer 2-Optionen |
[ |
[ |
Ethernet-Optionen |
[ |
[ |
Integriertes Routing und Bridging (IRB) |
[ |
|
Sturmkontrolle |
[ |
[ [ |
Internet Group Management Protocol (IGMP)-Snooping |
[ |
[ |
Firewall-Filter der Familie |
[ |
[ |
Tabelle 21 zeigt die Unterschiede in show den Befehlen für Layer 2-Funktionen im Layer 2-Modus der nächsten Generation.
Funktion |
Router der Serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX |
Router ACX5048, ACX5096, ACX5448 und ACX710 |
|---|---|---|
VLAN |
|
|
MAC-Tabelle |
|
|
MAC-Tabellenoptionen |
|
|
Switch-Portauflistung mit VLAN-Zuweisungen |
|
|
Kernel-Zustand der Flush-Datenbank |
|
|
Siehe auch
set protocols l2-learning global-mode(transparent-bridge | switching) Befehl zwischen dem transparenten Layer 2-Bridge-Modus und dem Ethernet-Switching-Modus.