Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Layer 2-Netzwerke

Überblick über Layer 2-Netzwerke

Layer 2 wird auch als "Daten-Link-Layer" bezeichnet und ist die zweite Ebene im siebenschichtigen OSI-Referenzmodell für das Netzwerkprotokolldesign. Layer 2 entspricht der Link Layer (der geringsten Schicht) im TCP/IP-Netzwerkmodell. Layer 2 ist die Netzwerkschicht, die für den Datentransfer zwischen benachbarten Netzwerkknoten in einem Wide Area Network oder zwischen Knoten im selben Local Area Network verwendet wird.

Ein Frame ist eine Protokolldateneinheit, die kleinste Bits-Einheit in einem Layer-2-Netzwerk. Frames werden an Geräte im selben local Area Network (LAN) übertragen und empfangen. Unilke-Bits, Frames haben eine definierte Struktur und können für die Fehlererkennung, Steuerungsebenenaktivitäten usw. verwendet werden. Nicht alle Frames tragen Benutzerdaten. Das Netzwerk verwendet einige Frames, um die Datenverbindung selbst zu steuern.

Auf Ebene 2 bedeutet Unicast das Senden von Frames von einem Knoten an einen einzelnen Knoten, während Multicast das Senden von Datenverkehr von einem Knoten an mehrere Knoten und das Broadcasting die Übertragung von Frames an alle Knoten in einem Netzwerk bezeichnet. Eine Broadcast-Domäne ist eine logische Trennung eines Netzwerks, in der alle Knoten dieses Netzwerks auf Layer 2 durch einen Broadcast erreicht werden können.

LAN-Segmente können über Bridges auf Frame-Ebene verknüpft werden. Bridging erstellt separate Broadcast-Domänen im LAN und erstellt VLANs, bei denen es sich um unabhängige logische Netzwerke handelt, die verwandte Geräte zu separaten Netzwerksegmenten gruppieren. Die Gruppierung der Geräte in einem VLAN ist unabhängig davon, wo sich die Geräte physisch im LAN befinden. Ohne Bridging und VLANs befinden sich alle Geräte im Ethernet-LAN in einer einzigen Broadcast-Domäne, und alle Geräte erkennen alle Pakete im LAN.

Weiterleitung ist das Relay von Paketen von einem Netzwerksegment zu einem anderen durch Knoten im Netzwerk. In einem VLAN wird ein Frame, dessen Ursprung und Ziel im selben VLAN sind, nur innerhalb des lokalen VLANs weitergeleitet. Ein Netzwerksegment ist ein Teil eines Computernetzwerks, in dem jedes Gerät über dieselbe physische Schicht kommuniziert.

Layer 2 enthält zwei Sublayer:

  • Logical Link Control (LLC)-Sublayer, das für die Verwaltung von Kommunikationsverbindungen und die Verarbeitung des Frame-Datenverkehrs verantwortlich ist.

  • MAC-Sublayer (Media Access Control), das den Protokollzugriff auf das physische Netzwerk-Medium regelt. Durch die Verwendung der MAC-Adressen, die allen Ports auf einem Switch zugewiesen sind, können mehrere Geräte auf der gleichen physischen Verbindung sich eindeutig identifizieren.

    Die Ports bzw. Schnittstellen auf einem Switch werden entweder im Zugriffsmodus, tagged-Access oder im Trunk-Modus betrieben:

    • Zugriffsports stellen eine Verbindung zu einem Netzwerkgerät wie einem Desktopcomputer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera fest. Der Port selbst gehört zu einem einzelnen VLAN. Bei den über eine Zugriffsschnittstelle übertragenen Frames handelt es sich um normale Ethernet-Frames. Standardmäßig sind alle Ports auf einem Switch im Zugriffsmodus.

    • Anschlüsse mit Tagged Access-Modus stellen eine Verbindung zu einem Netzwerkgerät wie einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera fest. Der Port selbst gehört zu einem einzelnen VLAN. Bei den über eine Zugriffsschnittstelle übertragenen Frames handelt es sich um normale Ethernet-Frames. Standardmäßig sind alle Ports auf einem Switch im Zugriffsmodus. Der Tagged Access-Modus unterstützt Cloud-Computing, insbesondere Szenarien wie virtuelle Maschinen oder virtuelle Computer. Da auf einem physischen Server mehrere virtuelle Computer eingeschlossen sein können, können die von einem Server generierten Pakete eine Aggregation von VLAN-Paketen von verschiedenen virtuellen Maschinen auf diesem Server enthalten. In dieser Situation überspiegelt der Tagged-Access-Modus Pakete zurück an den physischen Server am selben Downstream-Port, als die Zieladresse des Pakets auf diesem Downstream-Port gelernt wurde. Pakete werden auch auf dem physischen Server am Downstream-Port angezeigt, wenn das Ziel noch nicht gelernt wurde. Der 3. Schnittstellenmodus, der als "Tagged Access" gekennzeichnet ist, hat einige Merkmale des Zugriffsmodus und einige Merkmale des Trunkmodus:

    • Trunkmodus-Ports verarbeiten Datenverkehr für mehrere VLANs und multiplexieren den Datenverkehr für alle VLANs über die gleiche physische Verbindung. Bündelschnittstellen werden in der Regel zur Verbindung von Switches mit anderen Geräten oder Switches verwendet.

      Mit in nativem VLAN konfigurierten Frames, die keine VLAN-Tags enthalten, werden über die Trunkschnittstelle gesendet. Wenn es eine Situation gibt, in der Pakete von einem Gerät zu einem Switch im Zugriffsmodus gesendet werden, und Sie diese Pakete dann über einen Trunk-Port über den Switch senden möchten, verwenden Sie den nativen VLAN-Modus. Konfigurieren Sie das einzelne VLAN auf dem Switch-Port (der sich im Zugriffsmodus befindet) als natives VLAN. Der Trunkport des Switch behandelt diese Frames dann anders als die anderen Tagged-Pakete. Wenn beispielsweise ein Trunkport drei VLANs, 10, 20 und 30 hat, die ihm mit VLAN 10 als nativem VLAN zugewiesen werden, haben Frames auf VLAN 10, die den Trunkport am anderen Ende verlassen, keinen 802.1Q-Header (Tag). Es gibt eine weitere native VLAN-Option. Sie können den Switch hinzufügen und entfernen, um Tags für nicht tagsgeeigte Pakete hinzuzufügen und zu entfernen. Zu diesem Ziel konfigurieren Sie zunächst ein VLAN als natives VLAN für einen Port, der an ein Gerät am Edge angeschlossen ist. Weisen Sie dann dem einzelnen nativen VLAN an dem Port, der mit einem Gerät verbunden ist, ein VLAN-ID-Tag zu. Fügen Sie schließlich die VLAN-ID zum Trunkport hinzu. Wenn der Switch nun das nicht gekennzeichnete Paket empfängt, fügt er die von Ihnen angegebene ID hinzu und sendet und empfängt die tagged Pakete an dem Trunk-Port, der konfiguriert ist, um dieses VLAN zu akzeptieren.

Einschließlich der Sublayer unterstützt Layer 2 der QFX-Serie folgende Funktionen:

  • Unicast-, Multicast- und Broadcast-Datenverkehr.

  • Überbrückung.

  • VLAN 802.1Q: Dieses Protokoll, das auch VLAN-Tagginggenannt wird, ermöglicht es mehreren Überbrückungsnetzwerken, dieselbe physische Netzwerkverbindung transparent zu teilen, indem EINEM Ethernet-Frame VLAN-Tags hinzugefügt werden.

  • Die Erweiterung von Layer-2-VLANs auf mehrere Switches mit Spanning Tree Protocol (STP) verhindert Schleifen im Netzwerk.

  • MAC-Learning,einschließlich MAC-Learning pro VLAN und Layer-2-Learning-Unterdrückung – Dieser Prozess erhält die MAC-Adressen aller Knoten in einem Netzwerk

  • Link-Aggregation: Diese Prozessgruppen von Ethernet-Schnittstellen auf der physischen Ebene zu einer einheitlichen Link Layer-Schnittstelle, die auch als Link Aggregation Group (LAG) oder LAG-Bündel bekannt ist

    Anmerkung:

    Auf netzwerkgestützten Geräten wird die Link-Aggregation NFX150 unterstützt.

  • Sturmkontrolle am physischen Port für Unicast, Multicast und Broadcast

    Anmerkung:

    Storm Control wird auf allen Geräten nicht NFX150 unterstützt.

  • STP-Unterstützung, einschließlich 802.1d, RSTP, MSTP und Root Guard

Übersicht über das Ethernet-Switching und den transparenten Layer-2-Modus

Mit dem transparenten Layer-2-Modus kann die Firewall bereitgestellt werden, ohne Änderungen an der vorhandenen Routinginfrastruktur vornehmen zu müssen. Die Firewall wird als Layer 2-Switch mit mehreren VLAN-Segmenten bereitgestellt und bietet Sicherheitsdienste innerhalb der VLAN-Segmente. Secure Wire ist eine spezielle Version des transparenten Layer 2-Modus, die eine Bump-in-Wire-Implementierung ermöglicht.

Ein Gerät wird im transparenten Modus betrieben, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät wird im Routenmodus (dem Standardmodus) ausgeführt, wenn keine physischen Schnittstellen als Layer 2-Schnittstellen konfiguriert sind.

Für Geräte der SRX-Serie bietet der transparente Modus vollständige Sicherheitsdienste für Layer 2-Switching Sicherheitsfunktionen. Auf Geräten der SRX-Serie können Sie ein oder mehrere VLANs für die Layer 2-Switching. Ein VLAN besteht aus einer Gruppe logischer Schnittstellen, die die gleichen Flooding- oder Broadcast-Merkmale haben. Wie ein virtuelles LAN (VLAN) umspannt ein VLAN einen oder mehrere Ports von mehreren Geräten. Folglich kann das Gerät der SRX-Serie als Layer 2-Switch mit mehreren VLANs im selben Layer-2-Netzwerk funktionieren.

Im transparenten Modus filtert das Gerät der SRX-Serie Pakete, die das Gerät durchlaufen, ohne die Quell- oder Zielinformationen in den IP-Paket-Headern zu ändern. Der transparente Modus ist beim Schutz von Servern nützlich, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen erhalten, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.

Im transparenten Modus werden alle physischen Ports auf dem Gerät Layer-2-Schnittstellen zugewiesen. Routen Sie Layer 3-Datenverkehr nicht durch das Gerät. Layer-2-Zonen können so konfiguriert werden, dass sie Layer 2-Schnittstellen hosten, und Sicherheitsrichtlinien können zwischen Layer 2-Zonen definiert werden. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien für diese Pakete durchgesetzt werden.

Tabelle 1 gibt die Sicherheitsfunktionen an, die für die Anwendung im transparenten Modus unterstützt Layer 2-Switching.

Tabelle 1: Im transparenten Modus unterstützte Sicherheitsfunktionen

Modustyp

Unterstützt

Nicht unterstützt

Transparenter Modus

  • Anwendungsebene-Gateway (ALGs)

  • Firewall-Benutzerauthentifizierung (FWAUTH)

  • Intrusion Detection and Prevention (IDP)

  • Filtern

  • AppSecure

  • Unified Threat Management (UTM)

  • Network Address Translation (NAT)

  • VPN

Anmerkung:

Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten wird die Ausbreitung von DHCP-Servern im transparenten Layer-2-Modus nicht unterstützt.

Darüber hinaus unterstützen die Geräte der SRX-Serie im transparenten Layer 2-Modus nicht die folgenden Layer 2-Funktionen:

  • Spanning Tree Protocol (STP), RSTP oder MSTP: Der Benutzer ist dafür verantwortlich, sicherzustellen, dass in der Netzwerktopologie keine Flooding-Schleifen vorhanden sind.

  • Internet Group Management Protocol (IGMP)-Snooping– Host-to-Router-Signalisierungsprotokoll für IPv4, das verwendet wird, um benachbarte Router über ihre Multicastgruppenmitgliedschaft zu berichten und zu bestimmen, ob Gruppenmitglieder beim IP-Multicasting vorhanden sind.

  • Double-tagged VLANs oder IEEE 802.1Q VLAN Identifiers werden in 802.1Q-Paketen eingekapselt (auch als "Q in Q" VLAN-Tagging bezeichnet): Nur nicht gekennzeichnete oder single-tagged VLAN-Kennungen werden auf Geräten der SRX-Serie unterstützt.

  • Nichtqualifiziertes VLAN-Lernen, bei dem nur die MAC-Adresse für das Lernen innerhalb des VLAN verwendet wird. VLAN-Learning auf Geräten der SRX-Serie ist qualifiziert; das heißt, es werden sowohl VLAN-Kennungen als auch MAC-Adressen verwendet.

Auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX300-, SRX320-, SRX340-, SRX345-, SRX550- oder SRX650-Geräten werden auch einige Funktionen nicht unterstützt. (Die Plattformunterstützung hängt von der Junos OS Ihrer Installation ab.) Die folgenden Funktionen werden im transparenten Layer-2-Modus auf den erwähnten Geräten nicht unterstützt:

  • G-ARP auf der Layer 2-Schnittstelle

  • Überwachung der IP-Adressen auf jeder Schnittstelle

  • Transitdatenverkehr durch IRB

  • IRB-Schnittstelle in einer Routing-Instanz

  • IRB-Schnittstellenbehandlung von Layer-3-Datenverkehr

    Anmerkung:

    Die IRB-Schnittstelle ist eine Pseudointerface und gehört nicht zur Reth-Schnittstellen- und Redundanzgruppe.

Transparenter Layer 2-Modus mit dem Line Module Port Concentrator SRX5000

Der SRX5000 Line Module Port Concentrator (SRX5K-MPC) unterstützt den transparenten Layer-2-Modus und verarbeitet den Datenverkehr, wenn das Gerät der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist.

Wenn das SRX5K-MPC im Layer-2-Modus ausgeführt wird, können Sie alle Schnittstellen auf dem SRX5K-MPC als Layer 2-Switching konfigurieren, um Layer 2-Datenverkehr zu unterstützen.

Die Security Processing Unit (SPU) unterstützt alle Sicherheitsdienste für Layer 2-Switching-Funktionen, und die MPC liefert die eingehenden Pakete an den SPU und führt die Ausgangspakete, die von dem SPU an die ausgehenden Schnittstellen eingekapselt sind, weiter.

Wenn das Gerät der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist, können Sie die Schnittstellen auf dem MPC im Layer-2-Modus aktivieren, indem Sie eine oder mehrere logische Einheiten auf einer physischen Schnittstelle des Adresstyps der Familie als Ethernet switching definieren. Später können Sie mit der Konfiguration Layer 2-Sicherheit Zonen und der Konfiguration von Sicherheitsrichtlinien im transparenten Modus fortfahren. Anschließend werden die Next-Hop-Topologien für die Verarbeitung der eingehenden und ausgehenden Pakete eingerichtet.

Verstehen der IPv6-Datenströme im transparenten Modus auf Sicherheitsgeräten

Im transparenten Modus filtert das Gerät der SRX-Serie Pakete, die auf dem Gerät übertragen werden, ohne die Quell- oder Zielinformationen in den MAC-Paket-Headern zu ändern. Der transparente Modus ist beim Schutz von Servern nützlich, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen erhalten, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.

Ein Gerät wird im transparenten Modus ausgeführt, wenn alle physischen Schnittstellen auf dem Gerät als Layer 2-Schnittstellen konfiguriert sind. Eine physische Schnittstelle ist eine Layer 2-Schnittstelle, wenn ihre logische Schnittstelle mit der Option ethernet-switching auf der [ ] edit interfaces interface-name unit unit-number family Hierarchieebene konfiguriert ist. Es ist kein Befehl zum Definieren oder Aktivieren des transparenten Modus auf dem Gerät verfügbar. Das Gerät wird im transparenten Modus betrieben, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät wird im Routenmodus (dem Standardmodus) ausgeführt, wenn alle physischen Schnittstellen als Layer-3-Schnittstellen konfiguriert sind.

Standardmäßig werden IPv6-Datenströme auf Sicherheitsgeräten verworfen. Um die Verarbeitung durch Sicherheitsfunktionen wie Zonen, Bildschirme und Firewall-Richtlinien zu ermöglichen, müssen Sie eine datenstrombasierte Weiterleitung für den IPv6-Datenverkehr mit der Konfigurationsoption auf der [ ] Hierarchieebene mode flow-basededit security forwarding-options family inet6 aktivieren. Wenn Sie den Modus wechseln, müssen Sie das Gerät neu starten.

Im transparenten Modus können Sie Layer 2-Zonen als Hosten von Layer 2-Schnittstellen konfigurieren, und Sie können Sicherheitsrichtlinien zwischen Layer 2-Zonen festlegen. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien für diese Pakete durchgesetzt werden. Für IPv6-Datenverkehr werden im transparenten Modus die folgenden Sicherheitsfunktionen unterstützt:

Im transparenten Modus werden die folgenden Sicherheitsfunktionen für IPv6-Datenströme nicht unterstützt:

  • Logische Systeme

  • IPv6 GTPv2

  • J-Web-Schnittstelle

  • NAT

  • IPsec-VPN

  • Mit Ausnahme von DNS, FTP und TFTP ALGs werden alle anderen ALGs nicht unterstützt.

Die Konfiguration von VLANs und logischen Layer-2-Schnittstellen für IPv6-Datenströme wird mit der Konfiguration von VLANs und logischen Layer 2-Schnittstellen für IPv4-Flows gleicht. Sie können optional eine integrierte Routing und Bridging (IRB)-Schnittstelle für den Management-Datenverkehr in einem VLAN konfigurieren. Die IRB-Schnittstelle ist die einzige im transparenten Modus zugelassene Layer 3-Schnittstelle. Die IRB-Schnittstelle des Geräts der SRX-Serie unterstützt keine Weiterleitung oder Weiterleitung des Datenverkehrs. Die IRB-Schnittstelle kann sowohl mit IPv4- als auch IPv6-Adressen konfiguriert werden. Sie können der IRB-Schnittstelle eine IPv6-Adresse mit der Konfigurationserklärung address auf der [ edit interfaces irb unit number family inet6 ] Hierarchieebene zuweisen. Sie können der IRB-Schnittstelle eine IPv4-Adresse mit der Konfigurationserklärung address auf der [ ] edit interfaces irb unit number family inet Hierarchieebene zuweisen.

Die Ethernet-Switching-Funktionen auf Geräten der SRX-Serie gleichen den Switching-Funktionen auf Juniper Networks Routern der MX-Serie. Auf Geräten der SRX-Serie werden jedoch nicht alle von Routern der MX-Serie unterstützten Layer 2-Netzwerkfunktionen unterstützt. Siehe Übersicht über das Ethernet-Switching und den transparenten Layer-2-Modus .

Das Gerät der SRX-Serie verwaltet Weiterleitungstabellen, die MAC-Adressen und die zugehörigen Schnittstellen für jedes Layer-2-VLAN enthalten. Die IPv6-Datenflussverarbeitung ist vergleichbar mit IPv4-Datenflüssen. Siehe Überblick über Layer 2-Learning und -Weiterleitung für VLANs .

Informationen zum transparenten Layer-2-Modus Gehäuse-Cluster auf Sicherheitsgeräten

Ein Paar Geräte der SRX-Serie im transparenten Layer-2-Modus können in einem Gehäuse-Cluster verbunden werden, um eine Redundanz des Netzwerkknotens zu ermöglichen. Bei der Konfiguration in einem Gehäusecluster fungiert ein Knoten als primäres Gerät und der andere als sekundäres Gerät. So wird ein stateful Failover von Prozessen und Services im Falle eines System- oder Hardwareausfalls gewährleistet. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs.

Anmerkung:

Wenn das primäre Gerät in einem Chassis-Cluster im transparenten Layer-2-Modus ausfällt, werden die physischen Ports des ausgefallenen Geräts für einige Sekunden inaktiv (ausgeschaltet), bevor sie aktiv werden (gestartet).

Zum Bilden eines Gehäuse-Clusters vereinen zwei Geräte der GLEICHEN Art von unterstützten Geräten der SRX-Serie die Fungieren als ein einziges System, das die gleiche allgemeine Sicherheit erzwingt.

Geräte können im transparenten Layer-2-Modus in Aktiv/Backup- und Aktiv/Aktiv-Gehäuse-Clusterkonfigurationen bereitgestellt werden.

Die folgenden Gehäuse-Cluster-Funktionen werden für Geräte im transparenten Layer 2-Modus nicht unterstützt:

  • Gratuitous ARP: Die neu gewählte primäre Redundanzgruppe kann keine befriedigenden ARP-Anfragen senden, um Netzwerkgeräte über eine Änderung der primären Rolle der redundanten Ethernet-Schnittstellenverbindungen zu informieren.

  • Überwachung der IP-Adressen: Fehler eines Upstream-Geräts können nicht erkannt werden.

Eine Redundanzgruppe ist ein Konstrukt, das eine Sammlung von Objekten auf beiden Knoten enthält. Auf einem Knoten und auf dem anderen ist eine Redundanzgruppe primär. Wenn eine Redundanzgruppe auf einem Knoten primär ist, sind die Objekte auf diesem Knoten aktiv. Wenn eine Redundanzgruppe ausfällt, scheitert es an allen Objekten.

Sie können eine oder mehrere Redundanzgruppen mit der Nummer 1 bis 128 für eine Aktiv/Aktiv-Gehäuse-Clusterkonfiguration erstellen. Jede Redundanzgruppe enthält eine oder mehrere redundante Ethernet-Schnittstellen. Eine redundante Ethernet-Schnittstelle ist eine Pseudointerface, die physische Schnittstellen von jedem Knoten des Clusters enthält. Die physischen Schnittstellen in einer redundanten Ethernet-Schnittstelle müssen die gleiche Art sein – entweder Fast Ethernet oder Gigabit Ethernet. Wenn eine Redundanzgruppe auf Knoten 0 aktiv ist, sind die untergeordneten Verbindungen aller zugehörigen redundanten Ethernet-Schnittstellen auf Knoten 0 aktiv. Wenn die Redundanzgruppe zum Knoten 1 ausfällt, werden die untergeordneten Verbindungen aller redundanten Ethernet-Schnittstellen auf Knoten 1 aktiv.

Anmerkung:

In der Aktiv/Aktiv-Chassis-Clusterkonfiguration entspricht die maximale Anzahl von Redundanzgruppen der Anzahl der von Ihnen konfigurierten redundanten Ethernet-Schnittstellen. In der Aktiv/Backup-Chassis-Clusterkonfiguration beträgt die maximale Anzahl unterstützter Redundanzgruppen zwei.

Die Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im transparenten Layer 2-Modus ist mit der Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im Layer-3-Routenmodus vergleichbar, mit dem folgenden Unterschied: wird die redundante Ethernet-Schnittstelle auf einem Gerät im transparenten Layer-2-Modus als logische Layer 2-Schnittstelle konfiguriert.

Die redundante Ethernet-Schnittstelle kann entweder als Zugriffsschnittstelle (mit einer einzelnen VLAN-ID, die nicht-paketbasierten an der Schnittstelle zugewiesen wird) oder als Trunkschnittstelle (mit einer Liste von VLAN-IDs, die an der Schnittstelle akzeptiert werden, und optional einer nativen VLAN-ID für nicht-tagged-Pakete, die an der Schnittstelle empfangen werden) konfiguriert werden. Physische Schnittstellen (einer von jedem Knoten im Gehäusecluster) sind als untergeordnete Schnittstellen an die übergeordnete redundante Ethernet-Schnittstelle gebunden.

Im layer-2-transparenten Modus basiert das MAC-Lernen auf der redundanten Ethernet-Schnittstelle. Die MAC-Tabelle wird über redundante Ethernet-Schnittstellen und Services Processing Units (SPUs) zwischen den beiden Gehäuse-Clustergeräten synchronisiert.

Die IRB-Schnittstelle wird nur für die Verwaltung von Datenverkehr verwendet und kann einer redundanten Ethernet-Schnittstellen- oder Redundanzgruppe nicht zugewiesen werden.

Alle Junos OS, die für ein einzelnes Nichtcluster-Gerät verfügbar sind, sind für Geräte in Gehäuseclustern im transparenten Layer-2-Modus verfügbar.

Anmerkung:

Spanning Tree Protocols (STPs) werden im Layer-2-transparenten Modus nicht unterstützt. Sie müssen sicherstellen, dass in der Bereitstellungstopologie keine Schleifenverbindungen sind.

Konfiguration des Out-of-Band-Managements auf SRX-Geräten

Sie können die Out-of-Band-Managementschnittstelle auf dem Gerät der fxp0 SRX-Serie als Layer 3-Schnittstelle konfigurieren, auch wenn Layer 2-Schnittstellen auf dem Gerät definiert werden. Mit Ausnahme der Schnittstelle können Sie fxp0 Layer-2- und Layer-3-Schnittstellen auf den Netzwerk-Ports des Geräts definieren.

Anmerkung:

Es gibt keine FXP0-Out-of-Band-Verwaltungsschnittstelle auf den SRX300-, SRX320- und SRX550M-Geräten. (Die Plattformunterstützung hängt von der Junos OS Ihrer Installation ab.)

Ethernet-Switching

Das Ethernet-Switching weitergeleitet die Ethernet-Frames innerhalb oder über das LAN-Segment (oder VLAN) über die Ethernet MAC-Adresseninformationen. Ethernet-Switching auf dem SRX1500-Gerät wird in der Hardware mit ASICs ausgeführt.

Wechseln Sie Junos OS Layer-2-transparenten Bridge- und Ethernet-Switching-Modus mit dem Befehl zum Wechsel in den set protocols l2-learning global-mode(transparent-bridge | switching) Junos OS-Release-15.1X49-D40. Nach dem Wechsel müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. Tabelle 2 beschreibt den globalen Layer 2-Standardmodus auf Geräten der SRX-Serie.

Tabelle 2: Standardmäßiger globaler Layer 2-Modus auf Geräten der SRX-Serie

Junos OS version

Plattformen

Globaler Standardmodus auf Layer 2

Details

Vor der Junos OS Veröffentlichung 15.1X49-D50

und

Junos OS release 17.3R1 ab

SRX300, SRX320, SRX340 und SRX345

Switching-Modus

Keine

Junos OS Release 15.1X49-D50 release Junos OS Release 15.1X49-D90

SRX300, SRX320, SRX340 und SRX345

Switching-Modus

Wenn Sie die globale Layer 2-Moduskonfiguration auf einem Gerät löschen, ist das Gerät im transparenten Bridge-Modus.

Junos OS release 15.1X49-D100 ab

SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M

Switching-Modus

Wenn Sie die Konfiguration des globalen Layer-2-Modus auf einem Gerät löschen, befindet sich das Gerät im Switching-Modus. Konfigurieren Sie set protocols l2-learning global-mode transparent-bridge den Befehl unter der [edit] Hierarchieebene, um auf den transparenten Bridge-Modus um zu wechseln. Starten Sie das Gerät neu, damit die Konfiguration wirksam wird.

Junos OS die 15.1X49-D50 ab

SRX1500

Transparenter Bridge-Modus

Keine

Das im Switching-Modus unterstützte Layer 2-Protokoll ist das Link Aggregation Control Protocol (LACP).

Sie können den transparenten Layer 2-Modus auf einer redundanten Ethernet-Schnittstelle konfigurieren. Verwenden Sie die folgenden Befehle zur Definition einer redundanten Ethernet-Schnittstelle:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Layer 2-Switching-Ausnahmen für Geräte der SRX-Serie

Die Switching-Funktionen der Geräte der SRX-Serie gleichen den Switching-Funktionen auf Juniper Networks Routern der MX-Serie. Die folgenden Layer 2-Netzwerkfunktionen auf Routern der MX-Serie werden jedoch auf Geräten der SRX-Serie nicht unterstützt:

  • Layer 2-Steuerungsprotokolle: Diese Protokolle werden in Routern der MX-Serie für Rapid Spanning Tree Protocol (RSTP) oder Multiple Spanning Tree Protocol (MSTP) in Kunden-Edge-Schnittstellen einer VPLS-Routinginstanz verwendet.

  • Virtuelle Switch-Routing-Instanz: Die virtuelle Switching-Routing-Instanz wird auf Routern der MX-Serie zur Gruppierung eines oder mehrere VLANs verwendet.

  • VpLS-Routinginstanz (Virtual Private LAN Services): Die VPLS-Routinginstanz wird auf Routern der MX-Serie für Point-to-Multipoint LAN-Implementierungen zwischen mehreren Standorten in einem VPN verwendet.

Unicast verstehen

Unicasting ist der Akt des Sendens von Daten von einem Knoten des Netzwerks an einen anderen Knoten. Im Gegensatz dazu senden Multicast-Übertragungen Datenverkehr von einem Datenknoten an mehrere andere Datenknoten.

Unbekannter Unicast-Datenverkehr besteht aus Unicast-Frames mit unbekannten MAC-Zieladressen. Standardmäßig überflutet der Switch diese Unicast-Frames, die sich in einem VLAN befinden, in alle Schnittstellen, die Mitglied des VLANs sind. Die Weiterleitung dieser Datenverkehrsart an Schnittstellen auf dem Switch kann ein Sicherheitsproblem auslösen. Das LAN wird plötzlich mit Paketen überflutet, wodurch unnötiger Datenverkehr zu einer schlechten Netzwerkleistung oder gar zu einem vollständigen Verlust des Netzwerkservice führt. Dies ist eine sogenannte "Verkehrsstürme".

Um einen Sturm zu verhindern, können Sie das Überfluten unbekannter Unicast-Pakete auf alle Schnittstellen deaktivieren, indem Sie ein VLAN oder alle VLANs konfigurieren, um unbekannten Unicast-Datenverkehr an eine bestimmte Trunkschnittstelle zu senden. (Dies kanalt den unbekannten Unicast-Datenverkehr auf eine einzige Schnittstelle.)

Grundlegendes zum Layer 2-Broadcasting auf Switches

In einem Layer-2-Netzwerk bezieht sich der Broadcasting auf das Senden von Datenverkehr an alle Knoten in einem Netzwerk.

Der Layer-2-Broadcast-Datenverkehr bleibt innerhalb der Grenzen eines LOKALEN Netzwerks (LAN); auch als Broadcast-Domain bekannt. Der Layer 2-Broadcast-Datenverkehr wird über eine MAC-Adresse von FF:FF:FF:FF:FF:FF an die Broadcast-Domäne gesendet. Jedes Gerät in der Broadcast-Domain erkennt diese MAC-Adresse und gibt den Broadcast-Datenverkehr ggf. an andere Geräte in der Broadcast-Domain weiter. Das Broadcasting kann mit Unicasting (Senden von Datenverkehr an einen einzelnen Knoten) oder Multicasting (gleichzeitige Übertragung von Datenverkehr zu einer Gruppe von Knoten) verglichen werden.

Der Layer-3-Broadcast-Datenverkehr wird jedoch über eine Broadcast-Netzwerkadresse an alle Geräte in einem Netzwerk gesendet. Wenn Ihre Netzwerkadresse beispielsweise 10.0.0.0 ist, wird die Broadcast-Netzwerkadresse 10.255.255.255 genannt. In diesem Fall erhalten nur Geräte, die zum 10.0.0.0-Netzwerk gehören, den Layer-3-Broadcast-Datenverkehr. Geräte, die nicht zu diesem Netzwerk gehören, ablegen den Datenverkehr.

Das Broadcasting wird in folgenden Situationen verwendet:

  • Das Address Resolution Protocol (ARP) verwendet Broadcasting zur Zuordnung von MAC-Adressen zu IP-Adressen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Bevor IP-Unicastpakete gesendet werden können, entdeckt ARP die MAC-Adresse, die von der Ethernet-Schnittstelle verwendet wird, an der die IP-Adresse konfiguriert ist.

  • Das Dynamic Host Configuration Protocol (DHCP) verwendet Broadcasting zur dynamischen Zuweisung von IP-Adressen zu Hosts in einem Netzwerksegment oder Subnetz.

  • Routing-Protokolle nutzen broadcasting, um Routen zu werben.

Übermäßiger Broadcast-Datenverkehr kann manchmal zu einem Broadcast-Sturm werden. Ein Broadcast-Sturm kommt zu, wenn Nachrichten über ein Netzwerk gesendet werden und jede Nachricht einen empfangenden Knoten dazu veranlasst, seine eigenen Nachrichten im Netzwerk zu senden. Dies wiederum löst weitere Reaktionen aus, die einen Schneeballeffekt erzeugen. Das LAN wird plötzlich mit Paketen überflutet, wodurch unnötiger Datenverkehr zu einer schlechten Netzwerkleistung oder gar zu einem vollständigen Verlust des Netzwerkservice führt.

Verwenden der Enhanced Layer 2 Software CLI

Verbesserte Layer 2-Software (ELS) bietet einen einheitlichen CLI zur Konfiguration und Überwachung von Layer 2-Funktionen auf Switches der QFX-Serie, Switches der EX-Serie und anderen Juniper Networks-Geräten, wie Routern der MX-Serie. Mit ELS können Alle Layer 2-Funktionen auf all diesen geräten Juniper Networks werden.

In diesem Thema wird erläutert, ob auf Ihrer Plattform ELS ausgeführt wird. Darüber hinaus wird erläutert, wie einige allgemeine Aufgaben mit dem ELS-Konfigurationsstil durchzuführen sind.

Welche Geräte unterstützen ELS?

ELS wird automatisch unterstützt, wenn auf Ihrem Gerät eine version ausgeführt wird, Junos OS unterstützt wird. Sie müssen keine Aktionen zur Aktivierung von ELS ergreifen, und SIE können ELS nicht deaktivieren. Informationen dazu, welche Plattformen und Versionen ELS unterstützen, finden Sie im Feature Explorer.

Kenntnisse zur Konfiguration von Layer 2-Funktionen mit ELS

Da ELS einen einheitlichen CLI bietet, können Sie jetzt die folgenden Aufgaben auf unterstützten Geräten auf dieselbe Weise ausführen:

Konfigurieren eines VLAN

Sie können ein oder mehrere VLANs für Layer 2-Bridging konfigurieren. Die Layer 2-Bridging-Funktionen umfassen integriertes Routing und Bridging (IRB) zur Unterstützung von Layer 2-Bridging und Layer-3-IP-Routing an der gleichen Schnittstelle. Switches der EX- und QFX-Serie können als Layer 2-Switches verwendet werden, von denen jeder mehrere Bridging- oder Broadcast-Domänen nutzen kann, die sich im selben Layer-2-Netzwerk befinden. Sie können auch die Layer 3-Routingunterstützung für ein VLAN konfigurieren.

So konfigurieren Sie ein VLAN:

  1. Erstellen Sie das VLAN, indem Sie einen eindeutigen VLAN-Namen und die VLAN-ID konfigurieren:

    Mithilfe der VLAN ID-Listenoption können Sie optional einen Bereich von VLAN-IDs angeben.

  2. Weist dem VLAN mindestens eine Schnittstelle zu:

Konfigurieren des nativen VLAN Identifier

Switches der EX- und QFX-Serie unterstützen Empfangs- und Weiterleitungs-Routed- oder Bridged-Ethernet-Frames mit 802.1Q-VLAN-Tags. In der Regel akzeptieren Bündelports, die Switches miteinander verbinden, nicht wiegegnte Kontrollpakete, akzeptieren aber nicht taggedrungene Datenpakete. Sie können einen Trunkport aktivieren, um nicht tagsgeeigte Datenpakete zu akzeptieren, indem Sie eine native VLAN-ID an der Schnittstelle konfigurieren, an der die nicht tags genannten Datenpakete empfangen werden sollen.

Zur Konfiguration der nativen VLAN-ID:

  1. Legen Sie den Schnittstellenmodus für die Schnittstelle, an der Nicht-Paket-Pakete empfangen werden sollen, fest. Dies gibt an, dass sich die Schnittstelle in mehreren VLANs befindet und multiplex-Datenverkehr zwischen verschiedenen trunk VLANs verarbeiten kann.
  2. Konfigurieren Sie die native VLAN-ID und weisen Sie die Schnittstelle der nativen VLAN-ID zu:
  3. Weisen Sie die Schnittstelle der nativen VLAN-ID zu:

Konfigurieren von Layer 2-Schnittstellen

Um sicherzustellen, dass Ihr Netzwerk mit hohem Datenverkehr auf eine optimale Leistung abgestimmt ist, konfigurieren Sie einige Einstellungen auf den Netzwerkschnittstellen des Switches explizit.

So konfigurieren Sie eine Gigabit Ethernet-Schnittstelle oder eine 10-Gigabit Ethernet-Schnittstelle als trunk Schnittstelle:

So konfigurieren Sie eine Gigabit Ethernet-Schnittstelle oder eine 10-Gigabit Ethernet-Schnittstelle als access Schnittstelle:

So weisen Sie VLAN eine Schnittstelle zu:

Konfigurieren von Layer 3-Schnittstellen

Zum Konfigurieren einer Layer 3-Schnittstelle müssen Sie der Schnittstelle eine IP-Adresse zuweisen. Sie weisen einer Schnittstelle eine Adresse zu, indem Sie die Adresse angeben, wenn Sie die Protokollfamilie konfigurieren. Konfigurieren Sie inet für inet6 benutzerfreundliche Benutzer oder Familienmitglieder die IP-Adresse der Schnittstelle.

Sie können Schnittstellen mit einer 32-Bit-IP-Version 4-Adresse (IPv4) und optional mit einem Ziel-Präfix konfigurieren, das manchmal als Subnetzmaske bezeichnet wird. Eine IPv4-Adresse verwendet eine 4-Oktett-Dezimaladressensyntax (z. B. 192.168.1.1). Eine IPv4-Adresse mit Ziel-Präfix verwendet eine 4-Oktett-Punktadressensyntax mit einem angehängten Ziel-Präfix (z. B. 192.168.1.1/16).

Um eine IP4-Adresse für die logische Einheit anzugeben:

Sie repräsentieren IP-Version 6 (IPv6)-Adressen in Hexadezimal notation durch Verwendung einer durch Eindrungen getrennten Liste mit 16-Bit-Werten. Sie weisen einer Schnittstelle eine 128-Bit-IPv6-Adresse zu.

Um eine IP6-Adresse für die logische Einheit anzugeben:

Konfigurieren einer IRB-Schnittstelle

Integriertes Routing und Bridging (IRB) bietet Unterstützung für Layer 2-Bridging und Layer-3-IP-Routing an der gleichen Schnittstelle. Mit IRB können Sie Pakete an eine andere geroutete Schnittstelle oder an ein anderes VLAN mit konfigurierten Layer 3-Protokollen routen. Über IRB-Schnittstellen kann das Gerät Pakete erkennen, die an lokale Adressen gesendet werden, sodass sie nach Möglichkeit überbrückt (umgeschaltet) und bei Bedarf geroutet werden. Wenn Pakete nicht geroutet, sondern umgeschaltet werden können, entfällt die Eliminierung mehrerer Verarbeitungsebenen. Eine Schnittstelle namens irb fungiert als logischer Router, auf dem Sie eine logische Layer 3-Schnittstelle für VLAN konfigurieren können. Für Redundanz können Sie eine IRB-Schnittstelle mit Implementierungen des Virtual Router Redundancy Protocol (VRRP) in Bridging- und VPLS-Umgebungen (Virtual Private LAN Service) kombinieren.

So konfigurieren Sie eine IRB-Schnittstelle:

  1. Erstellen Sie ein Layer 2-VLAN, indem Sie ihm einen Namen und eine VLAN-ID zuweisen:
  2. Eine logische IRB-Schnittstelle erstellen:
  3. Verbinden Sie die IRB-Schnittstelle mit dem VLAN:

Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfigurieren von LACP an dieser Schnittstelle

Verwenden Sie die Link-Aggregationsfunktion, um eine oder mehrere Links zu aggregieren, um eine virtuelle Link- oder Link Aggregation Group (LAG) zu bilden. Der MAC-Client kann diese virtuelle Verbindung so behandeln, als wäre sie eine einzige Verbindung, um die Bandbreite zu erhöhen, graceful Degradation bei Ausfällen zu verursachen und die Verfügbarkeit zu erhöhen.

So konfigurieren Sie eine aggregierte Ethernet-Schnittstelle:

  1. Die Anzahl der aggregierten Ethernet-Schnittstellen, die erstellt werden sollen, angeben:
  2. Geben Sie den Namen der Link Aggregation Group-Schnittstelle an:
  3. Geben Sie die mindestanzahl der zu kennzeichnenden Links für die aggregierte Ethernet-Schnittstelle (aex) an – d. h. das definierte Bündel
  4. Geben Sie die Verbindungsgeschwindigkeit für das aggregierte Ethernet-Bündel an:
  5. Geben Sie die Elemente an, die in das aggregierte Ethernet-Bündel aufgenommen werden sollen:
  6. Eine Schnittstellenfamilie für das aggregierte Ethernet-Bündel angeben:

Für aggregierte Ethernet-Schnittstellen auf dem Gerät können Sie das Link Aggregation Control Protocol (LACP) konfigurieren. LACP bündelt mehrere physische Schnittstellen, um eine logische Schnittstelle zu bilden. Sie können aggregiertes Ethernet mit oder ohne LACP-fähig konfigurieren.

Wenn LACP aktiviert ist, enthalten die lokalen und Remote-Seiten der aggregierten Ethernet-Verbindungen Exchange Protocol Data Units (PDUs) Informationen über den Zustand der Verbindung. Sie können Ethernet-Links zur aktiven Übertragung von PDUs konfigurieren oder die Links so konfigurieren, dass sie passiv übertragen werden und LACP-PDUs nur dann senden, wenn sie von einem anderen Link empfangen werden. Eine Seite der Verbindung muss als aktiv konfiguriert werden, damit die Verbindung aktiv ist.

So konfigurieren Sie LACP:

  1. Aktivieren sie eine Seite der aggregierten Ethernet-Verbindung als aktiv:

  2. Intervall angeben, in dem die Schnittstellen LACP-Pakete senden:

Verstehen der ELS-Konfigurationserklärung und Befehlsänderungen

ELS wurde im neuen Release Junos OS für 12.3R2 Switches EX9200 eingeführt. ELS ändert die CLI für einige der Layer 2-Funktionen auf unterstützten Switches der EX-Serie und QFX-Serie.

In den folgenden Abschnitten finden Sie eine Liste vorhandener Befehle, die im Rahmen dieser Erweiterung in neue Hierarchieebenen verschoben oder auf Switches der EX-CLI geändert wurden. Diese Abschnitte werden nur als Referenz auf hoher Ebene bereitgestellt. Detaillierte Informationen zu diesen Befehlen finden Sie unter den Links zu den angegebenen Konfigurationserklärungen oder der technischen Dokumentation.

Änderungen der Ethernet-Switching-Optionen Hierarchieebene

In diesem Abschnitt werden die Änderungen an der ethernet-switching-options Hierarchieebene erläutert.

Anmerkung:

Die ethernet-switching-options Hierarchieebene wurde als switch-options .

Tabelle 3: Umbenennen der Hierarchie der Ethernet-Switching-Optionen

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabelle 4: RTG-Anweisungen

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabelle 5: Löschende Anweisungen

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Die Anweisungen wurden aus der Hierarchie switch-options entfernt.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Die Anweisungen wurden aus der Hierarchie switch-options entfernt.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Anmerkung:

Die port-error-disable Aussage wurde durch eine neue Erklärung ersetzt.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Änderungen an der Portspiegelungshierarchieebene

Anmerkung:

Anweisungen wurden von der ethernet-switching-options Hierarchieebene in die forwarding-options Hierarchieebene verschoben.

Tabelle 6: Port-Spiegelungshierarchie

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Änderungen an der Layer 2-Steuerungsprotokollhierarchieebene

Die Layer-2-Steuerungsprotokoll anweisungen sind von der Hierarchie ethernet-switching-options in die Hierarchie protocols verschoben.

Tabelle 7: Layer 2-Steuerungsprotokoll

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Änderungen an der Dot1q-Tunneling-Erklärung

Die dot1q-tunneling Aussage wurde durch eine neue Aussage ersetzt und in eine andere Hierarchieebene verschoben.

Tabelle 8: dot1q-tunneling

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Änderungen am L2-Learning-Protokoll

Die mac-table-aging-time Aussage wurde durch eine neue Aussage ersetzt und in eine andere Hierarchieebene verschoben.

Tabelle 9: Mac-Table-Aging-Zeit statement

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Änderungen bei Nonstop Bridging

Die nonstop-bridging Aussage wurde in eine andere Hierarchieebene verschoben.

Tabelle 10: Nonstop Bridging-Statement

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Änderungen an Portsicherheit und DHCP-Snooping

Portsicherheits- und DHCP-Snooping-Anweisungen wurden in verschiedene Hierarchieebenen verschoben.

Anmerkung:

Diese Aussage examine-dhcp existiert nicht in der geänderten Hierarchie. DHCP-Snooping ist jetzt automatisch aktiviert, wenn andere DHCP-Sicherheitsfunktionen in einem VLAN aktiviert sind. Weitere Informationen finden Sie unter Configuring Port Security (ELS).

Tabelle 11: Portsicherheitserklärungen

Originale Hierarchie

Veränderte Hierarchie

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Tipp:

Bei der zulässigen Mac-Konfiguration wird die ursprüngliche Hierarchie set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 anweisung durch den ELS-Befehl ersetzt. set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Anmerkung:

DHCP-Snooping-Anweisungen wurden in eine andere Hierarchieebene verschoben.

Tabelle 12: DHCP-Snooping-Anweisungen

Originale Hierarchie

Veränderte Hierarchie

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Änderungen bei der Konfiguration von VLANs

Die Anweisungen für die Konfiguration von VLANs sind in eine andere Hierarchieebene verschoben.

Anmerkung:

Beginnend mit Junos OS Release 14.1X53-D10 für EX4300- und EX4600-Switches bei der Aktivierung von xSTP können Sie es auf einigen oder allen in einem VLAN enthaltenen Schnittstellen aktivieren. Wenn Sie z. B. VLAN 100 so konfigurieren, dass Schnittstellen ge-0/0/0, ge-0/0/1 und ge-0/0/2 umfassen, und MSTP an Schnittstellen ge-0/0/0 und ge-0/0/2 aktiviert werden soll, können Sie die Befehle und Befehle set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 angeben. In diesem Beispiel wurde MSTP nicht explizit auf der Schnittstelle ge-0/0/1 aktiviert. MSTP ist daher auf dieser Schnittstelle nicht aktiviert.

Tabelle 13: VLAN-Hierarchie

Originale Hierarchie

Veränderte Hierarchie

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Anmerkung:

Die Aussage wird durch eine neue Anweisung ersetzt und in eine andere Hierarchieebene verschoben.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Diese Anweisungen wurden entfernt. Sie können einem VLAN über die Hierarchie Schnittstellen [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] zuweisen.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Anweisungen wurden entfernt.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Anmerkung:

Syntax wird geändert.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Anweisung wird entfernt. Der eindringende Datenverkehr wird automatisch verfolgt.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Anweisung wird entfernt.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

Die Aussage wurde in eine andere Hierarchie verschoben.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Die Aussage wurde entfernt.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Anweisung wird entfernt.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Anmerkung:

Die Aussage wurde durch eine neue Erklärung ersetzt.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Anmerkung:

Syntax wird geändert.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabelle 14: In eine andere Hierarchie verschobene Anweisungen

Originale Hierarchie

Veränderte Hierarchie

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunnelingFür:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Für layer2-protocol-tunneling (MAC-Rewrite an einer Schnittstelle aktiviert):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Änderungen bei Sturmprofilen

Die Sturmkontrolle wird in zwei Schritten konfiguriert. Der erste Schritt besteht in der Erstellung eines Sturmsteuerungsprofils auf der Hierarchieebene, und der zweite Schritt besteht in der Bindung des Profils an eine logische Schnittstelle [edit forwarding-options] auf [edit interfaces] der Hierarchieebene. Siehe Beispiel: Configuring Storm Control to Prevent Network Ausfälle an Switches der EX-Serie für das geänderte Verfahren konfigurieren.

Tabelle 15: Änderungen der Storm Control Profile-Hierarchieebene

Originale Hierarchie

Veränderte Hierarchie

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Änderungen an der Schnittstellenhierarchie

Anmerkung:

Anweisungen wurden in eine andere Hierarchie verschoben.

Tabelle 16: Änderungen an der Schnittstellenhierarchie

Originale Hierarchie

Veränderte Hierarchie

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Anmerkung:

Die Aussage wurde durch eine neue Erklärung ersetzt.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Anmerkung:

Die Aussage wurde durch eine neue Erklärung ersetzt.

interfaces irb

Änderungen an IGMP-Snooping

Tabelle 17: IGMP-Snooping-Hierarchie

Originale Hierarchie

Veränderte Hierarchie

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Verbesserte Layer 2-CLI-Konfigurationskonfiguration und Befehlsänderungen für Sicherheitsgeräte

Beginnend mit Junos OS Release 15.1X49-D10 und Junos OS Release 17.3R1 werden einige Layer 2-CLI-Konfigurationserklärungen verbessert und einige Befehle geändert. und stellt im Rahmen dieser Optimierung Listen vorhandener Befehle zur Verfügung, die in neue Hierarchien verschoben oder auf Geräten der Tabelle 18Tabelle 19 SR CLI X-Serie geändert wurden. Die Tabellen werden nur als Referenz auf hoher Ebene bereitgestellt. Ausführliche Informationen zu diesen Befehlen finden Sie unter CLI Explorer.

Tabelle 18: Verbesserte Änderungen der Layer 2-Konfigurationserklärung

Originale Hierarchie

Veränderte Hierarchie

Hierarchieebene

Beschreibung ändern

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[bearbeiten]

Hierarchie benennt.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[vlans vlans bearbeiten-name]

Erklärung ist nicht mehr zu benend.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[vlans vlans bearbeiten-name]

Erklärung ist nicht mehr zu benend.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[Sicherheitsfluss bearbeiten]

Erklärung ist nicht mehr zu benend.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[Schnittstellenname bearbeiten ] Einheitennummer

Hierarchie benennt.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[vlans vlans bearbeiten-name]

Erklärung ist nicht mehr zu benend.

Tabelle 19: Verbesserte Änderungen der Layer 2-Betriebsbefehle

Betriebsbefehl (Original Operational Command)

Geänderter Betriebsbefehl

Clear Bridge-Mac-Table

Clear Ethernet-Switching-Tabelle

Clear Bridge Mac-Table Persistent Learning

Clear Ethernet-Switching-Tabelle Persistent Learning

Bridge-Domain anzeigen

VLANs anzeigen

Bridge-Mac-Tabelle anzeigen

Ethernet-Switching-Tabelle anzeigen

l2-Learning-Schnittstelle anzeigen

Ethernet-Switching-Schnittstelle anzeigen

Anmerkung:

Es gibt keine FXP0-Out-of-Band-Verwaltungsschnittstelle auf den SRX300-, SRX320- und SRX500HM-Geräten. (Die Plattformunterstützung hängt von der Junos OS Ihrer Installation ab.)

Layer 2-Modus der nächsten Generation für die ACX-Serie

Der Layer-2-Modus der nächsten Generation, auch als Enhanced Layer 2 Software (ELS) bezeichnet, wird auf ACX5048, ACX5096 und ACX5448-Routern zur Konfiguration von Layer 2-Funktionen unterstützt. Die Layer-2-CLI-Konfigurationen und show-Befehle für ACX5048, ACX5096 und ACX5448 unterscheiden sich von denen der Router der ACX-Serie (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 und ACX4000) sowie Router der MX-Serie.

Tabelle 20 zeigt die Unterschiede in der CLI für die Konfiguration von Layer 2-Funktionen im Layer-2-Modus der nächsten Generation.

Tabelle 20: Unterschiede in CLI Hierarchie für Layer 2-Funktionen im Layer-2-Modus der nächsten Generation

Funktion

ACX1000-, ACX1100-, ACX2000-, ACX2100-, ACX2200-, ACX4000-, ACX5448- und MX-Serien-Router

Router ACX5048 und ACX5096

Bridge-Domain

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Familie bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Layer 2-Optionen

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Ethernet-Optionen

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Integriertes Routing und Bridging (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Sturmkontrolle

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Internet Group Management Protocol (IGMP)-Snooping

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

bridgeFirewall-Filter für Familie

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabelle 21 zeigt die Unterschiede in show den Befehlen für Layer 2-Funktionen im Layer-2-Modus der nächsten Generation.

Tabelle 21: Unterschiede bei show-Befehlen für Layer-2-Funktionen im Layer-2-Modus der nächsten Generation

Funktion

ACX1000-, ACX1100-, ACX2000-, ACX2100-, ACX2200-, ACX4000- und MX-Serien-Router

Router ACX5048, ACX5096 und ACX5448

VLAN

show bridge-domain

show vlans

MAC-Tabelle

show bridge mac-table

show ethernet-switching table

MAC-Tabellenoptionen

show bridge mac-table(MAC-Adresse, Bridge-Domain-Name, Schnittstelle, VLAN-ID und Instanz)

show ethernet-switching table

Switch-Port-Liste mit VLAN-Zuweisungen

show l2-learning interface

show ethernet-switching interfaces

Kernel State of Flush-Datenbank

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Release-Verlaufstabelle
Release
Beschreibung
15.1X49-D40
Wechseln Sie Junos OS Layer-2-transparenten Bridge- und Ethernet-Switching-Modus mit dem Befehl zum Wechsel in den set protocols l2-learning global-mode(transparent-bridge | switching) Junos OS-Release-15.1X49-D40.
15.1X49-D10
Beginnend mit Junos OS Release 15.1X49-D10 und Junos OS Release 17.3R1 werden einige Layer 2-CLI-Konfigurationserklärungen verbessert und einige Befehle geändert.