Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Layer 2-Netzwerke

Überblick über Layer 2-Netzwerke

Layer 2, auch als Data Link Layer bezeichnet, ist die zweite Ebene im OSI-Referenzmodell für das Netzwerkprotokolldesign. Layer 2 entspricht der Verbindungsschicht (niedrigste Schicht) im TCP/IP-Netzwerkmodell. Layer 2 ist die Netzwerkschicht, die verwendet wird, um Daten zwischen benachbarten Netzwerkknoten in einem WIDE Area Network oder zwischen Knoten im selben Lokalen Netzwerk zu übertragen.

Ein Frame ist eine Protokolldateneinheit, die kleinste Bits-Einheit in einem Layer-2-Netzwerk. Frames werden an Geräte im selben LAN (Local Area Network) übertragen und von ihnen empfangen. Unilke-Bits, Frames haben eine definierte Struktur und können für die Fehlererkennung, Aktivitäten auf Steuerungsebene usw. verwendet werden. Nicht alle Frames tragen Benutzerdaten. Das Netzwerk verwendet einige Frames, um die Datenverbindung selbst zu steuern.

Auf Layer 2 bezieht sich Unicast auf das Senden von Frames von einem Knoten zu einem einzelnen anderen Knoten, während Multicast das Senden von Datenverkehr von einem Knoten zu mehreren Knoten bezeichnet, und Broadcasting bezieht sich auf die Übertragung von Bildern an alle Knoten in einem Netzwerk. Eine Broadcast-Domäne ist eine logische Teilung eines Netzwerks, in der alle Knoten dieses Netzwerks auf Layer 2 durch einen Broadcast erreicht werden können.

Segmente eines LAN können auf Frameebene über Bridges miteinander verbunden werden. Bridging erstellt separate Broadcast-Domänen im LAN und erstellt VLANs, bei denen es sich um unabhängige logische Netzwerke handelt, die verwandte Geräte in separaten Netzwerksegmenten gruppieren. Die Gruppierung von Geräten in einem VLAN ist unabhängig davon, wo sich die Geräte physisch im LAN befinden. Ohne Bridging und VLANs befinden sich alle Geräte im Ethernet-LAN in einer einzigen Broadcast-Domäne, und alle Geräte erkennen alle Pakete im LAN.

Weiterleitung ist das Weiterleiten von Paketen von einem Netzwerksegment zu einem anderen nach Knoten im Netzwerk. Auf einem VLAN wird ein Frame, dessen Ursprung und Ziel sich im selben VLAN befinden, nur innerhalb des lokalen VLAN weitergeleitet. Ein Netzwerksegment ist ein Teil eines Computernetzwerks, in dem jedes Gerät über dieselbe physische Ebene kommuniziert.

Layer 2 enthält zwei Unterebenen:

  • Logical Link Control (LLC) Sublayer, die für die Verwaltung von Kommunikationsverbindungen und die Verarbeitung von Frame-Datenverkehr verantwortlich ist.

  • Media Access Control (MAC) Sublayer, die den Protokollzugriff auf das physische Netzwerkmedium steuert. Durch die Verwendung der MAC-Adressen, die allen Ports auf einem Switch zugewiesen sind, können sich mehrere Geräte auf der gleichen physischen Verbindung eindeutig identifizieren.

    Die Ports oder Schnittstellen auf einem Switch arbeiten entweder im Access-, Tagged-Access- oder Trunk-Modus:

    • Ports im Zugriffsmodus stellen eine Verbindung zu einem Netzwerkgerät her, z. B. einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera. Der Port selbst gehört zu einem einzigen VLAN. Bei den über eine Zugriffsschnittstelle übertragenen Bildern handelt es sich um normale Ethernet-Frames. Standardmäßig befinden sich alle Ports auf einem Switch im Zugriffsmodus.

    • Tagged-Access-Modus-Ports stellen eine Verbindung zu einem Netzwerkgerät her, z. B. einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Sicherheitskamera. Der Port selbst gehört zu einem einzigen VLAN. Bei den über eine Zugriffsschnittstelle übertragenen Bildern handelt es sich um normale Ethernet-Frames. Standardmäßig befinden sich alle Ports auf einem Switch im Zugriffsmodus. Der Tagged-Access-Modus unterstützt Cloud-Computing, insbesondere Szenarien wie virtuelle Maschinen oder virtuelle Computer. Da mehrere virtuelle Computer auf einem physischen Server enthalten sein können, können die von einem Server generierten Pakete eine Aggregation von VLAN-Paketen von verschiedenen virtuellen Maschinen auf diesem Server enthalten. Um dieser Situation gerecht zu werden, spiegelt der Tagged-Access-Modus Pakete zurück zum physischen Server auf demselben Downstream-Port wider, wenn die Zieladresse des Pakets auf diesem Downstream-Port erlernt wurde. Pakete werden auch an den physischen Server am Downstream-Port zurückreflektiert, wenn das Ziel noch nicht erlernt wurde. Daher hat der dritte Schnittstellenmodus, tagged Access, einige Merkmale des Zugriffsmodus und einige Merkmale des Trunk-Modus:

    • Trunkmodus-Ports verarbeiten den Datenverkehr für mehrere VLANs und multiplexen den Datenverkehr für alle VLANs über dieselbe physische Verbindung. Trunk-Schnittstellen werden im Allgemeinen verwendet, um Switches mit anderen Geräten oder Switches zu verbinden.

      Bei konfiguration des nativen VLAN werden Frames, die keine VLAN-Tags tragen, über die Trunkschnittstelle gesendet. Wenn Sie eine Situation haben, in der Pakete im Zugriffsmodus von einem Gerät an einen Switch übermittelt werden und Sie diese Pakete dann vom Switch über einen Trunk-Port senden möchten, verwenden Sie den nativen VLAN-Modus. Konfigurieren Sie das einzelne VLAN am Switch-Port (der sich im Zugriffsmodus befindet) als natives VLAN. Der Trunk-Port des Switches behandelt diese Frames dann anders als die anderen tagged-Pakete. Wenn beispielsweise ein Trunk-Port über drei VLANs, 10, 20 und 30 verfügt, der ihm zugewiesen wurde, wobei VLAN 10 das native VLAN ist, haben Frames auf VLAN 10, die den Trunk-Port am anderen Ende verlassen, keinen 802.1Q-Header (Tag). Es gibt eine weitere native VLAN-Option. Sie können mit dem Switch Tags für nicht blockierte Pakete hinzufügen und entfernen. Dazu konfigurieren Sie zunächst das einzelne VLAN als natives VLAN an einem Port, der an ein Gerät am Edge angeschlossen ist. Weisen Sie dann dem einzelnen nativen VLAN am Port, der mit einem Gerät verbunden ist, ein VLAN-ID-Tag zu. Als Letztes fügen Sie die VLAN-ID zum Trunk-Port hinzu. Wenn der Switch nun das nicht gekennzeichnete Paket empfängt, fügt er die von Ihnen angegebene ID hinzu und sendet und empfängt die getaggten Pakete am Trunk-Port, der so konfiguriert ist, dass sie dieses VLAN akzeptieren.

Einschließlich der Unterebenen unterstützt Layer 2 der QFX-Serie folgende Funktionen:

  • Unicast-, Multicast- und Broadcast-Datenverkehr.

  • Überbrückung.

  • VLAN 802.1Q– Dieses Protokoll, das auch als VLAN-Tagging bezeichnet wird, ermöglicht es mehreren überbrückten Netzwerken, transparent dieselbe physische Netzwerkverbindung zu teilen, indem einem Ethernet-Frame VLAN-Tags hinzugefügt werden.

  • Die Erweiterung von Layer-2-VLANs über mehrere Switches mit Spanning Tree Protocol (STP) verhindert das Looping im Netzwerk.

  • MAC-Learning, einschließlich PRO-VLAN MAC-Learning und Layer 2-Lernunterdrückung– Dieser Prozess erhält die MAC-Adressen aller Knoten in einem Netzwerk

  • Link-Aggregation: Diese Prozessgruppen von Ethernet-Schnittstellen auf der physischen Ebene bilden eine Schnittstelle auf einer Verbindungsebene, die auch als LAG-Paket (Link Aggregation Group) oder LAG-Paket bezeichnet wird.

    Anmerkung:

    Link Aggregation wird auf NFX150-Geräten nicht unterstützt.

  • Sturmkontrolle am physischen Port für Unicast, Multicast und Broadcast

    Anmerkung:

    Sturmkontrolle wird auf NFX150-Geräten nicht unterstützt.

  • STP-Unterstützung, einschließlich 802.1d, RSTP, MSTP und Root Guard

Ethernet-Switching und transparenter Layer 2-Modus – Überblick

Der transparente Layer 2-Modus bietet die Möglichkeit, die Firewall bereitzustellen, ohne Änderungen an der vorhandenen Routing-Infrastruktur vorzunehmen. Die Firewall wird als Layer-2-Switch mit mehreren VLAN-Segmenten bereitgestellt und bietet Sicherheitsdienste innerhalb von VLAN-Segmenten. Secure Wire ist eine spezielle Version des transparenten Layer 2-Modus, die eine Bump-in-Wire-Bereitstellung ermöglicht.

Ein Gerät wird im transparenten Modus ausgeführt, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät wird im Routenmodus (Standardmodus) ausgeführt, wenn keine physikalischen Schnittstellen als Layer-2-Schnittstellen konfiguriert sind.

Für Geräte der SRX-Serie bietet der transparente Modus vollständige Sicherheitsdienste für Layer-2-Switching-Funktionen. Auf diesen Geräten der SRX-Serie können Sie ein oder mehrere VLANs für die Ausführung von Layer 2-Switching konfigurieren. Ein VLAN ist eine Reihe logischer Schnittstellen, die dieselben Flooding- oder Broadcast-Merkmale haben. Wie ein virtuelles LAN (VLAN) überspannt ein VLAN einen oder mehrere Ports mehrerer Geräte. Somit kann das Gerät der SRX-Serie als Layer-2-Switch mit mehreren VLANs fungieren, die im selben Layer-2-Netzwerk teilnehmen.

Im transparenten Modus filtert das Gerät der SRX-Serie Pakete, die das Gerät durchlaufen, ohne die Quell- oder Zielinformationen in den IP-Paket-Headern zu ändern. Der transparente Modus eignet sich zum Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen empfangen, da keine Neukonfiguration der IP-Einstellungen von Routern oder geschützten Servern erforderlich ist.

Im transparenten Modus werden alle physischen Ports auf dem Gerät Layer-2-Schnittstellen zugewiesen. Leiten Sie den Layer-3-Datenverkehr nicht durch das Gerät. Layer-2-Zonen können so konfiguriert werden, dass Layer-2-Schnittstellen gehostet werden, und Sicherheitsrichtlinien können zwischen Layer-2-Zonen definiert werden. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien auf diesen Paketen durchgesetzt werden.

Tabelle 1 listet die unterstützten Sicherheitsfunktionen auf, die im transparenten Modus für Layer 2-Switching nicht unterstützt werden.

Tabelle 1: Unterstützte Sicherheitsfunktionen im transparenten Modus

Modustyp

Unterstützt

Nicht unterstützt

Transparenter Modus

  • Application Layer Gateways (ALGs)

  • Firewall-Benutzerauthentifizierung (FWAUTH)

  • Intrusion Detection and Prevention (IDP)

  • Filtern

  • AppSecure

  • Unified Threat Management (UTM)

  • Network Address Translation (NAT)

  • VPN

Anmerkung:

Auf Den Geräten SRX300, SRX320, SRX340, SRX345 und SRX550M wird die DHCP-Serverausbreitung im transparenten Layer 2-Modus nicht unterstützt.

Darüber hinaus unterstützen die Geräte der SRX-Serie die folgenden Layer-2-Funktionen im transparenten Layer 2-Modus nicht:

  • Spanning Tree Protocol (STP), RSTP oder MSTP: Es liegt in der Verantwortung des Benutzers, sicherzustellen, dass in der Netzwerktopologie keine Flooding-Schleifen vorhanden sind.

  • Internet Group Management Protocol (IGMP)-Snooping: Host-to-Router-Signalübertragungsprotokoll für IPv4, das verwendet wird, um benachbarte Router über ihre Multicastgruppenmitgliedschaft zu melden und zu bestimmen, ob Gruppenmitglieder während des IP-Multicastings vorhanden sind.

  • VlaNs mit doppelter Verschlagwortung oder IEEE 802.1Q VLAN-Identifikatoren, die in 802.1Q-Paketen eingekapselt sind (auch "Q in Q" VLAN-Tagging genannt) – Auf Geräten der SRX-Serie werden nur unmarkierte oder single-tagged VLAN-Identifikatoren unterstützt.

  • Nicht qualifiziertes VLAN-Lernen, bei dem nur die MAC-Adresse für das Lernen im VLAN verwendet wird– VLAN-Lernen auf Geräten der SRX-Serie ist qualifiziert; das heißt, es werden sowohl die VLAN-Kennung als auch die MAC-Adresse verwendet.

Auch auf Geräten der Serie SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 oder SRX650 werden einige Funktionen nicht unterstützt. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.) Die folgenden Funktionen werden für den transparenten Layer 2-Modus auf den genannten Geräten nicht unterstützt:

  • G-ARP an der Layer-2-Schnittstelle

  • Überwachung der IP-Adressen an beliebigen Schnittstellen

  • Transitdatenverkehr durch IRB

  • IRB-Schnittstelle in einer Routing-Instanz

  • IRB-Schnittstellenbehandlung für Layer 3-Datenverkehr

    Anmerkung:

    Die IRB-Schnittstelle ist eine Pseudointerface und gehört nicht zur Reth-Schnittstellen- und Redundanzgruppe.

Transparenter Layer 2-Modus auf dem Port-Concentrator der SRX5000-Reihe

Der SRX5000 Line Module Port Concentrator (SRX5K-MPC) unterstützt den transparenten Layer 2-Modus und verarbeitet den Datenverkehr, wenn das Gerät der SRX-Serie im transparenten Layer 2-Modus konfiguriert ist.

Wenn das SRX5K-MPC im Layer-2-Modus arbeitet, können Sie alle Schnittstellen auf dem SRX5K-MPC als Layer 2-Switching-Ports konfigurieren, um Layer 2-Datenverkehr zu unterstützen.

Die Security Processing Unit (SPU) unterstützt alle Sicherheitsdienste für Layer-2-Switching-Funktionen, und die MPC liefert die Eingehenden Pakete an die SPU und leitet die von der SPU verkapselten Ausgangspakete an die ausgehenden Schnittstellen weiter.

Wenn das Gerät der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist, können Sie die Arbeit der Schnittstellen auf dem MPC im Layer-2-Modus aktivieren, indem Sie eine oder mehrere logische Einheiten auf einer physischen Schnittstelle mit dem Adresstyp der Familie als Ethernet switchingdefinieren. Später können Sie mit der Konfiguration von Layer 2-Sicherheitszonen und der Konfiguration von Sicherheitsrichtlinien im transparenten Modus fortfahren. Sobald dies geschehen ist, werden Next-Hop-Topologien für die Verarbeitung von Eingangs- und Ausgangspaketen eingerichtet.

Verstehen von IPv6-Datenströmen im transparenten Modus auf Sicherheitsgeräten

Im transparenten Modus filtert das Gerät der SRX-Serie Pakete, die das Gerät passieren, ohne die Quell- oder Zielinformationen in den MAC-Paket-Headern zu ändern. Der transparente Modus eignet sich zum Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen empfangen, da keine Neukonfiguration der IP-Einstellungen von Routern oder geschützten Servern erforderlich ist.

Ein Gerät wird im transparenten Modus ausgeführt, wenn alle physischen Schnittstellen auf dem Gerät als Layer-2-Schnittstellen konfiguriert sind. Eine physische Schnittstelle ist eine Layer-2-Schnittstelle, wenn ihre logische Schnittstelle mit der ethernet-switching Option auf der [edit interfaces interface-name unit unit-number family] Hierarchieebene konfiguriert ist. Es gibt keinen Befehl zum Definieren oder Aktivieren des transparenten Modus auf dem Gerät. Das Gerät arbeitet im transparenten Modus, wenn Schnittstellen als Layer-2-Schnittstellen definiert sind. Das Gerät wird im Routenmodus (Standardmodus) ausgeführt, wenn alle physischen Schnittstellen als Layer-3-Schnittstellen konfiguriert sind.

Standardmäßig werden IPv6-Datenströme auf Sicherheitsgeräten unterbrochen. Um die Verarbeitung durch Sicherheitsfunktionen wie Zonen, Bildschirme und Firewall-Richtlinien zu ermöglichen, müssen Sie eine flussbasierte Weiterleitung für IPv6-Datenverkehr mit der mode flow-based Konfigurationsoption auf der [edit security forwarding-options family inet6] Hierarchieebene aktivieren. Sie müssen das Gerät neu starten, wenn Sie den Modus ändern.

Im transparenten Modus können Sie Layer-2-Zonen so konfigurieren, dass Layer-2-Schnittstellen gehostet werden, und Sie können Sicherheitsrichtlinien zwischen Layer-2-Zonen definieren. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien auf diesen Paketen durchgesetzt werden. Folgende Sicherheitsfunktionen werden für IPv6-Datenverkehr im transparenten Modus unterstützt:

Die folgenden Sicherheitsfunktionen werden für IPv6-Datenströme im transparenten Modus nicht unterstützt:

  • Logische Systeme

  • IPv6 GTPv2

  • J-Web-Schnittstelle

  • NAT

  • IPsec-VPN

  • Mit Ausnahme von DNS-, FTP- und TFTP-ALGs werden alle anderen ALGs nicht unterstützt.

Die Konfiguration von VLANs und logischen Layer-2-Schnittstellen für IPv6-Datenströme entspricht der Konfiguration von VLANs und logischen Layer-2-Schnittstellen für IPv4-Datenströme. Sie können optional eine integrierte Routing- und Bridging-Schnittstelle (IRB) für die Verwaltung des Datenverkehrs in einem VLAN konfigurieren. Die IRB-Schnittstelle ist die einzige Im transparenten Modus zulässige Layer 3-Schnittstelle. Die IRB-Schnittstelle auf dem Gerät der SRX-Serie unterstützt keine Weiterleitung oder Routing des Datenverkehrs. Die IRB-Schnittstelle kann mit IPv4- und IPv6-Adressen konfiguriert werden. Sie können eine IPv6-Adresse für die IRB-Schnittstelle mit der address Konfigurationsanweisung auf der [edit interfaces irb unit number family inet6] Hierarchieebene zuweisen. Sie können eine IPv4-Adresse für die IRB-Schnittstelle mit der address Konfigurationsanweisung auf der [edit interfaces irb unit number family inet] Hierarchieebene zuweisen.

Die Ethernet-Switching-Funktionen auf Geräten der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Auf Geräten der SRX-Serie werden jedoch nicht alle Layer-2-Netzwerkfunktionen unterstützt, die auf Routern der MX-Serie unterstützt werden. Siehe Übersicht über Ethernet-Switching und den transparenten Layer-2-Modus.

Das Gerät der SRX-Serie verwaltet Weiterleitungstabellen, die MAC-Adressen und zugehörige Schnittstellen für jedes Layer-2-VLAN enthalten. Die IPv6-Datenstromverarbeitung ist ähnlich wie die IPv4-Datenströme. Siehe Layer 2 Learning and Forwarding for VLANs – Übersicht.

Verstehen von Layer-2-Gehäuse-Clustern im transparenten Modus auf Sicherheitsgeräten

Ein Paar Geräte der SRX-Serie im transparenten Layer-2-Modus können in einem Gehäuse-Cluster verbunden werden, um Netzwerkknotenredundanz zu gewährleisten. Bei der Konfiguration in einem Gehäuse-Cluster fungiert ein Knoten als primäres Gerät und der andere als sekundäres Gerät. So wird ein zustandsgesteuertes Failover von Prozessen und Services im Falle eines System- oder Hardwareausfalls sichergestellt. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs.

Anmerkung:

Wenn das primäre Gerät in einem Layer-2-Gehäusecluster im transparenten Modus ausfällt, werden die physischen Ports des ausgefallenen Geräts für einige Sekunden inaktiv (heruntergehen), bevor sie wieder aktiv (hoch) werden.

Um einen Gehäuse-Cluster zu bilden, kombiniert sich ein Paar derselben unterstützten Geräte der SRX-Serie zu einem einzigen System, das die gleiche Gesamtsicherheit durchsetzt.

Geräte im transparenten Layer 2-Modus können in Aktiv/Backup- und Aktiv/Aktiv-Chassis-Clusterkonfigurationen bereitgestellt werden.

Die folgenden Gehäuse-Clusterfunktionen werden für Geräte im transparenten Layer 2-Modus nicht unterstützt:

  • Unnötiger ARP: Der neu gewählte Primäre in einer Redundanzgruppe kann keine unnötigen ARP-Anfragen senden, um Netzwerkgeräte über eine Änderung der primären Rolle auf den redundanten Ethernet-Schnittstellenverbindungen zu benachrichtigen.

  • Überwachung der IP-Adresse – Fehler eines upstreamen Geräts können nicht erkannt werden.

Eine Redundanzgruppe ist ein Konstrukt, das eine Sammlung von Objekten auf beiden Knoten umfasst. Eine Redundanzgruppe ist primär auf einem Knoten und Backup auf dem anderen Knoten. Wenn sich eine Redundanzgruppe primär auf einem Knoten befindet, sind ihre Objekte auf diesem Knoten aktiv. Wenn eine Redundanzgruppe ausfällt, versagen alle Objekte zusammen.

Sie können eine oder mehrere Redundanzgruppen mit den Nummern 1 bis 128 für eine Aktiv/Aktiv-Chassis-Clusterkonfiguration erstellen. Jede Redundanzgruppe enthält eine oder mehrere redundante Ethernet-Schnittstellen. Eine redundante Ethernet-Schnittstelle ist eine Pseudoschnittstelle, die physische Schnittstellen von jedem Knoten des Clusters enthält. Die physischen Schnittstellen in einer redundanten Ethernet-Schnittstelle müssen dieselbe Art sein – entweder Fast Ethernet oder Gigabit Ethernet. Wenn auf Knoten 0 eine Redundanzgruppe aktiv ist, sind die untergeordneten Verbindungen aller zugehörigen redundanten Ethernet-Schnittstellen auf Knoten 0 aktiv. Wenn die Redundanzgruppe nicht zum Knoten 1 übergeht, werden die untergeordneten Verbindungen aller redundanten Ethernet-Schnittstellen auf Knoten 1 aktiv.

Anmerkung:

In der Konfiguration von Aktiv/Aktiv-Chassis-Clustern ist die maximale Anzahl von Redundanzgruppen gleich der Anzahl der von Ihnen konfigurierten redundanten Ethernet-Schnittstellen. In der Konfiguration von Aktiv-/Backup-Chassis-Clustern beträgt die maximale Anzahl unterstützter Redundanzgruppen zwei.

Die Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im transparenten Layer 2-Modus ähnelt der Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im Layer-3-Routenmodus mit dem folgenden Unterschied: die redundante Ethernet-Schnittstelle auf einem Gerät im transparenten Layer-2-Modus wird als logische Layer-2-Schnittstelle konfiguriert.

Die redundante Ethernet-Schnittstelle kann entweder als Zugriffsschnittstelle (mit einer einzigen VLAN-ID, die nicht gekennzeichneten Paketen zugewiesen wird, die an der Schnittstelle empfangen werden) oder als Trunk-Schnittstelle konfiguriert werden (mit einer Liste von VLAN-IDs, die an der Schnittstelle akzeptiert werden, und optional als native VLAN-ID für nicht gekennzeichnete Pakete, die an der Schnittstelle empfangen werden). Physische Schnittstellen (einer von jedem Knoten im Gehäusecluster) sind als untergeordnete Schnittstellen an die redundante Übergeordnete Ethernet-Schnittstelle gebunden.

Im transparenten Layer-2-Modus basiert das MAC-Lernen auf der redundanten Ethernet-Schnittstelle. Die MAC-Tabelle wird über redundante Ethernet-Schnittstellen und Service Processing Units (SPUs) zwischen den Gehäuse-Clustergeräten synchronisiert.

Die IRB-Schnittstelle wird nur für die Verwaltung des Datenverkehrs verwendet und kann keiner redundanten Ethernet-Schnittstelle oder Redundanzgruppe zugewiesen werden.

Alle Junos OS-Bildschirmoptionen, die für ein einzelnes Gerät ohne Cluster verfügbar sind, sind für Geräte in Gehäuseclustern mit transparentem Layer 2-Modus verfügbar.

Anmerkung:

Spanning Tree Protocols (STPs) werden im transparenten Layer 2-Modus nicht unterstützt. Sie müssen sicherstellen, dass es in der Bereitstellungstopologie keine Schleifenverbindungen gibt.

Konfigurieren der Out-of-Band-Verwaltung auf SRX-Geräten

Sie können die fxp0 Out-of-Band-Managementschnittstelle auf dem Gerät der SRX-Serie als Layer-3-Schnittstelle konfigurieren, auch wenn Layer-2-Schnittstellen auf dem Gerät definiert sind. Mit Ausnahme der fxp0 Schnittstelle können Sie Layer-2- und Layer-3-Schnittstellen auf den Netzwerkports des Geräts definieren.

Anmerkung:

Auf den Geräten SRX300, SRX320 und SRX550M gibt es keine fxp0-Out-of-Band-Managementschnittstelle. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.)

Ethernet-Switching

Ethernet-Switching leitet die Ethernet-Frames innerhalb oder über das LAN-Segment (oder VLAN) mithilfe der Ethernet MAC-Adressinformationen weiter. Ethernet-Switching auf dem SRX1500-Gerät wird in der Hardware mitHILFE von ASICs ausgeführt.

Verwenden Sie ab Junos OS-Version 15.1X49-D40 den set protocols l2-learning global-mode(transparent-bridge | switching) Befehl, um zwischen dem transparenten Layer-2-Bridge-Modus und dem Ethernet-Switching-Modus zu wechseln. Nach dem Umschalten des Modus müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. Tabelle 2 beschreibt den globalen Standardmodus für Layer 2 auf Geräten der SRX-Serie.

Tabelle 2: Globaler Standardmodus für Layer 2 auf Geräten der SRX-Serie

Junos OS-Version

Plattformen

Globaler Standardmodus für Layer 2

Details

Vor Junos OS-Version 15.1X49-D50

und

Junos OS Version 17.3R1 ab

SRX300, SRX320, SRX340 und SRX345

Switching-Modus

Keine

Junos OS-Version 15.1X49-D50 auf Junos OS-Version 15.1X49-D90

SRX300, SRX320, SRX340 und SRX345

Switching-Modus

Wenn Sie die Globale Layer 2-Moduskonfiguration auf einem Gerät löschen, befindet sich das Gerät im transparenten Bridge-Modus.

Junos OS Version 15.1X49-D100 ab

SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M

Switching-Modus

Wenn Sie die Globale Layer 2-Moduskonfiguration auf einem Gerät löschen, befindet sich das Gerät im Switching-Modus. Konfigurieren Sie den set protocols l2-learning global-mode transparent-bridge Befehl unter der Hierarchieebene für den [edit] Wechsel zum transparenten Bridge-Modus. Starten Sie das Gerät neu, damit die Konfiguration wirksam wird.

Junos OS Version 15.1X49-D50 ab

SRX1500

Transparenter Bridge-Modus

Keine

Das im Switching-Modus unterstützte Layer-2-Protokoll ist das Link Aggregation Control Protocol (LACP).

Sie können den transparenten Layer-2-Modus auf einer redundanten Ethernet-Schnittstelle konfigurieren. Verwenden Sie die folgenden Befehle, um eine redundante Ethernet-Schnittstelle zu definieren:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Layer 2-Switching-Ausnahmen auf Geräten der SRX-Serie

Die Switching-Funktionen der Geräte der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Die folgenden Layer-2-Netzwerkfunktionen auf Routern der MX-Serie werden auf Geräten der SRX-Serie jedoch nicht unterstützt:

  • Layer 2-Kontrollprotokolle: Diese Protokolle werden auf Routern der MX-Serie für Rapid Spanning Tree Protocol (RSTP) oder Multiple Spanning Tree Protocol (MSTP) in Kunden-Edge-Schnittstellen einer VPLS-Routinginstanz verwendet.

  • Virtuelle Switch-Routing-Instanz: Die virtuelle Switching-Routing-Instanz wird auf Routern der MX-Serie zur Gruppierung eines oder mehrerer VLANs verwendet.

  • VPLS-Routinginstanz (Virtual Private LAN Services): Die VPLS-Routinginstanz wird auf Routern der MX-Serie für Point-to-Multipoint LAN-Implementierungen zwischen einer Reihe von Standorten in einem VPN verwendet.

Unicast verstehen

Unicasting ist der Akt des Sendens von Daten von einem Knoten des Netzwerks an einen anderen. Im Gegensatz dazu senden Multicast-Übertragungen Datenverkehr von einem Datenknoten zu mehreren anderen Datenknoten.

Unbekannter Unicast-Datenverkehr besteht aus Unicast-Frames mit unbekannten Ziel-MAC-Adressen. Standardmäßig überflutet der Switch diese Unicast-Frames, die in einem VLAN unterwegs sind, zu allen Schnittstellen, die Mitglieder des VLAN sind. Die Weiterleitung dieser Art von Datenverkehr an Schnittstellen auf dem Switch kann ein Sicherheitsproblem auslösen. Das LAN wird plötzlich mit Paketen überflutet, was zu unnötigem Datenverkehr führt, der zu schlechter Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkservices führt. Dies wird als Verkehrssturm bezeichnet.

Um einen Sturm zu verhindern, können Sie die Überflutung unbekannter Unicastpakete an alle Schnittstellen deaktivieren, indem Sie ein VLAN oder alle VLANs konfigurieren, um unbekannten Unicast-Datenverkehr an eine bestimmte Trunk-Schnittstelle weiterzuleiten. (Dies kanalisiert den unbekannten Unicast-Datenverkehr an eine einzige Schnittstelle.)

Informationen zum Layer 2-Broadcasting auf Switches

In einem Layer-2-Netzwerk bezieht sich Broadcasting auf das Senden von Datenverkehr an alle Knoten in einem Netzwerk.

Layer 2-Broadcast-Datenverkehr bleibt innerhalb einer LAN-Grenze; bekannt als Broadcast-Domain. Layer 2-Broadcast-Datenverkehr wird mit einer MAC-Adresse von FF:FF:FF:FF:FF:FF:FF an die Broadcast-Domäne gesendet. Jedes Gerät in der Broadcast-Domäne erkennt diese MAC-Adresse und übergibt den Broadcast-Datenverkehr gegebenenfalls an andere Geräte in der Broadcast-Domäne. Broadcasting kann mit Unicasting (Senden von Datenverkehr an einen einzelnen Knoten) oder Multicasting (gleichzeitige Übertragung von Datenverkehr an eine Gruppe von Knoten) verglichen werden.

Der Layer 3-Broadcast-Datenverkehr wird jedoch über eine Broadcast-Netzwerkadresse an alle Geräte in einem Netzwerk gesendet. Wenn Ihre Netzwerkadresse beispielsweise 10.0.0.0 ist, lautet die Broadcast-Netzwerkadresse 10.255.255.255. In diesem Fall empfangen nur Geräte, die zum Netzwerk 10.0.0.0 gehören, den Layer-3-Broadcast-Datenverkehr. Geräte, die nicht zu diesem Netzwerk gehören, löschen den Datenverkehr.

Broadcasting wird in folgenden Situationen verwendet:

  • Das Address Resolution Protocol (ARP) verwendet Broadcasting, um MAC-Adressen IP-Adressen zuzuordnen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Bevor IP-Unicastpakete gesendet werden können, erkennt ARP die MAC-Adresse, die von der Ethernet-Schnittstelle verwendet wird, an der die IP-Adresse konfiguriert ist.

  • Das Dynamic Host Configuration Protocol (DHCP) verwendet Broadcasting, um Hosts in einem Netzwerksegment oder Subnetz dynamisch IP-Adressen zuzuweisen.

  • Routing-Protokolle verwenden Broadcasting, um Routen zu werben.

Übermäßiger Broadcast-Datenverkehr kann manchmal zu einem Broadcast-Sturm führen. Ein Broadcast-Sturm tritt auf, wenn Nachrichten in einem Netzwerk gesendet werden, und jede Nachricht fordert einen empfangenden Knoten auf, zu reagieren, indem er seine eigenen Nachrichten im Netzwerk sendet. Dies wiederum führt zu weiteren Reaktionen, die einen Schneeballeffekt verursachen. Das LAN wird plötzlich mit Paketen überflutet, was zu unnötigem Datenverkehr führt, der zu schlechter Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkservices führt.

Verwenden der Enhanced Layer 2 Software CLI

Die erweiterte Layer 2-Software (ELS) bietet eine einheitliche CLI für die Konfiguration und Überwachung von Layer 2-Funktionen auf Switches der QFX-Serie, Switches der EX-Serie und anderen Geräten von Juniper Networks, wie Routern der MX-Serie. Mit ELS konfigurieren Sie Layer 2-Funktionen auf all diesen Geräten von Juniper Networks auf dieselbe Weise.

In diesem Thema erfahren Sie, ob Auf Ihrer Plattform ELS ausgeführt wird. Außerdem wird erläutert, wie sie einige häufige Aufgaben mithilfe des ELS-Konfigurationsstils ausführen.

Verstehen, welche Geräte ELS unterstützen

ELS wird automatisch unterstützt, wenn auf Ihrem Gerät eine Junos OS-Version ausgeführt wird, die sie unterstützt. Sie müssen keine Maßnahmen ergreifen, um ELS zu aktivieren, und Sie können ELS nicht deaktivieren. Informationen darüber, welche Plattformen und Versionen unterstützungs-ELS unterstützen, finden Sie im Feature Explorer .

Informationen zur Konfiguration von Layer 2-Funktionen mit ELS

Da ELS eine einheitliche CLI bereitstellt, können Sie nun die folgenden Aufgaben auf unterstützten Geräten auf die gleiche Weise ausführen:

VLAN-Konfiguration

Sie können ein oder mehrere VLANs für layer 2-Bridging konfigurieren. Die Layer 2-Bridging-Funktionen umfassen integriertes Routing und Bridging (IRB) zur Unterstützung von Layer 2-Bridging und Layer-3-IP-Routing an derselben Schnittstelle. Switches der EX- und QFX-Serie können als Layer-2-Switches mit jeweils mehreren Bridging- oder Broadcast-Domänen fungieren, die am selben Layer 2-Netzwerk teilnehmen. Sie können auch die Layer-3-Routingunterstützung für ein VLAN konfigurieren.

So konfigurieren Sie ein VLAN:

  1. Erstellen Sie das VLAN, indem Sie einen eindeutigen VLAN-Namen festlegen und die VLAN-ID konfigurieren:

    Mithilfe der VLAN-ID-Listenoption können Sie optional einen Bereich von VLAN-IDs angeben.

  2. Weisen Sie dem VLAN mindestens eine Schnittstelle zu:

Konfigurieren des nativen VLAN-Identifiers

Switches der EX- und QFX-Serie unterstützen Empfangen und Weiterleiten geroutete oder überbrückte Ethernet-Frames mit 802.1Q VLAN-Tags. In der Regel akzeptieren Trunk-Ports, die Switches miteinander verbinden, nicht vertagte Steuerungspakete, aber keine untaggierten Datenpakete. Sie können einen Trunk-Port aktivieren, um nicht blockierte Datenpakete zu akzeptieren, indem Sie eine native VLAN-ID an der Schnittstelle konfigurieren, an der die nicht blockierten Datenpakete empfangen werden sollen.

So konfigurieren Sie die native VLAN-ID:

  1. Legen Sie an der Schnittstelle, an der nicht infizierte Datenpakete empfangen werden sollen, den Schnittstellenmodus auf trunk, der angibt, dass sich die Schnittstelle in mehreren VLANs befindet und Datenverkehr zwischen verschiedenen VLANs multiplex werden kann.
  2. Konfigurieren Sie die native VLAN-ID und weisen Sie der nativen VLAN-ID die Schnittstelle zu:
  3. Zuweisen der Schnittstelle zur nativen VLAN-ID:

Konfigurieren von Layer-2-Schnittstellen

Um sicherzustellen, dass Ihr Netzwerk mit hohem Datenverkehr auf optimale Leistung eingestellt ist, konfigurieren Sie einige Einstellungen an den Netzwerkschnittstellen des Switches explizit.

So konfigurieren Sie eine Gigabit Ethernet-Schnittstelle oder eine 10-Gigabit Ethernet-Schnittstelle als trunk Schnittstelle:

So konfigurieren Sie eine Gigabit Ethernet-Schnittstelle oder eine 10-Gigabit Ethernet-Schnittstelle als access Schnittstelle:

So weisen Sie VLAN eine Schnittstelle zu:

Konfigurieren von Layer-3-Schnittstellen

Um eine Layer 3-Schnittstelle zu konfigurieren, müssen Sie der Schnittstelle eine IP-Adresse zuweisen. Sie weisen einer Schnittstelle eine Adresse zu, indem Sie die Adresse angeben, wenn Sie die Protokollfamilie konfigurieren. Konfigurieren Sie für die inet Bzw inet6 . Familie die Schnittstellen-IP-Adresse.

Sie können Schnittstellen mit einer 32-Bit-IP-Version 4 (IPv4)-Adresse und optional mit einem Ziel-Präfix konfigurieren, das manchmal auch als Subnetzmaske bezeichnet wird. Eine IPv4-Adresse verwendet eine Syntax mit 4 Oktetten gepunkteten Dezimaladressen (z. B. 192.168.1.1). Eine IPv4-Adresse mit Ziel-Präfix verwendet eine 4-Oktett gepunktete Dezimaladresssyntax mit angehängtem Ziel-Präfix (z. B. 192.168.1.1/16).

So geben Sie eine IP4-Adresse für die logische Einheit an:

Sie stellen IP-Version 6 -Adressen (IPv6) in hexadezimaler Notation dar, indem Sie eine durch Kolon getrennte Liste mit 16-Bit-Werten verwenden. Sie weisen einer Schnittstelle eine 128-Bit-IPv6-Adresse zu.

So geben Sie eine IP6-Adresse für die logische Einheit an:

Konfigurieren einer IRB-Schnittstelle

Integriertes Routing und Bridging (IRB) unterstützt Layer-2-Bridging und Layer-3-IP-Routing an derselben Schnittstelle. Mit IRB können Sie Pakete an eine andere geroutete Schnittstelle oder an ein VLAN routen, das ein Layer-3-Protokoll konfiguriert hat. Mit IRB-Schnittstellen kann das Gerät Pakete erkennen, die an lokale Adressen gesendet werden, sodass sie nach Möglichkeit überbrückt (geschaltet) werden und nur bei Bedarf geroutet werden. Jedes Mal, wenn Pakete geschaltet statt geroutet werden können, entfallen mehrere Verarbeitungsebenen. Eine Schnittstelle namens irb fungiert als logischer Router, auf dem Sie eine logische Layer-3-Schnittstelle für VLAN konfigurieren können. Zur Redundanz können Sie eine IRB-Schnittstelle mit Implementierungen des Virtual Router Redundancy Protocol (VRRP) sowohl in Bridging- als auch in Virtual Private LAN Service (VPLS)-Umgebungen kombinieren.

So konfigurieren Sie eine IRB-Schnittstelle:

  1. Erstellen Sie ein Layer-2-VLAN, indem Sie ihm einen Namen und eine VLAN-ID zuweisen:
  2. Eine logische IRB-Schnittstelle erstellen:
  3. Assoziieren Sie die IRB-Schnittstelle mit dem VLAN:

Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfigurieren von LACP auf dieser Schnittstelle

Verwenden Sie die Link Aggregation-Funktion, um eine oder mehrere Links zu einer virtuellen Link- oder Link Aggregation Group (LAG) zu aggregieren. Der MAC-Client kann diese virtuelle Verbindung so behandeln, als wäre es ein einziger Link, um die Bandbreite zu erhöhen, eine unterbrechungsfreie Verschlechterung bei einem Ausfall zu ermöglichen und die Verfügbarkeit zu erhöhen.

So konfigurieren Sie eine aggregierte Ethernet-Schnittstelle:

  1. Geben Sie die Anzahl aggregierter Ethernet-Schnittstellen an, die erstellt werden sollen:
  2. Geben Sie den Namen der Schnittstelle für die Linkaggregationsgruppe an:
  3. Geben Sie die mindeste Anzahl von Links für die aggregierte Ethernet-Schnittstelle (aex) an, das heißt das definierte Bündel, das beschriftet werden soll:
  4. Geben Sie die Verbindungsgeschwindigkeit für das aggregierte Ethernet-Paket an:
  5. Geben Sie die Mitglieder an, die im aggregierten Ethernet-Paket enthalten sein sollen:
  6. Geben Sie eine Schnittstellenfamilie für das aggregierte Ethernet-Paket an:

Für aggregierte Ethernet-Schnittstellen auf dem Gerät können Sie das Link Aggregation Control Protocol (LACP) konfigurieren. LACP bündelt mehrere physische Schnittstellen zu einer logischen Schnittstelle. Sie können aggregiertes Ethernet mit oder ohne aktiviertes LACP konfigurieren.

Wenn LACP aktiviert ist, enthält die lokale und remote Seite der aggregierten Ethernet-Verbindungen die Exchange Protocol Data Units (PDUs), die Informationen über den Zustand der Verbindung enthalten. Sie können Ethernet-Links so konfigurieren, dass SIE PDUs aktiv übertragen, oder Sie können die Links so konfigurieren, dass sie passiv übertragen werden. LACP-PDUs werden nur gesendet, wenn sie von einer anderen Verbindung empfangen werden. Eine Seite der Verbindung muss als aktiv konfiguriert werden, damit die Verbindung aktiviert werden kann.

So konfigurieren Sie LACP:

  1. Aktivieren Sie eine Seite der aggregierten Ethernet-Verbindung als aktiv:

  2. Geben Sie das Intervall an, in dem die Schnittstellen LACP-Pakete senden:

Informationen zu ELS-Konfigurationsanweisung und Befehlsänderungen

ELS wurde in Junos OS Version 12.3R2 für EX9200-Switches eingeführt. ELS ändert die CLI für einige der Layer-2-Funktionen auf unterstützten Switches der EX- und QFX-Serie.

In den folgenden Abschnitten finden Sie eine Liste vorhandener Befehle, die im Rahmen dieser CLI-Verbesserung auf neue Hierarchieebenen verschoben oder auf Switches der EX-Serie geändert wurden. Diese Abschnitte werden nur als übergeordnete Referenz bereitgestellt. Detaillierte Informationen zu diesen Befehlen erhalten Sie über die Links zu den bereitgestellten Konfigurationsanweisungen oder in der technischen Dokumentation.

Änderungen an den Ethernet-Switching-Optionen Hierarchieebene

In diesem Abschnitt werden die Änderungen an der ethernet-switching-options Hierarchieebene erläutert.

Anmerkung:

Die ethernet-switching-options Hierarchieebene wurde umbenannt in switch-options.

Tabelle 3: Umbenennen der Ethernet-Switching-Optionenhierarchie

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabelle 4: RTG-Aussagen

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabelle 5: Gelöschte Aussagen

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Die Anweisungen wurden aus der switch-options Hierarchie entfernt.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Die Anweisungen wurden aus der switch-options Hierarchie entfernt.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Anmerkung:

Die port-error-disable Erklärung wurde durch eine neue Erklärung ersetzt.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Änderungen an der Portspiegelungshierarchieebene

Anmerkung:

Anweisungen wurden von der ethernet-switching-options Hierarchieebene auf die forwarding-options Hierarchieebene verschoben.

Tabelle 6: Port-Spiegelungshierarchie

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Änderungen an der Layer-2-Kontrollprotokollhierarchieebene

Die Anweisungen des Kontrollprotokolls der Ebene 2 wurden von der ethernet-switching-options Hierarchie in die protocols Hierarchie verschoben.

Tabelle 7: Layer 2-Steuerungsprotokoll

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Änderungen an der dot1q-tunneling-Anweisung

Die dot1q-tunneling Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.

Tabelle 8: dot1q-tunneling

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Änderungen am L2 Learning Protocol

Die mac-table-aging-time Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.

Tabelle 9: Mac-Table Aging-Time-Anweisung

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Änderungen an Nonstop Bridging

Die nonstop-bridging Anweisung wurde auf eine andere Hierarchieebene verschoben.

Tabelle 10: Nonstop Bridging-Anweisung

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Änderungen an Portsicherheit und DHCP-Snooping

Portsicherheits- und DHCP-Snooping-Anweisungen wurden auf verschiedene Hierarchieebenen verschoben.

Anmerkung:

Die Anweisung examine-dhcp existiert nicht in der geänderten Hierarchie. DHCP-Snooping wird jetzt automatisch aktiviert, wenn andere DHCP-Sicherheitsfunktionen in einem VLAN aktiviert sind. Weitere Informationen finden Sie unter Konfigurieren von Portsicherheit (ELS ).

Tabelle 11: Portsicherheitsanweisungen

Ursprüngliche Hierarchie

Geänderte Hierarchie

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Tipp:

Für die zulässige Mac-Konfiguration wird die ursprüngliche Hierarchieanweisung set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 durch den ELS-Befehl ersetzt. set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Anmerkung:

DHCP-Snooping-Anweisungen wurden auf eine andere Hierarchieebene verschoben.

Tabelle 12: DHCP-Snooping-Anweisungen

Ursprüngliche Hierarchie

Geänderte Hierarchie

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Änderungen an der Konfiguration von VLANs

Die Anweisungen zur Konfiguration von VLANs wurden auf eine andere Hierarchieebene verschoben.

Anmerkung:

Ab Junos OS Version 14.1X53-D10 für EX4300- und EX4600-Switches können Sie xSTP bei Aktivierung auf einigen oder allen in einem VLAN enthaltenen Schnittstellen aktivieren. Wenn Sie beispielsweise VLAN 100 mit Schnittstellen ge-0/0/0, ge-0/0/1 und ge-0/0/2 konfigurieren und MSTP an den Schnittstellen ge-0/0/0 und ge-0/0/2 aktivieren möchten, können Sie die set protocols mstp interface ge-0/0/0 und set protocols mstp interface ge-0/0/2 Befehle angeben. In diesem Beispiel haben Sie MSTP an der Schnittstelle ge-0/0/1 nicht explizit aktiviert; daher ist MSTP auf dieser Schnittstelle nicht aktiviert.

Tabelle 13: VLAN-Hierarchie

Ursprüngliche Hierarchie

Geänderte Hierarchie

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Anmerkung:

Statement wird durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Diese Anweisungen wurden entfernt. Sie können einem VLAN über die [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] Hierarchie Schnittstellen zuweisen.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Anweisungen wurden entfernt.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Anmerkung:

Die Syntax wird geändert.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Erklärung wird entfernt. Eingehender Datenverkehr wird automatisch verfolgt.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Erklärung wird entfernt.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

Die Anweisung wurde in eine andere Hierarchie verschoben.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Erklärung wurde entfernt.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Erklärung wird entfernt.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Anmerkung:

Statement wurde durch eine neue Erklärung ersetzt.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Anmerkung:

Die Syntax wird geändert.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabelle 14: In eine andere Hierarchie verschobene Anweisungen

Ursprüngliche Hierarchie

Geänderte Hierarchie

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

Für dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

For layer2-protocol-tunneling (MAC-Rewrite auf einer Schnittstelle aktiviert):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Änderungen an Sturmkontrollprofilen

Die Sturmkontrolle wird in zwei Schritten konfiguriert. Der erste Schritt besteht darin, ein Sturmkontrollprofil auf Hierarchieebene [edit forwarding-options] zu erstellen, und der zweite Schritt besteht darin, das Profil an eine logische Schnittstelle auf Hierarchieebene [edit interfaces] zu binden. Siehe Beispiel: Konfigurieren von Storm Control zur Vermeidung von Netzwerkausfällen auf Switches der EX-Serie für die geänderte Vorgehensweise.

Tabelle 15: Änderungen an der Sturmsteuerungsprofilhierarchieebene

Ursprüngliche Hierarchie

Geänderte Hierarchie

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Änderungen an der Schnittstellenhierarchie

Anmerkung:

Anweisungen wurden in eine andere Hierarchie verschoben.

Tabelle 16: Änderungen an der Schnittstellenhierarchie

Ursprüngliche Hierarchie

Geänderte Hierarchie

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Anmerkung:

Statement wurde durch eine neue Erklärung ersetzt.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Anmerkung:

Statement wurde durch eine neue Erklärung ersetzt.

interfaces irb

Änderungen am IGMP-Snooping

Tabelle 17: IGMP-Snooping-Hierarchie

Ursprüngliche Hierarchie

Geänderte Hierarchie

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Verbesserte Layer 2 CLI-Konfigurationsanweisung und Befehlsänderungen für Sicherheitsgeräte

Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 werden einige Layer 2 CLI-Konfigurationsanweisungen verbessert und einige Befehle werden geändert. Tabelle 18 und Tabelle 19 listen vorhandene Befehle auf, die im Rahmen dieser CLI-Erweiterung in neue Hierarchien verschoben oder auf Geräten der SRX-Serie geändert wurden. Die Tabellen werden nur als übergeordnete Referenz bereitgestellt. Detaillierte Informationen zu diesen Befehlen finden Sie unter CLI-Explorer.

Tabelle 18: Verbesserte Änderungen der Layer 2-Konfigurationsanweisung

Ursprüngliche Hierarchie

Geänderte Hierarchie

Hierarchieebene

Beschreibung ändern

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[Bearbeiten]

Hierarchie umbenannt.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[vlans vlans-name bearbeiten]

Anweisung umbenannt.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[vlans vlans-name bearbeiten]

Anweisung umbenannt.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[Sicherheitsfluss bearbeiten]

Anweisung umbenannt.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[ Schnittstellenschnittstellenname bearbeiten ] Einheiteneinheitsnummer

Hierarchie umbenannt.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[vlans vlans-name bearbeiten]

Anweisung umbenannt.

Tabelle 19: Verbesserte Änderungen von Layer 2-Befehlsbefehlen

Ursprünglicher Betriebsbefehl

Geänderter Betriebsbefehl

Clear Bridge Mac-Tabelle

Clear Ethernet-Switching-Tabelle

Clear Bridge Mac-Table Persistent Learning

Clear Ethernet-Switching-Tabelle Persistent Learning

Bridge-Domäne anzeigen

VLANs anzeigen

Mac-Tabelle "Show Bridge"

Ethernet-Switching-Tabelle anzeigen

L2-Learning-Schnittstelle anzeigen

Ethernet-Switching-Schnittstelle anzeigen

Anmerkung:

Auf den Geräten SRX300, SRX320 und SRX500HM gibt es keine fxp0-Out-of-Band-Managementschnittstelle. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.)

Layer-2-Modus der nächsten Generation für die ACX-Serie

Der Layer 2-Modus der nächsten Generation, auch als Enhanced Layer 2 Software (ELS) bezeichnet, wird auf den Routern ACX5048, ACX5096 und ACX5448 zur Konfiguration von Layer-2-Funktionen unterstützt. Die Layer-2-CLI-Konfigurationen und Show-Befehle für die Router ACX5048, ACX5096 und ACX5448 unterscheiden sich von denen anderer Router der ACX-Serie (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 und ACX4000) und Router der MX-Serie.

Tabelle 20 zeigt die Unterschiede in der CLI-Hierarchie für die Konfiguration von Layer-2-Funktionen im Layer-2-Modus der nächsten Generation.

Tabelle 20: Unterschiede in der CLI-Hierarchie für Layer 2-Funktionen im Layer-2-Modus der nächsten Generation

Funktion

Router der SERIEN ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX

Router ACX5048, ACX5096 und ACX5448

Bridge-Domain

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Familie bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Layer 2-Optionen

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Ethernet-Optionen

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Integriertes Routing und Bridging (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Sturmkontrolle

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Internet Group Management Protocol (IGMP)-Snooping

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Firewall-Filter der Produktfamilie bridge

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabelle 21 zeigt die Unterschiede in show den Befehlen für Layer-2-Funktionen im Layer-2-Modus der nächsten Generation.

Tabelle 21: Unterschiede bei show-Befehlen für Layer-2-Funktionen im Layer-2-Modus der nächsten Generation

Funktion

Router der SERIEN ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX

Router ACX5048, ACX5096 und ACX5448

VLAN

show bridge-domain

show vlans

MAC-Tabelle

show bridge mac-table

show ethernet-switching table

MAC-Tabellenoptionen

show bridge mac-table(MAC-Adresse, Bridge-Domain-Name, Schnittstelle, VLAN-ID und Instanz)

show ethernet-switching table

Switch-Port-Auflistung mit VLAN-Zuweisungen

show l2-learning interface

show ethernet-switching interfaces

Kernelstatus der Flush-Datenbank

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Release-Verlaufstabelle
Release
Beschreibung
15.1X49-D40
Verwenden Sie ab Junos OS-Version 15.1X49-D40 den set protocols l2-learning global-mode(transparent-bridge | switching) Befehl, um zwischen dem transparenten Layer-2-Bridge-Modus und dem Ethernet-Switching-Modus zu wechseln.
15.1X49-D10
Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 werden einige Layer 2 CLI-Konfigurationsanweisungen verbessert und einige Befehle werden geändert.