Layer-2-Netzwerke
Überblick über Layer-2-Netzwerke
Schicht 2, auch als Datenverbindungsschicht bezeichnet, ist die zweite Ebene im siebenschichtigen OSI-Referenzmodell für das Netzwerkprotokolldesign. Schicht 2 entspricht der Verbindungsschicht (der untersten Schicht) im TCP/IP-Netzwerkmodell. Layer2 ist die Netzwerkschicht, die zum Übertragen von Daten zwischen benachbarten Netzwerkknoten in einem Weitverkehrsnetz oder zwischen Knoten im selben lokalen Netzwerk verwendet wird.
Ein Frame ist eine Protokolldateneinheit, die kleinste Einheit von Bits in einem Layer-2-Netzwerk. Frames werden an Geräte im selben lokalen Netzwerk (LAN) übertragen und von diesen empfangen. Unilke Bits, Frames haben eine definierte Struktur und können zur Fehlererkennung, für Aktivitäten auf der Steuerungsebene usw. verwendet werden. Nicht alle Frames enthalten Benutzerdaten. Das Netzwerk verwendet einige Frames, um die Datenverbindung selbst zu steuern.
Auf Layer 2 bezieht sich Unicast auf das Senden von Frames von einem Knoten an einen einzelnen anderen Knoten, während Multicast das Senden von Datenverkehr von einem Knoten an mehrere Knoten bezeichnet und Broadcasting sich auf die Übertragung von Frames an alle Knoten in einem Netzwerk bezieht. Eine Broadcast-Domäne ist eine logische Aufteilung eines Netzwerks, in der alle Knoten dieses Netzwerks auf Layer 2 durch einen Broadcast erreicht werden können.
Segmente eines LANs können auf Frame-Ebene über Bridges miteinander verknüpft werden. Bridging erstellt separate Broadcast-Domänen im LAN und erstellt VLANs, bei denen es sich um unabhängige logische Netzwerke handelt, die zusammengehörige Geräte in separaten Netzwerksegmenten gruppieren. Die Gruppierung von Geräten in einem VLAN ist unabhängig davon, wo sich die Geräte physisch im LAN befinden. Ohne Bridging und VLANs befinden sich alle Geräte im Ethernet-LAN in einer einzigen Broadcast-Domäne, und alle Geräte erkennen alle Pakete im LAN.
Weiterleitung ist die Weiterleitung von Paketen von einem Netzwerksegment zu einem anderen durch Knoten im Netzwerk. In einem VLAN wird ein Frame, dessen Ursprung und Ziel sich im selben VLAN befinden, nur innerhalb des lokalen VLANs weitergeleitet. Ein Netzwerksegment ist ein Teil eines Computernetzwerks, in dem jedes Gerät über dieselbe physikalische Schicht kommuniziert.
Layer 2 enthält zwei Sublayer:
LLC-Sublayer (Logical Link Control), der für die Verwaltung von Kommunikationsverbindungen und die Verarbeitung von Frame-Datenverkehr zuständig ist.
MAC-Sublayer (Media Access Control), die den Protokollzugriff auf das physische Netzwerkmedium regelt. Durch die Verwendung der MAC-Adressen, die allen Ports eines Switches zugewiesen sind, können sich mehrere Geräte auf derselben physischen Verbindung eindeutig identifizieren.
Die Ports oder Schnittstellen eines Switches werden entweder im Zugriffsmodus, im Tagged-Access- oder im Trunk-Modus betrieben:
Zugriffsmodus-Ports stellen eine Verbindung zu einem Netzwerkgerät her, z. B. einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Überwachungskamera. Der Port selbst gehört zu einem einzelnen VLAN. Bei den Frames, die über eine Zugriffsschnittstelle übertragen werden, handelt es sich um normale Ethernet-Frames. Standardmäßig befinden sich alle Ports eines Switches im Zugriffsmodus.
Ports im Tagged-Access-Modus stellen eine Verbindung zu einem Netzwerkgerät her, z. B. einem Desktop-Computer, einem IP-Telefon, einem Drucker, einem Dateiserver oder einer Überwachungskamera. Der Port selbst gehört zu einem einzelnen VLAN. Bei den Frames, die über eine Zugriffsschnittstelle übertragen werden, handelt es sich um normale Ethernet-Frames. Standardmäßig befinden sich alle Ports eines Switches im Zugriffsmodus. Der Tagged-Access-Modus unterstützt Cloud Computing, insbesondere Szenarien wie virtuelle Maschinen oder virtuelle Computer. Da mehrere virtuelle Computer auf einem physischen Server enthalten sein können, können die von einem Server generierten Pakete eine Aggregation von VLAN-Paketen von verschiedenen virtuellen Maschinen auf diesem Server enthalten. Um dieser Situation Rechnung zu tragen, reflektiert der Tagged-Access-Modus Pakete an den physischen Server auf demselben Downstream-Port, wenn die Zieladresse des Pakets auf diesem Downstream-Port gelernt wurde. Pakete werden auch an den physischen Server auf dem Downstream-Port zurückgespiegelt, wenn das Ziel noch nicht gelernt wurde. Daher weist der dritte Schnittstellenmodus, Tagged Access, einige Merkmale des Zugriffsmodus und einige Merkmale des Trunk-Modus auf:
Ports im Trunk-Modus verarbeiten den Datenverkehr für mehrere VLANs und multiplexen den Datenverkehr für alle diese VLANs über dieselbe physische Verbindung. Trunk-Schnittstellen werden im Allgemeinen verwendet, um Switches mit anderen Geräten oder Switches zu verbinden.
Wenn natives VLAN konfiguriert ist, werden Frames, die keine VLAN-Tags tragen, über die Trunk-Schnittstelle gesendet. Wenn Sie eine Situation haben, in der Pakete von einem Gerät an einen Switch im Zugriffsmodus übergeben werden und Sie diese Pakete dann vom Switch über einen Trunk-Port senden möchten, verwenden Sie den nativen VLAN-Modus. Konfigurieren Sie das einzelne VLAN am Port des Switches (der sich im Zugriffsmodus befindet) als natives VLAN. Der Trunk-Port des Switches behandelt diese Frames dann anders als die anderen getaggten Pakete. Wenn einem Trunk-Port beispielsweise drei VLANs (10, 20 und 30) zugewiesen sind, wobei VLAN 10 das native VLAN ist, haben Frames in VLAN 10, die den Trunk-Port am anderen Ende verlassen, keinen 802.1Q-Header (Tag). Es gibt eine weitere native VLAN-Option. Sie können festlegen, dass der Switch Tags für nicht getaggte Pakete hinzufügt und entfernt. Dazu konfigurieren Sie zunächst das einzelne VLAN als natives VLAN an einem Port, der an ein Gerät am Edge angeschlossen ist. Weisen Sie dann dem einzelnen nativen VLAN auf dem mit einem Gerät verbundenen Port ein VLAN-ID-Tag zu. Fügen Sie zuletzt die VLAN-ID zum Trunk-Port hinzu. Wenn der Switch nun das nicht getaggte Paket empfängt, fügt er die von Ihnen angegebene ID hinzu und sendet und empfängt die getaggten Pakete auf dem Trunk-Port, der für die Annahme dieses VLANs konfiguriert ist.
Einschließlich der Sublayer unterstützt Layer 2 der QFX-Serie die folgenden Funktionen:
Unicast-, Multicast- und Broadcast-Datenverkehr.
Überbrückung.
VLAN 802.1Q - Dieses Protokoll, das auch als VLAN-Tagging bezeichnet wird, ermöglicht es mehreren Bridged-Netzwerken, dieselbe physische Netzwerkverbindung transparent zu nutzen, indem VLAN-Tags zu einem Ethernet-Frame hinzugefügt werden.
Die Erweiterung von Layer-2-VLANs über mehrere Switches mithilfe des Spanning Tree Protocol (STP) verhindert Schleifen im gesamten Netzwerk.
MAC-Lernen, einschließlich MAC-Lernen pro VLAN und Unterdrückung des Layer-2-Lernens: Dieser Prozess ruft die MAC-Adressen aller Knoten in einem Netzwerk ab
Link Aggregation: Hierbei werden Gruppen von Ethernet-Schnittstellen auf der physischen Ebene verarbeitet, um eine einzelne Link Layer-Schnittstelle zu bilden, die auch als Link Aggregation Group (LAG) oder LAG-Bündel bezeichnet wird
HINWEIS:Link-Aggregation wird auf NFX150-Geräten nicht unterstützt.
Sturmsteuerung am physischen Port für Unicast, Multicast und Broadcast
HINWEIS:Storm Control wird auf NFX150-Geräten nicht unterstützt.
STP-Unterstützung, einschließlich 802.1d, RSTP, MSTP und Root Guard
Siehe auch
Grundlegendes zu VLANs
Ein VLAN (virtuelles LAN) ist eine Ansammlung von Netzwerkknoten, die zu separaten Broadcast-Domänen zusammengefasst sind. In einem Ethernet-Netzwerk, bei dem es sich um ein einzelnes LAN handelt, wird der gesamte Datenverkehr an alle Knoten im LAN weitergeleitet. In VLANs werden Frames, deren Ursprung und Ziel sich im selben VLAN befinden, nur innerhalb des lokalen VLANs weitergeleitet. Frames, die nicht für das lokale VLAN bestimmt sind, sind die einzigen, die an andere Broadcast-Domänen weitergeleitet werden. VLANs begrenzen somit die Menge des Datenverkehrs, der durch das gesamte LAN fließt, und reduzieren die mögliche Anzahl von Kollisionen und Paketwiederholungen innerhalb eines VLANs und im gesamten LAN.
In einem Ethernet-LAN müssen alle Netzwerkknoten physisch mit demselben Netzwerk verbunden sein. In VLANs ist der physische Standort der Knoten nicht wichtig. Daher können Sie Netzwerkgeräte auf jede für Ihre Organisation sinnvolle Weise gruppieren, z. B. nach Abteilung oder Geschäftsfunktion, nach Typen von Netzwerkknoten oder nach physischem Standort. Jedes VLAN wird durch ein einzelnes IP-Subnetz und eine standardisierte IEEE 802.1Q-Kapselung identifiziert.
Um zu identifizieren, zu welchem VLAN der Datenverkehr gehört, werden alle Frames in einem Ethernet-VLAN durch ein Tag identifiziert, wie im IEEE 802.1Q-Standard definiert. Diese Frames sind mit 802.1Q-Tags gekennzeichnet und gekapselt.
Für ein einfaches Netzwerk mit nur einem einzigen VLAN hat der gesamte Datenverkehr dasselbe 802.1Q-Tag. Wenn ein Ethernet-LAN in VLANs unterteilt ist, wird jedes VLAN durch ein eindeutiges 802.1Q-Tag identifiziert. Das Tag wird auf alle Frames angewendet, damit die Netzwerkknoten, die die Frames empfangen, wissen, zu welchem VLAN ein Frame gehört. Trunk-Ports, die den Datenverkehr zwischen einer Reihe von VLANs multiplexen, verwenden das Tag, um den Ursprung von Frames zu bestimmen und zu bestimmen, wohin sie weitergeleitet werden sollen.
Siehe auch
Ethernet-Switching und transparenter Layer-2-Modus – Übersicht
Der transparente Layer-2-Modus bietet die Möglichkeit, die Firewall bereitzustellen, ohne Änderungen an der vorhandenen Routing-Infrastruktur vorzunehmen. Die Firewall wird als Layer-2-Switch mit mehreren VLAN-Segmenten bereitgestellt und bietet Sicherheitsdienste innerhalb von VLAN-Segmenten. Secure Wire ist eine spezielle Version des transparenten Layer-2-Modus, der eine Bump-in-Wire-Bereitstellung ermöglicht.
Ein Gerät arbeitet im transparenten Modus, wenn Schnittstellen vorhanden sind, die als Layer-2-Schnittstellen definiert sind. Das Gerät arbeitet im Routing-Modus (Standardmodus), wenn keine physischen Schnittstellen als Layer-2-Schnittstellen konfiguriert sind.
Für Firewalls der SRX-Serie bietet der transparente Modus vollständige Sicherheitsservices für Layer-2-Switching-Funktionen. Auf diesen Firewalls der SRX-Serie können Sie ein oder mehrere VLANs für die Durchführung von Layer-2-Switching konfigurieren. Ein VLAN besteht aus einer Reihe logischer Schnittstellen, die dieselben Flooding- oder Broadcast-Eigenschaften aufweisen. Wie ein virtuelles LAN (VLAN) erstreckt sich ein VLAN über einen oder mehrere Ports mehrerer Geräte. So kann die Firewall der SRX-Serie als Layer-2-Switch mit mehreren VLANs fungieren, die am selben Layer-2-Netzwerk beteiligt sind.
Im transparenten Modus filtert die Firewall der SRX-Serie Pakete, die das Gerät durchlaufen, ohne die Quell- oder Zielinformationen in den IP-Paket-Headern zu ändern. Der transparente Modus ist nützlich für den Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen erhalten, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.
Im transparenten Modus werden alle physischen Ports des Geräts Layer-2-Schnittstellen zugewiesen. Leiten Sie keinen Layer-3-Datenverkehr über das Gerät. Layer-2-Zonen können für das Hosten von Layer-2-Schnittstellen konfiguriert werden, und zwischen Layer-2-Zonen können Sicherheitsrichtlinien definiert werden. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien für diese Pakete durchgesetzt werden.
Tabelle 1 Listet die Sicherheitsfunktionen auf, die im transparenten Modus für Layer-2-Switching unterstützt werden und welche nicht.
Modus-Typ |
Unterstützt |
Nicht unterstützt |
|---|---|---|
Transparenter Modus |
|
|
Auf SRX300-, SRX320-, SRX340-, SRX345- und SRX550M-Geräten wird die DHCP-Serverweitergabe im transparenten Layer-2-Modus nicht unterstützt.
Darüber hinaus unterstützen die Firewalls der SRX-Serie die folgenden Layer-2-Funktionen im transparenten Layer-2-Modus nicht:
Spanning Tree Protocol (STP), RSTP oder MSTP – Es liegt in der Verantwortung des Benutzers, sicherzustellen, dass keine Überflutungsschleifen in der Netzwerktopologie vorhanden sind.
Internet Group Management Protocol (IGMP) Snooping – Host-zu-Router-Signalisierungsprotokoll für IPv4, das verwendet wird, um ihre Multicast-Gruppenmitgliedschaften an benachbarte Router zu melden und zu bestimmen, ob Gruppenmitglieder während des IP-Multicastings vorhanden sind.
Doppelt getaggte VLANs oder IEEE 802.1Q-VLAN-IDs, die in 802.1Q-Paketen gekapselt sind (auch als "Q in Q"-VLAN-Tagging bezeichnet)—Auf Firewalls der SRX-Serie werden nur nicht getaggte oder einfach getaggte VLAN-IDs unterstützt.
Nicht qualifiziertes VLAN-Lernen, bei dem nur die MAC-Adresse für das Lernen innerhalb des VLANs verwendet wird: VLAN-Lernen auf Firewalls der SRX-Serie ist qualifiziert, d. h., es werden sowohl die VLAN-Kennung als auch die MAC-Adresse verwendet.
Außerdem werden auf SRX100-, SRX110-, SRX210-, SRX220-, SRX240-, SRX300-, SRX320-, SRX340-, SRX345-, SRX550- oder SRX650-Geräten einige Funktionen nicht unterstützt. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.) Die folgenden Funktionen werden für den transparenten Layer-2-Modus auf den genannten Geräten nicht unterstützt:
G-ARP auf der Layer-2-Schnittstelle
Überwachung von IP-Adressen auf jeder Schnittstelle
Transitverkehr über IRB
IRB-Schnittstelle in einer Routinginstanz
Handhabung des Layer-3-Datenverkehrs durch IRB-Schnittstelle
HINWEIS:Die IRB-Schnittstelle ist eine Pseudoschnittstelle und gehört nicht zur reth-Schnittstelle und Redundanzgruppe.
- Transparenter Layer-2-Modus auf dem SRX5000-Line-Modul Portkonzentrator
- Grundlegendes zu IPv6-Datenströmen im transparenten Modus auf Sicherheitsgeräten
- Grundlegendes zu Layer-2-Chassis-Clustern im transparenten Modus auf Sicherheitsgeräten
- Konfigurieren der Out-of-Band-Verwaltung auf Firewalls der SRX-Serie
- Ethernet-Switching
- Layer-2-Switching-Ausnahmen auf Geräten der SRX-Serie
Transparenter Layer-2-Modus auf dem SRX5000-Line-Modul Portkonzentrator
Der Module Port Concentrator (SRX5K-MPC) der SRX5000-Reihe unterstützt den transparenten Layer-2-Modus und verarbeitet den Datenverkehr, wenn die Firewall der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist.
Wenn der SRX5K-MPC im Layer-2-Modus betrieben wird, können Sie alle Schnittstellen auf dem SRX5K-MPC als Layer-2-Switching-Ports konfigurieren, um Layer-2-Datenverkehr zu unterstützen.
Die Security Processing Unit (SPU) unterstützt alle Sicherheitsdienste für Layer-2-Switching-Funktionen, und die MPC liefert die eingehenden Pakete an die SPU und leitet die von der SPU gekapselten Ausgangspakete an die ausgehenden Schnittstellen weiter.
Wenn die Firewall der SRX-Serie im transparenten Layer-2-Modus konfiguriert ist, können Sie die Schnittstellen auf dem MPC für die Arbeit im Layer-2-Modus aktivieren, indem Sie eine oder mehrere logische Einheiten auf einer physischen Schnittstelle mit dem Familienadresstyp als definieren.Ethernet switching Später können Sie mit der Konfiguration von Layer-2-Sicherheitszonen und der Konfiguration von Sicherheitsrichtlinien im transparenten Modus fortfahren. Sobald dies geschehen ist, werden Next-Hop-Topologien eingerichtet, um eingehende und ausgehende Pakete zu verarbeiten.
Grundlegendes zu IPv6-Datenströmen im transparenten Modus auf Sicherheitsgeräten
Im transparenten Modus filtert die Firewall der SRX-Serie Pakete, die das Gerät durchlaufen, ohne die Quell- oder Zielinformationen in den MAC-Headern der Pakete zu ändern. Der transparente Modus ist nützlich für den Schutz von Servern, die hauptsächlich Datenverkehr von nicht vertrauenswürdigen Quellen erhalten, da die IP-Einstellungen von Routern oder geschützten Servern nicht neu konfiguriert werden müssen.
Ein Gerät arbeitet im transparenten Modus, wenn alle physischen Schnittstellen auf dem Gerät als Layer-2-Schnittstellen konfiguriert sind. Eine physische Schnittstelle ist eine Layer-2-Schnittstelle, wenn ihre logische Schnittstelle mit der Option auf der Hierarchieebene [] konfiguriert ist.ethernet-switchingedit interfaces interface-name unit unit-number family Es gibt keinen Befehl zum Definieren oder Aktivieren des transparenten Modus auf dem Gerät. Das Gerät arbeitet im transparenten Modus, wenn Schnittstellen vorhanden sind, die als Layer-2-Schnittstellen definiert sind. Das Gerät arbeitet im Routenmodus (Standardmodus), wenn alle physischen Schnittstellen als Layer-3-Schnittstellen konfiguriert sind.
Standardmäßig werden IPv6-Datenströme auf Sicherheitsgeräten verworfen. Um die Verarbeitung durch Sicherheitsfunktionen wie Zonen, Bildschirme und Firewallrichtlinien zu aktivieren, müssen Sie die datenflussbasierte Weiterleitung für IPv6-Datenverkehr mit der Konfigurationsoption auf der Hierarchieebene [] aktivieren.mode flow-basededit security forwarding-options family inet6 Sie müssen das Gerät neu starten, wenn Sie den Modus ändern.
Im transparenten Modus können Sie Layer-2-Zonen für das Hosten von Layer-2-Schnittstellen konfigurieren und Sicherheitsrichtlinien zwischen Layer-2-Zonen definieren. Wenn Pakete zwischen Layer-2-Zonen übertragen werden, können Sicherheitsrichtlinien für diese Pakete durchgesetzt werden. Die folgenden Sicherheitsfunktionen werden für IPv6-Datenverkehr im transparenten Modus unterstützt:
Layer-2-Sicherheitszonen und Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Grundlegendes zu Layer-2-Sicherheitszonen und Grundlegendes zu Sicherheitsrichtlinien im transparenten Modus .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-layer-2-security-zoneshttps://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-security-policies-in-transparent-mode
Firewall-Benutzerauthentifizierung. Weitere Informationen finden Sie unter Grundlegendes zur Firewall-Benutzerauthentifizierung im transparenten Modus .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-firewall-user-authentication-in-transparent-mode
Layer-2-Gehäuse-Cluster im transparenten Modus.
Class-of-Service-Funktionen . Weitere Informationen finden Sie unter Übersicht über Class-of-Service-Funktionen im transparenten Modus.https://www.juniper.net/documentation/en_US/junos/topics/concept/security-class-of-service-function-transparent-mode-overview.html
Die folgenden Sicherheitsfunktionen werden für IPv6-Datenströme im transparenten Modus nicht unterstützt:
Logische Systeme
IPv6 GTPv2
J-Web-Schnittstelle
NAT
IPsec-VPN
Mit Ausnahme von DNS-, FTP- und TFTP-ALGs werden alle anderen ALGs nicht unterstützt.
Die Konfiguration von VLANs und logischen Layer-2-Schnittstellen für IPv6-Flows entspricht der Konfiguration von VLANs und logischen Layer-2-Schnittstellen für IPv4-Flows. Optional können Sie eine integrierte Routing- und Bridging-Schnittstelle (IRB) für die Verwaltung des Datenverkehrs in einem VLAN konfigurieren. Die IRB-Schnittstelle ist die einzige Layer-3-Schnittstelle, die im transparenten Modus zulässig ist. Die IRB-Schnittstelle der Firewall der SRX-Serie unterstützt keine Weiterleitung oder Weiterleitung des Datenverkehrs. Die IRB-Schnittstelle kann sowohl mit IPv4- als auch mit IPv6-Adressen konfiguriert werden. Sie können der IRB-Schnittstelle mit der Konfigurationsanweisung auf der Hierarchieebene [] eine IPv6-Adresse zuweisen.addressedit interfaces irb unit number family inet6 Sie können der IRB-Schnittstelle mit der Konfigurationsanweisung auf der Hierarchieebene [] eine IPv4-Adresse zuweisen.addressedit interfaces irb unit number family inet
Die Ethernet-Switching-Funktionen der Firewalls der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Allerdings werden nicht alle Layer-2-Netzwerkfunktionen, die auf Routern der MX-Serie unterstützt werden, auch auf Firewalls der SRX-Serie. Weitere Informationen finden Sie unter Übersicht über Ethernet-Switching und transparenten Layer-2-Modus.https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/layer-2-understanding.html#id-ethernet-switching-and-layer-2-transparent-mode-overview
Die Firewall der SRX-Serie verwaltet Weiterleitungstabellen, die MAC-Adressen und zugehörige Schnittstellen für jedes Layer-2-VLAN enthalten. Die IPv6-Datenstromverarbeitung ähnelt der IPv4-Datenstromverarbeitung. Siehe .Layer 2-Lernen und Weiterleitung für VLANs – Übersicht
Grundlegendes zu Layer-2-Chassis-Clustern im transparenten Modus auf Sicherheitsgeräten
Ein Paar Firewalls der SRX-Serie im transparenten Layer-2-Modus kann in einem Chassis-Cluster verbunden werden, um Netzwerkknotenredundanz zu gewährleisten. Bei der Konfiguration in einem Chassis-Cluster fungiert ein Knoten als primäres Gerät und der andere als sekundäres Gerät und gewährleistet so ein zustandsbehaftetes Failover von Prozessen und Services im Falle eines System- oder Hardwareausfalls. Wenn das primäre Gerät ausfällt, übernimmt das sekundäre Gerät die Verarbeitung des Datenverkehrs.
Wenn das primäre Gerät in einem Chassis-Cluster im transparenten Layer-2-Modus ausfällt, werden die physischen Ports im ausgefallenen Gerät für einige Sekunden inaktiv (fallen aus), bevor sie wieder aktiv werden (hochgefahren werden).
Um einen Gehäuse-Cluster zu bilden, wird ein Paar der gleichen Art von unterstützten Firewalls der SRX-Serie zu einem einzigen System kombiniert, das die gleiche Gesamtsicherheit durchsetzt.
Geräte im transparenten Layer-2-Modus können in Aktiv-/Backup- und Aktiv/Aktiv-Chassis-Cluster-Konfigurationen bereitgestellt werden.
Die folgenden Chassis-Cluster-Funktionen werden für Geräte im transparenten Layer-2-Modus nicht unterstützt:
Gratuitous ARP: Der neu gewählte primäre Primäre in einer Redundanzgruppe kann keine unentgeltlichen ARP-Anfragen senden, um Netzwerkgeräte über eine Änderung der primären Rolle auf den redundanten Ethernet-Schnittstellenverbindungen zu informieren.
Überwachung von IP-Adressen: Der Ausfall eines vorgeschalteten Geräts kann nicht erkannt werden.
Eine Redundanzgruppe ist ein Konstrukt, das eine Sammlung von Objekten auf beiden Knoten enthält. Eine Redundanzgruppe ist auf einem Knoten primär und auf dem anderen Backup die Sicherung. Wenn eine Redundanzgruppe auf einem Knoten primär ist, sind ihre Objekte auf diesem Knoten aktiv. Wenn für eine Redundanzgruppe ein Failover ausgeführt wird, wird für alle ihre Objekte zusammen ein Failover ausgeführt.
Sie können eine oder mehrere Redundanzgruppen mit den Nummern 1 bis 128 für eine Aktiv/Aktiv-Chassis-Clusterkonfiguration erstellen. Jede Redundanzgruppe enthält eine oder mehrere redundante Ethernet-Schnittstellen. Eine redundante Ethernet-Schnittstelle ist eine Pseudoschnittstelle, die physische Schnittstellen von jedem Knoten des Clusters enthält. Die physischen Schnittstellen in einer redundanten Ethernet-Schnittstelle müssen vom gleichen Typ sein – entweder Fast Ethernet oder Gigabit Ethernet. Wenn eine Redundanzgruppe auf Knoten 0 aktiv ist, dann sind die untergeordneten Links aller zugehörigen redundanten Ethernet-Schnittstellen auf Knoten 0 aktiv. Wenn die Redundanzgruppe ein Failover auf Knoten 1 durchführt, werden die untergeordneten Verbindungen aller redundanten Ethernet-Schnittstellen auf Knoten 1 aktiv.
In der Aktiv/Aktiv-Chassis-Cluster-Konfiguration entspricht die maximale Anzahl der Redundanzgruppen der Anzahl der redundanten Ethernet-Schnittstellen, die Sie konfigurieren. In der Aktiv-/Backup-Chassis-Cluster-Konfiguration werden maximal zwei Redundanzgruppen unterstützt.
Die Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im transparenten Layer-2-Modus ähnelt der Konfiguration redundanter Ethernet-Schnittstellen auf einem Gerät im Layer-3-Routing-Modus, mit folgendem Unterschied: Die redundante Ethernet-Schnittstelle auf einem Gerät im transparenten Layer-2-Modus ist als logische Layer-2-Schnittstelle konfiguriert.
Die redundante Ethernet-Schnittstelle kann entweder als Zugriffsschnittstelle (mit einer einzigen VLAN-ID, die den auf der Schnittstelle empfangenen nicht getaggten Paketen zugewiesen ist) oder als Trunk-Schnittstelle (mit einer Liste der auf der Schnittstelle akzeptierten VLAN-IDs und optional einer nativen VLAN-ID für nicht getaggte Pakete, die auf der Schnittstelle empfangen werden) konfiguriert werden. Physische Schnittstellen (eine von jedem Knoten im Chassis-Cluster) sind als untergeordnete Schnittstellen an die übergeordnete redundante Ethernet-Schnittstelle gebunden.
Im transparenten Layer-2-Modus basiert das MAC-Lernen auf der redundanten Ethernet-Schnittstelle. Die MAC-Tabelle wird über redundante Ethernet-Schnittstellen und SPUs (Services Processing Units) zwischen den beiden Chassis-Cluster-Geräten synchronisiert.
Die IRB-Schnittstelle wird nur für den Verwaltungsdatenverkehr verwendet und kann keiner redundanten Ethernet-Schnittstelle oder Redundanzgruppe zugewiesen werden.
Alle Junos OS-Bildschirmoptionen, die für ein einzelnes, nicht geclustertes Gerät verfügbar sind, sind auch für Geräte in Chassis-Clustern im transparenten Layer-2-Modus verfügbar.
Spanning Tree Protocols (STPs) werden für den transparenten Layer-2-Modus nicht unterstützt. Sie müssen sicherstellen, dass in der Bereitstellungstopologie keine Schleifenverbindungen vorhanden sind.
Konfigurieren der Out-of-Band-Verwaltung auf Firewalls der SRX-Serie
Sie können die Out-of-Band-Verwaltungsschnittstelle auf der Firewall der SRX-Serie als Layer-3-Schnittstelle konfigurieren, auch wenn auf dem Gerät Layer-2-Schnittstellen definiert sind.fxp0 Mit Ausnahme der Schnittstelle können Sie Layer-2- und Layer-3-Schnittstellen an den Netzwerkports des Geräts definieren.fxp0
Auf den Geräten SRX300, SRX320 und SRX550M gibt es keine fxp0-Out-of-Band-Verwaltungsschnittstelle. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.)
Ethernet-Switching
Ethernet-Switching leitet die Ethernet-Frames innerhalb oder über das LAN-Segment (oder VLAN) unter Verwendung der Ethernet-MAC-Adressinformationen weiter. Die Ethernet-Umschaltung auf dem SRX1500 Gerät erfolgt in der Hardware mithilfe von ASICs.
Verwenden Sie ab Junos OS Version 15.1X49-D40 den Befehl, um zwischen dem transparenten Layer-2-Bridge-Modus und dem Ethernet-Switching-Modus zu wechseln.set protocols l2-learning global-mode(transparent-bridge | switching) Nachdem Sie den Modus gewechselt haben, müssen Sie das Gerät neu starten, damit die Konfiguration wirksam wird. beschreibt den standardmäßigen globalen Layer-2-Modus auf Firewalls der SRX-Serie.Tabelle 2
Junos OS-Version |
Plattformen |
Standardmäßiger globaler Layer-2-Modus |
Details |
|---|---|---|---|
Vor Junos OS Version 15.1X49-D50 und Junos OS Version 17.3R1 und höher |
SRX300, SRX320, SRX340 und SRX345 |
Umschaltmodus |
Keine |
Junos OS Version 15.1X49-D50 bis Junos OS Version 15.1X49-D90 |
SRX300, SRX320, SRX340 und SRX345 |
Umschaltmodus |
Wenn Sie die Konfiguration des globalen Layer-2-Modus auf einem Gerät löschen, befindet sich das Gerät im transparenten Bridge-Modus. |
Junos OS Version 15.1X49-D100 und höher |
SRX300, SRX320, SRX340, SRX345, SRX550 und SRX550M |
Umschaltmodus |
Wenn Sie die Konfiguration des globalen Layer-2-Modus auf einem Gerät löschen, befindet sich das Gerät im Switching-Modus. Konfigurieren Sie den Befehl unter der Hierarchieebene, um in den transparenten Bridge-Modus zu wechseln. |
Junos OS Version 15.1X49-D50 und höher |
SRX1500 |
Transparenter Bridge-Modus |
Keine |
Das Layer-2-Protokoll, das im Switching-Modus unterstützt wird, ist das Link Aggregation Control Protocol (LACP).
Sie können den transparenten Layer-2-Modus auf einer redundanten Ethernet-Schnittstelle konfigurieren. Verwenden Sie die folgenden Befehle, um eine redundante Ethernet-Schnittstelle zu definieren:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Layer-2-Switching-Ausnahmen auf Geräten der SRX-Serie
Die Switching-Funktionen der Firewalls der SRX-Serie ähneln den Switching-Funktionen der Router der MX-Serie von Juniper Networks. Die folgenden Layer-2-Netzwerkfunktionen auf Routern der MX-Serie werden jedoch auf Firewalls der SRX-Serie nicht unterstützt:
Layer-2-Kontrollprotokolle: Diese Protokolle werden auf Routern der MX-Serie für das Rapid Spanning Tree Protocol (RSTP) oder Multiple Spanning Tree Protocol (MSTP) in Kunden-Edge-Schnittstellen einer VPLS-Routing-Instanz verwendet.
Virtuelle Switch-Routing-Instanz: Die virtuelle Switching-Routing-Instanz wird auf Routern der MX-Serie verwendet, um ein oder mehrere VLANs zu gruppieren.
VPLS-Routing-Instanz (Virtual Private LAN Services): Die VPLS-Routing-Instanz wird auf Routern der MX-Serie für Punkt-zu-Mehrpunkt-LAN-Implementierungen zwischen einer Reihe von Standorten in einem VPN verwendet.
Siehe auch
Grundlegendes zu Unicast
Unicasting ist das Senden von Daten von einem Knoten des Netzwerks zu einem anderen. Im Gegensatz dazu wird bei Multicast-Übertragungen Datenverkehr von einem Datenknoten zu mehreren anderen Datenknoten gesendet.
Unbekannter Unicast-Datenverkehr besteht aus Unicast-Frames mit unbekannten MAC-Zieladressen. Standardmäßig flutet der Switch diese Unicast-Frames, die in einem VLAN übertragen werden, an alle Schnittstellen, die Mitglieder des VLANs sind. Die Weiterleitung dieser Art von Datenverkehr an Schnittstellen auf dem Switch kann ein Sicherheitsproblem auslösen. Das LAN wird plötzlich mit Paketen überflutet, wodurch unnötiger Datenverkehr entsteht, der zu einer schlechten Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkdienstes führt. Dies wird als Verkehrssturm bezeichnet.
Um einen Sturm zu verhindern, können Sie die Überflutung unbekannter Unicast-Pakete an alle Schnittstellen deaktivieren, indem Sie ein VLAN oder alle VLANs so konfigurieren, dass unbekannter Unicast-Datenverkehr an eine bestimmte Trunk-Schnittstelle weitergeleitet wird. (Dadurch wird der unbekannte Unicast-Datenverkehr an eine einzelne Schnittstelle weitergeleitet.)
Siehe auch
Grundlegendes zur Layer-2-Übertragung auf Switches
In einem Layer-2-Netzwerk bezieht sich Broadcasting auf das Senden von Datenverkehr an alle Knoten in einem Netzwerk.
Der Layer-2-Broadcast-Datenverkehr bleibt innerhalb der Grenzen eines lokalen Netzwerks (LAN). die als Broadcast-Domäne bezeichnet wird. Layer-2-Broadcast-Datenverkehr wird über die MAC-Adresse FF:FF:FF:FF:FF:FF an die Broadcast-Domäne gesendet. Jedes Gerät in der Broadcast-Domäne erkennt diese MAC-Adresse und leitet den Broadcast-Datenverkehr ggf. an andere Geräte in der Broadcast-Domäne weiter. Broadcasting kann mit Unicasting (Senden von Datenverkehr an einen einzelnen Knoten) oder Multicasting (gleichzeitiges Übermitteln von Datenverkehr an eine Gruppe von Knoten) verglichen werden.
Layer-3-Broadcast-Datenverkehr wird jedoch über eine Broadcast-Netzwerkadresse an alle Geräte in einem Netzwerk gesendet. Wenn Ihre Netzwerkadresse beispielsweise 10.0.0.0 lautet, lautet die Broadcast-Netzwerkadresse 10.255.255.255. In diesem Fall empfangen nur Geräte, die zum Netzwerk 10.0.0.0 gehören, den Layer-3-Broadcast-Datenverkehr. Geräte, die nicht zu diesem Netzwerk gehören, verwerfen den Datenverkehr.
Broadcasting wird in den folgenden Situationen verwendet:
Das Address Resolution Protocol (ARP) verwendet Broadcasting, um MAC-Adressen IP-Adressen zuzuordnen. ARP bindet die IP-Adresse (die logische Adresse) dynamisch an die richtige MAC-Adresse. Bevor IP-Unicast-Pakete gesendet werden können, ermittelt ARP die MAC-Adresse, die von der Ethernet-Schnittstelle verwendet wird, für die die IP-Adresse konfiguriert ist.
DHCP (Dynamic Host Configuration Protocol) verwendet Broadcasting, um Hosts in einem Netzwerksegment oder Subnetz dynamisch IP-Adressen zuzuweisen.
Routing-Protokolle verwenden Broadcasting, um Routen anzukündigen.
Übermäßiger Broadcast-Datenverkehr kann manchmal einen Broadcast-Sturm auslösen. Ein Broadcast-Sturm tritt auf, wenn Nachrichten in einem Netzwerk gesendet werden und jede Nachricht einen Empfangsknoten auffordert, mit dem Senden eigener Nachrichten an das Netzwerk zu antworten. Dies wiederum führt zu weiteren Reaktionen, die einen Schneeballeffekt erzeugen. Das LAN wird plötzlich mit Paketen überflutet, wodurch unnötiger Datenverkehr entsteht, der zu einer schlechten Netzwerkleistung oder sogar zu einem vollständigen Verlust des Netzwerkdienstes führt.
Siehe auch
Verwenden der erweiterten Layer-2-Software-CLI
Die erweiterte Layer-2-Software (ELS) bietet eine einheitliche CLI für die Konfiguration und Überwachung von Layer-2-Funktionen auf Switches der QFX-Serie, Switches der EX-Serie und anderen Geräten von Juniper Networks, wie z. B. Routern der MX-Serie. Mit ELS konfigurieren Sie Layer-2-Funktionen auf all diesen Geräten von Juniper Networks auf die gleiche Weise.
In diesem Thema wird erläutert, wie Sie feststellen können, ob auf Ihrer Plattform ELS ausgeführt wird. Außerdem wird erläutert, wie Sie einige gängige Aufgaben mithilfe des ELS-Konfigurationsstils ausführen.
- Verstehen, welche Geräte ELS unterstützen
- Grundlegendes zur Konfiguration von Layer-2-Funktionen mit ELS
- Grundlegendes zu ELS-Konfigurationsanweisungen und Befehlsänderungen
Verstehen, welche Geräte ELS unterstützen
ELS wird automatisch unterstützt, wenn auf Ihrem Gerät eine Junos OS-Version ausgeführt wird, die ELS unterstützt. Sie müssen keine Maßnahmen ergreifen, um ELS zu aktivieren, und Sie können ELS nicht deaktivieren. Im Funktions-Explorer finden Sie Informationen dazu, welche Plattformen und Versionen ELS unterstützen.https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=5890&fn=Uniform+Enhanced+Layer+2+Software+(ELS)+CLI+configuration+statements+and+operational+commands
Grundlegendes zur Konfiguration von Layer-2-Funktionen mit ELS
Da ELS eine einheitliche CLI bereitstellt, können Sie jetzt die folgenden Aufgaben auf unterstützten Geräten auf die gleiche Weise ausführen:
- Konfigurieren eines VLANs
- Konfigurieren der nativen VLAN-Kennung
- Konfigurieren von Layer-2-Schnittstellen
- Konfigurieren von Layer-3-Schnittstellen
- Konfigurieren einer IRB-Schnittstelle
- Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfigurieren von LACP auf dieser Schnittstelle
Konfigurieren eines VLANs
Sie können ein oder mehrere VLANs für die Durchführung von Layer-2-Bridging konfigurieren. Zu den Layer-2-Bridging-Funktionen gehören integriertes Routing und Bridging (IRB) zur Unterstützung von Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle. Switches der EX- und QFX-Serie können als Layer-2-Switches mit jeweils mehreren Bridging- oder Broadcast-Domänen fungieren, die am selben Layer-2-Netzwerk beteiligt sind. Sie können auch die Layer-3-Routing-Unterstützung für ein VLAN konfigurieren.
So konfigurieren Sie ein VLAN:
Konfigurieren der nativen VLAN-Kennung
Switches der EX- und QFX-Serie unterstützen das Empfangen und Weiterleiten von gerouteten oder überbrückten Ethernet-Frames mit 802.1Q-VLAN-Tags. In der Regel akzeptieren Trunk-Ports, die Switches miteinander verbinden, nicht getaggte Steuerungspakete, aber keine nicht getaggten Datenpakete. Sie können einen Trunk-Port aktivieren, um nicht getaggte Datenpakete zu akzeptieren, indem Sie eine native VLAN-ID auf der Schnittstelle konfigurieren, auf der die ungetaggten Datenpakete empfangen werden sollen.
So konfigurieren Sie die native VLAN-ID:
Konfigurieren von Layer-2-Schnittstellen
Um sicherzustellen, dass Ihr Netzwerk mit hohem Datenverkehr auf optimale Leistung abgestimmt ist, konfigurieren Sie explizit einige Einstellungen an den Netzwerkschnittstellen des Switches.
So konfigurieren Sie eine Gigabit-Ethernet-Schnittstelle oder eine 10-Gigabit-Ethernet-Schnittstelle als Schnittstelle:trunk
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
So konfigurieren Sie eine Gigabit-Ethernet-Schnittstelle oder eine 10-Gigabit-Ethernet-Schnittstelle als Schnittstelle:access
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
So weisen Sie dem VLAN eine Schnittstelle zu:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Konfigurieren von Layer-3-Schnittstellen
Um eine Layer-3-Schnittstelle zu konfigurieren, müssen Sie der Schnittstelle eine IP-Adresse zuweisen. Sie weisen einer Schnittstelle eine Adresse zu, indem Sie die Adresse bei der Konfiguration der Protokollfamilie angeben. Konfigurieren Sie für die oder-Familie die IP-Adresse der Schnittstelle.inetinet6
Sie können Schnittstellen mit einer 32-Bit-IPv4-Adresse (IP Version 4) und optional mit einem Zielpräfix, manchmal auch als Subnetzmaske bezeichnet, konfigurieren. Eine IPv4-Adresse verwendet eine 4-Oktett-Punkt-Dezimaladresssyntax (z. B. 192.168.1.1). Eine IPv4-Adresse mit Zielpräfix verwendet eine 4-Oktett-Dezimaladresssyntax mit Punkten, an die ein Zielpräfix angehängt wird (z. B. 192.168.1.1/16).
So geben Sie eine IP4-Adresse für die logische Einheit an:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Sie stellen IPv6-Adressen (IP Version 6) in hexadezimaler Schreibweise dar, indem Sie eine durch Doppelpunkte getrennte Liste von 16-Bit-Werten verwenden. Sie weisen einer Schnittstelle eine 128-Bit-IPv6-Adresse zu.
So geben Sie eine IP6-Adresse für die logische Einheit an:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Konfigurieren einer IRB-Schnittstelle
Integriertes Routing und Bridging (IRB) bietet Unterstützung für Layer-2-Bridging und Layer-3-IP-Routing auf derselben Schnittstelle. Mit IRB können Sie Pakete an eine andere geroutete Schnittstelle oder an ein anderes VLAN weiterleiten, für das ein Layer-3-Protokoll konfiguriert ist. IRB-Schnittstellen ermöglichen es dem Gerät, Pakete zu erkennen, die an lokale Adressen gesendet werden, sodass sie, wann immer möglich, überbrückt (geswitcht) und nur bei Bedarf geroutet werden. Wenn Pakete umgeschaltet statt geroutet werden können, entfallen mehrere Verarbeitungsebenen. Eine Schnittstelle mit dem Namen irb fungiert als logischer Router, auf dem Sie eine logische Layer-3-Schnittstelle für VLAN konfigurieren können. Aus Redundanzgründen können Sie eine IRB-Schnittstelle mit Implementierungen des Virtual Router Redundancy Protocol (VRRP) sowohl in Bridging- als auch in VPLS-Umgebungen (Virtual Private LAN Service) kombinieren.
So konfigurieren Sie eine IRB-Schnittstelle:
Konfigurieren einer aggregierten Ethernet-Schnittstelle und Konfigurieren von LACP auf dieser Schnittstelle
Verwenden Sie die Link-Aggregationsfunktion, um einen oder mehrere Links zu einem virtuellen Link oder einer Link-Aggregationsgruppe (LAG) zu aggregieren. Der MAC-Client kann diese virtuelle Verbindung so behandeln, als wäre sie eine einzelne Verbindung, um die Bandbreite zu erhöhen, eine ordnungsgemäße Verschlechterung bei einem Ausfall zu gewährleisten und die Verfügbarkeit zu erhöhen.
So konfigurieren Sie eine aggregierte Ethernet-Schnittstelle:
Für aggregierte Ethernet-Schnittstellen auf dem Gerät können Sie das Link Aggregation Control Protocol (LACP) konfigurieren. LACP bündelt mehrere physische Schnittstellen zu einer logischen Schnittstelle. Sie können aggregiertes Ethernet mit oder ohne aktiviertem LACP konfigurieren.
Wenn LACP aktiviert ist, tauschen die lokale und die Remote-Seite der aggregierten Ethernet-Verbindungen PDUs (Protocol Data Units) aus, die Informationen über den Status der Verbindung enthalten. Sie können Ethernet-Verbindungen so konfigurieren, dass PDUs aktiv übertragen werden, oder Sie können die Verbindungen so konfigurieren, dass sie sie passiv übertragen und LACP-PDUs nur dann senden, wenn sie von einer anderen Verbindung empfangen werden. Eine Seite der Verbindung muss als aktiv konfiguriert sein, damit die Verbindung aktiv ist.
So konfigurieren Sie LACP:
Aktivieren Sie eine Seite der aggregierten Ethernet-Verbindung als aktiv:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Geben Sie das Intervall an, in dem die Schnittstellen LACP-Pakete senden:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Grundlegendes zu ELS-Konfigurationsanweisungen und Befehlsänderungen
ELS wurde in Junos OS Version 12.3R2 für EX9200-Switches eingeführt. ELS ändert die CLI für einige der Layer-2-Funktionen auf unterstützten Switches der EX- und QFX-Serie.
In den folgenden Abschnitten finden Sie eine Liste der vorhandenen Befehle, die im Rahmen dieser CLI-Erweiterung auf Switches der EX-Serie auf neue Hierarchieebenen verschoben oder geändert wurden. Diese Abschnitte dienen nur als allgemeine Referenz. Ausführliche Informationen zu diesen Befehlen finden Sie über die Links zu den bereitgestellten Konfigurationsanweisungen oder in der technischen Dokumentation.
- Änderungen an der Hierarchieebene der Ethernet-Switching-Optionen
- Änderungen an der Hierarchieebene für die Portspiegelung
- Änderungen an der Hierarchieebene des Layer-2-Kontrollprotokolls
- Änderungen an der dot1q-tunneling-Anweisung
- Änderungen am L2-Lernprotokoll
- Änderungen an Nonstop Bridging
- Änderungen an Portsicherheit und DHCP-Snooping
- Änderungen an der Konfiguration von VLANs
- Änderungen an Sturmsteuerungsprofilen
- Änderungen an der Schnittstellenhierarchie
- Änderungen am IGMP-Snooping
Änderungen an der Hierarchieebene der Ethernet-Switching-Optionen
In diesem Abschnitt werden die Änderungen an der Hierarchieebene beschrieben.ethernet-switching-options
Die Hierarchieebene wurde umbenannt in .ethernet-switching-optionsswitch-options
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Die Anweisungen wurden aus der Hierarchie entfernt. |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Die Anweisungen wurden aus der Hierarchie entfernt. |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
HINWEIS:
Die Anweisung wurde durch eine neue Anweisung ersetzt. interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Änderungen an der Hierarchieebene für die Portspiegelung
Anweisungen sind von der Hierarchieebene in die Hierarchieebene gewandert.ethernet-switching-optionsforwarding-options
Änderungen an der Hierarchieebene des Layer-2-Kontrollprotokolls
Die Layer-2-Steuerprotokollanweisungen wurden von der Hierarchie in die Hierarchie verschoben.ethernet-switching-optionsprotocols
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Änderungen an der dot1q-tunneling-Anweisung
Die Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.dot1q-tunneling
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Änderungen am L2-Lernprotokoll
Die Anweisung wurde durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben.mac-table-aging-time
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Änderungen an Nonstop Bridging
Die Anweisung wurde auf eine andere Hierarchieebene verschoben.nonstop-bridging
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Änderungen an Portsicherheit und DHCP-Snooping
Portsicherheit und DHCP-Snooping-Anweisungen wurden auf unterschiedliche Hierarchieebenen verschoben.
Die Anweisung ist in der geänderten Hierarchie nicht vorhanden.examine-dhcp DHCP-Snooping wird jetzt automatisch aktiviert, wenn andere DHCP-Sicherheitsfunktionen in einem VLAN aktiviert sind. Weitere Informationen finden Sie unter Konfigurieren der Portsicherheit (ELS).Overview of Port Security
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Für die zulässige mac-Konfiguration wird die ursprüngliche Hierarchieanweisung durch den Befehl ELS ersetzt set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
DHCP-Snooping-Anweisungen wurden auf eine andere Hierarchieebene verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Änderungen an der Konfiguration von VLANs
Die Anweisungen zur Konfiguration von VLANs sind auf eine andere Hierarchieebene verschoben worden.
Ab Junos OS Version 14.1X53-D10 für EX4300- und EX4600-Switches können Sie STP bei der Aktivierung auf einigen oder allen Schnittstellen in einem VLAN aktivieren.x Wenn Sie beispielsweise VLAN 100 so konfigurieren, dass die Schnittstellen ge-0/0/0, ge-0/0/1 und ge-0/0/2 enthalten sind, und Sie MSTP auf den Schnittstellen ge-0/0/0 und ge-0/0/2 aktivieren möchten, können Sie die Befehle und angeben.set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 In diesem Beispiel haben Sie MSTP auf der Schnittstelle ge-0/0/1 nicht explizit aktiviert. Daher ist MSTP auf dieser Schnittstelle nicht aktiviert.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
HINWEIS:
Die Anweisung wird durch eine neue Anweisung ersetzt und auf eine andere Hierarchieebene verschoben. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Diese Aussagen wurden entfernt. Sie können einem VLAN Schnittstellen mithilfe der Hierarchie zuweisen. |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Anweisungen wurden entfernt. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
HINWEIS:
Die Syntax wurde geändert. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
Die Anweisung wird entfernt. Eingehender Datenverkehr wird automatisch nachverfolgt. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
Die Anweisung wird entfernt. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
Die Anweisung wurde in eine andere Hierarchie verschoben. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
Die Anweisung wurde entfernt. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
Die Anweisung wird entfernt. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
HINWEIS:
Die Anweisung wurde durch eine neue Anweisung ersetzt. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
HINWEIS:
Die Syntax wurde geändert. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Für : interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Für (MAC-Rewrite auf einer Schnittstelle aktiviert): protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Änderungen an Sturmsteuerungsprofilen
Die Konfiguration der Sturmkontrolle erfolgt in zwei Schritten. Der erste Schritt besteht darin, ein Sturmsteuerungsprofil auf Hierarchieebene zu erstellen, und der zweite Schritt besteht darin, das Profil an eine logische Schnittstelle auf Hierarchieebene zu binden.[edit forwarding-options][edit interfaces] Siehe Beispiel: Konfigurieren von Storm Control zur Vermeidung von Netzwerkausfällen auf Switches der EX-Serie für das geänderte Verfahren.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Änderungen an der Schnittstellenhierarchie
Anweisungen wurden in eine andere Hierarchie verschoben.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
HINWEIS:
Die Anweisung wurde durch eine neue Anweisung ersetzt. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
HINWEIS:
Die Anweisung wurde durch eine neue Anweisung ersetzt. interfaces irb |
Änderungen am IGMP-Snooping
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Verbesserte Änderungen an Layer-2-CLI-Konfigurationsanweisungen und -befehlen für Sicherheitsgeräte
Ab Junos OS Version 15.1X49-D10 und Junos OS Version 17.3R1 wurden einige Layer 2-CLI-Konfigurationsanweisungen verbessert und einige Befehle geändert. Tabelle 18 und Tabelle 19 stellen Sie Listen mit vorhandenen Befehlen bereit, die im Rahmen dieser CLI-Verbesserung in neue Hierarchien verschoben oder an Firewalls der SRX-Serie geändert wurden. Die Tabellen werden nur als allgemeine Referenz bereitgestellt. Ausführliche Informationen zu diesen Befehlen finden Sie unter CLI-Explorer.
Ursprüngliche Hierarchie |
Geänderte Hierarchie |
Hierarchieebene |
Beschreibung ändern |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[Bearbeiten] |
Hierarchie umbenannt. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[VLANs bearbeiten]vlans-name |
Anweisung umbenannt. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[VLANs bearbeiten]vlans-name |
Anweisung umbenannt. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[Sicherheitsablauf bearbeiten] |
Anweisung umbenannt. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[Schnittstellen bearbeiten] Einheit interface-nameunit-number |
Hierarchie umbenannt. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[VLANs bearbeiten]vlans-name |
Anweisung umbenannt. |
Ursprüngliches Einsatzkommando |
Modifiziertes Einsatzkommando |
|---|---|
Klare Bridge Mac-Tabelle |
Übersichtliche Ethernet-Switching-Tabelle |
clear bridge mac-table persistentes learning |
Persistentes Lernen der Ethernet-Switching-Tabelle löschen |
Bridge-Domain anzeigen |
VLANs anzeigen |
Bridge Mac-Tabelle anzeigen |
Ethernet-Switching-Tabelle anzeigen |
L2-Lernschnittstelle anzeigen |
Ethernet-Switching-Schnittstelle anzeigen |
Auf den Geräten SRX300, SRX320 und SRX500HM gibt es keine fxp0-Out-of-Band-Verwaltungsschnittstelle. (Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Installation ab.)
Siehe auch
Layer-2-Modus der nächsten Generation für die ACX-Serie
Der Layer-2-Modus der nächsten Generation, auch Enhanced Layer 2 Software (ELS) genannt, wird auf ACX5048-, ACX5096- und ACX5448-Routern für die Konfiguration von Layer-2-Funktionen unterstützt. Die Layer-2-CLI-Konfigurationen und Show-Befehle für ACX5048-, ACX5096-, ACX5448-, ACX710-, ACX7100-, ACX7024- und ACX7509-Router unterscheiden sich von denen für andere Router der ACX-Serie (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 und ACX4000) und Router der MX-Serie.
Tabelle 20 zeigt die Unterschiede in der CLI-Hierarchie für die Konfiguration von Layer-2-Funktionen im Layer-2-Modus der nächsten Generation.
Funktion |
Router der Serien ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX |
ACX5048-, ACX5096-, ACX5448-, ACX710-, ACX7100-, ACX7024- und ACX7509-Router |
|---|---|---|
Bridge-Domäne |
[ |
[ |
Familie |
[ |
[ |
Layer-2-Optionen |
[ |
[ |
Ethernet-Optionen |
[ |
[ |
Integriertes Routing und Bridging (IRB) |
[; |
|
Sturmkontrolle |
[ |
[ [ |
IGMP-Snooping (Internet Group Management Protocol) |
[ |
[ |
Familien-Firewall-Filter |
[ |
[ |
zeigt die Unterschiede in den Befehlen für Layer-2-Funktionen im Layer-2-Modus der nächsten Generation.Tabelle 21show
Funktion |
Router der Serien ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 und MX |
ACX5048-, ACX5096-, ACX5448-, ACX710-, ACX7100-, ACX7024- und ACX7509-Router |
|---|---|---|
VLAN |
|
|
MAC-Tabelle |
|
|
MAC-Tabellenoptionen |
|
|
Switch-Port-Auflistung mit VLAN-Zuweisungen |
|
|
Kernelstatus der leeren Datenbank |
|
|
Siehe auch
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
set protocols l2-learning global-mode(transparent-bridge | switching)