Réseaux de couche 2
Présentation des réseaux de couche 2
La couche 2, également connue sous le nom de couche de liaison de données, est le deuxième niveau du modèle de référence OSI à sept couches pour la conception de protocoles réseau. La couche 2 est équivalente à la couche de liaison (la couche la plus basse) du modèle de réseau TCP/IP. La couche 2 est la couche réseau utilisée pour transférer des données entre des nœuds de réseau adjacents d’un réseau étendu ou entre des nœuds du même réseau local.
Une trame est une unité de données de protocole, la plus petite unité de bits d’un réseau de couche 2. Les trames sont transmises et reçues par les équipements du même réseau local (LAN). Unilke bits, les trames ont une structure définie et peuvent être utilisées pour la détection des erreurs, les activités du plan de contrôle, etc. Toutes les trames ne transportent pas de données utilisateur. Le réseau utilise certaines trames pour contrôler lui-même la liaison de données.
Au niveau de la couche 2, l’unicast fait référence à l’envoi de trames d’un nœud à un autre nœud, tandis que le multicast désigne l’envoi de trafic d’un nœud vers plusieurs nœuds, et la diffusion fait référence à la transmission de trames à tous les nœuds d’un réseau. Un domaine de diffusion est une division logique d’un réseau dans laquelle tous les nœuds de ce réseau peuvent être atteints au niveau de la couche 2 par une diffusion.
Les segments d’un LAN peuvent être reliés au niveau de la trame à l’aide de ponts. Le pontage crée des domaines de diffusion distincts sur le LAN, créant des VLAN, qui sont des réseaux logiques indépendants qui regroupent les équipements associés en segments de réseau distincts. Le regroupement des équipements sur un VLAN est indépendant de l’emplacement physique des équipements dans le LAN. Sans pontage ni VLAN, tous les équipements du LAN Ethernet sont dans un seul domaine de diffusion, et tous les équipements détectent tous les paquets sur le LAN.
Le transfert est le relais de paquets d’un segment vers un autre par les nœuds du réseau. Sur un VLAN, une trame dont l’origine et la destination sont dans le même VLAN sont transférés uniquement dans le VLAN local. Un segment de réseau est une partie d’un réseau informatique dans lequel chaque équipement communique à l’aide de la même couche physique.
La couche 2 contient deux sous-couches :
Sous-couche de contrôle des liaisons logiques (LLC), qui est responsable de la gestion des liaisons de communication et de la gestion du trafic de trame.
Sous-couche MAC (Media Access Control), qui régit l’accès du protocole au support réseau physique. En utilisant les adresses MAC attribuées à tous les ports d’un commutateur, plusieurs équipements sur la même liaison physique peuvent s’identifier de manière unique.
Les ports ou interfaces d’un commutateur fonctionnent en mode d’accès, d’accès balisé ou de tronc :
Les ports du mode d’accès se connectent à un équipement réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode d’accès.
Les ports marqués du mode d’accès se connectent à un équipement réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode d’accès. Le mode d’accès balisé s’adapte au cloud computing, notamment aux machines virtuelles et aux ordinateurs virtuels. Étant donné que plusieurs ordinateurs virtuels peuvent être inclus sur un serveur physique, les paquets générés par un serveur peuvent contenir une agrégation de paquets VLAN provenant de différentes machines virtuelles sur ce serveur. Pour faire face à cette situation, le mode d’accès balisé renvoie les paquets au serveur physique sur le même port en aval lorsque l’adresse de destination du paquet a été apprise sur ce port en aval. Les paquets sont également répercutés vers le serveur physique sur le port en aval lorsque la destination n’a pas encore été apprise. Par conséquent, le troisième mode d’interface, l’accès balisé, présente certaines caractéristiques du mode d’accès et certaines caractéristiques du mode trunk :
Les ports du mode trunk gèrent le trafic de plusieurs VLAN, en multiplexant le trafic de tous ces VLAN sur la même connexion physique. Les interfaces de tronc sont généralement utilisées pour interconnecter des commutateurs à d’autres équipements ou commutateurs.
Une fois le VLAN natif configuré, les trames qui ne portent pas de balises VLAN sont envoyées par l’interface de tronc. Si vous avez une situation où des paquets passent d’un équipement à un commutateur en mode d’accès, et que vous souhaitez ensuite envoyer ces paquets à partir du commutateur sur un port trunk, utilisez le mode VLAN natif. Configurez le VLAN unique sur le port du commutateur (qui est en mode d’accès) en tant que VLAN natif. Le port trunk du commutateur traitera alors ces trames différemment des autres paquets balisés. Par exemple, si un port trunk a trois VLAN, 10, 20 et 30, qui lui sont assignés avec VLAN 10 étant le VLAN natif, les trames sur VLAN 10 qui quittent le port trunk à l’autre extrémité n’ont pas d’en-tête (balise) 802.1Q. Il existe une autre option VLAN native. Vous pouvez demander au commutateur d’ajouter et de supprimer des balises pour les paquets non marqués. Pour ce faire, vous devez d’abord configurer le VLAN unique en tant que VLAN natif sur un port connecté à un équipement de périphérie. Ensuite, attribuez une balise d’ID VLAN au VLAN natif unique sur le port connecté à un équipement. Enfin, ajoutez l’ID VLAN au port d’agrégation. Maintenant, lorsque le commutateur reçoit le paquet non balisé, il ajoute l’ID que vous avez spécifié et envoie et reçoit les paquets balisés sur le port trunk configuré pour accepter ce VLAN.
Y compris les sous-couches, la couche 2 du QFX Series prend en charge les fonctionnalités suivantes :
Trafic unicast, multicast et de diffusion.
Combler.
VLAN 802.1Q : également connu sous le nom de balisage VLAN, ce protocole permet à plusieurs réseaux pontés de partager de manière transparente la même liaison réseau physique en ajoutant des balises VLAN à une trame Ethernet.
L’extension des VLAN de couche 2 sur plusieurs commutateurs à l’aide du protocole STP (Spanning Tree Protocol) empêche les boucles sur l’ensemble du réseau.
Apprentissage MAC, y compris l’apprentissage MAC par VLAN et la suppression de l’apprentissage de couche 2 – Ce processus permet d’obtenir les adresses MAC de tous les nœuds d’un réseau
Agrégation de liaisons : groupe de processus d’interfaces Ethernet au niveau de la couche physique pour former une interface de couche de liaison unique, également appelée groupe d’agrégation de liens (LAG) ou offre LAG
REMARQUE :L’agrégation de liaisons n’est pas prise en charge sur les équipements NFX150.
Contrôle storm sur le port physique pour l’unicast, le multicast et la diffusion
REMARQUE :Le contrôle de tempête n’est pas pris en charge sur les équipements NFX150.
Prise en charge STP, notamment 802.1d, RSTP, MSTP et Root Guard
Voir également
Présentation de la commutation Ethernet et du mode transparent de couche 2
Le mode transparent de couche 2 permet de déployer le pare-feu sans modifier l’infrastructure de routage existante. Le pare-feu est déployé en tant que commutateur de couche 2 avec plusieurs segments VLAN et fournit des services de sécurité dans les segments VLAN. Secure Wire est une version spéciale du mode transparent de couche 2 qui permet un déploiement sans fil.
Un équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme des interfaces de couche 2. L’équipement fonctionne en mode route (mode par défaut) s’il n’y a pas d’interfaces physiques configurées en tant qu’interfaces de couche 2.
Pour les équipements SRX Series, le mode transparent fournit des services de sécurité complets pour les capacités de commutation de couche 2. Sur ces équipements SRX Series, vous pouvez configurer un ou plusieurs VLAN pour effectuer une commutation de couche 2. Un VLAN est un ensemble d’interfaces logiques qui partagent les mêmes caractéristiques d’inondation ou de diffusion. Comme un LAN virtuel (VLAN), un VLAN s’étend sur un ou plusieurs ports de plusieurs équipements. Ainsi, l’équipement SRX Series peut fonctionner comme un commutateur de couche 2 avec plusieurs VLAN qui participent au même réseau de couche 2.
En mode transparent, l’équipement SRX Series filtre les paquets qui traversent l’équipement sans modifier aucune des informations de source ou de destination dans les en-têtes de paquets IP. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
En mode transparent, tous les ports physiques de l’équipement sont assignés aux interfaces de couche 2. Ne pas acheminer le trafic de couche 3 à travers l’équipement. Les zones de couche 2 peuvent être configurées pour héberger des interfaces de couche 2, et des stratégies de sécurité peuvent être définies entre les zones de couche 2. Lorsque des paquets circulent entre des zones de couche 2, des stratégies de sécurité peuvent être appliquées à ces paquets.
Tableau 1 répertorie les fonctionnalités de sécurité prises en charge et non prises en charge en mode transparent pour la commutation de couche 2.
Mode Type |
Soutenu |
Non pris en charge |
|---|---|---|
Mode transparent |
|
|
Sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M, la propagation du serveur DHCP n’est pas prise en charge en mode transparent de couche 2.
En outre, les équipements SRX Series ne prennent pas en charge les fonctionnalités de couche 2 suivantes en mode transparent de couche 2 :
Protocole STP (Spanning Tree Protocol), RSTP ou MSTP : il incombe à l’utilisateur de s’assurer qu’aucune boucle d’inondation n’existe dans la topologie du réseau.
Surveillance IGMP (Internet Group Management Protocol) : protocole de signalisation de l’hôte vers le routeur pour IPv4 utilisé pour signaler leurs appartenances à des groupes multicast aux routeurs voisins et déterminer si les membres du groupe sont présents pendant le multicast IP.
VLAN à double balisage ou identifiants VLAN IEEE 802.1Q encapsulés dans des paquets 802.1Q (également appelés balisage VLAN « Q dans Q ») : seuls les identifiants VLAN à balisage unique ou non sont pris en charge sur les équipements SRX Series.
Apprentissage VLAN non qualifié, où seule l’adresse MAC est utilisée pour l’apprentissage au sein du VLAN . L’apprentissage VLAN sur les équipements SRX Series est qualifié ; c’est-à-dire que l’identifiant VLAN et l’adresse MAC sont utilisés.
De plus, sur les équipements SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650, certaines fonctionnalités ne sont pas prises en charge. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.) Les fonctionnalités suivantes ne sont pas prises en charge pour le mode transparent de couche 2 sur les équipements susmentionnés :
G-ARP sur l’interface de couche 2
Surveillance des adresses IP sur n’importe quelle interface
Trafic de transit par IRB
Interface IRB dans une instance de routage
Gestion de l’interface IRB du trafic de couche 3
REMARQUE :L’interface IRB est une pseudo-interface et n’appartient pas au groupe d’interface de reth et de redondance.
- Mode transparent de couche 2 sur le concentrateur de ports de module de ligne SRX5000
- Comprendre les flux IPv6 en mode transparent sur les équipements de sécurité
- Présentation des clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
- Configuration de la gestion hors bande sur les équipements SRX
- Commutation Ethernet
- Exceptions de commutation de couche 2 sur les équipements SRX Series
Mode transparent de couche 2 sur le concentrateur de ports de module de ligne SRX5000
Le concentrateur de ports de module de la gamme SRX5000 (SRX5K-MPC) prend en charge le mode transparent de couche 2 et traite le trafic lorsque l’équipement SRX Series est configuré en mode transparent de couche 2.
Lorsque le SRX5K-MPC fonctionne en mode de couche 2, vous pouvez configurer toutes les interfaces du SRX5K-MPC en tant que ports de commutation de couche 2 pour prendre en charge le trafic de couche 2.
L’unité de traitement de la sécurité (SPU) prend en charge tous les services de sécurité pour les fonctions de commutation de couche 2, et le MPC transmet les paquets entrants au SPU et transfère les paquets sortants qui sont encapsulés par le SPU vers les interfaces sortantes.
Lorsque l’équipement SRX Series est configuré en mode transparent de couche 2, vous pouvez permettre aux interfaces du MPC de fonctionner en mode couche 2 en définissant une ou plusieurs unités logiques sur une interface physique avec le type d’adresse de la famille comme Ethernet switching. Vous pourrez ensuite configurer les zones de sécurité de couche 2 et les stratégies de sécurité en mode transparent. Une fois cela fait, les topologies de saut suivant sont configurées pour traiter les paquets entrants et sortants.
Comprendre les flux IPv6 en mode transparent sur les équipements de sécurité
En mode transparent, l’équipement SRX Series filtre les paquets qui traversent l’équipement sans modifier les informations de source ou de destination dans les en-têtes MAC des paquets. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
Un équipement fonctionne en mode transparent lorsque toutes les interfaces physiques sur l’équipement sont configurées en tant qu’interfaces de couche 2. Une interface physique est une interface de couche 2 si son interface logique est configurée avec l’option ethernet-switching au niveau de la hiérarchie [edit interfaces interface-name unit unit-number family]. Il n’y a aucune commande permettant de définir ou d’activer le mode transparent sur l’équipement. L’équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme des interfaces de couche 2. L’équipement fonctionne en mode route (mode par défaut) si toutes les interfaces physiques sont configurées en tant qu’interfaces de couche 3.
Par défaut, les flux IPv6 sont supprimés sur les équipements de sécurité. Pour permettre le traitement par des fonctionnalités de sécurité telles que les zones, les écrans et les stratégies de pare-feu, vous devez activer le transfert basé sur les flux pour le trafic IPv6 avec l’option mode flow-based de configuration au niveau de la hiérarchie [edit security forwarding-options family inet6]. Vous devez redémarrer l’équipement lorsque vous changez de mode.
En mode transparent, vous pouvez configurer des zones de couche 2 pour héberger des interfaces de couche 2 et définir des stratégies de sécurité entre les zones de couche 2. Lorsque des paquets circulent entre des zones de couche 2, des stratégies de sécurité peuvent être appliquées à ces paquets. Les fonctionnalités de sécurité suivantes sont prises en charge pour le trafic IPv6 en mode transparent :
Zones de sécurité de couche 2 et stratégies de sécurité. Voir Comprendre les zones de sécurité de couche 2 et comprendre les stratégies de sécurité en mode transparent .
Authentification des utilisateurs du pare-feu. Voir Comprendre l’authentification des utilisateurs du pare-feu en mode transparent .
Clusters de châssis en mode transparent de couche 2.
Classe de fonctions de service . Voir la présentation de la classe de fonctions de service en mode transparent.
Les fonctionnalités de sécurité suivantes ne sont pas prises en charge pour les flux IPv6 en mode transparent :
Systèmes logiques
IPv6 GTPv2
Interface J-Web
NAT
VPN IPsec
À l’exception des ALG DNS, FTP et TFTP, tous les autres ALG ne sont pas pris en charge.
La configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv6 est la même que la configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv4. Vous pouvez éventuellement configurer une interface de routage et de pontage intégré (IRB) pour la gestion du trafic dans un VLAN. L’interface IRB est la seule interface de couche 3 autorisée en mode transparent. L’interface IRB de l’équipement SRX Series ne prend pas en charge le transfert ou le routage du trafic. L’interface IRB peut être configurée avec des adresses IPv4 et IPv6. Vous pouvez attribuer une adresse IPv6 à l’interface IRB avec address l’instruction de configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet6]. Vous pouvez attribuer une adresse IPv4 à l’interface IRB avec l’instruction de address configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet].
Les fonctions de commutation Ethernet sur les équipements SRX Series sont similaires aux fonctionnalités de commutation des routeurs MX Series de Juniper Networks. Toutefois, toutes les fonctionnalités réseau de couche 2 prises en charge sur les routeurs MX Series ne sont pas prises en charge sur les équipements SRX Series. Découvrez la commutation Ethernet et le mode transparent de couche 2.
L’équipement SRX Series gère des tables de transfert qui contiennent des adresses MAC et des interfaces associées pour chaque VLAN de couche 2. Le traitement des flux IPv6 est similaire aux flux IPv4. Voir Présentation de l’apprentissage et du transfert de couche 2 pour les VLAN.
Présentation des clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
Une paire d’équipements SRX Series en mode transparent de couche 2 peut être connectée dans un cluster de châssis pour assurer la redondance des nœuds du réseau. Lorsqu’il est configuré dans un cluster de châssis, un nœud agit en tant qu’équipement principal et l’autre en tant qu’équipement secondaire, garantissant un basculement dynamique des processus et services en cas de défaillance du système ou du matériel. En cas de défaillance de l’équipement principal, l’équipement secondaire prend en charge le traitement du trafic.
Si l’équipement principal échoue dans un cluster de châssis en mode transparent de couche 2, les ports physiques de l’équipement défaillant deviennent inactifs (tombent en panne) pendant quelques secondes avant qu’ils ne deviennent actifs (resserrent).
Pour former un cluster de châssis, une paire du même type d’équipements SRX Series pris en charge se combine pour agir comme un seul système qui applique la même sécurité globale.
Les équipements en mode transparent de couche 2 peuvent être déployés dans des configurations de cluster de châssis actifs/de sauvegarde et de châssis actifs/actifs.
Les fonctionnalités de cluster de châssis suivantes ne sont pas prises en charge pour les équipements en mode transparent de couche 2 :
ARP gratuit : la nouvelle primaire élue dans un groupe de redondance ne peut pas envoyer de requêtes ARP gratuites pour notifier les équipements réseau d’un changement de rôle principal sur les liaisons d’interface Ethernet redondantes.
Surveillance des adresses IP : une défaillance d’un équipement en amont ne peut pas être détectée.
Un groupe de redondance est une construction qui comprend une collection d’objets sur les deux nœuds. Un groupe de redondance est primaire sur un nœud et de sauvegarde sur l’autre. Lorsqu’un groupe de redondance est primaire sur un nœud, ses objets sur ce nœud sont actifs. Lorsqu’un groupe de redondance échoue, tous ses objets tombent ensemble.
Vous pouvez créer un ou plusieurs groupes de redondance numérotés de 1 à 128 pour une configuration de cluster de châssis actif/actif. Chaque groupe de redondance contient une ou plusieurs interfaces Ethernet redondantes. Une interface Ethernet redondante est une pseudointerface qui contient des interfaces physiques de chaque nœud du cluster. Les interfaces physiques d’une interface Ethernet redondante doivent être du même type: Fast Ethernet ou Gigabit Ethernet. Si un groupe de redondance est actif sur le nœud 0, les liaisons enfants de toutes les interfaces Ethernet redondantes associées sur le nœud 0 sont actives. Si le groupe de redondance passe au nœud 1, les liaisons enfants de toutes les interfaces Ethernet redondantes sur le nœud 1 deviennent actives.
Dans la configuration du cluster de châssis actif/actif, le nombre maximal de groupes de redondance est égal au nombre d’interfaces Ethernet redondantes que vous configurez. Dans la configuration de cluster de châssis actif/de sauvegarde, le nombre maximal de groupes de redondance pris en charge est de deux.
La configuration d’interfaces Ethernet redondantes sur un équipement en mode transparent de couche 2 est similaire à la configuration d’interfaces Ethernet redondantes sur un équipement en mode de routage de couche 3, avec la différence suivante : l’interface Ethernet redondante sur un équipement en mode transparent de couche 2 est configurée comme une interface logique de couche 2.
L’interface Ethernet redondante peut être configurée soit comme une interface d’accès (avec un id VLAN unique assigné aux paquets non identifiés reçus sur l’interface) soit comme une interface de liaison (avec une liste d’ID VLAN acceptés sur l’interface et, éventuellement, un id-vlan natif pour les paquets non marqués reçus sur l’interface). Les interfaces physiques (une à partir de chaque nœud du cluster de châssis) sont liées en tant qu’interfaces enfants à l’interface Ethernet redondante parente.
En mode transparent de couche 2, l’apprentissage MAC est basé sur l’interface Ethernet redondante. La table MAC est synchronisée entre les interfaces Ethernet redondantes et les unités de traitement des services (SPU) entre la paire d’équipements de cluster de châssis.
L’interface IRB est utilisée uniquement pour le trafic de gestion et ne peut être affectée à aucune interface Ethernet redondante ou à un groupe de redondance.
Toutes les options d’écran Junos OS disponibles pour un seul équipement nonclusté sont disponibles pour les équipements dans des clusters de châssis en mode transparent de couche 2.
Les protocoles Spanning Tree (STP) ne sont pas pris en charge pour le mode transparent de couche 2. Vous devez vous assurer qu’il n’y a pas de connexions en boucle dans la topologie de déploiement.
Configuration de la gestion hors bande sur les équipements SRX
Vous pouvez configurer l’interface fxp0 de gestion hors bande sur l’équipement SRX Series en tant qu’interface de couche 3, même si des interfaces de couche 2 sont définies sur l’équipement. À l’exception de l’interface fxp0 , vous pouvez définir des interfaces de couche 2 et 3 sur les ports réseau de l’équipement.
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX550M . (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Commutation Ethernet
La commutation Ethernet transfère les trames Ethernet au sein ou entre le segment LAN (ou VLAN) à l’aide des informations d’adresse Mac Ethernet. La commutation Ethernet sur l’équipement SRX1500 est effectuée dans le matériel à l’aide d’ASIC.
À partir de la version 15.1X49-D40 de Junos OS, utilisez la set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode pont transparent de couche 2 et le mode de commutation Ethernet. Après avoir changé de mode, vous devez redémarrer l’équipement pour que la configuration prenne effet. Tableau 2 décrit le mode global de couche 2 par défaut sur les équipements SRX Series.
Version junos OS |
Plateformes |
Mode global de couche 2 par défaut |
Détails |
|---|---|---|---|
Avant junos OS version 15.1X49-D50 et le À partir de la version 17.3R1 de Junos OS |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Aucune |
Junos OS Version 15.1X49-D50 à Junos OS Version 15.1X49-D90 |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Lorsque vous supprimez la configuration du mode global de couche 2 sur un équipement, l’équipement est en mode pont transparent. |
Version Junos OS 15.1X49-D100 |
SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M |
Mode de commutation |
Lorsque vous supprimez la configuration du mode global de couche 2 sur un équipement, l’équipement est en mode de commutation. Configurez la |
Version Junos OS 15.1X49-D50 |
SRX1500 |
Mode pont transparent |
Aucune |
Le protocole de couche 2 pris en charge en mode de commutation est le protocole LACP (Link Aggregation Control Protocol).
Vous pouvez configurer le mode transparent de couche 2 sur une interface Ethernet redondante. Utilisez les commandes suivantes pour définir une interface Ethernet redondante :
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Exceptions de commutation de couche 2 sur les équipements SRX Series
Les fonctions de commutation des équipements SRX Series sont similaires à celles des routeurs MX Series de Juniper Networks. Toutefois, les fonctionnalités réseau de couche 2 suivantes sur les routeurs MX Series ne sont pas prises en charge sur les équipements SRX Series :
Protocoles de contrôle de couche 2 : ces protocoles sont utilisés sur les routeurs MX Series pour les protocoles RSTP (Rapid Spanning Tree Protocol) ou MSTP (Multiple Spanning Tree Protocol) dans les interfaces de périphérie client d’une instance de routage VPLS.
Instance de routage de commutateur virtuel : l’instance de routage de commutation virtuelle est utilisée sur les routeurs MX Series pour regrouper un ou plusieurs VLAN.
Instance de routage des services LAN privés virtuels (VPLS) : l’instance de routage VPLS est utilisée sur les routeurs MX Series pour les implémentations LAN point à multipoint entre un ensemble de sites dans un VPN.
Voir également
Comprendre l’unicast
L’unicast est le fait d’envoyer des données d’un nœud du réseau à un autre. En revanche, les transmissions multicast envoient du trafic d’un nœud de données à plusieurs autres nœuds de données.
Le trafic unicast inconnu se compose de trames unicast avec des adresses MAC de destination inconnues. Par défaut, le commutateur inonde ces trames unicast qui se déplacent dans un VLAN vers toutes les interfaces membres du VLAN. Le transfert de ce type de trafic vers les interfaces du commutateur peut déclencher un problème de sécurité. Le LAN est soudainement inondé de paquets, créant ainsi un trafic inutile qui entraîne des performances réseau médiocres ou même une perte complète de service réseau. C’est ce que l’on appelle une tempête de trafic.
Pour éviter une tempête, vous pouvez désactiver l’inondation de paquets unicast inconnus vers toutes les interfaces en configurant un VLAN ou tous les VLAN afin de transférer tout trafic unicast inconnu vers une interface de tronc spécifique. (Cela canalise le trafic unicast inconnu vers une interface unique.)
Voir également
Comprendre la diffusion de couche 2 sur les commutateurs
Dans un réseau de couche 2, la diffusion fait référence à l’envoi de trafic vers tous les nœuds d’un réseau.
Le trafic de diffusion de couche 2 reste à l’intérieur d’un réseau local (LAN) ; connu sous le nom de domaine de diffusion. Le trafic de diffusion de couche 2 est envoyé au domaine de diffusion à l’aide d’une adresse MAC de FF:FF:FF:FF:FF:FF. Chaque équipement du domaine de diffusion reconnaît cette adresse MAC et transmet le trafic de diffusion à d’autres équipements du domaine de diffusion, le cas échéant. La diffusion peut être comparée à l’unicast (envoi de trafic vers un nœud unique) ou au multicast (livraison simultanée de trafic à un groupe de nœuds).
Cependant, le trafic de diffusion de couche 3 est envoyé à tous les équipements d’un réseau à l’aide d’une adresse de réseau de diffusion. Par exemple, si votre adresse réseau est 10.0.0.0, l’adresse du réseau de diffusion est 10.255.255.255. Dans ce cas, seuls les équipements appartenant au réseau 10.0.0.0 reçoivent le trafic de diffusion de couche 3. Les équipements qui n’appartiennent pas à ce réseau abandonnent le trafic.
La diffusion est utilisée dans les situations suivantes :
Le protocole ARP (Address Resolution Protocol) utilise la diffusion pour mapper les adresses MAC aux adresses IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant que les paquets unicast IP ne puissent être envoyés, ARP découvre l’adresse MAC utilisée par l’interface Ethernet où l’adresse IP est configurée.
Le protocole DHCP (Dynamic Host Configuration Protocol) utilise la diffusion pour attribuer dynamiquement des adresses IP aux hôtes d’un segment ou d’un sous-réseau.
Les protocoles de routage utilisent la diffusion pour annoncer les routes.
Un trafic de diffusion excessif peut parfois créer une tempête de diffusion. Une tempête de diffusion se produit lorsque des messages sont diffusés sur un réseau et chaque message invite un nœud de réception à répondre en diffusant ses propres messages sur le réseau. Cela, à son tour, invite à d’autres réponses qui créent un effet boule de neige. Le LAN est soudainement inondé de paquets, créant ainsi un trafic inutile qui entraîne des performances réseau médiocres ou même une perte complète de service réseau.
Voir également
Utilisation de l’interface cli logicielle de couche 2 améliorée
Le logiciel ELS (Enhanced Layer 2 Software) fournit une interface cli uniforme permettant de configurer et de surveiller les fonctionnalités de couche 2 sur les commutateurs QFX Series, les commutateurs EX Series et d’autres équipements Juniper Networks, tels que les routeurs MX Series. Avec ELS, vous configurez les fonctionnalités de couche 2 de la même manière sur tous ces équipements Juniper Networks.
Cette rubrique vous explique comment savoir si votre plate-forme exécute ELS. Il explique également comment effectuer certaines tâches courantes à l’aide du style de configuration ELS.
- Comprendre quels équipements prennent en charge els
- Comprendre comment configurer les fonctionnalités de couche 2 à l’aide d’ELS
- Comprendre l’énoncé de configuration els et les modifications de commande
Comprendre quels équipements prennent en charge els
ELS est automatiquement pris en charge si votre équipement exécute une version Junos OS qui le prend en charge. Vous n’avez pas besoin d’activer ELS et vous ne pouvez pas désactiver ELS. Consultez l’Explorateur de fonctionnalités pour savoir quelles plates-formes et versions prennent en charge ELS.
Comprendre comment configurer les fonctionnalités de couche 2 à l’aide d’ELS
Comme ELS fournit une CLI uniforme, vous pouvez désormais effectuer les tâches suivantes sur les équipements pris en charge de la même manière :
- Configuration d’un VLAN
- Configuration de l’identifiant VLAN natif
- Configuration des interfaces de couche 2
- Configuration des interfaces de couche 3
- Configuration d’une interface IRB
- Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Configuration d’un VLAN
Vous pouvez configurer un ou plusieurs VLAN pour effectuer le pontage de couche 2. Les fonctions de pontage de couche 2 comprennent le routage et le pontage intégrés (IRB) pour prendre en charge le pontage de couche 2 et le routage IP de couche 3 sur la même interface. Les commutateurs EX Series et QFX Series peuvent fonctionner comme des commutateurs de couche 2, chacun avec plusieurs domaines de pontage ou de diffusion qui participent au même réseau de couche 2. Vous pouvez également configurer la prise en charge du routage de couche 3 pour un VLAN.
Pour configurer un VLAN :
Configuration de l’identifiant VLAN natif
Les commutateurs EX Series et QFX Series prennent en charge la réception et le transfert de trames Ethernet routés ou pontées avec des balises VLAN 802.1Q. En règle générale, les ports trunk, qui connectent les commutateurs les uns aux autres, acceptent les paquets de contrôle non marqués, mais pas les paquets de données non marqués. Vous pouvez activer un port trunk pour accepter des paquets de données non marqués en configurant un ID VLAN natif sur l’interface sur laquelle vous souhaitez recevoir les paquets de données non marqués.
Pour configurer l’ID VLAN natif :
Configuration des interfaces de couche 2
Pour vous assurer que votre réseau à trafic élevé est réglé pour des performances optimales, configurez explicitement certains paramètres sur les interfaces réseau du commutateur.
Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant qu’interface trunk :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant qu’interface access :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Pour attribuer une interface au VLAN :
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuration des interfaces de couche 3
Pour configurer une interface de couche 3, vous devez lui attribuer une adresse IP. Vous attribuez une adresse à une interface en spécifiant l’adresse lorsque vous configurez la famille de protocoles. Pour la inet famille ou inet6 la famille, configurez l’adresse IP de l’interface.
Vous pouvez configurer des interfaces avec une adresse IP 32 bits version 4 (IPv4) et éventuellement avec un préfixe de destination, parfois appelé masque de sous-réseau. Une adresse IPv4 utilise une syntaxe d’adresse décimale à 4 octets (par exemple, 192.168.1.1). Une adresse IPv4 avec préfixe de destination utilise une syntaxe d’adresse décimale à 4 octets avec un préfixe de destination ajouté (par exemple, 192.168.1.1/16).
Pour spécifier une adresse IP4 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Vous représentez les adresses IP de version 6 (IPv6) en notation hexadécimale à l’aide d’une liste de valeurs 16 bits séparées par deux-points. Vous attribuez une adresse IPv6 128 bits à une interface.
Pour spécifier une adresse IP6 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuration d’une interface IRB
Le routage et le pontage intégrés (IRB) prennent en charge le pontage de couche 2 et le routage IP de couche 3 sur la même interface. IRB vous permet de router les paquets vers une autre interface routée ou vers un autre VLAN avec un protocole de couche 3 configuré. Les interfaces IRB permettent à l’équipement de reconnaître les paquets qui sont envoyés aux adresses locales afin qu’ils soient pontés (commutés) dans la mesure du possible et ne soient acheminés que lorsque nécessaire. Chaque fois que des paquets peuvent être changés au lieu du routage, plusieurs couches de traitement sont éliminées. Une interface nommée irb fonctionne comme un routeur logique sur lequel vous pouvez configurer une interface logique de couche 3 pour le VLAN. Pour la redondance, vous pouvez combiner une interface IRB avec des implémentations du protocole VRRP (Virtual Router Redundancy Protocol) dans les environnements de pontage et de service LAN privé virtuel (VPLS).
Pour configurer une interface IRB :
Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Utilisez la fonctionnalité d’agrégation de liens pour agréger un ou plusieurs liens afin de former un lien virtuel ou un groupe d’agrégation de liens (LAG). Le client MAC peut traiter cette liaison virtuelle comme s’il s’agissait d’une liaison unique pour augmenter la bande passante, assurer une dégradation gracieuse en cas de défaillance et augmenter la disponibilité.
Pour configurer une interface Ethernet agrégée :
Pour les interfaces Ethernet agrégées sur l’équipement, vous pouvez configurer le protocole LACP (Link Aggregation Control Protocol). LACP regroupe plusieurs interfaces physiques pour former une seule interface logique. Vous pouvez configurer ethernet agrégé avec ou sans LACP activé.
Lorsque le LACP est activé, les côtés locaux et distants des liaisons Ethernet agrégées échangent des unités de données de protocole (PDU), contenant des informations sur l’état de la liaison. Vous pouvez configurer des liaisons Ethernet pour transmettre activement des PDU, ou configurer les liaisons pour les transmettre passivement, en envoyant des PDU LACP uniquement lorsqu’ils les reçoivent d’une autre liaison. Une partie de la liaison doit être configurée comme active pour que la liaison soit en place.
Pour configurer LACP :
Activez une partie de la liaison Ethernet agrégée comme active :
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Spécifiez l’intervalle auquel les interfaces envoient des paquets LACP :
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Comprendre l’énoncé de configuration els et les modifications de commande
ELS a été introduit dans la version 12.3R2 de Junos OS pour les commutateurs EX9200. ELS modifie la CLI pour certaines des fonctionnalités de couche 2 sur les commutateurs EX Series et QFX Series pris en charge.
Les sections suivantes fournissent une liste des commandes existantes qui ont été déplacées vers de nouveaux niveaux hiérarchiques ou modifiées sur les commutateurs EX Series dans le cadre de cette amélioration cli. Ces sections sont fournies à titre de référence de haut niveau uniquement. Pour obtenir des informations détaillées sur ces commandes, utilisez les liens vers les instructions de configuration fournies ou consultez la documentation technique.
- Changements au niveau de la hiérarchie des options de commutation Ethernet
- Changements au niveau de la hiérarchie de mise en miroir des ports
- Modifications apportées au niveau de la hiérarchie des protocoles de contrôle de couche 2
- Modifications apportées à l’instruction de tunnelisation dot1q
- Modifications apportées au protocole d’apprentissage L2
- Modifications apportées au pontage sans interruption
- Modifications apportées à la sécurité des ports et à la surveillance DHCP
- Modifications apportées à la configuration des VLAN
- Modifications apportées aux profils Storm Control
- Modifications apportées à la hiérarchie des interfaces
- Modifications apportées à la surveillance IGMP
Changements au niveau de la hiérarchie des options de commutation Ethernet
Cette section présente les modifications apportées au niveau hiérarchique ethernet-switching-options .
Le ethernet-switching-options niveau hiérarchique a été renommé en .switch-options
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Les déclarations ont été retirées de la |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Les déclarations ont été retirées de la |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
REMARQUE :
La interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Changements au niveau de la hiérarchie de mise en miroir des ports
Les déclarations sont passées du ethernet-switching-options niveau hiérarchique au niveau hiérarchique forwarding-options .
Modifications apportées au niveau de la hiérarchie des protocoles de contrôle de couche 2
Les déclarations de protocole de contrôle de couche 2 sont passées de la ethernet-switching-options hiérarchie à la protocols hiérarchie.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Modifications apportées à l’instruction de tunnelisation dot1q
L’instruction dot1q-tunneling a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Modifications apportées au protocole d’apprentissage L2
L’instruction mac-table-aging-time a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications apportées au pontage sans interruption
L’énoncé nonstop-bridging est passé à un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Modifications apportées à la sécurité des ports et à la surveillance DHCP
Les déclarations de sécurité des ports et de surveillance DHCP sont passées à différents niveaux hiérarchiques.
L’instruction examine-dhcp n’existe pas dans la hiérarchie modifiée. La surveillance DHCP est désormais activée automatiquement lorsque d’autres fonctionnalités de sécurité DHCP sont activées sur un VLAN. Voir Configuration de la sécurité des ports (ELS) pour plus d’informations.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Pour la configuration Mac autorisée, l’instruction set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 hiérarchique d’origine est remplacée par la commande ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Les déclarations de surveillance DHCP sont passées à un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Modifications apportées à la configuration des VLAN
Les instructions de configuration des VLAN sont passées à un autre niveau hiérarchique.
À partir de la version 14.1X53-D10 de Junos OS pour les commutateurs EX4300 et EX4600, lorsque vous activez xSTP, vous pouvez l’activer sur certaines ou toutes les interfaces incluses dans un VLAN. Par exemple, si vous configurez VLAN 100 pour inclure les interfaces ge-0/0/0, ge-0/0/1 et ge-0/0/2, et que vous souhaitez activer MSTP sur les interfaces ge-0/0/0 et ge-0/0/2, vous pouvez spécifier les set protocols mstp interface ge-0/0/0 commandes et set protocols mstp interface ge-0/0/2 . Dans cet exemple, vous n’avez pas explicitement activé MSTP sur l’interface ge-0/0/1 ; par conséquent, MSTP n’est pas activé sur cette interface.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
REMARQUE :
L’instruction est remplacée par une nouvelle instruction et est passée à un autre niveau hiérarchique. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Ces déclarations ont été supprimées. Vous pouvez attribuer des interfaces à un VLAN à l’aide de la |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Les déclarations ont été supprimées. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
REMARQUE :
La syntaxe est modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
L’instruction est supprimée. Le trafic entrant est automatiquement suivi. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
L’instruction est supprimée. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
L’énoncé a été déplacé vers une hiérarchie différente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
L’instruction a été supprimée. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
L’instruction est supprimée. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
REMARQUE :
L’énoncé a été remplacé par une nouvelle déclaration. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
REMARQUE :
La syntaxe est modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Pour interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Pour protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications apportées aux profils Storm Control
Storm Control est configuré en deux étapes. La première étape consiste à créer un profil de contrôle des tempêtes au niveau de la [edit forwarding-options] hiérarchie, et la deuxième étape consiste à lier le profil à une interface logique au niveau de la [edit interfaces] hiérarchie. Voir l’exemple : Configuration de Storm Control pour éviter les pannes réseau sur les commutateurs EX Series pour la procédure modifiée.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Modifications apportées à la hiérarchie des interfaces
Les déclarations ont été déplacées vers une autre hiérarchie.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
REMARQUE :
L’énoncé a été remplacé par une nouvelle déclaration. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
REMARQUE :
L’énoncé a été remplacé par une nouvelle déclaration. interfaces irb |
Modifications apportées à la surveillance IGMP
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Déclaration de configuration cli de couche 2 améliorée et modifications de commande pour les équipements de sécurité
À partir des versions 15.1X49-D10 et 17.3R1 de Junos OS, certaines instructions de configuration CLI de couche 2 sont améliorées et certaines commandes sont modifiées. Tableau 18 et Tableau 19 fournir des listes de commandes existantes qui ont été déplacées vers de nouvelles hiérarchies ou modifiées sur les équipements SRX Series dans le cadre de cet effort d’amélioration de la CLI. Les tableaux sont fournis comme référence de haut niveau uniquement. Pour obtenir des informations détaillées sur ces commandes, consultez l’Explorateur CLI.
Hiérarchie d’origine |
Hiérarchie modifiée |
Niveau hiérarchique |
Description du changement |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[edit] |
La hiérarchie est renommée. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[modifier vlans vlans-name] |
Renommage de l’instruction. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[modifier vlans vlans-name] |
Renommage de l’instruction. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[modifier le flux de sécurité] |
Renommage de l’instruction. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[modifier les interfaces interface-name ] Unité unit-number |
La hiérarchie est renommée. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[modifier vlans vlans-name] |
Renommage de l’instruction. |
Commande opérationnelle originale |
Commande opérationnelle modifiée |
|---|---|
pont transparent mac-table |
table de commutation Ethernet claire |
pont clair mac-table apprentissage persistant |
table de commutation Ethernet claire, apprentissage persistant |
afficher le domaine de pont |
afficher les vlans |
afficher le pont mac-table |
afficher la table de commutation Ethernet |
afficher l’interface d’apprentissage L2 |
afficher l’interface de commutation Ethernet |
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX500HM. (La prise en charge de la plate-forme dépend de la version junos OS de votre installation.)
Voir également
Mode nouvelle génération de couche 2 pour ACX Series
Le mode nouvelle génération de couche 2, également appelé Logiciel de couche 2 améliorée (ELS), est pris en charge sur les routeurs ACX5048, ACX5096 et ACX5448 pour la configuration des fonctionnalités de couche 2. Les configurations CLI de couche 2 et les commandes d’show pour les routeurs ACX5048, ACX5096, ACX5448 et ACX710 diffèrent de celles des autres routeurs ACX Series (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 et ACX4000) et des routeurs MX Series.
Tableau 20 affiche les différences dans la hiérarchie CLI pour la configuration des fonctionnalités de couche 2 dans le mode de nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448 et ACX710 |
|---|---|---|
Domaine de pont |
[ |
[ |
Famille |
[ |
[ |
Options de couche 2 |
[ |
[ |
Options Ethernet |
[ |
[ |
Routage et pontage intégrés (IRB) |
[ |
|
Storm control |
[ |
[ [ |
Surveillance IGMP (Internet Group Management Protocol) |
[ |
[ |
Filtre de pare-feu de la famille |
[ |
[ |
Tableau 21 affiche les différences dans show les commandes des fonctionnalités de couche 2 dans le mode de nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448 et ACX710 |
|---|---|---|
VLAN |
|
|
Table MAC |
|
|
Options de table MAC |
|
|
Liste des ports de commutateur avec attributions VLAN |
|
|
État du noyau de la base de données flush |
|
|
Voir également
set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode pont transparent de couche 2 et le mode de commutation Ethernet.