Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Mise en réseau de couche 2

Présentation de la mise en réseau de couche 2

La couche 2, également appelée couche liaison de données, est le deuxième niveau du modèle de référence OSI à sept couches pour la conception de protocoles réseau. La couche 2 est équivalente à la couche de liaison (couche la plus faible) du modèle de réseau TCP/IP. La couche 2 est la couche réseau utilisée pour transférer des données entre les nodes de réseau adjacents dans un réseau de zones étendues ou entre les différents niveaux du réseau local.

Une trame est une unité de données de protocole, la plus petite unité de bits sur un réseau de couche 2. Les trames sont transmises et reçues depuis les équipements du même réseau local (LAN). Les bits Unilke, les trames ont une structure définie et peuvent être utilisées pour la détection des erreurs, les activités du plan de contrôle, etc. Les trames ne sont pas toutes transportant des données utilisateur. Le réseau utilise des trames pour contrôler lui-même la liaison de données.

Au niveau de la couche 2, l’unicast désigne l’envoi de trames d’un nœud à un autre, tandis que le multicast désigne l’envoi de trafic d’un nœud à plusieurs nœuds, tandis que la diffusion fait référence à la transmission de trames à tous les nœuds d’un réseau. Un domaine de diffusion est une division logique d’un réseau dans lequel tous les sens du réseau peuvent être atteints au niveau de la couche 2 par la diffusion.

Les segments d’un LAN peuvent être associés au niveau de la trame à l’aide de ponts. Le pontage crée des domaines de diffusion distincts sur le réseau local, créant ainsi des réseaux VLAN, qui sont des réseaux logiques indépendants qui rassemblent les équipements associés en segments de réseau distincts. Le regroupement des équipements sur un VLAN n’a pas pour fonction de savoir où les équipements se trouvent physiquement dans le lan. Sans pontage et VLAN, tous les équipements du réseau LAN Ethernet sont dans un domaine de diffusion unique, et tous les équipements détectent tous les paquets sur le réseau lan.

Le « forwarding » consiste à transmettre des paquets d’un segment de réseau à un autre par des nodes du réseau. Sur un VLAN, seule une trame dont l’origine et la destination sont dans le même VLAN n’est avancée que dans le VLAN local. Un segment de réseau est une partie d’un réseau informatique où chaque équipement communique à l’aide de la même couche physique.

La couche 2 comprend deux sous-couches:

  • Contrôle de liaison logique (LLC) sous-couches, responsable de la gestion des liaisons de communications et du traitement du trafic de trame.

  • Une couche sous-couche MAC (Media Access Control), qui régit l’accès aux protocoles au support de réseau physique. En utilisant les adresses MAC attribuées à tous les ports d’un commutateur, plusieurs équipements de la même liaison physique peuvent s’identifier de manière unique.

    Les ports ou interfaces d’un commutateur fonctionnent en mode d’accès, balisé d’accès ou en mode tronc:

    • Les ports du mode d’accès se connectent à un équipement réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode accès.

    • Les ports du mode d’accès balisé se connectent à un équipement réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode accès. Le mode d’accès balisé permet le cloud computing, en particulier les scénarios comprenant des machines virtuelles ou des ordinateurs virtuels. Plusieurs ordinateurs virtuels peuvent être inclus sur un serveur physique, les paquets générés par un serveur peuvent contenir une agrégation de paquets VLAN de différentes machines virtuelles sur ce serveur. Pour s’adapter à cette situation, le mode d’accès balisé reflète les paquets revenir au serveur physique sur le même port en aval lorsque l’adresse de destination du paquet a été apprise sur ce port en aval. Les paquets sont également reflétés vers le serveur physique sur le port en aval lorsque la destination n’a pas encore été acquise. Le troisième mode d’interface balisé présente donc quelques caractéristiques du mode d’accès et quelques caractéristiques du mode d’accès:

    • Les ports du mode d’trunk gèrent le trafic pour plusieurs réseaux VLAN, multiplexant ainsi le trafic de tous ces VLAN sur la même connexion physique. Les interfaces trunk sont généralement utilisées pour interconnecter les commutateurs à d’autres équipements ou commutateurs.

      Avec le VLAN natif configuré, les trames qui ne transportent pas de balises VLAN sont envoyées sur l’interface d’tronc. Si vous avez une situation où les paquets passent d’un équipement à un commutateur en mode d’accès, et que vous souhaitez ensuite les envoyer depuis le commutateur via un port d’trunk, utilisez le mode VLAN natif. Configurez le VLAN unique sur le port du commutateur (en mode d’accès) en tant que VLAN natif. Le port d’trunk du commutateur traitera alors ces trames différemment des autres paquets marqués. Par exemple, si un port d’tronc dispose de trois VLAN, 10, 20 et 30, qui lui sont attribués avec le VLAN 10 natif, les trames du VLAN 10 qui quittent le port d’tronc à l’autre extrémité ne disposent pas d’en-tête (balise) 802.1Q. Il existe une autre option VLAN native. Il est possible d’ajouter et de supprimer les étiquettes des paquets non supprimés. Pour ce faire, vous devez d’abord configurer le VLAN unique en tant que VLAN natif sur un port relié à un équipement de périphérie. Puis, attribuez une balise d’ID VLAN à un seul VLAN natif sur le port connecté à un équipement. Enfin, ajoutez l’ID VLAN au port d’tronc. Maintenant, lorsque le commutateur reçoit le paquet non spécifié, il ajoute l’ID que vous avez spécifié et envoie et reçoit les paquets balisé sur le port d’tronc configuré pour accepter ce VLAN.

La couche 2 du QFX Series sous-couches prend en charge les fonctionnalités suivantes:

  • Trafic unicast, multicast et de diffusion.

  • Combler.

  • VLAN 802.1Q: également appelé balisage VLAN,ce protocole permet à plusieurs réseaux pontés de partager de manière transparente le même lien de réseau physique en ajoutant des balises VLAN à une trame Ethernet.

  • L’extension des réseaux VLAN de couche 2 sur plusieurs commutateurs à l’aide du protocole STP (Spanning Tree Protocol) empêche toute boucle sur le réseau.

  • Apprentissage MAC,y compris l’apprentissage MAC par VLAN et la suppression de l’apprentissage de couche 2: ce processus permet d’obtenir les adresses MAC de tous les nodes d’un réseau

  • Agrégation de liaisons: ces groupes de processus d’interfaces Ethernet au niveau de la couche physique pour former une interface de couche de liaison unique, également connue sous le nom de groupe d’agrégation de liens (LAG) ou offre LAG

    Remarque :

    L’agrégation de liaisons n’est pas prise en charge NFX150 périphériques.

  • Storm control sur le port physique pour unicast, multicast et diffusion

    Remarque :

    Le storm control n’est pas pris en charge NFX150 périphériques.

  • Prise en charge de STP, notamment 802.1d, RSTP, MSTP et Root Guard

Présentation de la commutation Ethernet et du mode transparent de couche 2

Le mode transparent de couche 2 permet de déployer le pare-feu sans modifier l’infrastructure de routage existante. Le pare-feu est déployé en tant que commutateur de couche 2 avec plusieurs segments VLAN et fournit des services de sécurité dans les segments VLAN. Secure Wire est une version spéciale du mode transparent de couche 2 qui permet un déploiement de pare-choc.

Un équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme des interfaces de couche 2. L’équipement fonctionne en mode de route (le mode par défaut) s’il n’y a aucune interface physique configurée en tant qu’interfaces de couche 2.

Pour les SRX Series, le mode transparent fournit des services de sécurité complets pour commutation de couche 2 périphériques. Sur ces SRX Series, vous pouvez configurer un ou plusieurs VLAN pour effectuer des commutation de couche 2. Un VLAN est un ensemble d’interfaces logiques qui partagent les mêmes caractéristiques de diffusion ou d’diffusion. À l’façon d’un réseau lan virtuel (VLAN), un VLAN s’étend sur un ou plusieurs ports d’équipements. Ainsi, l SRX Series réseau peut fonctionner comme un commutateur de couche 2 avec plusieurs VLANs qui participent au même réseau de couche 2.

En mode transparent, l’équipement de SRX Series filtre les paquets qui traversent l’équipement sans modifier aucune des informations source ou de destination dans les en-têtes des paquets IP. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic à partir de sources non fiables car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.

En mode transparent, tous les ports physiques de l’équipement sont assignés aux interfaces de couche 2. Ne routez pas le trafic de couche 3 via l’équipement. Les zones de couche 2 peuvent être configurées pour héberger des interfaces de couche 2 et les stratégies de sécurité peuvent être définies entre les zones de couche 2. Lorsque les paquets voyagent entre les zones de couche 2, des stratégies de sécurité peuvent être appliquées sur ces paquets.

Tableau 1 répertorie les fonctionnalités de sécurité qui sont prise en charge et qui ne sont pas en mode transparent pour commutation de couche 2.

Tableau 1 : Fonctionnalités de sécurité prise en charge en mode transparent

Mode Type

Soutenu

Non pris en charge

Mode transparent

  • couche applicative de nouvelle couche applicative (ALG)

  • Authentification des utilisateurs du pare-feu (FWAUTH)

  • détection et prévention d’intrusion (IDP)

  • Écran

  • AppSecure

  • Gestion des menaces unifiée (UTM)

  • traduction des adresses réseau (NAT)

  • VPN

Remarque :

Sur les SRX300, SRX320, SRX340, SRX345 et SRX550M, la propagation du serveur DHCP n’est pas prise en charge en mode transparent de couche 2.

En outre, les équipements SRX Series ne sont pas en mesure de supporter les fonctionnalités de couche 2 suivantes en mode transparent de couche 2:

  • Protocole STP (Spanning Tree Protocol), RSTP ou MSTP: il est de la responsabilité de l’utilisateur de s’assurer qu’aucune boucle d’inonding n’existe dans la topologie du réseau.

  • Snooping IGMP (Internet Group Management Protocol): le protocole de signalisation de l’hôte au routeur IPv4 pour IPv4 signalait les membres de son groupe multicast aux routeurs voisins et de déterminer si les membres des groupes se trouveraient au cours du multicast IP.

  • Les identifiants VLAN 802.1Q encapsulés dans les paquets 802.1Q (également appelés bali IEEE sage VLAN « Q in Q » ou VLAN non balisé) sont pris en charge sur les équipements SRX Series.

  • Apprentissage VLAN non qualifié, où seule l’adresse MAC est utilisée pour l’apprentissage au sein du VLAN — l’apprentissage VLAN sur SRX Series périphériques est qualifié ; c’est-à-dire que l’identifiant VLAN et l’adresse MAC sont utilisés.

Également, sur SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650, certaines fonctionnalités ne sont pas prise en charge. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.) Les fonctionnalités suivantes ne sont pas prise en charge pour le mode transparent de couche 2 sur les équipements mentionnés:

  • G-ARP sur l’interface de couche 2

  • Surveillance des adresses IP sur n’importe quelle interface

  • Trafic de transit via l’IRB

  • Interface IRB dans une instance de routage

  • Gestion de l’interface IRB du trafic de couche 3

    Remarque :

    L’interface IRB est une pseudointerface et n’appartient pas au groupe de redondance et d’interface reth.

Mode transparent de couche 2 sur le concentrateur de ports du module de ligne SRX5000

Le concentrateur de ports de modules de la gamme SRX5000 (SRX5K-MPC) prend en charge le mode transparent de couche 2 et traite le trafic lorsque l’équipement SRX Series est configuré en mode transparent de couche 2.

Lorsque le SRX5K-MPC fonctionne en mode couche 2, vous pouvez configurer toutes les interfaces du SRX5K-MPC en tant que ports commutation de couche 2 pour prendre en charge le trafic de couche 2.

L’unité de traitement de la sécurité (SPU) prend en charge tous les services de sécurité pour les fonctions commutation de couche 2 ; la MPC fournit les paquets d’entrée au processeur et fait avancer les paquets de sortie encapsulés par le processeur vers les interfaces sortantes.

Lorsque l’équipement SRX Series est configuré en mode transparent de couche 2, les interfaces du MPC peuvent fonctionner en mode couche 2 en définissant une ou plusieurs unités logiques sur une interface physique avec le type d’adresse de la famille en tant que Ethernet switching . Vous pourrez ensuite poursuivre la configuration sécurité de couche 2 zones et la configuration des stratégies de sécurité en mode transparent. Une fois cela terminé, les topologies du saut suivant sont définies pour traiter les paquets d’entrée et de sortie.

Compréhension des flux IPv6 en mode transparent sur les équipements de sécurité

En mode transparent, l’équipement de SRX Series filtre les paquets qui traversent l’équipement sans modifier aucune des informations source ou de destination dans les en-têtes MAC des paquets. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic à partir de sources non fiables car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.

Un équipement fonctionne en mode transparent lorsque toutes les interfaces physiques de l’équipement sont configurées en tant qu’interfaces de couche 2. Une interface physique est une interface de couche 2 si son interface logique est configurée avec l’option au ethernet-switching niveau hiérarchique edit interfaces interface-name unit unit-number family []. Aucune commande ne permet de définir ou d’activer le mode transparent sur l’équipement. L’équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme des interfaces de couche 2. L’équipement fonctionne en mode de route (le mode par défaut) si toutes les interfaces physiques sont configurées en tant qu’interfaces de couche 3.

Par défaut, les flux IPv6 sont abandonnés sur les équipements de sécurité. Pour activer le traitement par des fonctionnalités de sécurité telles que des zones, des écrans et des stratégies de pare-feu, vous devez activer le traitement basé sur les flux du trafic IPv6 avec l’option de configuration au niveau de [ ] niveau mode flow-basededit security forwarding-options family inet6 hiérarchique. Vous devez redémarrer l’équipement lorsque vous modifiez le mode.

En mode transparent, vous pouvez configurer des zones de couche 2 pour héberger des interfaces de couche 2, et définir des stratégies de sécurité entre les zones de couche 2. Lorsque les paquets voyagent entre les zones de couche 2, des stratégies de sécurité peuvent être appliquées sur ces paquets. Les fonctionnalités de sécurité suivantes sont prise en charge du trafic IPv6 en mode transparent:

Les fonctionnalités de sécurité suivantes ne sont pas prise en charge des flux IPv6 en mode transparent:

  • Systèmes logiques

  • IPv6 GTPv2

  • Interface J-Web

  • NAT

  • VPN IPsec

  • À l’exception des ALG DNS, FTP et TFTP, tous les autres ALG ne sont pas pris en charge.

La configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv6 est la même que la configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv4. Vous pouvez configurer, si vous le souhaitez, une interface de routage et de pontage (IRB) intégrée pour le trafic de gestion dans un VLAN. L’interface IRB est la seule interface de couche 3 autorisée en mode transparent. L’interface IRB du SRX Series ne prend pas en charge le routage ou le routage du trafic. L’interface IRB peut être configurée avec les adresses IPv4 et IPv6. Vous pouvez attribuer une adresse IPv6 à l’interface IRB avec l’énoncé de address configuration au niveau edit interfaces irb unit number family inet6 hiérarchique []. Vous pouvez attribuer une adresse IPv4 à l’interface IRB avec l’énoncé de configuration au niveau addressedit interfaces irb unit number family inet hiérarchique [].

Les fonctions de commutation Ethernet sur SRX Series de commutation sont similaires aux fonctionnalités de commutation Juniper Networks MX Series routeurs. Toutefois, toutes les fonctionnalités réseau de couche 2 MX Series prise en charge sur les routeurs de SRX Series périphériques. Voir Présentation de la commutation Ethernet et du mode transparent de couche 2 .

L SRX Series conserve des tables de forwarding contenant des adresses MAC et des interfaces associées pour chaque VLAN de couche 2. Le traitement des flux IPv6 est similaire aux flux IPv4. Voir Présentation de l’apprentissage et du forwarding de couche 2 pour les VLANs .

Comprendre le mode transparent de couche 2 Clusters de châssis sur les équipements de sécurité

Deux équipements SRX Series en mode transparent de couche 2 peuvent être connectés dans un cluster de châssis pour offrir une redondance de nœuds réseau. Lorsqu’il est configuré dans un cluster de châssis, un nœud agit comme l’équipement principal et l’autre comme équipement secondaire, ce qui garantit un échec dynamique des processus et des services en cas de défaillance du système ou du matériel. En cas de panne de l’équipement principal, l’équipement secondaire reprend le traitement du trafic.

Remarque :

Si l’équipement principal tombe en panne dans un cluster de châssis en mode transparent de couche 2, les ports physiques de l’équipement défa arrêt sont inactifs quelques secondes avant qu’ils ne deviennent actifs (revenir).

Pour former un cluster de châssis, une paire d’équipements de SRX Series du même type se combine pour agir comme un système unique qui applique la même sécurité globale.

Les équipements en mode transparent de couche 2 peuvent être déployés en configurations de clusters de châssis active/de secours et active/active.

Les fonctionnalités de cluster de châssis suivantes ne sont pas prise en charge pour les équipements en mode transparent de couche 2:

  • ARP gratuit: le nouveau programme principal désigné dans un groupe de redondance ne peut envoyer de requêtes ARP gratuites pour informer les équipements réseau d’un changement de rôle principal sur les liens d’interface Ethernet redondants.

  • Surveillance des adresses IP: une défaillance d’un équipement en amont ne peut pas être détectée.

Un groupe de redondance est une structure qui comprend un ensemble d’objets sur les deux côtés. Un groupe de redondance est principal sur un nœud et une sauvegarde sur l’autre. Lorsqu’un groupe de redondance est principal sur un nœud, ses objets sont actifs. En cas de panne d’un groupe de redondance, tous ses objets sont défanciants.

Vous pouvez créer un ou plusieurs groupes de redondance numérotés de 1 à 128 pour une configuration de cluster de châssis actif/actif. Chaque groupe de redondance contient une ou plusieurs interfaces Ethernet redondantes. Une interface Ethernet redondante est une pseudointerface contenant des interfaces physiques à partir de chaque nœud du cluster. Les interfaces physiques d’une interface Ethernet redondante doivent être de la même sorte, à savoir Fast Ethernet ou Gigabit Ethernet. Si un groupe de redondance est actif sur le nœud 0, les liaisons enfants de toutes les interfaces Ethernet redondantes associées au nœud 0 sont actives. Si le groupe de redondance échoue au nœud 1, les liaisons enfants de toutes les interfaces Ethernet redondantes du nœud 1 deviennent actives.

Remarque :

Dans la configuration de cluster de châssis actif/actif, le nombre maximum de groupes de redondance est égal au nombre d’interfaces Ethernet redondantes que vous configurez. Dans la configuration de cluster de châssis actif/de secours, le nombre maximum de groupes de redondance pris en charge est deux.

La configuration d’interfaces Ethernet redondantes sur un équipement en mode transparent de couche 2 s’apparente à la configuration d’interfaces Ethernet redondantes sur un équipement en mode de route de couche 3, avec les différences suivantes: l’interface Ethernet redondante d’un équipement en mode transparent de couche 2 est configurée en tant qu’interface logiquede couche 2.

L’interface Ethernet redondante peut être configurée en tant qu’interface d’accès (avec un ID VLAN unique attribué aux paquets reçus sur l’interface) ou en tant qu’interface d’trunk (avec une liste d’ID VLAN acceptés sur l’interface et, éventuellement, un vlan-id natif pour les paquets reçus sans retard sur l’interface). Les interfaces physiques (une de chaque nœud du cluster de châssis) sont liées en tant qu’interfaces enfant à l’interface Ethernet redondante des parents.

En mode transparent de couche 2, l’apprentissage MAC est basé sur une interface Ethernet redondante. Le tableau MAC est synchronisé entre les interfaces Ethernet redondantes et les unités de traitement des services (SPUs) entre la paire d’équipements de cluster de châssis.

L’interface IRB n’est utilisée que pour le trafic de gestion et ne peut pas être attribuée à une interface Ethernet redondante ou à un groupe de redondance.

Toutes Junos OS d’écran, disponibles pour un seul équipement non connecté, sont disponibles pour les équipements en clusters de châssis transparent de couche 2.

Remarque :

Les protocoles SSP (Spanning Tree Protocols) ne sont pas pris en charge en mode transparent de couche 2. Vous devez vous assurer qu’il n’y a aucune connexion en boucle dans la topologie de déploiement.

Configuration de la gestion hors bande sur les équipements SRX

Vous pouvez configurer l’interface de gestion hors bande sur l’équipement SRX Series en tant qu’interface de couche 3, même si les interfaces de couche 2 sont définies sur fxp0 l’équipement. À l’exception de l’interface, vous pouvez définir des interfaces de couches 2 et 3 sur les ports réseau fxp0 de l’équipement.

Remarque :

Il n’y a pas d’interface de gestion fxp0 hors bande sur les équipements SRX300, SRX320 et SRX550M. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Commutation Ethernet

La commutation Ethernet transfert les trames Ethernet dans ou entre le segment LAN (ou le VLAN) à l’aide des informations d’adresse MAC Ethernet. La commutation Ethernet du SRX1500 matériel est exécutée sur le matériel à l’aide de la technologie ASPC.

À partir Junos OS version 15.1X49-D40, utilisez la commande pour basculer entre le mode pont transparent de couche 2 et le mode de commutation set protocols l2-learning global-mode(transparent-bridge | switching) Ethernet. Après avoir commuté le mode, vous devez redémarrer l’équipement pour que la configuration prenne effet. décrit le mode global de couche 2 par défaut Tableau 2 sur SRX Series périphériques mobiles.

Tableau 2 : Mode global de couche 2 par défaut sur SRX Series périphériques

Junos OS version

Plateformes

Mode global de couche 2 par défaut

Détails

Avant la mise Junos OS version 15.1X49-D50

et le

Junos OS version 17.3R1 l’année suivante

SRX300, SRX320, SRX340 et SRX345

Mode de commutation

Aucune

Junos OS version 15.1X49-D50 à Junos OS version 15.1X49-D90

SRX300, SRX320, SRX340 et SRX345

Mode de commutation

Lorsque vous supprimez la configuration du mode global de couche 2 sur un équipement, l’équipement est en mode pont transparent.

Junos OS version 15.1X49-D100 l’année suivante

SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M

Mode de commutation

Lorsque vous supprimez la configuration du mode global de couche 2 sur un équipement, l’équipement est en mode de commutation. Configurez la set protocols l2-learning global-mode transparent-bridge commande sous le niveau hiérarchique pour passer en mode pont [edit] transparent. Redémarrez l’équipement pour que la configuration prenne effet.

Junos OS version 15.1X49-D50 de suite

SRX1500

Mode pont transparent

Aucune

Le protocole de couche 2 pris en charge en mode de commutation est le protocole LACP (Link Aggregation Control Protocol).

Vous pouvez configurer le mode transparent de couche 2 sur une interface Ethernet redondante. Utilisez les commandes suivantes pour définir une interface Ethernet redondante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Exceptions de commutation de couche 2 sur SRX Series périphériques

Les fonctions de commutation des SRX Series de commutation sont similaires à celle des routeurs Juniper Networks MX Series commutation. Cependant, les fonctionnalités réseau de couche 2 suivantes sur les routeurs MX Series ne sont pas prise en charge SRX Series périphériques:

  • Protocoles de contrôle de couche 2: ces protocoles sont utilisés sur les routeurs MX Series pour le protocole RSTP (Rapid Spanning Tree Protocol) ou le protocole MSTP (Multiple Spanning Tree Protocol) dans les interfaces de périphérie clients d’une instance de routage VPLS.

  • Instance de routage de commutation virtuelle: l’instance de routage de commutation virtuelle est utilisée MX Series routeurs pour grouper un ou plusieurs VLAN.

  • Instance de routage des services de réseaux locaux privés virtuels (VPLS): l’instance de routage VPLS est utilisée sur les routeurs MX Series pour les implémentations de réseaux locaux point à multipoint entre un ensemble de sites dans un VPN.

Compréhension de l’unicast

L’unicasting consiste à transmettre des données d’un nœud du réseau à un autre. En revanche, les transmissions multicast envoient le trafic d’un nœud de données à plusieurs autres nœuds de données.

Le trafic unicast inconnu se compose d’images unicast avec des adresses MAC de destination inconnues. Par défaut, le commutateur inonde toutes les trames unicast circulant dans un VLAN vers toutes les interfaces membres du VLAN. Le transfert de ce type de trafic vers des interfaces sur le commutateur peut déclencher un problème de sécurité. Le réseau local est soudainement submergé de paquets, créant un trafic inutile qui entraîne des performances réseau médiocres, voire une perte totale de service réseau. C’est ce qu’on appelle une tempête de trafic.

Pour éviter une tempête, vous pouvez désactiver l’diffusion de paquets unicast inconnus vers toutes les interfaces en configurant un VLAN ou tous les VLAN pour qu’un trafic unicast inconnu soit transmis à une interface d’trunk spécifique. (Cette application canalise le trafic unicast inconnu vers une interface unique.)

Comprendre la diffusion de couche 2 sur les commutateurs

Dans un réseau de couche 2, la diffusion fait référence à l’envoi de trafic à tous les nodes sur un réseau.

Le trafic de diffusion de couche 2 reste à l’intérieur des limites du réseau local (LAN) ; celui du domaine de diffusion. Le trafic de diffusion de couche 2 est envoyé au domaine de diffusion à l’aide d’une adresse MAC de FF:FF:FF:FF:FF.FF. Chaque équipement du domaine de diffusion reconnaît cette adresse MAC et transmet le trafic de diffusion à d’autres équipements du domaine de diffusion, le cas échéant. La diffusion peut être comparée à la diffusion en monodiffusion (transmission de trafic vers un nœud unique) ou à la multidiffusion (diffusion simultanée du trafic à un groupe de nœuds).

Le trafic de diffusion de couche 3 est cependant envoyé à tous les équipements d’un réseau en utilisant une adresse réseau de diffusion. Par exemple, si votre adresse réseau est 10.0.0.0, l’adresse réseau de diffusion est 10.255.255.255. Dans ce cas, seuls les équipements du réseau 10.0.0.0 reçoivent le trafic de diffusion de couche 3. Les équipements qui n’appartiennent pas à ce réseau abandonnent le trafic.

La diffusion est utilisée dans les situations suivantes:

  • Le protocole ARP (Address Resolution Protocol) utilise la diffusion pour ma mapurer les adresses MAC avec les adresses IP. ARP lient dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant d’envoyer des paquets IP unicast, ARP découvre l’adresse MAC utilisée par l’interface Ethernet dans laquelle elle est configurée.

  • Le protocole DHCP (Dynamic Host Configuration Protocol) utilise la diffusion pour attribuer de manière dynamique des adresses IP aux hôtes d’un segment ou d’un sous-réseau du réseau.

  • Les protocoles de routage utilisent la diffusion pour promouvoir les routes.

Un trafic de diffusion excessif peut parfois créer une tempête de diffusion. Une tempête de diffusion se produit lorsque des messages sont diffusés sur un réseau et chaque message invite un nœud de réception à répondre en diffuse ses propres messages sur le réseau. Ceci, à son tour, invite à d’autres réponses qui créent un effet de boule de neige. Le réseau local est soudainement submergé de paquets, créant un trafic inutile qui entraîne des performances réseau médiocres, voire une perte totale de service réseau.

Utilisation du logiciel Enhanced Layer 2 software CLI

Le logiciel ELS (Enhanced Layer 2 Software) fournit une CLI uniforme pour la configuration et la surveillance des fonctionnalités de couche 2 sur les commutateurs QFX Series, les commutateurs EX Series et d’autres équipements Juniper Networks, tels que les routeurs MX Series. Avec ELS, vous configurez les fonctionnalités de couche 2 de la même manière sur tous Juniper Networks périphériques.

Ce sujet vous explique comment savoir si votre plate-forme exécute ELS. Il explique également comment effectuer certaines tâches courantes à l’aide du style de configuration ELS.

Compréhension des équipements sous-utilisés par ELS

LE système ELS est automatiquement pris en charge si votre équipement exécute une version Junos OS qui la prend en charge. Vous n’avez pas besoin d’agir pour activer ELS et vous ne pouvez pas désactiver ELS. Consultez Feature Explorer pour savoir quelles plates-formes et version sont disponibles pour la prise en charge d’ELS.

Compréhension de la configuration des fonctionnalités de couche 2 à l’aide d’ELS

ElS fournit une CLI uniforme, vous pouvez désormais effectuer les tâches suivantes sur les équipements pris en charge de la même manière:

Configuration d’un VLAN

Vous pouvez configurer un ou plusieurs VLAN pour effectuer un pontage de couche 2. Les fonctions de pontage de couche 2 comprennent le routage et le pontage intégrés (IRB) pour la prise en charge du pontage de couche 2 et du routage IP de couche 3 sur la même interface. EX Series et QFX Series commutateurs de couche 2 peuvent fonctionner comme des commutateurs de couche 2, chacun 1 avec plusieurs domaines de pontage ou de diffusion qui participent au même réseau de couche 2. Vous pouvez également configurer une prise en charge du routage de couche 3 pour un VLAN.

Pour configurer un VLAN:

  1. Créez le VLAN en établissant un nom VLAN unique et en configurant l’ID VLAN:

    L’option de liste d’ID VLAN vous permet de spécifier une gamme d’ID VLAN.

  2. Assignez au moins une interface au VLAN:

Configuration de l’identifiant VLAN natif

EX Series commutateurs et commutateurs QFX Series prise en charge de la réception et du transfert d’trames Ethernet pontées ou acheminées avec des balises VLAN 802.1Q. En règle générale, les ports d’trunk, qui connectent les commutateurs entre eux, acceptent les paquets de contrôle non pas pris en main, mais n’acceptent pas les paquets de données non pris en main. Vous pouvez activer un port d’trunk pour accepter les paquets de données non indiqués en configurant un ID VLAN natif sur l’interface sur laquelle vous souhaitez recevoir les paquets de données non reçus.

Pour configurer l’ID VLAN natif:

  1. Sur l’interface sur laquelle vous souhaitez recevoir des paquets de données non spécifiés, définissez le mode d’interface sur , qui spécifie que l’interface se trouve dans plusieurs VLANs et peut multiplexer le trafic entre différents trunk VLANs.
  2. Configurez l’ID VLAN natif et attribuez l’interface à l’ID VLAN natif:
  3. Assignez l’interface à l’ID VLAN natif:

Configuration des interfaces de couche 2

Pour vous assurer que votre réseau à trafic élevé est correctement configuré pour des performances optimales, configurez explicitement certains paramètres sur les interfaces réseau du commutateur.

Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant trunk qu’interface:

Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant access qu’interface:

Pour attribuer une interface à un VLAN:

Configuration des interfaces de couche 3

Pour configurer une interface de couche 3, vous devez lui attribuer une adresse IP. Vous attribuez une adresse à une interface en l’spécifiant lorsque vous configurez la famille de protocoles. Pour la inet ou la inet6 famille, configurez l’adresse IP de l’interface.

Vous pouvez configurer les interfaces avec une adresse IP version 4 (IPv4) de 32 bits et, éventuellement, avec un préfixe de destination, parfois appelé un masque de sous-réseau. Une adresse IPv4 utilise une syntaxe d’adresse décimale à 4 octet (par exemple, 192.168.1.1). Une adresse IPv4 avec préfixe de destination utilise une syntaxe d’adresse décimale à 4 octet avec un préfixe de destination annexé (192.168.1.1/16).

Pour spécifier une adresse IP4 pour l’unité logique:

Vous représentez des adresses IP version 6 (IPv6) dans la notation hexadécimale en utilisant une liste de valeurs de 16 bits séparées par un virgule. Vous attribuez une adresse IPv6 de 128 bits à une interface.

Pour spécifier une adresse IP6 pour l’unité logique:

Configuration d’une interface IRB

Le routage et le pontage intégrés (IRB) fournissent une prise en charge du pontage de couche 2 et du routage IP de couche 3 sur la même interface. IRB vous permet de router les paquets vers une autre interface de commutation ou vers un autre VLAN configuré par un protocole de couche 3. Les interfaces IRB permettent à l’équipement de reconnaître les paquets envoyés aux adresses locales afin d’être pontés (commutés) dans la mesure du possible et de les router uniquement lorsque cela est nécessaire. Chaque fois que les paquets peuvent être commutés plutôt que acheminés, plusieurs couches de traitement sont éliminées. Une interface nommée irb fonctionne comme un routeur logique sur lequel vous pouvez configurer une interface logique de couche 3 pour VLAN. Pour la redondance, vous pouvez combiner une interface IRB avec l’implémentation du protocole VRRP (Virtual Router Redundancy Protocol) dans des environnements de pontage et de service de réseau lan privé virtuel (VPLS).

Pour configurer une interface IRB:

  1. Créez un VLAN de couche 2 en lui attribuant un nom et un ID VLAN:
  2. Création d’une interface logique IRB:
  3. Associer l’interface IRB au VLAN:

Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface

Utilisez la fonction d’agrégation de liaisons pour agréger un ou plusieurs liens pour former une liaison virtuelle ou un groupe d’agrégation de liens (LAG). Le client MAC peut traiter ce lien virtuel comme s’il s’agit d’un lien unique afin d’augmenter la bande passante, d’assurer une dégradation normale en cas de panne et d’augmenter la disponibilité.

Pour configurer une interface Ethernet agrégée:

  1. Indiquez le nombre d’interfaces Ethernet agrégées à créer:
  2. Indiquez le nom de l’interface de groupe d’agrégation de liens:
  3. Indiquez le nombre minimal de liens pour l’interface Ethernet agrégée (aex), c’est-à-dire l’offre définie, pour être étiquetée:
  4. Indiquez la vitesse de liaison de l’offre Ethernet agrégée:
  5. Indiquez les membres à inclure dans l’offre Ethernet agrégée:
  6. Spécifiez une famille d’interfaces pour l’offre Ethernet agrégée:

Pour les interfaces Ethernet agrégées sur l’équipement, vous pouvez configurer le protocole LACP (Link Aggregation Control Protocol). LaCP regroupe plusieurs interfaces physiques pour former une seule interface logique. Vous pouvez configurer Ethernet agrégé avec ou sans la configuration LACP.

Lorsque la commande LACP est activée, les côtés locaux et distants des liaisons Ethernet agrégées échangent des unités de données de protocole (PDUS), contenant des informations sur l’état de la liaison. Vous pouvez configurer des liens Ethernet pour transmettre activement des PDUS, ou les configurer pour les transmettre passivement, n’envoyant des PDUS LACP que lorsqu’ils les reçoivent à partir d’une autre liaison. Un côté de la liaison doit être configuré en tant qu’actif pour que la liaison soit active.

Pour configurer LACP:

  1. Active un côté de la liaison Ethernet agrégée:

  2. Indiquez l’intervalle à partir duquel les interfaces envoient des paquets LACP:

Compréhension de l’énoncé de configuration et des modifications de la commande ELS

ELS a été introduit dans Junos OS version 12.3R2 pour EX9200 commutateurs. ELS modifie la CLI de certaines des fonctionnalités de couche 2 sur les commutateurs EX Series et QFX Series de couche 2.

Les sections suivantes fournissent une liste des commandes existantes qui ont été déplacées vers de nouveaux niveaux de hiérarchie ou modifiées sur EX Series commutateurs dans le cadre de CLI’amélioration. Ces sections ne sont fournies que comme référence de haut niveau. Pour plus d’informations sur ces commandes, utilisez les liens vers les instructions de configuration fournies ou consultez la documentation technique.

Modifications des options de commutation Ethernet Niveau hiérarchique

Cette section présente les modifications apportées au ethernet-switching-options niveau hiérarchique.

Remarque :

Le ethernet-switching-options niveau de hiérarchie a été renommée switch-options .

Tableau 3 : Rebaptiser la hiérarchie des options de commutation Ethernet

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tableau 4 : Déclarations RTG

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tableau 5 : Instructions supprimées

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Les instructions ont été supprimées de switch-options la hiérarchie.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Les instructions ont été supprimées de switch-options la hiérarchie.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Remarque :

La port-error-disable déclaration a été remplacée par une nouvelle déclaration.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Modifications du niveau hiérarchique de mise en miroir des ports

Remarque :

Les instructions sont passées du niveau ethernet-switching-options hiérarchique au forwarding-options niveau hiérarchique.

Tableau 6 : Hiérarchie de mise en miroir des ports

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Modification du niveau de hiérarchie des protocoles de contrôle de couche 2

Les instructions des protocoles de contrôle de couche 2 sont passées de ethernet-switching-options la hiérarchie à la protocols hiérarchie.

Tableau 7 : Protocole de contrôle de couche 2

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Modifications de l’énoncé de tunnelisation dot1q

L’énoncé a été remplacé par une nouvelle instruction et est passé dot1q-tunneling à un autre niveau hiérarchique.

Tableau 8 : dot1q-tunneling

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Modifications du protocole d’apprentissage de L2

L’énoncé a été remplacé par une nouvelle instruction et est passé mac-table-aging-time à un autre niveau hiérarchique.

Tableau 9 : déclaration mac-table-aging-time

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Modifications du pontage sans arrêt

nonstop-bridgingL’instruction est passée à un autre niveau hiérarchique.

Tableau 10 : Déclaration de pontage sans arrêt

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Modifications de la sécurité des ports et de la snooping DHCP

Les déclarations de sécurité des ports et de contrôle DHCP sont passées à différents niveaux hiérarchiques.

Remarque :

L’énoncé examine-dhcp n’existe pas dans la hiérarchie modifiée. La snooping DHCP est désormais activée automatiquement lorsque d’autres fonctionnalités de sécurité DHCP sont activées sur un VLAN. Pour plus d’informations, consultez la zone Configurer la sécurité des ports (ELS).

Tableau 11 : Déclarations de sécurité des ports

Hiérarchie d’origine

Hiérarchie modifiée

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Conseil :

Pour la configuration MAC autorisée, l’instruction hiérarchique d’origine set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 est remplacée par la commande ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Remarque :

Les instructions de snooping DHCP sont passées à un autre niveau hiérarchique.

Tableau 12 : Déclarations de snooping DHCP

Hiérarchie d’origine

Hiérarchie modifiée

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Modifications de la configuration des VLANs

Les instructions de configuration des VLAN sont passées à un autre niveau hiérarchique.

Remarque :

À partir de Junos OS version 14.1X53-D10 pour les commutateurs EX4300 et EX4600, lorsque vous activez xSTP, vous pouvez l’activer sur certaines ou toutes les interfaces incluses dans un VLAN. Par exemple, si vous configurez VLAN 100 pour inclure des interfaces ge-0/0/0, ge-0/0/1 et ge-0/0/2, et que vous souhaitez activer la fonction MSTP sur les interfaces ge-0/0/0 et ge-0/0/2, vous pouvez spécifier les commandes et les set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 commandes. Dans cet exemple, vous n’avez pas activé la fonction MSTP sur l’interface ge-0/0/1 ; MSTP n’est donc pas activé sur cette interface.

Tableau 13 : Hiérarchie VLAN

Hiérarchie d’origine

Hiérarchie modifiée

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Remarque :

L’instruction est remplacée par une nouvelle instruction et est passée à un autre niveau hiérarchique.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Ces instructions ont été supprimées. Vous pouvez attribuer des interfaces à un VLAN en utilisant [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] la hiérarchie.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Les instructions ont été supprimées.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Remarque :

La syntaxe est modifiée.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

L’instruction est supprimée. Le trafic d’entrée est automatiquement suivi.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

L’instruction est supprimée.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

L’instruction a été déplacée vers une hiérarchie différente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

L’instruction a été supprimée.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

L’instruction est supprimée.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Remarque :

La déclaration a été remplacée par une nouvelle déclaration.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Remarque :

La syntaxe est modifiée.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tableau 14 : Instructions déplacées vers une autre hiérarchie

Hiérarchie d’origine

Hiérarchie modifiée

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunnelingPour:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Pour layer2-protocol-tunneling (réécriture MAC activée sur une interface):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Modification des profils storm control

Le storm control est configuré en deux étapes. La première étape consiste à créer un profil storm control au niveau de la hiérarchie, et la seconde étape consiste à lier ce profil à une interface logique au niveau [edit forwarding-options][edit interfaces] de la hiérarchie. Voir l’exemple: Configurer Storm Control pour éviter les pannes réseau sur EX Series pour la nouvelle procédure.

Tableau 15 : Modifications du niveau hiérarchique du profil Storm Control

Hiérarchie d’origine

Hiérarchie modifiée

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Modifications de la hiérarchie des interfaces

Remarque :

Les instructions ont été déplacées vers une hiérarchie différente.

Tableau 16 : Modifications de la hiérarchie interfaces

Hiérarchie d’origine

Hiérarchie modifiée

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Remarque :

La déclaration a été remplacée par une nouvelle déclaration.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Remarque :

La déclaration a été remplacée par une nouvelle déclaration.

interfaces irb

Modifications de la snooping IGMP

Tableau 17 : Hiérarchie IGMP Snooping

Hiérarchie d’origine

Hiérarchie modifiée

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Configuration de couche 2 CLI et modifications de la commande pour les équipements de sécurité

Depuis Junos OS version 15.1X49-D10 et Junos OS version 17.3R1, certains CLI de configuration de couche 2 sont améliorés et certaines commandes sont modifiées. et fournit des listes de commandes existantes qui ont été déplacées vers de nouvelles hiérarchies ou modifiées sur les équipements de SRX Series dans le cadre de Tableau 18Tableau 19 CLI’amélioration. Les tableaux sont fournis comme référence de haut niveau uniquement. Pour plus d’informations sur ces commandes, consultez CLI Explorer.

Tableau 18 : Modifications de l’énoncé de configuration de couche 2 améliorée

Hiérarchie d’origine

Hiérarchie modifiée

Niveau de hiérarchie

Description des changements

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[modifier]

La hiérarchie a été rebaptée.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[modifier vlans vlans-name]

Instruction renommée.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[modifier vlans vlans-name]

Instruction renommée.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[modifier le flux de sécurité]

Instruction renommée.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[edit interfaces interface-name ] numéro d’unité

La hiérarchie a été rebaptée.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[modifier vlans vlans-name]

Instruction renommée.

Tableau 19 : Modification des commandes opérationnelles de couche 2 améliorée

Commande opérationnelle d’origine

Commande opérationnelle modifiée

clear bridge mac-table

table de commutation Ethernet claire

clear bridge mac-table persistent-learning

table de commutation Ethernet claire et persistante

domaine de pont afficher

afficher les vLAN

show bridge mac-table

afficher une table de commutation Ethernet

afficher l2-learning, interface

afficher l’interface de commutation Ethernet

Remarque :

Il n’y a pas d’interface de gestion fxp0 hors bande sur les équipements SRX300, SRX320 et SRX500HM. (La prise en charge de la plate-forme dépend de Junos OS version de votre installation.)

Mode de nouvelle génération de couche 2 pour les ACX Series

Le mode de couche 2 nouvelle génération, également appelé logiciel ELS (Enhanced Layer 2 Software), est pris en charge sur les routeurs ACX5048, ACX5096 et ACX5448 pour la configuration des fonctionnalités de couche 2. Les configurations et commandes d’CLI de couche 2 pour les routeurs ACX5048, ACX5096 et ACX5448 diffèrent de celles des autres routeurs ACX Series (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 et ACX4000) et de MX Series.

Tableau 20 montre les différences de CLI de configuration pour la configuration des fonctionnalités de couche 2 en mode de couche 2 de nouvelle génération.

Tableau 20 : Différences dans la CLI pour les fonctionnalités de couche 2 en mode de nouvelle génération de couche 2

Fonctionnalité

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000, ACX5448 et MX Series routeurs

Routeurs ACX5048 et ACX5096

Domaine de pont

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Famille bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Options de couche 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Options Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Routage et pontage intégrés (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Storm control

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Contrôle du protocole IGMP (Internet Group Management Protocol)

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtre de bridge pare-feu de la famille

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tableau 21 montre les différences de commandes pour les fonctionnalités de couche 2 en mode de nouvelle génération de couche show 2.

Tableau 21 : Différences dans les commandes d’afficher pour les fonctionnalités de couche 2 en mode de nouvelle génération de couche 2

Fonctionnalité

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series routeurs

Routeurs d’ACX5448 ACX5048, ACX5096 et

VLAN

show bridge-domain

show vlans

Tableau MAC

show bridge mac-table

show ethernet-switching table

Options de tableau MAC

show bridge mac-table(adresse MAC, nom de domaine de pont, interface, ID VLAN et instance)

show ethernet-switching table

Liste des ports de commutation avec attributions VLAN

show l2-learning interface

show ethernet-switching interfaces

État du noyau de la base de données en couleur

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tableau de l'historique des versions
Version
Description
15.1X49-D40
À partir Junos OS version 15.1X49-D40, utilisez la commande pour basculer entre le mode pont transparent de couche 2 et le mode de commutation set protocols l2-learning global-mode(transparent-bridge | switching) Ethernet.
15.1X49-D10
Depuis Junos OS version 15.1X49-D10 et Junos OS version 17.3R1, certains CLI de configuration de couche 2 sont améliorés et certaines commandes sont modifiées.