Mise en réseau de couche 2
Présentation des réseaux de couche 2
La couche 2, également appelée couche liaison de données, est le deuxième niveau du modèle de référence OSI à sept couches pour la conception de protocoles réseau. La couche 2 est équivalente à la couche de liaison (la couche la plus basse) dans le modèle de réseau TCP/IP. La couche 2 est la couche réseau utilisée pour transférer des données entre des nœuds adjacents dans un réseau étendu ou entre des nœuds sur le même réseau local.
Une trame est une unité de données de protocole, la plus petite unité de bits sur un réseau de couche 2. Les trames sont transmises vers et reçues par des appareils sur le même réseau local (LAN). Contrairement aux bits, les trames ont une structure définie et peuvent être utilisées pour la détection d’erreurs, les activités du plan de contrôle, etc. Toutes les trames ne contiennent pas de données utilisateur. Le réseau utilise des trames pour contrôler la liaison de données elle-même.
Au niveau de la couche 2, l’unicast fait référence à l’envoi de trames d’un nœud à un seul autre nœud, tandis que le multicast désigne l’envoi de trafic d’un nœud à plusieurs nœuds, et la diffusion fait référence à la transmission de trames à tous les nœuds d’un réseau. Un domaine de diffusion est une division logique d’un réseau dans laquelle tous les nœuds de ce réseau peuvent être atteints au niveau de la couche 2 par une diffusion.
Les segments d’un LAN peuvent être reliés au niveau de la trame à l’aide de ponts. Le pontage crée des domaines de diffusion distincts sur le LAN, créant des VLAN, qui sont des réseaux logiques indépendants qui regroupent les périphériques associés en segments de réseau distincts. Le regroupement des périphériques sur un VLAN est indépendant de leur emplacement physique dans le LAN. Sans pontage ni VLAN, tous les appareils du réseau Ethernet LAN se trouvent dans un seul domaine de diffusion, et tous les appareils détectent tous les paquets sur le LAN.
Le transfert est le relais de paquets d’un segment de réseau à un autre par les nœuds du réseau. Sur un VLAN, une trame dont l’origine et la destination se trouvent dans le même VLAN est transférée uniquement dans le VLAN local. Un segment de réseau est une partie d’un réseau informatique dans laquelle chaque appareil communique en utilisant la même couche physique.
La couche 2 contient deux sous-couches :
Sous-couche LLC (Logical Link Control), responsable de la gestion des liaisons de communication et du trafic trame.
Sous-couche MAC (Media Access Control), qui régit l’accès des protocoles au support réseau physique. En utilisant les adresses MAC attribuées à tous les ports d’un commutateur, plusieurs équipements sur la même liaison physique peuvent s’identifier de manière unique.
Les ports, ou interfaces, d’un commutateur fonctionnent en mode accès, accès balisé ou mode mode trunk :
Les ports du mode d’accès se connectent à un périphérique réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de surveillance. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode accès.
Les ports en mode d’accès balisé se connectent à un périphérique réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises sur une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode accès. Le mode d’accès balisé est adapté au cloud computing, en particulier aux scénarios incluant des machines virtuelles ou des ordinateurs virtuels. Étant donné que plusieurs ordinateurs virtuels peuvent être inclus sur un serveur physique, les paquets générés par un serveur peuvent contenir une agrégation de paquets VLAN provenant de différentes machines virtuelles sur ce serveur. Dans ce cas, le mode d’accès balisé renvoie les paquets au serveur physique sur le même port en aval lorsque l’adresse de destination du paquet a été apprise sur ce port en aval. Les paquets sont également renvoyés vers le serveur physique sur le port en aval lorsque la destination n’a pas encore été apprise. Par conséquent, le troisième mode d’interface, l’accès balisé, présente certaines caractéristiques du mode d’accès et certaines caractéristiques du mode mode trunk :
Les ports en mode trunk gèrent le trafic de plusieurs VLAN, en multiplexant le trafic de tous ces VLAN sur la même connexion physique. Les interfaces trunk sont généralement utilisées pour interconnecter des commutateurs à d’autres périphériques ou commutateurs.
Lorsque le VLAN natif est configuré, les trames qui ne portent pas de balises VLAN sont envoyées sur l’interface trunk. Si vous êtes dans une situation où les paquets passent d’un périphérique à un commutateur en mode d’accès, et que vous souhaitez ensuite envoyer ces paquets du commutateur via un port trunk, utilisez le mode VLAN natif. Configurez le VLAN unique sur le port du commutateur (qui est en mode d’accès) en tant que VLAN natif. Le port trunk du commutateur traitera alors ces trames différemment des autres paquets balisés. Par exemple, si un port trunk a trois VLAN, 10, 20 et 30, qui lui sont attribués, le VLAN 10 étant le VLAN natif, les trames du VLAN 10 qui quittent le port trunk à l’autre extrémité n’ont pas d’en-tête (balise) 802.1Q. Il existe une autre option VLAN native. Le commutateur peut ajouter et supprimer des balises pour les paquets non balisés. Pour ce faire, vous devez d’abord configurer le VLAN unique en tant que VLAN natif sur un port attaché à un périphérique en périphérie. Ensuite, attribuez une balise d’ID de VLAN au seul VLAN natif sur le port connecté à un appareil. Enfin, ajoutez l’ID du VLAN au port trunk. Désormais, lorsque le commutateur reçoit le paquet non balisé, il ajoute l’ID que vous avez spécifié et envoie et reçoit les paquets balisés sur le port trunk configuré pour accepter ce VLAN.
En incluant les sous-couches, la couche 2 du QFX Series prend en charge les fonctionnalités suivantes :
Trafic unicast, multicast et de diffusion.
Pontage.
VLAN 802.1Q : également connu sous le nom de balisage VLAN, ce protocole permet à plusieurs réseaux pontés de partager de manière transparente la même liaison réseau physique en ajoutant des balises VLAN à une trame Ethernet.
L’extension des VLAN de couche 2 sur plusieurs commutateurs à l’aide du protocole STP (Spanning Tree Protocol) évite toute boucle sur le réseau.
Apprentissage MAC, y compris l’apprentissage MAC par VLAN et la suppression de l’apprentissage de couche 2 : ce processus permet d’obtenir les adresses MAC de tous les nœuds d’un réseau
Agrégation de liens : processus regroupant des interfaces Ethernet au niveau de la couche physique pour former une interface de couche de liaison unique, également connue sous le nom de groupe d’agrégation de liens (LAG) ou bundle LAG
Remarque :L’agrégation de liens n’est pas prise en charge sur les appareils NFX150.
Storm control sur le port physique pour l’unicast, le multicast et la diffusion
Remarque :Le storm control n’est pas pris en charge sur les appareils NFX150.
Prise en charge de STP, y compris 802.1d, RSTP, MSTP et Root Guard
Voir aussi
Comprendre les VLAN
Un VLAN (LAN virtuel) est un ensemble de nœuds de réseau regroupés pour former des domaines de diffusion distincts. Sur un réseau Ethernet qui est un réseau LAN unique, tout le trafic est transféré à tous les nœuds du LAN. Sur les VLAN, les trames dont l’origine et la destination se trouvent dans le même VLAN sont transférées uniquement à l’intérieur du VLAN local. Les trames qui ne sont pas destinées au VLAN local sont les seules à être transmises vers d’autres domaines de diffusion. Les VLAN limitent ainsi la quantité de trafic circulant sur l’ensemble du LAN, réduisant ainsi le nombre possible de collisions et de retransmissions de paquets au sein d’un VLAN et sur l’ensemble du LAN.
Sur un réseau LAN Ethernet, tous les nœuds du réseau doivent être physiquement connectés au même réseau. Sur les VLAN, l’emplacement physique des nœuds n’a pas d’importance. Par conséquent, vous pouvez regrouper les périphériques réseau de la manière qui vous convient le mieux à votre organisation, par exemple par département ou fonction commerciale, par types de nœuds réseau ou par emplacement physique. Chaque VLAN est identifié par un seul sous-réseau IP et par une encapsulation normalisée IEEE 802.1Q.
Pour identifier le VLAN auquel appartient le trafic, toutes les trames d’un VLAN Ethernet sont identifiées par une balise, telle que définie dans la norme IEEE 802.1Q. Ces trames sont balisées et encapsulées avec des balises 802.1Q.
Pour un réseau simple qui n’a qu’un seul VLAN, tout le trafic a la même balise 802.1Q. Lorsqu’un LAN Ethernet est divisé en VLAN, chaque VLAN est identifié par une balise 802.1Q unique. La balise est appliquée à toutes les trames afin que les nœuds réseau recevant les trames sachent à quel VLAN appartient une trame. Les ports trunk, qui multiplexent le trafic entre plusieurs VLAN, utilisent la balise pour déterminer l’origine des trames et où les transférer.
Voir aussi
Présentation de la commutation Ethernet et du mode transparent de couche 2
Le mode transparent de couche 2 permet de déployer le pare-feu sans modifier l’infrastructure de routage existante. Le pare-feu est déployé en tant que commutateur de couche 2 avec plusieurs segments VLAN et fournit des services de sécurité au sein des segments VLAN. Secure wire est une version spéciale du mode transparent de couche 2 qui permet un déploiement bump-in-wire.
Un équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme interfaces de couche 2. L’équipement fonctionne en mode routage (mode par défaut) si aucune interface physique n’est configurée en tant qu’interfaces de couche 2.
Pour les pare-feu SRX Series, le mode transparent fournit des services de sécurité complets pour les capacités de commutation de couche 2. Sur ces pare-feu SRX Series, vous pouvez configurer un ou plusieurs VLAN pour effectuer une commutation de couche 2. Un VLAN est un ensemble d’interfaces logiques qui partagent les mêmes caractéristiques d’inondation ou de diffusion. À l’instar d’un LAN virtuel (VLAN), un VLAN s’étend sur un ou plusieurs ports de plusieurs appareils. Ainsi, le pare-feu SRX Series peut fonctionner comme un commutateur de couche 2 avec plusieurs VLAN qui participent au même réseau de couche 2.
En mode transparent, le pare-feu SRX Series filtre les paquets qui traversent l’appareil sans modifier les informations source ou de destination des en-têtes de paquets IP. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic provenant de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
En mode transparent, tous les ports physiques de l’équipement sont affectés à des interfaces de couche 2. Ne faites pas transiter le trafic de couche 3 par l’équipement. Les zones de couche 2 peuvent être configurées pour héberger des interfaces de couche 2, et des politiques de sécurité peuvent être définies entre les zones de couche 2. Lorsque les paquets circulent entre des zones de couche 2, des politiques de sécurité peuvent être appliquées à ces paquets.
Le Tableau 1 répertorie les fonctionnalités de sécurité prises en charge et non prises en charge en mode transparent pour la commutation de couche 2.
Mode Type |
Prise en charge |
Non pris en charge |
|---|---|---|
Mode transparent |
|
|
Sur les appareils SRX300, SRX320, SRX340, SRX345 et SRX550M, la propagation du serveur DHCP n’est pas prise en charge dans les mode transparent de couche 2.
De plus, les pare-feu SRX Series ne prennent pas en charge les fonctionnalités de couche 2 suivantes en mode transparent de couche 2 :
Spanning Tree Protocol (STP), RSTP ou MSTP : il est de la responsabilité de l’utilisateur de s’assurer qu’il n’existe aucune boucle d’inondation dans la topologie du réseau.
Surveillance IGMP (Internet Group Management Protocol) : protocole de signalisation hôte-routeur pour IPv4 utilisé pour signaler leurs appartenances à des groupes de multicast aux routeurs voisins et déterminer si des membres du groupe sont présents pendant la multidiffusion IP.
VLAN à double balise ou IEEE identificateurs de VLAN 802.1Q encapsulés dans des paquets 802.1Q (également appelés balisage VLAN « Q dans Q ») : seuls les identificateurs de VLAN non balisés ou à balise unique sont pris en charge sur les pare-feu SRX Series.
Apprentissage VLAN non qualifié, où seule l’adresse MAC est utilisée pour l’apprentissage au sein du VLAN : l’apprentissage VLAN sur les pare-feu SRX Series est qualifié ; autrement dit, l’identifiant VLAN et l’adresse MAC sont utilisés.
De plus, certaines fonctionnalités ne sont pas prises en charge sur les appareils SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.) Les fonctionnalités suivantes ne sont pas prises en charge en mode transparent de couche 2 sur les appareils mentionnés :
G-ARP sur l’interface de couche 2
Surveillance des adresses IP sur n’importe quelle interface
Trafic de transit par l’IRB
Interface IRB dans une instance de routage
Gestion du trafic de couche 3 par interface IRB
Remarque :L’interface IRB est une pseudo-interface et n’appartient pas au groupe de reth interface et de redondance.
- Mode transparent de couche 2 sur le concentrateur de ports du module de ligne SRX5000
- Comprendre les flux IPv6 en mode transparent sur les équipements de Sécurité
- Comprendre les clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
- Configuration de la gestion hors bande sur les pare-feu SRX Series
- Commutation Ethernet
- Exceptions de commutation de couche 2 sur les équipements SRX Series
Mode transparent de couche 2 sur le concentrateur de ports du module de ligne SRX5000
Le concentrateur de ports de module de la gamme SRX5000 (SRX5K-MPC) prend en charge le mode transparent de couche 2 et traite le trafic lorsque le pare-feu de la SRX Series est configuré en mode transparent de couche 2.
Lorsque le SRX5K-MPC fonctionne en mode de couche 2, vous pouvez configurer toutes les interfaces du SRX5K-MPC en tant que ports de commutation de couche 2 pour prendre en charge le trafic de couche 2.
L’unité de traitement de la sécurité (SPU) prend en charge tous les services de sécurité pour les fonctions de commutation de couche 2, et la MPC transmet les paquets entrants au SPU et transmet les paquets de sortie encapsulés par le SPU aux interfaces sortantes.
Lorsque le pare-feu SRX Series est configuré en mode transparent de couche 2, vous pouvez activer les interfaces du MPC pour qu’elles fonctionnent en mode de couche 2 en définissant une ou plusieurs unités logiques sur une interface physique avec le type d’adresse de famille . Ethernet switching Par la suite, vous pouvez procéder à la configuration des zones de sécurité de couche 2 et à la configuration des stratégies de sécurité en mode transparent. Une fois cette opération effectuée, les topologies next-hop sont configurées pour traiter les paquets entrants et sortants.
Comprendre les flux IPv6 en mode transparent sur les équipements de Sécurité
En mode transparent, le pare-feu SRX Series filtre les paquets qui traversent l’appareil sans modifier les informations source ou de destination des en-têtes MAC des paquets. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic provenant de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
Un équipement fonctionne en mode transparent lorsque toutes ses interfaces physiques sont configurées en tant qu’interfaces de couche 2. Une interface physique est une interface de couche 2 si son interface logique est configurée avec l’option ethernet-switching au niveau de la hiérarchie [edit interfaces interface-name unit unit-number family]. Il n’y a pas de commande pour définir ou activer le mode transparent sur l’appareil. L’équipement fonctionne en mode transparent lorsqu’il existe des interfaces définies comme interfaces de couche 2. L’équipement fonctionne en mode routage (mode par défaut) si toutes les interfaces physiques sont configurées en tant qu’interfaces de couche 3.
Par défaut, les flux IPv6 sont supprimés sur les équipements de sécurité. Pour activer le traitement par des fonctionnalités de sécurité telles que les zones, les écrans et les politiques de pare-feu, vous devez activer le transfert basé sur les flux pour le trafic IPv6 avec l’option mode flow-based de configuration au niveau de la hiérarchie [edit security forwarding-options family inet6]. Vous devez redémarrer l’appareil lorsque vous changez de mode.
En mode transparent, vous pouvez configurer des zones de couche 2 pour héberger des interfaces de couche 2, et vous pouvez définir des stratégies de sécurité entre les zones de couche 2. Lorsque les paquets circulent entre des zones de couche 2, des politiques de sécurité peuvent être appliquées à ces paquets. Les fonctionnalités de sécurité suivantes sont prises en charge pour le trafic IPv6 en mode transparent :
Zones de sécurité de couche 2 et politiques de sécurité. Consultez les sections Présentation des zones de sécurité de couche 2 et Présentation des stratégies de sécurité en mode transparent .
Authentification des utilisateurs par pare-feu. Voir Présentation de l’authentification utilisateur du pare-feu en mode transparent .
Clusters de châssis en mode transparent de couche 2.
Fonctions de classe de service . Voir Vue d’ensemble de la classe des fonctions de service en mode transparent.
Les fonctionnalités de sécurité suivantes ne sont pas prises en charge pour les flux IPv6 en mode transparent :
Systèmes logiques
IPv6 GTPv2
Interface J-Web
NAT
IPsec VPN
À l’exception des ALG DNS, FTP et TFTP, tous les autres ALG ne sont pas pris en charge.
La configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv6 est identique à la configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv4. Vous pouvez éventuellement configurer une interface IRB (Integrated Routing and Bridging) pour la gestion du trafic dans un VLAN. L’interface IRB est la seule interface de couche 3 autorisée en mode transparent. L’interface IRB du pare-feu SRX Series ne prend pas en charge le transfert ou le routage du trafic. L’interface IRB peut être configurée avec des adresses IPv4 et IPv6. Vous pouvez attribuer une adresse IPv6 à l’interface IRB avec l’instruction address de configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet6]. Vous pouvez attribuer une adresse IPv4 à l’interface IRB avec l’instruction address de configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet].
Les fonctions de commutation Ethernet des pare-feu SRX Series sont similaires à celles des routeurs MX Series de Juniper Networks. Cependant, toutes les fonctionnalités de mise en réseau de couche 2 prises en charge par les routeurs MX Series ne sont pas prises en charge par les pare-feu SRX Series. Voir Présentation de la commutation Ethernet et du mode transparent de couche 2.
Le pare-feu SRX Series gère des tables de transfert qui contiennent les adresses MAC et les interfaces associées pour chaque VLAN de couche 2. Le traitement des flux IPv6 est similaire à celui des flux IPv4. Voir Présentation de l’apprentissage et du transfert de couche 2 pour les VLAN.
Comprendre les clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
Deux pare-feu SRX Series en mode transparent de couche 2 peuvent être connectés dans un cluster de châssis pour assurer la redondance des nœuds du réseau. Lorsqu’il est configuré dans un cluster de châssis, un nœud agit comme équipement principal et l’autre comme équipement secondaire, garantissant un basculement dynamique des processus et des services en cas de panne du système ou du matériel. Si l’équipement principal tombe en panne, l’équipement secondaire prend en charge le traitement du trafic.
Si l’équipement principal tombe en panne dans un cluster de châssis en mode transparent de couche 2, les ports physiques de l’équipement défaillant deviennent inactifs (en panne) pendant quelques secondes avant de redevenir actifs.
Pour former un cluster de châssis, deux pare-feu SRX Series du même type se combinent pour former un seul système qui applique la même sécurité globale.
Les appareils en mode transparent de couche 2 peuvent être déployés dans des configurations de cluster de châssis actif/de secours et de châssis actif/actif.
Les fonctionnalités de cluster de châssis suivantes ne sont pas prises en charge pour les périphériques en mode transparent de couche 2 :
ARP gratuit : le principal nouvellement élu dans un groupe de redondance ne peut pas envoyer de demandes ARP gratuites pour informer les périphériques réseau d’un changement de rôle principal sur les liaisons d’interface Ethernet redondantes.
Surveillance des adresses IP : la défaillance d’un équipement en amont ne peut pas être détectée.
Un groupe de redondance est une construction qui inclut une collection d’objets sur les deux nœuds. Un groupe de redondance est principal sur un nœud et de secours sur l’autre. Lorsqu’un groupe de redondance est primaire sur un nœud, ses objets sur ce nœud sont actifs. Lorsqu’un groupe de redondance bascule, tous ses objets basculent ensemble.
Vous pouvez créer un ou plusieurs groupes de redondance numérotés de 1 à 128 pour une configuration de cluster de châssis actif/actif. Chaque groupe de redondance contient une ou plusieurs interfaces Ethernet redondantes. Une interface Ethernet redondante est une pseudo-interface qui contient les interfaces physiques de chaque nœud du cluster. Les interfaces physiques d’une interface Ethernet redondante doivent être du même type, soit Fast Ethernet ou Gigabit Ethernet. Si un groupe de redondance est actif sur le nœud 0, les liens enfants de toutes les interfaces Ethernet redondantes associées sur le nœud 0 sont actifs. Si le groupe de redondance bascule vers le nœud 1, les liens enfants de toutes les interfaces Ethernet redondantes sur le nœud 1 deviennent actifs.
Dans la configuration de cluster de châssis actif/actif, le nombre maximal de groupes de redondance est égal au nombre d’interfaces Ethernet redondantes que vous configurez. Dans la configuration de cluster de châssis actif/de secours, le nombre maximal de groupes de redondance pris en charge est de deux.
La configuration d’interfaces Ethernet redondantes sur un équipement en mode transparent de couche 2 est similaire à la configuration d’interfaces Ethernet redondantes sur un équipement en mode de routage de couche 3, avec la différence suivante : l’interface Ethernet redondante d’un équipement en mode transparent de couche 2 est configurée en tant qu’interface logique de couche 2.
L’interface Ethernet redondante peut être configurée en tant qu’interface d’accès (avec un ID de VLAN unique affecté aux paquets non balisés reçus sur l’interface) ou en tant qu’interface trunk (avec une liste d’ID de VLAN acceptés sur l’interface et, éventuellement, un identifiant VLAN natif pour les paquets non balisés reçus sur l’interface). Les interfaces physiques (une de chaque nœud du cluster de châssis) sont liées en tant qu’interfaces enfants à l’interface Ethernet redondante parente.
En mode transparent de couche 2, l’apprentissage MAC est basé sur l’interface Ethernet redondante. La table MAC est synchronisée entre les interfaces Ethernet redondantes et les unités de traitement des services (SPU) entre les deux équipements du cluster de châssis.
L’interface IRB est utilisée uniquement pour le trafic de gestion et ne peut pas être affectée à une interface Ethernet redondante ou à un groupe de redondance.
Toutes les options d’écran de Junos OS disponibles pour un seul équipement hors cluster sont disponibles pour les équipements des clusters de châssis en mode transparent de couche 2.
Les protocoles STP (Spanning Tree Protocols) ne sont pas pris en charge en mode transparent de couche 2. Vous devez vous assurer qu’il n’y a pas de connexions en boucle dans la topologie de déploiement.
Configuration de la gestion hors bande sur les pare-feu SRX Series
Vous pouvez configurer l’interface fxp0 de gestion hors bande du pare-feu SRX Series en tant qu’interface de couche 3, même si des interfaces de couche 2 sont définies sur l’équipement. À l’exception de l’interface fxp0 , vous pouvez définir des interfaces de couche 2 et de couche 3 sur les ports réseau de l’équipement.
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX550M. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Commutation Ethernet
La commutation Ethernet transfère les trames Ethernet à l’intérieur ou à travers le segment LAN (ou VLAN) à l’aide des informations d’adresse MAC Ethernet. La commutation Ethernet sur l’appareil SRX1500 est effectuée dans le matériel à l’aide d’ASIC.
À partir de Junos OS version 15.1X49-D40, utilisez la set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode de pont transparent de couche 2 et le mode de commutation Ethernet. Après avoir changé de mode, vous devez redémarrer l’appareil pour que la configuration prenne effet. Le Tableau 2 décrit le mode global de couche 2 par défaut sur les pare-feu SRX Series.
Version de Junos OS |
Plateformes |
Mode global de couche 2 par défaut |
Détails |
|---|---|---|---|
Avant Junos OS version 15.1X49-D50 et Junos OS version 17.3R1 et ultérieure |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Aucun |
Junos OS version 15.1X49-D50 vers Junos OS version 15.1X49-D90 |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Lorsque vous supprimez la configuration du mode global de couche 2 sur un appareil, celui-ci est en mode pont transparent. |
à partir de la version 15.1X49-D100 de Junos OS |
SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M |
Mode de commutation |
Lorsque vous supprimez la configuration en mode global de couche 2 sur un appareil, celui-ci est en mode de commutation. Configurez la |
À partir de la version 15.1X49-D50 de Junos OS |
SRX1500 |
Mode pont transparent |
Aucun |
Le protocole de couche 2 pris en charge en mode commutation est le protocole LACP (Link Aggregation Control Protocol).
Vous pouvez configurer le mode transparent de couche 2 sur une interface Ethernet redondante. Utilisez les commandes suivantes pour définir une interface Ethernet redondante :
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Exceptions de commutation de couche 2 sur les équipements SRX Series
Les fonctions de commutation des pare-feu SRX Series sont similaires à celles des routeurs MX Series de Juniper Networks. Toutefois, les fonctionnalités de mise en réseau de couche 2 suivantes sur les routeurs MX Series ne sont pas prises en charge par les pare-feu SRX Series :
Protocoles de contrôle de couche 2 : ces protocoles sont utilisés sur les routeurs MX Series pour le protocole RSTP (Rapid Spanning Tree Protocol) ou le protocole MSTP (Multiple Spanning Tree Protocol) dans les interfaces périphériques client d’une instance de routage VPLS.
Instance de routage de commutateur virtuel : l’instance de routage de commutation virtuelle est utilisée sur les routeurs MX Series pour regrouper un ou plusieurs VLAN.
Instance de routage VPLS (Virtual Private LAN Services) : l’instance de routage VPLS est utilisée sur les routeurs MX Series pour des implémentations LAN point à multipoint entre un ensemble de sites dans un VPN.
Voir aussi
Comprendre l’unicast
L’unicast est l’acte d’envoyer des données d’un nœud du réseau à un autre. En revanche, les transmissions multicast envoient le trafic d’un nœud de données à plusieurs autres nœuds de données.
Le trafic unicast inconnu est constitué de trames unicast dont l’adresse MAC est inconnue. Par défaut, le commutateur inonde ces trames unicast qui voyagent dans un VLAN vers toutes les interfaces membres du VLAN. Le transfert de ce type de trafic vers les interfaces du commutateur peut déclencher un problème de sécurité. Le réseau LAN est soudainement inondé de paquets, ce qui crée un trafic inutile qui nuit aux performances du réseau, voire à une perte totale du service réseau. C’est ce qu’on appelle une tempête de trafic.
Pour éviter une tempête, vous pouvez désactiver le flooding de paquets unicast inconnus vers toutes les interfaces en configurant un ou plusieurs VLAN pour transférer tout trafic unicast inconnu vers une interface trunk spécifique. (Cette opération canalise le trafic unicast inconnu vers une interface unique.)
Voir aussi
Comprendre la diffusion de couche 2 sur des commutateurs
Dans un réseau de couche 2, la diffusion fait référence à l’envoi de trafic à tous les nœuds d’un réseau.
Le trafic de diffusion de couche 2 reste à l’intérieur des limites d’un réseau local (LAN) ; connu sous le nom de domaine de diffusion. Le trafic de diffusion de couche 2 est envoyé au domaine de diffusion à l’aide de l’adresse MAC FF :FF :FF :FF :FF :FF. Chaque équipement du domaine de diffusion reconnaît cette adresse MAC et transmet le trafic de diffusion à d’autres équipements du domaine de diffusion, le cas échéant. La diffusion peut être comparée à l’unicast (envoyer du trafic à un seul nœud) ou au multicast (fournir du trafic à un groupe de nœuds simultanément).
Le trafic de diffusion de couche 3, cependant, est envoyé à tous les périphériques d’un réseau à l’aide d’une adresse de réseau de diffusion. Par exemple, si votre adresse réseau est 10.0.0.0, l’adresse réseau de diffusion est 10.255.255.255. Dans ce cas, seuls les périphériques appartenant au réseau 10.0.0.0 reçoivent le trafic de diffusion de couche 3. Les appareils qui n’appartiennent pas à ce réseau abandonnent le trafic.
La radiodiffusion est utilisée dans les situations suivantes :
Le protocole ARP (Address Resolution Protocol) utilise la diffusion pour mapper les adresses MAC aux adresses IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant que les paquets de unicast IP puissent être envoyés, ARP découvre l’adresse MAC utilisée par l’interface Ethernet sur laquelle l’adresse IP est configurée.
Le protocole DHCP (Dynamic Host Configuration Protocol) utilise la diffusion pour attribuer dynamiquement des adresses IP aux hôtes d’un segment ou d’un sous-réseau de réseau.
Les protocoles de routage utilisent la diffusion pour annoncer les routes.
Un trafic de diffusion excessif peut parfois créer une tempête de diffusion. Une tempête diffusion se produit lorsque des messages sont diffusion sur un réseau et que chaque message invite un nœud récepteur à répondre en diffusant ses propres messages sur le réseau. Ceci, à son tour, suscite d’autres réponses qui créent un effet boule de neige. Le réseau LAN est soudainement inondé de paquets, ce qui crée un trafic inutile qui nuit aux performances du réseau, voire à une perte totale du service réseau.
Voir aussi
Utilisation de la CLI de Logiciels de couche 2 améliorée
La Logiciels de couche 2 améliorée (ELS) fournit une CLI uniforme pour la configuration et la surveillance des fonctionnalités de couche 2 sur les commutateurs QFX Series, les commutateurs EX Series et autres appareils Juniper Networks. Avec ELS, vous configurez les fonctionnalités de couche 2 de la même manière sur tous ces équipements Juniper Networks.
Cette rubrique explique comment savoir si votre plate-forme exécute ELS. Il explique également comment effectuer certaines tâches courantes en utilisant le style de configuration ELS.
- Comprendre quels appareils prennent en charge ELS
- Comprendre comment configurer les entités de couche 2 à l’aide d’ELS
- Comprendre l’énoncé de configuration ELS et les changements de commande
Comprendre quels appareils prennent en charge ELS
ELS est automatiquement pris en charge si votre équipement exécute une version de Junos OS qui le prend en charge. Vous n’avez aucune action à effectuer pour activer ELS, et vous ne pouvez pas désactiver ELS. Voir Explorateur de fonctionnalités pour plus d’informations sur les plates-formes et les versions qui prennent en charge ELS.
Comprendre comment configurer les entités de couche 2 à l’aide d’ELS
Étant donné qu’ELS fournit une CLI uniforme, vous pouvez désormais effectuer les tâches suivantes de la même manière sur les équipements pris en charge :
- Configuration d’un VLAN
- Configuration de l’identificateur de VLAN natif
- Configuration des interfaces de couche 2
- Configuration des interfaces de couche 3
- Configuration d’une interface IRB
- Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Configuration d’un VLAN
Vous pouvez configurer un ou plusieurs VLAN pour effectuer un pontage de couche 2. Les fonctions de pontage de couche 2 incluent le routage et le pontage intégrés (IRB) pour la prise en charge du pontage de couche 2 et du routage IP de couche 3 sur la même interface. Les commutateurs EX Series et QFX Series peuvent fonctionner comme des commutateurs de couche 2, chacun avec plusieurs domaines de pontage, ou de diffusion, qui participent au même réseau de couche 2. Vous pouvez également configurer la prise en charge du routage de couche 3 pour un VLAN.
Pour configurer un VLAN :
Configuration de l’identificateur de VLAN natif
Les commutateurs EX Series et QFX Series prennent en charge la réception et le transfert de trames Ethernet routées ou pontées avec des balises VLAN 802.1Q. En règle générale, les ports trunk, qui relient les commutateurs entre eux, acceptent les paquets de contrôle non balisés, mais n’acceptent pas les paquets de données non balisés. Vous pouvez activer un port trunk pour accepter les paquets de données non balisés en configurant un ID VLAN natif sur l’interface sur laquelle vous souhaitez que les paquets de données non balisés soient reçus.
Pour configurer l’ID du VLAN natif :
Configuration des interfaces de couche 2
Pour vous assurer que votre réseau à trafic élevé est réglé pour des performances optimales, configurez explicitement certains paramètres sur les interfaces réseau du commutateur.
Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant qu’interface trunk :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Pour configurer une interface Gigabit Ethernet ou une interface 10 Gigabit Ethernet en tant qu’interface access :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Pour attribuer une interface à un VLAN :
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuration des interfaces de couche 3
Pour configurer une interface de couche 3, vous devez lui attribuer une adresse IP. Vous affectez une adresse à une interface en spécifiant l’adresse lorsque vous configurez la famille de protocoles. Pour la inet famille ou inet6 , configurez l’adresse IP de l’interface.
Vous pouvez configurer les interfaces avec une adresse IP 32 bits version 4 (IPv4) et, éventuellement, avec un préfixe de destination, parfois appelé masque de sous-réseau. Une adresse IPv4 utilise une syntaxe d’adresse décimale à points de 4 octets (par exemple, 192.168.1.1). Une adresse IPv4 avec préfixe de destination utilise une syntaxe d’adresse décimale à points de 4 octets avec un préfixe de destination ajouté (par exemple, 192.168.1.1/16).
Pour spécifier une adresse IP4 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Vous représentez les adresses IP version 6 (IPv6) en notation hexadécimale à l’aide d’une liste de valeurs de 16 bits séparées par des deux-points. Vous attribuez une adresse IPv6 128 bits à une interface.
Pour spécifier une adresse IP6 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuration d’une interface IRB
Le routage et le pontage intégrés (IRB) prennent en charge le pontage de couche 2 et le routage IP de couche 3 sur la même interface. IRB vous permet d’acheminer les paquets vers une autre interface routée ou vers un autre VLAN sur lequel un protocole de couche 3 est configuré. Les interfaces IRB permettent à l’équipement de reconnaître les paquets envoyés à des adresses locales afin qu’ils soient pontés (commutés) dans la mesure du possible et ne soient acheminés que lorsque cela est nécessaire. Chaque fois que des paquets peuvent être commutés au lieu d’être routés, plusieurs couches de traitement sont éliminées. Une interface nommée irb fonctionne comme un routeur logique sur lequel vous pouvez configurer une interface logique de couche 3 pour VLAN. Pour la redondance, vous pouvez combiner une interface IRB avec des implémentations du protocole VRRP (Virtual Router Redundancy Protocol) dans les environnements de pontage et de service LAN privé virtuel (VPLS).
Pour configurer une interface IRB :
Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Utilisez la fonctionnalité d’agrégation de liens pour agréger un ou plusieurs liens afin de former un lien virtuel ou un groupe d’agrégation de liens (LAG). Le client MAC peut traiter cette liaison virtuelle comme s’il s’agissait d’une liaison unique afin d’augmenter la bande passante, de fournir une dégradation agréable en cas de panne et d’augmenter la disponibilité.
Pour configurer une interface Ethernet agrégée :
Pour les interfaces Ethernet agrégées sur l’appareil, vous pouvez configurer le protocole LACP (Link Aggregation Control Protocol). LACP regroupe plusieurs interfaces physiques pour former une seule interface logique. Vous pouvez configurer Ethernet agrégé avec ou sans LACP activé.
Lorsque LACP est activé, les côtés local et distant des liaisons Ethernet agrégées échangent des unités de données de protocole (PDU), contenant des informations sur l’état de la liaison. Vous pouvez configurer des liaisons Ethernet pour transmettre des PDU activement, ou vous pouvez configurer les liaisons pour les transmettre passivement, en envoyant des PDU LACP uniquement lorsqu’elles les reçoivent d’une autre liaison. Un côté du lien doit être configuré comme actif pour que le lien soit actif.
Pour configurer LACP :
Activez un côté de la liaison Ethernet agrégée comme actif :
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Spécifiez l’intervalle auquel les interfaces envoient des paquets LACP :
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Comprendre l’énoncé de configuration ELS et les changements de commande
ELS a été introduit dans Junos OS version 12.3R2 pour les commutateurs EX9200. ELS modifie la CLI de certaines fonctionnalités de couche 2 sur les commutateurs EX Series et QFX Series pris en charge.
Les sections suivantes fournissent une liste des commandes existantes qui ont été déplacées vers de nouveaux niveaux hiérarchiques ou modifiées sur EX Series commutateurs dans le cadre de cet effort d’amélioration des CLI. Ces sections sont fournies à titre de référence de haut niveau uniquement. Pour plus d’informations sur ces commandes, utilisez les liens vers les instructions de configuration fournies ou consultez la documentation technique.
- Modifications des options de commutation Ethernet Niveau hiérarchique
- Modifications du niveau de la hiérarchie de la mise en miroir des ports
- Modifications apportées au niveau hiérarchique des protocoles de contrôle de couche 2
- Modifications de l’instruction dot1q-tunneling
- Modifications au protocole d’apprentissage de L2
- Modifications apportées au pontage sans interruption
- Modifications de la Sécurité des ports et de la surveillance DHCP
- Modifications de la configuration des VLAN
- Modifications des profils Storm control
- Modifications de la hiérarchie des interfaces
- Modifications de la surveillance IGMP
Modifications des options de commutation Ethernet Niveau hiérarchique
Cette section décrit les modifications apportées au niveau hiérarchique ethernet-switching-options .
Le ethernet-switching-options niveau hiérarchique a été renommé switch-options.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Les déclarations ont été supprimées de la |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Les déclarations ont été supprimées de la |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
Remarque :
La interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Modifications du niveau de la hiérarchie de la mise en miroir des ports
Les instructions sont passées du niveau hiérarchique au forwarding-options niveau hiérarchiqueethernet-switching-options.
Modifications apportées au niveau hiérarchique des protocoles de contrôle de couche 2
Les instructions du protocole de contrôle de couche 2 sont passées de la ethernet-switching-options hiérarchie à la protocols hiérarchie.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Modifications de l’instruction dot1q-tunneling
L’instruction dot1q-tunneling a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
aggregated-ether-options
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Modifications au protocole d’apprentissage de L2
L’instruction mac-table-aging-time a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications apportées au pontage sans interruption
L’instruction nonstop-bridging a été déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Modifications de la Sécurité des ports et de la surveillance DHCP
Les instructions de sécurité des ports et de surveillance DHCP ont été déplacées vers des niveaux hiérarchiques différents.
L’instruction examine-dhcp n’existe pas dans la hiérarchie modifiée. La surveillance DHCP est désormais activée automatiquement lorsque d’autres fonctionnalités de sécurité DHCP sont activées sur un VLAN. Voir Configuration de la sécurité des ports (ELS) pour plus d’informations.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Pour la configuration mac autorisée, l’instruction set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 hierarchy d’origine est remplacée par la commande ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Les instructions de surveillance DHCP ont été déplacées vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Modifications de la configuration des VLAN
Les instructions de configuration des VLAN ont été déplacées vers un autre niveau hiérarchique.
À partir de la version 14.1X53-D10 de Junos OS pour les commutateurs EX4300 et EX4600, vous pouvez l’activer xsur certaines ou toutes les interfaces incluses dans un VLAN. Par exemple, si vous configurez le VLAN 100 pour inclure les interfaces ge-0/0/0, ge-0/0/1 et ge-0/0/2, et que vous souhaitez activer MSTP sur les interfaces ge-0/0/0 et ge-0/0/2, vous pouvez spécifier les set protocols mstp interface ge-0/0/0 commandes et set protocols mstp interface ge-0/0/2 . Dans cet exemple, vous n’avez pas explicitement activé MSTP sur l’interface ge-0/0/1 ; par conséquent, MSTP n’est pas activé sur cette interface.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
Remarque :
L’instruction est remplacée par une nouvelle instruction et a été déplacée vers un autre niveau hiérarchique. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Ces déclarations ont été supprimées. Vous pouvez attribuer des interfaces à un VLAN à l’aide de la |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Les déclarations ont été supprimées. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
Remarque :
La syntaxe a été modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
La déclaration est supprimée. Le trafic entrant est automatiquement suivi. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
La déclaration est supprimée. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
L’instruction a été déplacée vers une hiérarchie différente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
La déclaration a été supprimée. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
La déclaration est supprimée. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
Remarque :
La déclaration a été remplacée par une nouvelle déclaration. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
Remarque :
La syntaxe a été modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Pour interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Pour protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications des profils Storm control
La configuration du storm control se fait en deux étapes. La première étape consiste à créer un profil Storm Control au niveau de la [edit forwarding-options] hiérarchie, et la deuxième étape consiste à lier le profil à une interface logique au niveau de la [edit interfaces] hiérarchie. Voir Exemple : Configuration de Storm Control pour empêcher les pannes de réseau sur les commutateurs EX Series pour la procédure modifiée.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Modifications de la hiérarchie des interfaces
Les déclarations ont été déplacées vers une hiérarchie différente.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
Remarque :
La déclaration a été remplacée par une nouvelle déclaration. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
Remarque :
La déclaration a été remplacée par une nouvelle déclaration. interfaces irb |
Modifications de la surveillance IGMP
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Amélioration de l’instruction de configuration du CLI de couche 2 et des changements de commande pour les appareils Sécurité
À partir de Junos OS version 15.1X49-D10 et Junos OS version 17.3R1, certaines instructions de configuration de la CLI de couche 2 sont améliorées et certaines commandes sont modifiées. Les tableaux 18 et 19 fournissent la liste des commandes existantes qui ont été déplacées vers de nouvelles hiérarchies ou modifiées sur les pare-feu SRX Series dans le cadre de cet effort d’amélioration des CLI. Les tableaux sont fournis à titre de référence de haut niveau uniquement. Pour plus d’informations sur ces commandes, consultez Explorateur CLI.
Hiérarchie d’origine |
Hiérarchie modifiée |
Niveau hiérarchique |
Description de la modification |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[modifier] |
Hiérarchie renommée. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[modifier les VLAN]vlans-name |
Déclaration renommée. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[modifier les VLAN]vlans-name |
Déclaration renommée. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[modifier le flux de sécurité] |
Déclaration renommée. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[modifier les interfaces interface-name ] unité unit-number |
Hiérarchie renommée. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[modifier les VLAN]vlans-name |
Déclaration renommée. |
Commandement opérationnel initial |
Commandement opérationnel modifié |
|---|---|
Table MAC Clear Bridge |
effacer le tableau de commutation Ethernet |
clear bridge, mac-table, apprentissage persistant |
effacer la table de commutation Ethernet apprentissage persistant |
Afficher le domaine de pont |
Afficher les VLAN |
show bridge mac-table |
afficher le tableau de commutation Ethernet |
Afficher l’interface d’apprentissage L2 |
Afficher l’interface de commutation Ethernet |
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX500HM. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Voir aussi
Mode nouvelle génération de couche 2 pour ACX Series
Le mode nouvelle génération de couche 2, également appelé Logiciels de couche 2 améliorée (ELS), est pris en charge sur les routeurs ACX5048, ACX5096 et ACX5448 pour configurer les fonctionnalités de couche 2. Les configurations de couche 2 CLI les commandes et les commandes d’affichage pour les routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 et ACX7509 diffèrent de celles des autres routeurs ACX Series (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 et ACX4000) et des routeurs MX Series.
Le Tableau 20 présente les différences de hiérarchie CLI pour la configuration des entités de couche 2 en mode nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 et ACX7509 |
|---|---|---|
Domaine de pont |
[ |
[ |
Famille |
[ |
[ |
Options de couche 2 |
[ |
[ |
Options Ethernet |
[ |
[ |
Routage et pontage intégrés (IRB) |
[ |
|
Storm control |
[ |
[ [ |
Surveillance IGMP (Internet Group Management Protocol) |
[ |
[ |
Filtre de pare-feu familial |
[ |
[ |
Le Tableau 21 présente les différences entre show les commandes des fonctions de couche 2 en mode nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 et ACX7509 |
|---|---|---|
VLAN |
|
|
Table MAC |
|
|
Options de table MAC |
|
|
Liste des ports de commutation avec affectations VLAN |
|
|
État du noyau de la base de données vidée |
|
|
Voir aussi
Encapsulation flexible des services Ethernet pour prendre en charge les styles de configuration des fournisseurs de services et des entreprises sur les routeurs de la série ACX7000 Series
Les services Ethernet flexibles sont un type d’encapsulation qui permet à une interface physique de spécifier des encapsulations Ethernet au niveau de l’interface logique. Chaque interface logique peut avoir une encapsulation Ethernet différente. La définition de plusieurs encapsulations Ethernet par unité facilite la personnalisation des services Ethernet pour plusieurs hôtes connectés à la même interface physique.
Une interface Ethernet qui n’est pas encapsulée dans des services Ethernet flexibles et qui fonctionne en mode de couche 2 est limitée à une seule unité d’interface logique (0). Le pontage est activé sur l’interface en configurant ethernet-switching la famille d’interfaces sur l’unité 0. La ethernet-switching famille ne peut être configurée que sur l’unité d’interface logique 0, et aucune autre unité logique ne peut être définie sur cette interface.
Certaines fonctionnalités de commutation, cependant, ne peuvent pas être configurées sur l’unité d’interface logique 0. Les fonctionnalités telles que la tunnelisation Q-in-Q nécessitent que l’interface logique transmette les trames balisées VLAN. Pour permettre à une interface logique de recevoir et de transférer des trames Ethernet marquées avec un ID de VLAN correspondant, vous devez lier l’interface logique à ce VLAN. Ces fonctionnalités doivent être configurées sur une unité d’interface logique autre que 0, car vous ne pouvez pas lier un ID de VLAN à l’unité 0.
Lorsque vous encapsulez une interface à l’aide de services Ethernet flexibles, vous pouvez configurer une unité d’interface logique autre que 0 avec family ethernet-switching. Vous pouvez également configurer d’autres interfaces logiques sur cette même interface avec différents types d’encapsulations Ethernet. Cela permet aux interfaces logiques liées à un ID VLAN de coexister avec les interfaces logiques configurées avec family ethernet-switching.
L’instruction flexible-ethernet-services permet de configurer des interfaces logiques de type fournisseur de services et des interfaces logiques de type entreprise.
Par exemple, si vous configurez PVLAN sur la même interface physique que celle sur laquelle vous configurez la tunnelisation Q-in-Q, vous pouvez utiliser des services Ethernet flexibles pour prendre en charge le style de configuration d’entreprise pour PVLAN, en utilisant , ainsi que vlan-bridge l’encapsulation family ethernet-switchingpour la tunnelisation Q-in-Q.
Nous vous recommandons de configurer les instructions suivantes à l’aide de groupes lors de la configuration de périphériques qui fonctionnent comme des VTEP matériels :
-
définir des interfaces interface-name balisage flexible-VLAN
-
Définition des interfaces interface-name encapsulation Extended-VLAN-Bridge
-
Définir les interfaces interface-name native-vlan-id vlan-id
Style de configuration du fournisseur de services
Pour configurer l’interface afin de prendre en charge le style de configuration du fournisseur de services :
Style de configuration d’entreprise
Pour configurer l’interface afin de prendre en charge le style de configuration de l’entreprise :
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode de pont transparent de couche 2 et le mode de commutation Ethernet.