Mise en réseau de couche 2
Présentation des réseaux de couche 2
La couche 2, également appelée couche liaison de données, est le deuxième niveau du modèle de référence OSI à sept couches pour la conception de protocoles réseau. La couche 2 est équivalente à la couche de liaison (la couche la plus basse) dans le modèle de réseau TCP/IP. La couche 2 est la couche réseau utilisée pour transférer des données entre des nœuds adjacents dans un réseau étendu ou entre des nœuds sur le même réseau local.
Une trame est une unité de données de protocole, la plus petite unité de bits sur un réseau de couche 2. Les trames sont transmises et reçues à partir d’appareils sur le même réseau local (LAN). Les bits Unilke, les trames ont une structure définie et peuvent être utilisés pour la détection d’erreurs, les activités du plan de contrôle, etc. Tous les cadres ne contiennent pas de données utilisateur. Le réseau utilise certaines trames pour contrôler la liaison de données elle-même.
Au niveau de la couche 2, unicast fait référence à l’envoi de trames d’un nœud à un seul autre noeud, tandis que multicast désigne l’envoi de trafic d’un noeud à plusieurs noeuds, et la diffusion fait référence à la transmission de trames à tous les noeuds d’un réseau. Un domaine de diffusion est une division logique d’un réseau dans laquelle tous les nœuds de ce réseau peuvent être atteints au niveau de la couche 2 par une diffusion.
Les segments d’un réseau local peuvent être reliés au niveau de la trame à l’aide de ponts. Le pontage crée des domaines de diffusion distincts sur le réseau local, créant des VLAN, qui sont des réseaux logiques indépendants qui regroupent les périphériques associés en segments de réseau distincts. Le regroupement des équipements sur un VLAN est indépendant de l’emplacement physique des équipements sur le LAN. Sans pontage ni VLAN, tous les équipements du LAN Ethernet se trouvent dans un seul domaine de diffusion, et tous les équipements détectent tous les paquets sur le LAN.
Le transfert consiste à transférer des paquets d’un segment de réseau à un autre par les nuds du réseau. Sur un VLAN, une trame dont l’origine et la destination se trouvent dans le même VLAN n’est transférée qu’au sein du VLAN local. Un segment de réseau est une partie d’un réseau informatique dans laquelle tous les appareils communiquent à l’aide de la même couche physique.
La couche 2 contient deux sous-couches :
Sous-couche LLC (Logical Link Control), responsable de la gestion des liaisons de communication et du trafic des trames.
La sous-couche MAC (Media Access Control), qui régit l’accès du protocole au support réseau physique. En utilisant les adresses MAC attribuées à tous les ports d’un commutateur, plusieurs périphériques sur la même liaison physique peuvent s’identifier de manière unique.
Les ports, ou interfaces, d’un commutateur fonctionnent en mode d’accès, accès balisé ou mode trunk :
Les ports en mode d’accès se connectent à un périphérique réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises via une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode d’accès.
Les ports en mode d’accès étiqueté se connectent à un périphérique réseau tel qu’un ordinateur de bureau, un téléphone IP, une imprimante, un serveur de fichiers ou une caméra de sécurité. Le port lui-même appartient à un seul VLAN. Les trames transmises via une interface d’accès sont des trames Ethernet normales. Par défaut, tous les ports d’un commutateur sont en mode d’accès. Le mode d’accès balisé prend en charge le cloud computing, en particulier les scénarios incluant des machines virtuelles ou des ordinateurs virtuels. Étant donné que plusieurs ordinateurs virtuels peuvent être inclus sur un serveur physique, les paquets générés par un serveur peuvent contenir une agrégation de paquets VLAN provenant de différentes machines virtuelles sur ce serveur. Pour s’adapter à cette situation, le mode d’accès balisé renvoie les paquets vers le serveur physique sur le même port en aval lorsque l’adresse de destination du paquet a été apprise sur ce port en aval. Les paquets sont également renvoyés vers le serveur physique sur le port en aval lorsque la destination n’a pas encore été apprise. Par conséquent, le troisième mode d’interface, l’accès balisé, présente certaines caractéristiques du mode d’accès et certaines caractéristiques du mode trunk :
Les ports en mode trunk gèrent le trafic de plusieurs VLAN et multiplexent le trafic de tous ces VLAN sur la même connexion physique. Les interfaces trunk sont généralement utilisées pour interconnecter des commutateurs à d’autres appareils ou commutateurs.
Lorsque le VLAN natif est configuré, les trames qui ne portent pas de balises VLAN sont envoyées via l’interface trunk. Si des paquets transitent d’un périphérique à un commutateur en mode d’accès et que vous souhaitez ensuite envoyer ces paquets à partir du commutateur via un port trunk, utilisez le mode VLAN natif. Configurez le VLAN unique sur le port du commutateur (qui est en mode d’accès) en tant que VLAN natif. Le port trunk du commutateur traitera alors ces trames différemment des autres paquets balisés. Par exemple, si trois VLAN, 10, 20 et 30, sont attribués à un port trunk, le VLAN 10 étant le VLAN natif, les trames du VLAN 10 qui quittent le port trunk à l’autre extrémité n’ont pas d’en-tête (balise) 802.1Q. Il existe une autre option VLAN native. Le commutateur peut ajouter et supprimer des balises pour les paquets non balisés. Pour ce faire, vous devez d’abord configurer le VLAN unique en tant que VLAN natif sur un port connecté à un périphérique en périphérie. Ensuite, attribuez une balise d’identification VLAN à l’unique VLAN natif sur le port connecté à un appareil. Enfin, ajoutez l’ID VLAN au port trunk. Désormais, lorsque le commutateur reçoit le paquet non étiqueté, il ajoute l’ID que vous avez spécifié et envoie et reçoit les paquets étiquetés sur le port trunk configuré pour accepter ce VLAN.
En incluant les sous-couches, la couche 2 du QFX Series prend en charge les fonctionnalités suivantes :
Trafic unicast, multicast et broadcast.
Combler.
VLAN 802.1Q : également connu sous le nom de balisage VLAN, ce protocole permet à plusieurs réseaux pontés de partager de manière transparente la même liaison réseau physique en ajoutant des balises VLAN à une trame Ethernet.
L’extension des VLAN de couche 2 à plusieurs commutateurs à l’aide du protocole STP (Spanning Tree Protocol) empêche la boucle à travers le réseau.
Apprentissage MAC, y compris l’apprentissage MAC par VLAN et la suppression de l’apprentissage de couche 2 : ce processus permet d’obtenir les adresses MAC de tous les nœuds d’un réseau
Agrégation de liens : ce processus regroupe des interfaces Ethernet au niveau de la couche physique pour former une interface de couche de liaison unique, également connue sous le nom de groupe d’agrégation de liens (LAG) ou de bundle LAG
REMARQUE :L’agrégation de liens n’est pas prise en charge sur les équipements NFX150.
Contrôle de tempête sur le port physique pour la monodiffusion, la multidiffusion et la diffusion
REMARQUE :Le storm control n’est pas pris en charge sur les appareils NFX150.
Prise en charge de STP, y compris 802.1d, RSTP, MSTP et Root Guard
Voir également
Comprendre les VLAN
Un VLAN (Virtual LAN) est un ensemble de nœuds de réseau regroupés pour former des domaines de diffusion distincts. Sur un réseau Ethernet qui est un LAN unique, tout le trafic est transféré à tous les nœuds du LAN. Sur les VLAN, les trames dont l’origine et la destination se trouvent dans le même VLAN sont transmises uniquement au sein du VLAN local. Les trames qui ne sont pas destinées au VLAN local sont les seules à être transférées vers d’autres domaines de diffusion. Les VLAN limitent ainsi la quantité de trafic circulant sur l’ensemble du LAN, réduisant ainsi le nombre possible de collisions et de retransmissions de paquets au sein d’un VLAN et sur l’ensemble du LAN.
Sur un réseau local Ethernet, tous les nuds du réseau doivent être physiquement connectés au même réseau. Sur les VLAN, l’emplacement physique des nœuds n’a pas d’importance ; Vous pouvez donc regrouper les équipements réseau comme bon vous semble, par exemple par service ou fonction métier, par type de nuds ou par emplacement physique. Chaque VLAN est identifié par un seul sous-réseau IP et par une encapsulation IEEE 802.1Q standardisée.
Pour identifier le VLAN auquel appartient le trafic, toutes les trames d’un VLAN Ethernet sont identifiées par une balise, comme défini dans la norme IEEE 802.1Q. Ces trames sont étiquetées et encapsulées avec des balises 802.1Q.
Pour un réseau simple qui n’a qu’un seul VLAN, tout le trafic a la même balise 802.1Q. Lorsqu’un LAN Ethernet est divisé en VLAN, chaque VLAN est identifié par une balise 802.1Q unique. La balise est appliquée à toutes les trames afin que les noeuds du réseau recevant les trames sachent à quel VLAN appartient une trame. Les ports trunk, qui multiplexent le trafic entre plusieurs VLAN, utilisent la balise pour déterminer l’origine des trames et l’endroit où les transférer.
Voir également
Présentation de la commutation Ethernet et du mode transparent de couche 2
Le mode transparent de couche 2 permet de déployer le pare-feu sans modifier l’infrastructure de routage existante. Le pare-feu est déployé sous la forme d’un commutateur de couche 2 avec plusieurs segments VLAN et fournit des services de sécurité au sein de segments VLAN. Secure Wire est une version spéciale du mode transparent de couche 2 qui permet un déploiement « bump-in-wire ».
Un périphérique fonctionne en mode transparent lorsque des interfaces sont définies en tant qu’interfaces de couche 2. L’équipement fonctionne en mode routage (mode par défaut) si aucune interface physique n’est configurée en tant qu’interfaces de couche 2.
Pour les pare-feu SRX Series, le mode transparent fournit des services de sécurité complets pour les capacités de commutation de couche 2. Sur ces pare-feu SRX Series, vous pouvez configurer un ou plusieurs VLAN pour effectuer une commutation de couche 2. Un VLAN est un ensemble d’interfaces logiques qui partagent les mêmes caractéristiques d’inondation ou de diffusion. À l’instar d’un LAN virtuel (VLAN), un VLAN s’étend sur un ou plusieurs ports de plusieurs équipements. Ainsi, le pare-feu SRX Series peut fonctionner comme un commutateur de couche 2 avec plusieurs VLAN qui font partie du même réseau de couche 2.
En mode transparent, le pare-feu SRX Series filtre les paquets qui traversent l’équipement sans modifier les informations source ou de destination dans les en-têtes de paquets IP. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic provenant de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
En mode transparent, tous les ports physiques de l’équipement sont affectés à des interfaces de couche 2. Ne faites pas transiter le trafic de couche 3 par l’équipement. Les zones de couche 2 peuvent être configurées pour héberger des interfaces de couche 2, et des politiques de sécurité peuvent être définies entre les zones de couche 2. Lorsque des paquets transitent entre des zones de couche 2, des stratégies de sécurité peuvent être appliquées à ces paquets.
Tableau 1 répertorie les fonctionnalités de sécurité prises en charge et celles qui ne le sont pas en mode transparent pour la commutation de couche 2.
Mode Type |
Compatible |
Incompatible |
|---|---|---|
Mode transparent |
|
|
Sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550M, la propagation du serveur DHCP n’est pas prise en charge dans les mode transparent de couche 2.
En outre, les pare-feu SRX Series ne prennent pas en charge les fonctionnalités de couche 2 suivantes en mode transparent de couche 2 :
Protocole Spanning Tree (STP), RSTP ou MSTP : il est de la responsabilité de l’utilisateur de s’assurer qu’il n’existe pas de boucles d’inondation dans la topologie du réseau.
Surveillance IGMP (Internet Group Management Protocol) : protocole de signalisation hôte-routeur pour IPv4 utilisé pour signaler leur appartenance à un groupe de multidiffusion aux routeurs voisins et déterminer si des membres du groupe sont présents pendant la multidiffusion IP.
VLAN à double balise ou identificateurs de VLAN IEEE 802.1Q encapsulés dans des paquets 802.1Q (également appelés marquage VLAN « Q in Q ») : seuls les identifiants VLAN non étiquetés ou à balise unique sont pris en charge sur les pare-feu SRX Series.
L’apprentissage VLAN non qualifié, où seule l’adresse MAC est utilisée pour l’apprentissage au sein du VLAN : l’apprentissage VLAN sur les pare-feu SRX Series est qualifié, c’est-à-dire que l’identifiant VLAN et l’adresse MAC sont utilisés.
De plus, sur les équipements SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 ou SRX650, certaines fonctionnalités ne sont pas prises en charge. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.) Les fonctionnalités suivantes ne sont pas prises en charge pour le mode transparent de couche 2 sur les périphériques mentionnés :
G-ARP sur l’interface de couche 2
Surveillance des adresses IP sur n’importe quelle interface
Trafic de transit par la CISR
Interface IRB dans une instance de routage
Gestion du trafic de couche 3 par l’interface IRB
REMARQUE :L’interface IRB est une pseudo-interface et n’appartient pas à l’interface reth et au groupe de redondance.
- Mode transparent de couche 2 sur le concentrateur de ports du module de ligne SRX5000
- Comprendre les flux IPv6 en mode transparent sur les équipements sécurisés
- Présentation des clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
- Configuration de la gestion hors bande sur les pare-feu SRX Series
- Commutation Ethernet
- Exceptions de commutation de couche 2 sur les équipements SRX Series
Mode transparent de couche 2 sur le concentrateur de ports du module de ligne SRX5000
Le concentrateur de ports de module de la gamme SRX5000 (SRX5K-MPC) prend en charge le mode transparent de couche 2 et traite le trafic lorsque le pare-feu SRX Series est configuré en mode transparent de couche 2.
Lorsque le SRX5K-MPC fonctionne en mode de couche 2, vous pouvez configurer toutes les interfaces du SRX5K-MPC en tant que ports de commutation de couche 2 pour prendre en charge le trafic de couche 2.
L’unité de traitement de la sécurité (SPU) prend en charge tous les services de sécurité pour les fonctions de commutation de couche 2, et le MPC remet les paquets entrants au SPU et transfère les paquets sortants encapsulés par le SPU vers les interfaces sortantes.
Lorsque le pare-feu SRX Series est configuré en mode transparent de couche 2, vous pouvez activer le fonctionnement des interfaces du MPC en mode de couche 2 en définissant une ou plusieurs unités logiques sur une interface physique avec le type d’adresse de famille .Ethernet switching Plus tard, vous pouvez procéder à la configuration des zones de sécurité de couche 2 et à la configuration des stratégies de sécurité en mode transparent. Une fois cette opération effectuée, des topologies de saut suivant sont configurées pour traiter les paquets entrants et sortants.
Comprendre les flux IPv6 en mode transparent sur les équipements sécurisés
En mode transparent, le pare-feu SRX Series filtre les paquets qui traversent l’équipement sans modifier les informations source ou de destination dans les en-têtes MAC des paquets. Le mode transparent est utile pour protéger les serveurs qui reçoivent principalement du trafic provenant de sources non fiables, car il n’est pas nécessaire de reconfigurer les paramètres IP des routeurs ou des serveurs protégés.
Un périphérique fonctionne en mode transparent lorsque toutes les interfaces physiques du périphérique sont configurées en tant qu’interfaces de couche 2. Une interface physique est une interface de couche 2 si son interface logique est configurée avec l’option ethernet-switching au niveau de la hiérarchie [edit interfaces interface-name unit unit-number family]. Il n’existe aucune commande permettant de définir ou d’activer le mode transparent sur l’appareil. L’équipement fonctionne en mode transparent lorsque des interfaces sont définies en tant qu’interfaces de couche 2. L’équipement fonctionne en mode routage (mode par défaut) si toutes les interfaces physiques sont configurées en tant qu’interfaces de couche 3.
Par défaut, les flux IPv6 sont abandonnés sur les équipements de sécurité. Pour activer le traitement par des fonctionnalités de sécurité telles que les zones, les écrans et les stratégies de pare-feu, vous devez activer le transfert basé sur les flux pour le trafic IPv6 avec l’option mode flow-based de configuration au niveau de la hiérarchie [edit security forwarding-options family inet6]. Vous devez redémarrer l’appareil lorsque vous changez de mode.
En mode transparent, vous pouvez configurer des zones de couche 2 pour héberger des interfaces de couche 2 et définir des stratégies de sécurité entre les zones de couche 2. Lorsque des paquets transitent entre des zones de couche 2, des stratégies de sécurité peuvent être appliquées à ces paquets. Les fonctionnalités de sécurité suivantes sont prises en charge pour le trafic IPv6 en mode transparent :
Zones de sécurité de couche 2 et stratégies de sécurité. Reportez-vous aux sections Présentation des zones de sécurité de couche 2 et Présentation des stratégies de sécurité en mode transparent .
Authentification des utilisateurs du pare-feu. Reportez-vous à la section Présentation de l’authentification des utilisateurs de pare-feu en mode transparent .
Clusters de châssis en mode transparent de couche 2.
Classe des fonctions de service . Reportez-vous à la section Vue d’ensemble des fonctions de classe de service en mode transparent.
Les fonctionnalités de sécurité suivantes ne sont pas prises en charge pour les flux IPv6 en mode transparent :
Systèmes logiques
IPv6 GTPv2
Interface J-Web
NAT
VPN IPsec
À l’exception des ALG DNS, FTP et TFTP, tous les autres ALG ne sont pas pris en charge.
La configuration des VLAN et des interfaces logiques de couche 2 pour les flux IPv6 est identique à celle des VLAN et des interfaces logiques de couche 2 pour les flux IPv4. Si vous le souhaitez, vous pouvez configurer une interface de routage et de pontage (IRB) intégrée pour gérer le trafic dans un VLAN. L’interface IRB est la seule interface de couche 3 autorisée en mode transparent. L’interface IRB du pare-feu SRX Series ne prend pas en charge le transfert ou le routage du trafic. L’interface IRB peut être configurée avec des adresses IPv4 et IPv6. Vous pouvez attribuer une adresse IPv6 à l’interface IRB avec address l’instruction de configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet6]. Vous pouvez attribuer une adresse IPv4 à l’interface IRB avec l’instruction address de configuration au niveau de la hiérarchie [edit interfaces irb unit number family inet].
Les fonctions de commutation Ethernet des pare-feu SRX Series sont similaires à celles des routeurs Juniper Networks MX Series. Toutefois, toutes les fonctionnalités réseau de couche 2 prises en charge sur les routeurs MX Series ne le sont pas sur les pare-feu SRX Series. Reportez-vous à la section Présentation de la commutation Ethernet et du mode transparent de couche 2.
Le pare-feu SRX Series gère les tables de transfert contenant les adresses MAC et les interfaces associées pour chaque VLAN de couche 2. Le traitement des flux IPv6 est similaire à celui des flux IPv4. Reportez-vous à la section Présentation de l’apprentissage et du transfert de couche 2 pour les VLAN.
Présentation des clusters de châssis en mode transparent de couche 2 sur les équipements de sécurité
Une paire de pare-feu SRX Series dans des mode transparent de couche 2 peut être connectée dans un cluster de châssis pour assurer la redondance des nœuds du réseau. Lorsqu’il est configuré dans un cluster de châssis, un nud joue le rôle de périphérique principal et l’autre de périphérique secondaire, assurant ainsi un basculement dynamique des processus et des services en cas de défaillance du système ou du matériel. En cas de défaillance de l’équipement principal, celui-ci prend en charge le traitement du trafic.
Si le périphérique principal tombe en panne dans un cluster de châssis en mode transparent de couche 2, les ports physiques du périphérique défaillant deviennent inactifs (descendent) pendant quelques secondes avant de redevenir actifs (monter).
Pour former un cluster de châssis, une paire de pare-feu SRX Series du même type pris en charge se combine pour agir comme un système unique qui applique la même sécurité globale.
Les équipements en mode transparent de couche 2 peuvent être déployés dans des configurations de cluster actif/de secours et de châssis actif/actif.
Les fonctionnalités de cluster de châssis suivantes ne sont pas prises en charge pour les périphériques en mode transparent de couche 2 :
ARP gratuit : le principal nouvellement élu dans un groupe de redondance ne peut pas envoyer de demandes ARP gratuites pour informer les périphériques réseau d’un changement de rôle principal sur les liaisons d’interface Ethernet redondantes.
Surveillance des adresses IP : la défaillance d’un périphérique en amont ne peut pas être détectée.
Un groupe de redondance est une construction qui inclut une collection d’objets sur les deux nœuds. Un groupe de redondance est principal sur un nœud et de secours sur l’autre. Lorsqu’un groupe de redondance est principal sur un noeud, ses objets sur ce noeud sont actifs. Lorsqu’un groupe de redondance bascule, tous ses objets basculent ensemble.
Vous pouvez créer un ou plusieurs groupes de redondance numérotés de 1 à 128 pour une configuration de cluster de châssis actif/actif. Chaque groupe de redondance contient une ou plusieurs interfaces Ethernet redondantes. Une interface Ethernet redondante est une pseudo-interface qui contient les interfaces physiques de chaque nœud du cluster. Les interfaces physiques d’une interface Ethernet redondante doivent être du même type : Fast Ethernet ou Gigabit Ethernet. Si un groupe de redondance est actif sur le noeud 0, les liaisons enfants de toutes les interfaces Ethernet redondantes associées sur le noeud 0 sont actives. Si le groupe de redondance bascule vers le noeud 1, les liaisons enfants de toutes les interfaces Ethernet redondantes sur le noeud 1 deviennent actives.
Dans la configuration du cluster de châssis actif/actif, le nombre maximal de groupes de redondance est égal au nombre d’interfaces Ethernet redondantes que vous configurez. Dans la configuration du cluster de châssis actif/de secours, le nombre maximal de groupes de redondance pris en charge est de deux.
La configuration d’interfaces Ethernet redondantes sur un périphérique en mode transparent de couche 2 est similaire à la configuration d’interfaces Ethernet redondantes sur un périphérique en mode de routage de couche 3, à la différence près : l’interface Ethernet redondante d’un périphérique en mode transparent de couche 2 est configurée en tant qu’interface logique de couche 2.
L’interface Ethernet redondante peut être configurée soit comme une interface d’accès (avec un ID de VLAN unique attribué aux paquets non étiquetés reçus sur l’interface), soit comme une interface trunk (avec une liste d’ID de VLAN acceptés sur l’interface et, éventuellement, un identifiant de VLAN natif pour les paquets non étiquetés reçus sur l’interface). Les interfaces physiques (une de chaque nœud du cluster de châssis) sont liées en tant qu’interfaces enfants à l’interface Ethernet redondante parente.
En mode transparent de couche 2, l’apprentissage MAC est basé sur l’interface Ethernet redondante. La table MAC est synchronisée entre les interfaces Ethernet redondantes et les unités de traitement des services (SPU) entre les deux équipements du cluster de châssis.
L’interface IRB est utilisée uniquement pour le trafic de gestion et ne peut être affectée à aucune interface Ethernet redondante ni à aucun groupe de redondance.
Toutes les options d’écran de Junos OS disponibles pour un seul périphérique non cluster sont disponibles pour les périphériques dans des clusters de châssis en mode transparent de couche 2.
Les protocoles STP (Spanning Tree Protocols) ne sont pas pris en charge pour le mode transparent de couche 2. Vous devez vous assurer qu’il n’y a pas de connexions en boucle dans la topologie de déploiement.
Configuration de la gestion hors bande sur les pare-feu SRX Series
Vous pouvez configurer l’interface fxp0 de gestion hors bande sur le pare-feu SRX Series en tant qu’interface de couche 3, même si des interfaces de couche 2 sont définies sur l’équipement. À l’exception de l’interface fxp0 , vous pouvez définir des interfaces de couche 2 et de couche 3 sur les ports réseau de l’appareil.
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX550M . (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Commutation Ethernet
La commutation Ethernet transfère les trames Ethernet à l’intérieur ou à travers le segment LAN (ou VLAN) à l’aide des informations d’adresse MAC Ethernet. La commutation Ethernet sur l’appareil SRX1500 s’effectue dans le matériel à l’aide d’ASIC.
À partir de Junos OS version 15.1X49-D40, utilisez la set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode Pont transparent de couche 2 et le mode de commutation Ethernet. Après avoir changé de mode, vous devez redémarrer l’appareil pour que la configuration prenne effet. Tableau 2 décrit le mode global de couche 2 par défaut sur Pare-feu SRX Series.
Version de Junos OS |
Plateformes |
Mode global de couche 2 par défaut |
Détails |
|---|---|---|---|
Avant la version 15.1X49-D50 de Junos OS et Junos OS versions 17.3R1 et ultérieures |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Aucune |
De Junos OS version 15.1X49-D50 à Junos OS version 15.1X49-D90 |
SRX300, SRX320, SRX340 et SRX345 |
Mode de commutation |
Lorsque vous supprimez la configuration du mode global de couche 2 sur un périphérique, celui-ci est en mode pont transparent. |
Junos OS version 15.1X49-D100 et ultérieure |
SRX300, SRX320, SRX340, SRX345, SRX550 et SRX550M |
Mode de commutation |
Lorsque vous supprimez la configuration du mode global de couche 2 sur un périphérique, celui-ci est en mode de commutation. Configurez la |
Junos OS versions 15.1X49-D50 et ultérieures |
SRX1500 |
Mode pont transparent |
Aucune |
Le protocole de couche 2 pris en charge en mode de commutation est le protocole LACP (Link Aggregation Control Protocol).
Vous pouvez configurer le mode transparent de couche 2 sur une interface Ethernet redondante. Utilisez les commandes suivantes pour définir une interface Ethernet redondante :
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Exceptions de commutation de couche 2 sur les équipements SRX Series
Les fonctions de commutation des pare-feu SRX Series sont similaires à celles des routeurs Juniper Networks MX Series. Toutefois, les fonctionnalités de mise en réseau de couche 2 suivantes ne sont pas prises en charge sur les pare-feu SRX Series sur les routeurs MX Series :
Protocoles de contrôle de couche 2—Ces protocoles sont utilisés sur les routeurs MX Series pour le protocole RSTP (Rapid Spanning Tree Protocol) ou le protocole MSTP (Multiple Spanning Tree Protocol) dans les interfaces périphériques client d’une instance de routage VPLS.
Instance de routage de commutation virtuelle—L’instance de routage de commutation virtuelle est utilisée sur les routeurs MX Series pour regrouper un ou plusieurs VLAN.
Instance de routage VPLS (Virtual Private LAN Services) : l’instance de routage VPLS est utilisée sur les routeurs MX Series pour les implémentations LAN point à multipoint entre un ensemble de sites dans un VPN.
Voir également
Comprendre l’unicast
L’unicast est l’acte d’envoyer des données d’un nœud du réseau à un autre. En revanche, les transmissions multicast envoient le trafic d’un nœud de données à plusieurs autres nœuds de données.
Le trafic unicast inconnu est constitué de trames unicast avec des adresses MAC de destination inconnues. Par défaut, le commutateur inonde ces trames unicast qui voyagent dans un VLAN vers toutes les interfaces membres du VLAN. Le transfert de ce type de trafic vers des interfaces du commutateur peut déclencher un problème de sécurité. Le réseau local est soudainement inondé de paquets, ce qui crée un trafic inutile qui entraîne de mauvaises performances du réseau, voire une perte totale du service réseau. C’est ce qu’on appelle une tempête de circulation.
Pour éviter une tempête, vous pouvez désactiver le flooding de paquets unicast inconnus vers toutes les interfaces en configurant un VLAN ou tous les VLAN pour transférer tout trafic unicast inconnu vers une interface trunk spécifique. (Cela permet de canaliser le trafic unicast inconnu vers une interface unique.)
Voir également
Comprendre la diffusion de couche 2 sur les commutateurs
Dans un réseau de couche 2, la diffusion fait référence à l’envoi de trafic vers tous les nœuds d’un réseau.
Le trafic de diffusion de couche 2 reste à l’intérieur des limites d’un réseau local (LAN) ; connu sous le nom de domaine de diffusion. Le trafic de diffusion de couche 2 est envoyé au domaine de diffusion à l’aide d’une adresse MAC FF :FF :FF :FF :FF :FF. Chaque périphérique du domaine de diffusion reconnaît cette adresse MAC et transmet le trafic de diffusion aux autres périphériques du domaine de diffusion, le cas échéant. La diffusion peut être comparée à l’unicast (envoi de trafic à un seul nœud) ou à la multicast (distribution simultanée du trafic à un groupe de nœuds).
Toutefois, le trafic de diffusion de couche 3 est envoyé à tous les périphériques d’un réseau à l’aide d’une adresse réseau de diffusion. Par exemple, si votre adresse réseau est 10.0.0.0, l’adresse du réseau de diffusion est 10.255.255.255. Dans ce cas, seuls les périphériques appartenant au réseau 10.0.0.0 reçoivent le trafic de diffusion de couche 3. Les appareils qui n’appartiennent pas à ce réseau abandonnent le trafic.
La radiodiffusion est utilisée dans les situations suivantes :
Le protocole ARP (Address Resolution Protocol) utilise la diffusion pour mapper les adresses MAC aux adresses IP. ARP lie dynamiquement l’adresse IP (l’adresse logique) à l’adresse MAC correcte. Avant que les paquets unicast IP puissent être envoyés, ARP découvre l’adresse MAC utilisée par l’interface Ethernet où l’adresse IP est configurée.
Le protocole DHCP (Dynamic Host Configuration Protocol) utilise la diffusion pour attribuer dynamiquement des adresses IP aux hôtes d’un segment de réseau ou d’un sous-réseau.
Les protocoles de routage utilisent la diffusion pour annoncer des itinéraires.
Un trafic de diffusion excessif peut parfois créer une tempête de diffusion. Une tempête de diffusion se produit lorsque des messages sont diffusés sur un réseau et que chaque message invite un nœud récepteur à répondre en diffusant ses propres messages sur le réseau. Ceci, à son tour, suscite d’autres réponses qui créent un effet boule de neige. Le réseau local est soudainement inondé de paquets, ce qui crée un trafic inutile qui entraîne de mauvaises performances du réseau, voire une perte totale du service réseau.
Voir également
Utilisation de la CLI logicielle de couche 2 améliorée
Le logiciel ELS (Enhanced L2 Software) fournit une CLI uniforme pour configurer et surveiller les fonctionnalités de couche 2 sur les commutateurs QFX Series, les commutateurs EX Series et d’autres équipements Juniper Networks, tels que les routeurs MX Series. Avec ELS, vous configurez les fonctionnalités de couche 2 de la même manière sur tous ces équipements Juniper Networks.
Cette rubrique explique comment savoir si votre plateforme exécute ELS. Il explique également comment effectuer certaines tâches courantes à l’aide du style de configuration ELS.
- Comprendre quels appareils prennent en charge ELS
- Comprendre comment configurer des entités de couche 2 à l’aide d’ELS
- Comprendre les modifications apportées à l’instruction de configuration ELS et aux commandes
Comprendre quels appareils prennent en charge ELS
ELS est automatiquement pris en charge si votre terminal exécute une version de Junos OS qui le prend en charge. Vous n’avez pas besoin d’effectuer d’action pour activer ELS, et vous ne pouvez pas désactiver ELS. Reportez-vous à l’Explorateur de fonctionnalités pour plus d’informations sur les plates-formes et les versions qui prennent en charge ELS.
Comprendre comment configurer des entités de couche 2 à l’aide d’ELS
Étant donné qu’ELS fournit une CLI uniforme, vous pouvez désormais effectuer les tâches suivantes sur les périphériques pris en charge de la même manière :
- Configuration d’un VLAN
- Configuration de l’identifiant VLAN natif
- Configuration des interfaces de couche 2
- Configuration des interfaces de couche 3
- Configuration d’une interface IRB
- Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Configuration d’un VLAN
Vous pouvez configurer un ou plusieurs VLAN pour effectuer un pontage de couche 2. Les fonctions de pontage de couche 2 incluent le routage et pontage intégré (IRB) pour la prise en charge du pontage de couche 2 et du routage IP de couche 3 sur la même interface. Les commutateurs EX Series et QFX Series peuvent fonctionner comme des commutateurs de couche 2, chacun avec plusieurs domaines de pontage, ou de diffusion, qui font partie du même réseau de couche 2. Vous pouvez également configurer la prise en charge du routage de couche 3 pour un VLAN.
Pour configurer un VLAN :
Configuration de l’identifiant VLAN natif
Les commutateurs EX Series et QFX Series prennent en charge la réception et le transfert de trames Ethernet routées ou pontées avec des balises VLAN 802.1Q. En règle générale, les ports trunk, qui relient les commutateurs les uns aux autres, acceptent les paquets de contrôle non étiquetés, mais n’acceptent pas les paquets de données non étiquetés. Vous pouvez permettre à un port trunk d’accepter des paquets de données non étiquetés en configurant un ID de VLAN natif sur l’interface sur laquelle vous souhaitez que les paquets de données non étiquetés soient reçus.
Pour configurer l’ID de VLAN natif :
Configuration des interfaces de couche 2
Pour vous assurer que votre réseau à fort trafic est réglé pour des performances optimales, configurez explicitement certains paramètres sur les interfaces réseau du commutateur.
Pour configurer une interface Gigabit Ethernet ou 10 Gigabit en tant qu’interface trunk :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Pour configurer une interface Gigabit Ethernet ou 10 Gigabit en tant qu’interface access :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Pour affecter une interface à un VLAN :
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuration des interfaces de couche 3
Pour configurer une interface de couche 3, vous devez lui attribuer une adresse IP. Vous affectez une adresse à une interface en spécifiant l’adresse lors de la configuration de la famille de protocoles. Pour la inet famille ou inet6 , configurez l’adresse IP de l’interface.
Vous pouvez configurer des interfaces avec une adresse IP version 4 (IPv4) 32 bits et, éventuellement, avec un préfixe de destination, parfois appelé masque de sous-réseau. Une adresse IPv4 utilise une syntaxe d’adresse décimale pointée sur 4 octets (par exemple, 192.168.1.1). Une adresse IPv4 avec un préfixe de destination utilise une syntaxe d’adresse décimale pointée sur 4 octets à laquelle un préfixe de destination est ajouté (par exemple, 192.168.1.1/16).
Pour spécifier une adresse IP4 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Vous représentez les adresses IP version 6 (IPv6) en notation hexadécimale à l’aide d’une liste de valeurs de 16 bits séparées par des deux-points. Vous attribuez une adresse IPv6 128 bits à une interface.
Pour spécifier une adresse IP6 pour l’unité logique :
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuration d’une interface IRB
Le routage et pontage intégrés (IRB) prend en charge le pontage de couche 2 et le routage IP de couche 3 sur la même interface. L’IRB vous permet d’acheminer des paquets vers une autre interface routée ou vers un autre VLAN sur lequel un protocole de couche 3 est configuré. Les interfaces IRB permettent à l’appareil de reconnaître les paquets envoyés à des adresses locales afin qu’ils soient pontés (commutés) dans la mesure du possible et ne soient acheminés qu’en cas de nécessité. Chaque fois que les paquets peuvent être commutés au lieu d’être routés, plusieurs couches de traitement sont éliminées. Une interface nommée irb fonctionne comme un routeur logique sur lequel vous pouvez configurer une interface logique de couche 3 pour VLAN. Pour la redondance, vous pouvez combiner une interface IRB avec des implémentations du protocole VRRP (Virtual Router Redundancy Protocol) dans les environnements de pontage et de service de réseau local privé virtuel (VPLS).
Pour configurer une interface IRB :
Configuration d’une interface Ethernet agrégée et configuration de LACP sur cette interface
Utilisez la fonctionnalité d’agrégation de liens pour agréger un ou plusieurs liens afin de former un lien virtuel ou un groupe d’agrégation de liens (LAG). Le client MAC peut traiter cette liaison virtuelle comme s’il s’agissait d’une liaison unique afin d’augmenter la bande passante, d’assurer une dégradation progressive en cas de défaillance et d’augmenter la disponibilité.
Pour configurer une interface Ethernet agrégée :
Pour les interfaces Ethernet agrégées sur l’équipement, vous pouvez configurer le protocole LACP (Link Aggregation Control Protocol). LACP regroupe plusieurs interfaces physiques pour former une seule interface logique. Vous pouvez configurer l’Ethernet agrégé avec ou sans LACP activé.
Lorsque LACP est activé, les côtés local et distant des liaisons Ethernet agrégées échangent des unités de données de protocole (PDU), contenant des informations sur l’état de la liaison. Vous pouvez configurer des liaisons Ethernet pour qu’elles transmettent activement des PDU ou vous pouvez configurer les liaisons pour qu’elles les transmettent passivement, en envoyant des PDU LACP uniquement lorsqu’elles les reçoivent d’une autre liaison. Un côté du lien doit être configuré comme actif pour que le lien soit actif.
Pour configurer LACP :
Activez l’un des côtés de la liaison Ethernet agrégée comme actif :
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Spécifiez l’intervalle auquel les interfaces envoient des paquets LACP :
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Comprendre les modifications apportées à l’instruction de configuration ELS et aux commandes
ELS a été introduit dans Junos OS version 12.3R2 pour les commutateurs EX9200. ELS modifie la CLI pour certaines fonctionnalités de couche 2 sur les commutateurs EX Series et QFX Series pris en charge.
Les sections suivantes fournissent une liste des commandes existantes qui ont été déplacées vers de nouveaux niveaux hiérarchiques ou modifiées sur les commutateurs EX Series dans le cadre de cet effort d’amélioration de la CLI. Ces sections sont fournies à titre de référence de haut niveau uniquement. Pour plus d’informations sur ces commandes, utilisez les liens vers les instructions de configuration fournies ou consultez la documentation technique.
- Modifications apportées au niveau hiérarchique ethernet-switching-options
- Modifications apportées au niveau hiérarchique de la mise en miroir des ports
- Modifications apportées au niveau hiérarchique du protocole de contrôle de couche 2
- Modifications apportées à l’instruction dot1q-tunneling
- Modifications du protocole d’apprentissage de la L2
- Modifications apportées au pontage sans interruption
- Modifications apportées à la sécurité des ports et à la surveillance DHCP
- Modifications apportées à la configuration des VLAN
- Modifications apportées aux profils de Storm Control
- Modifications apportées à la hiérarchie des interfaces
- Modifications apportées à la surveillance IGMP
Modifications apportées au niveau hiérarchique ethernet-switching-options
Cette section décrit les modifications apportées au niveau hiérarchique ethernet-switching-options .
Le ethernet-switching-options niveau hiérarchique a été renommé switch-options.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Les instructions ont été supprimées de la |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Les instructions ont été supprimées de la |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
REMARQUE :
La interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Modifications apportées au niveau hiérarchique de la mise en miroir des ports
Les instructions sont passées du niveau hiérarchique ethernet-switching-options au niveau hiérarchique forwarding-options .
Modifications apportées au niveau hiérarchique du protocole de contrôle de couche 2
Les instructions de protocole de contrôle de couche 2 sont passées de la ethernet-switching-options hiérarchie à la protocols hiérarchie.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Modifications apportées à l’instruction dot1q-tunneling
L’instruction dot1q-tunneling a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Modifications du protocole d’apprentissage de la L2
L’instruction mac-table-aging-time a été remplacée par une nouvelle instruction et déplacée vers un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications apportées au pontage sans interruption
L’instruction nonstop-bridging a été déplacée à un autre niveau hiérarchique.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Modifications apportées à la sécurité des ports et à la surveillance DHCP
Les instructions de sécurité des ports et de surveillance DHCP ont été déplacées à des niveaux hiérarchiques différents.
L’instruction examine-dhcp n’existe pas dans la hiérarchie modifiée. La surveillance DHCP est désormais activée automatiquement lorsque d’autres fonctionnalités de sécurité DHCP sont activées sur un VLAN. Reportez-vous à la section Configuration de la sécurité des ports (ELS) pour plus d’informations.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Pour la configuration mac autorisée, l’instruction set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 hiérarchique d’origine est remplacée par la commande ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Les instructions d’écoute DHCP ont été déplacées vers un niveau hiérarchique différent.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Modifications apportées à la configuration des VLAN
Les instructions de configuration des VLAN ont été déplacées vers un niveau hiérarchique différent.
À partir de Junos OS version 14.1X53-D10 pour les commutateurs EX4300 et EX4600, lorsque vous activez xSTP, vous pouvez l’activer sur certaines ou toutes les interfaces incluses dans un VLAN. Par exemple, si vous configurez le VLAN 100 pour inclure les interfaces ge-0/0/0, ge-0/0/1 et ge-0/0/2, et que vous souhaitez activer MSTP sur les interfaces ge-0/0/0 et ge-0/0/2, vous pouvez spécifier les set protocols mstp interface ge-0/0/0 commandes and set protocols mstp interface ge-0/0/2 . Dans cet exemple, vous n’avez pas explicitement activé MSTP sur l’interface ge-0/0/1 ; par conséquent, MSTP n’est pas activé sur cette interface.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
REMARQUE :
L’instruction est remplacée par une nouvelle instruction et a été déplacée à un autre niveau hiérarchique. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Ces déclarations ont été supprimées. Vous pouvez affecter des interfaces à un VLAN à l’aide de la |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Les déclarations ont été supprimées. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
REMARQUE :
La syntaxe est modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
L’instruction est supprimée. Le trafic entrant est automatiquement suivi. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
L’instruction est supprimée. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
L’instruction a été déplacée vers une hiérarchie différente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
La déclaration a été supprimée. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
L’instruction est supprimée. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
REMARQUE :
L’instruction a été remplacée par une nouvelle instruction. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
REMARQUE :
La syntaxe est modifiée. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Pour interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Pour protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Modifications apportées aux profils de Storm Control
Le storm control est configuré en deux étapes. La première étape consiste à créer un profil de storm control au niveau de la [edit forwarding-options] hiérarchie, et la deuxième étape consiste à lier le profil à une interface logique au niveau de la [edit interfaces] hiérarchie. Voir l’exemple : Configuration de Storm Control pour éviter les pannes de réseau sur les commutateurs EX Series pour la procédure modifiée.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Modifications apportées à la hiérarchie des interfaces
Les instructions ont été déplacées vers une hiérarchie différente.
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
REMARQUE :
L’instruction a été remplacée par une nouvelle instruction. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
REMARQUE :
L’instruction a été remplacée par une nouvelle instruction. interfaces irb |
Modifications apportées à la surveillance IGMP
Hiérarchie d’origine |
Hiérarchie modifiée |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Instructions de configuration de l’interface de ligne de commande de couche 2 améliorées et modifications des commandes pour les équipements de sécurité
À compter de Junos OS version 15.1X49-D10 et de Junos OS version 17.3R1, certaines instructions de configuration CLI de couche 2 sont améliorées et certaines commandes sont modifiées. Tableau 18 et Tableau 19 fournir des listes des commandes existantes qui ont été déplacées vers de nouvelles hiérarchies ou modifiées sur les pare-feu SRX Series dans le cadre de cet effort d’amélioration de la CLI. Les tableaux ne sont fournis qu’à titre de référence de haut niveau. Pour plus d’informations sur ces commandes, consultez Explorateur CLI.
Hiérarchie d’origine |
Hiérarchie modifiée |
Niveau hiérarchique |
Description du changement |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[modifier] |
La hiérarchie a été renommée. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[modifier les VLAN vlans-name] |
L’instruction a été renommée. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[modifier les VLAN vlans-name] |
L’instruction a été renommée. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[modifier le flux de sécurité] |
L’instruction a été renommée. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[modifier les interfaces interface-name ] unité unit-number |
La hiérarchie a été renommée. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[modifier les VLAN vlans-name] |
L’instruction a été renommée. |
Commandement opérationnel d’origine |
Commandement opérationnel modifié |
|---|---|
Effacer le pont MAC-Table |
table de commutation ethernet claire |
clear bridge mac-table apprentissage persistant |
table de commutation Ethernet claire, apprentissage persistant |
Afficher le domaine du pont |
Afficher les VLAN |
afficher bridge mac-table |
afficher la table de commutation ethernet |
Afficher linterface d’apprentissage L2 |
afficher l’interface de commutation ethernet |
Il n’y a pas d’interface de gestion hors bande fxp0 sur les équipements SRX300, SRX320 et SRX500HM. (La prise en charge de la plate-forme dépend de la version de Junos OS dans votre installation.)
Voir également
Mode nouvelle génération de couche 2 pour ACX Series
Le mode nouvelle génération de couche 2, également appelé logiciel de couche 2 amélioré (ELS), est pris en charge sur les routeurs ACX5048, ACX5096 et ACX5448 pour configurer les fonctionnalités de couche 2. Les configurations et commandes d’affichage de l’interface de ligne de commande de couche 2 pour les routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 et ACX7509 diffèrent de celles des autres routeurs ACX Series (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 et ACX4000) et des routeurs MX Series.
Tableau 20 montre les différences dans la hiérarchie CLI pour la configuration des entités de couche 2 en mode nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 et ACX7509 |
|---|---|---|
Domaine de pont |
[ |
[ |
Famille |
[ |
[ |
Options de couche 2 |
[ |
[ |
Options Ethernet |
[ |
[ |
Routage et pontage intégrés (IRB) |
[ |
|
Storm control |
[ |
[ [ |
Surveillance IGMP (Internet Group Management Protocol) |
[ |
[ |
Filtre de pare-feu familial |
[ |
[ |
Tableau 21 montre les différences entre show les commandes pour les entités de couche 2 en mode nouvelle génération de couche 2.
Fonctionnalité |
Routeurs ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 et MX Series |
Routeurs ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 et ACX7509 |
|---|---|---|
VLAN |
|
|
Table MAC |
|
|
Options de la table MAC |
|
|
Liste des ports des commutateurs avec affectations VLAN |
|
|
État du noyau de la base de données vidée |
|
|
Voir également
Encapsulation flexible des services Ethernet pour prendre en charge les styles de configuration des fournisseurs de services et des entreprises sur les routeurs ACX7000 Series
Les services Ethernet flexibles sont un type d’encapsulation qui permet à une interface physique de spécifier des encapsulations Ethernet au niveau de l’interface logique. Chaque interface logique peut avoir une encapsulation Ethernet différente. La définition de plusieurs encapsulations Ethernet par unité facilite la personnalisation des services Ethernet en fonction de plusieurs hôtes connectés à la même interface physique.
Une interface Ethernet qui n’est pas encapsulée avec des services Ethernet flexibles et qui fonctionne en mode de couche 2 est limitée à une seule unité d’interface logique (0). Le pontage est activé sur l’interface en configurant ethernet-switching en tant que famille d’interfaces sur l’unité 0. La famille ne peut être configurée que sur l’unité ethernet-switching d’interface logique 0 et aucune autre unité logique ne peut être définie sur cette interface.
Cependant, certaines fonctions de commutation ne peuvent pas être configurées sur l’unité d’interface logique 0. Des fonctionnalités telles que la tunnelisation Q-in-Q nécessitent l’interface logique pour transmettre les trames balisées VLAN. Pour permettre à une interface logique de recevoir et de transmettre des trames Ethernet étiquetées avec un ID de VLAN correspondant, vous devez lier l’interface logique à ce VLAN. Ces fonctionnalités doivent être configurées sur une unité d’interface logique autre que 0, car vous ne pouvez pas lier un ID de VLAN à l’unité 0.
Lorsque vous encapsulez une interface à l’aide de services Ethernet flexibles, vous pouvez configurer une unité d’interface logique autre que 0 avec family ethernet-switching. Vous pouvez également configurer d’autres interfaces logiques sur cette même interface avec différents types d’encapsulations Ethernet. Cela permet aux interfaces logiques liées à un ID de VLAN de coexister avec les interfaces logiques configurées avec family ethernet-switching.
L’instruction flexible-ethernet-services permet de configurer à la fois des interfaces logiques de type fournisseur de services et des interfaces logiques de style entreprise.
Par exemple, si vous configurez PVLAN sur la même interface physique que celle sur laquelle vous configurez la tunnelisation Q-in-Q, vous pouvez utiliser des services Ethernet flexibles pour prendre en charge le style de configuration d’entreprise pour PVLAN, en utilisant family ethernet-switching, ainsi que vlan-bridge l’encapsulation pour la tunnelisation Q-in-Q.
Nous vous recommandons de configurer les instructions suivantes à l’aide de groupes lors de la configuration de périphériques qui fonctionnent comme des VTEP matériels :
-
set interfaces interface-name flexible-vlan-tagging
-
set interfaces interface-name encapsulation vlan-bridge étendu
-
set interfaces interface-name native-vlan-id vlan-id
Style de configuration de fournisseur de services
Pour configurer l’interface afin de prendre en charge le style de configuration du fournisseur de services :
Style de configuration d’entreprise
Pour configurer l’interface afin de prendre en charge le style de configuration d’entreprise :
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
set protocols l2-learning global-mode(transparent-bridge | switching) commande pour basculer entre le mode Pont transparent de couche 2 et le mode de commutation Ethernet.