Comprendre et empêcher le transfert unicast inconnu
Le trafic unicast inconnu se compose de paquets unicast dont les adresses MAC de destination sont inconnues. Par défaut, le commutateur inonde ces paquets unicast qui traversent un VLAN vers toutes les interfaces membres de ce VLAN. Le transfert de ce type de trafic peut créer un trafic inutile qui entraîne de mauvaises performances du réseau, voire une perte totale du service réseau. Cette inondation de paquets est connue sous le nom de tempête de trafic.
Pour éviter une tempête de trafic, vous pouvez désactiver l’inondation de paquets unicast inconnus vers toutes les interfaces VLAN en configurant des VLAN spécifiques ou tous les VLAN pour transférer tout le trafic unicast inconnu qui les traverse vers une interface spécifique. Vous pouvez configurer plusieurs VLAN pour transférer des paquets unicast inconnus vers la même interface ou configurer différentes interfaces pour différents VLAN. Cela canalise le trafic unicast inconnu qui traverse les VLAN vers des interfaces spécifiques au lieu d’inonder toutes les interfaces.
La fonctionnalité de transfert unicast inconnu n’est pas prise en charge sur les plates-formes QFX10000 Series.
Vérification du transfert des paquets unicast inconnus vers une interface unique
But
Vérifiez qu’un VLAN transfère tous les paquets unicast inconnus (ceux dont les adresses MAC de destination sont inconnues) vers une seule interface au lieu d’inonder les paquets unicast inconnus sur toutes les interfaces membres de ce VLAN.
Cette procédure utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, voir : Utilisation de la CLI logicielle de couche 2 améliorée.
Action
(Commutateurs EX4300) Affichez l’interface de transfert pour les paquets unicast inconnus pour un VLAN (ici, le nom du VLAN est v1) :
user@switch> show configuration switch-options
unknown-unicast-forwarding {
vlan v1 {
interface ge-0/0/7.0;
}
}
(Commutateurs EX9200) Affichez l’interface de transfert pour les paquets unicast inconnus :
user@switch> show forwarding-options
next-hop-group uuf-nhg {
group-type layer-2;
interface ge-0/0/7.0;
}
Signification
L’exemple de sortie des show commandes montre que l’interface de transfert unicast inconnue pour VLAN v1est interface ge-0/0/7.
Configuration du transfert unicast inconnu (ELS)
Cette tâche utilise Junos OS pour les commutateurs EX Series ou QFX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de l’interface de ligne de commande logicielle de couche 2 améliorée
La fonctionnalité de transfert unicast inconnu n’est pas prise en charge sur les plates-formes QFX10000 Series.
Le trafic unicast inconnu est constitué de paquets dont l’adresse MAC de destination est inconnue. Par défaut, le commutateur inonde les paquets qui traversent un VLAN vers toutes les interfaces associées à ce VLAN. Ce flooding de paquets est connu sous le nom de tempête de trafic et peut avoir un impact négatif sur les performances du réseau.
Pour éviter d’inonder le trafic unicast inconnu sur le commutateur, configurez le transfert unicast inconnu pour diriger tous les paquets unicast inconnus d’un VLAN vers une interface spécifique. Vous pouvez configurer chaque VLAN pour qu’il redirige le trafic unicast inconnu vers une interface différente ou utiliser la même interface pour plusieurs VLAN.
- Configuration du transfert unicast inconnu sur les commutateurs EX4300
- Configuration du transfert unicast inconnu sur les commutateurs EX9200
Configuration du transfert unicast inconnu sur les commutateurs EX4300
Pour configurer des options de transfert unicast inconnues sur les commutateurs EX4300 :
Configuration du transfert unicast inconnu sur les commutateurs EX9200
Pour configurer le transfert unicast inconnu sur les commutateurs EX9200, vous devez configurer un filtre flood et l’appliquer aux VLAN pour lesquels vous souhaitez configurer le transfert unicast inconnu. Les filtres d’inondation sont des filtres de pare-feu qui s’appliquent uniquement au trafic de diffusion, unicast inconnu et multicast (BUM). Si un filtre flood est configuré, seuls les paquets de trafic du type unknown-unicast paquet sont transférés à l’interface sur laquelle le transfert unicast est configuré. Un groupe de sauts suivants redirige les paquets en fonction de l’action spécifiée dans le filtre flood.
Pour configurer le groupe de sauts suivant qui reçoit les paquets de couche 2, puis configurer l’interface vers laquelle ces paquets sont transférés :
Vérification du transfert des paquets unicast inconnus vers une interface trunk
But
Vérifiez qu’un VLAN transfère tous les paquets unicast inconnus (ceux dont les adresses MAC de destination sont inconnues) vers une interface trunk unique au lieu d’inonder les paquets unicast inconnus sur toutes les interfaces membres du même VLAN.
Action
Affichez l’interface de transfert pour les paquets unicast inconnus pour un VLAN (ici, le nom du VLAN est v1) :
user@switch> show configuration ethernet-switching-options
unknown-unicast-forwarding {
vlan v1 {
interface ge-0/0/7.0;
}
}
Affichez le tableau de commutation Ethernet :
user@switch> show ethernet-switching table vlan v1 Ethernet-switching table: 3 unicast entries VLAN MAC address Type Age Interfaces v1 * Flood - All-members v1 00:01:09:00:00:00 Learn 24 ge-0/0/7.0 v1 00:11:09:00:01:00 Learn 37 ge-0/0/3.0
Signification
L’exemple de sortie de la show configuration ethernet-switching-options commande montre que l’interface de transfert unicast inconnue pour VLAN v1 est l’interface ge-0/0/7. La show ethernet-switching table commande indique qu’un paquet unicast inconnu est reçu sur l’interface ge-0/0/3 avec l’adresse MAC de destination (DMAC) 00:01:09:00:00:00 et l’adresse MAC source (SMAC) de 00:11:09:00:01:00. Cela montre que le SMAC du paquet est appris de manière normale (via l’interface ge-0/0/3.0), tandis que le DMAC est appris sur l’interface ge-0/0/7.
Configuration du transfert unicast inconnu (procédure CLI)
Le trafic unicast inconnu est constitué de paquets dont l’adresse MAC de destination est inconnue. Par défaut, le commutateur inonde ces paquets vers toutes les interfaces associées à un VLAN. Le transfert de ce trafic vers les interfaces du commutateur peut créer un problème de sécurité.
Pour éviter d’inonder le trafic unicast inconnu sur le commutateur, configurez le transfert unicast inconnu pour diriger tous les paquets unicast inconnus d’un VLAN vers une interface trunk spécifique. À partir de là, l’adresse MAC de destination peut être apprise et ajoutée à la table de commutation Ethernet. Vous pouvez configurer chaque VLAN pour qu’il redirige le trafic unicast inconnu vers différentes interfaces trunk ou utiliser une interface trunk pour plusieurs VLAN.
Pour Junos OS pour les commutateurs EX Series ou QFX Series avec prise en charge du style de configuration ELS (Enhanced Layer 2 Software), reportez-vous à la section Configuration du transfert unicast inconnu (ELS).
La fonctionnalité de transfert unicast inconnu n’est pas prise en charge sur les plates-formes QFX10000 Series.
Pour configurer des options de transfert unicast inconnues :
Avant de pouvoir configurer le transfert unicast inconnu au sein d’un VLAN, vous devez d’abord configurer ce VLAN.
Spécifique à la plate-forme configuration d’un comportement de transfert unicast inconnu
| Plateforme |
Différence |
|---|---|
| Junos Evolved série ACX7000 |
Les routeurs ACX7000 Series ne prennent pas en charge la configuration du transfert unicast inconnu. |