Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

레이어 2 네트워킹

레이어 2 네트워킹 개요

Layer 2는 데이터 링크 레이어 프로토콜 설계를 위한 7계층 OSI 참조 모델의 두 번째 레벨입니다. Layer 2는 TCP/IP 네트워크 모델의 링크 레이어(최저 계층)와 동등합니다. Layer2는 광역 네트워크 내 인접 네트워크 노드 간에 또는 동일한 로컬 에지 네트워크의 노드 간에 데이터를 전송하는 데 사용되는 네트워크 계층입니다.

프레임은 프로토콜 데이터 유닛으로 레이어 2 네트워크에서 가장 작은 비트 단위입니다. 프레임은 동일한 LAN(Local Area Network)의 디바이스로 전송 및 수신됩니다. Unilke 비트, 프레임은 정의된 구조를 가지며 오류 감지, 컨트롤 플레인 활동 등에서 사용할 수 있습니다. 모든 프레임이 사용자 데이터를 전달하는 것은 아니다. 네트워크는 일부 프레임을 사용하여 데이터 링크 자체를 제어합니다.

레이어 2에서 유니캐스트는 한 노드에서 다른 노드로 프레임을 전송하는 반면, 멀티캐스트는 하나의 노드에서 여러 노드로 트래픽을 전송하는 것으로 표시하며 브로드캐스트는 네트워크의 모든 노드로 프레임 전송을 참조합니다. 브로드캐스트 도메인은 브로드캐스트를 통해 네트워크의 모든 노드가 Layer 2에서 도달할 수 있는 네트워크의 논리적 분할입니다.

브리지를 사용하여 프레임 레벨에서 LAN 세그먼트를 연결할 수 있습니다. 브리지어는 LAN에서 별도의 브로드캐스트 도메인을 생성하여 VLAN을 생성합니다. VLAN은 관련 디바이스를 별도의 네트워크 세그먼트로 그룹화하는 독립적인 논리적 네트워크입니다. VLAN에서 디바이스 그룹화는 디바이스가 LAN의 물리적 위치와 독립적입니다. 브리지어(bridging) 및 VLAN이 없는 경우 이더넷 LAN상의 모든 디바이스는 단일 브로드캐스트 도메인에 있으며 모든 디바이스는 LAN상의 모든 패킷을 감지합니다.

포워링은 네트워크의 노드에 의해 한 네트워크 세그먼트에서 다른 네트워크 세그먼트로 패킷을 중계합니다. VLAN에서, 원본과 대상이 동일한 VLAN 내에 있는 프레임은 로컬 VLAN 내에서만 전달됩니다. 네트워크 세그먼트는 모든 장치가 동일한 물리적 레이어를 사용하여 통신하는 컴퓨터 네트워크의 일부입니다.

레이어 2에는 2개의 서브레이어가 포함되어 있습니다.

  • 통신 링크를 관리하고 프레임 트래픽을 처리하는 논리적 링크 제어(LLC) 서브레이어

  • 물리적 네트워크 매체에 대한 프로토콜 액세스를 제어하는 MAC(Media Access Control) 서브레이어 스위치의 모든 포트에 할당된 MAC 주소를 사용하면 동일한 물리적 링크에 있는 여러 디바이스가 다른 디바이스를 고유하게 식별할 수 있습니다.

    스위치의 포트 또는 인터페이스는 액세스 모드, 태그 지정 액세스 또는 트렁크 모드에서 운영됩니다.

    • 액세스 모드 포트는 데스크톱 컴퓨터, IP 전화기, 프린터, 파일 서버 또는 보안 카메라 등의 네트워크 장치에 연결됩니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송된 프레임은 일반적인 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드에 있습니다.

    • Tagged-Access 모드 포트는 데스크톱 컴퓨터, IP 전화기, 프린터, 파일 서버 또는 보안 카메라 등의 네트워크 디바이스에 연결됩니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송된 프레임은 일반적인 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드에 있습니다. Tagged-Access 모드는 클라우드 컴퓨팅, 특히 가상 머신 또는 가상 컴퓨터를 포함한 시나리오를 수용합니다. 여러 가상 컴퓨터가 하나의 물리적 서버에 포함될 수 있기 때문에 하나의 서버에서 생성된 패킷은 해당 서버의 서로 다른 가상 머신에서 VLAN 패킷의 집계를 포함할 수 있습니다. 이러한 상황을 수용하기 위해 태그드 액세스 모드는 해당 다운스트림 포트에서 패킷의 대상 주소가 학습될 때 동일한 다운스트림 포트의 패킷을 물리적 서버로 다시 반영합니다. 패킷은 대상이 아직 학습되지 않은 경우 다운스트림 포트의 물리적 서버로 다시 반영됩니다. 따라서 세 번째 인터페이스 모드인 태그 액세스는 액세스 모드의 일부 특성과 트렁크 모드의 일부 특성을 가지고 있습니다.

    • 트렁크 모드 포트는 여러 VLA에 대한 트래픽을 처리하여 동일한 물리적 연결을 통해 모든 VLA에 대한 트래픽을 멀티플렉스합니다. 트렁크 인터페이스는 일반적으로 스위치를 다른 디바이스 또는 스위치와 상호 연결하기 위해 사용됩니다.

      네이티브 VLAN이 구성되면 VLAN 태그를 전달하지 않는 프레임은 트렁크 인터페이스를 통해 전송됩니다. 패킷이 장비에서 액세스 모드의 스위치로 전달되는 경우 트렁크 포트를 통해 해당 패킷을 트렁크 포트에서 전송하려는 경우 네이티브 VLAN 모드를 사용합니다. 스위치 포트(액세스 모드)에서 단일 VLAN을 네이티브 VLAN으로 구성합니다. 그러면 스위치의 트렁크 포트는 해당 프레임을 다른 태그 패킷과는 다른 것으로 취급합니다. 예를 들어 트렁크 포트에 3개의 VLAN, 10, 20, 30이 할당되고 기본 VLAN인 VLAN 10이 할당된 경우, 다른 엔드에 트렁크 포트를 남겨 두는 VLAN 10의 프레임에는 802.1Q 헤더(태그)가 없습니다. 또 다른 기본 VLAN 옵션이 있습니다. 스위치가 언태그드 패킷에 대한 태그를 추가하고 제거할 수 있습니다. 이를 위해 먼저 에지의 장치에 연결된 포트에서 단일 VLAN을 네이티브 VLAN으로 구성합니다. 그런 다음 디바이스에 연결된 포트에서 단일 네이티브 VLAN에 VLAN ID 태그를 할당합니다. 마지막으로, VLAN ID를 트렁크 포트에 추가합니다. 이제 스위치가 언타그드 패킷을 수신하면 지정된 ID를 추가하고 해당 VLAN에 허용하도록 구성된 트렁크 포트에서 태그된 패킷을 보내고 수신합니다.

서브레이어를 포함해 QFX Series의 Layer 2는 다음과 같은 기능을 제공합니다.

  • 유니캐스트, 멀티캐스트, 브로드캐스트 트래픽.

  • 브리징.

  • VLAN 802.1Q—이 프로토콜은 VLAN 태깅으로도 불리며, 여러 브리지 네트워크가 이더넷 프레임에 VLAN태그를 추가하여 동일한 물리적 네트워크 링크를 투명하게 공유할 수 있습니다.

  • STP(Spanning Tree Protocol)를 사용하여 여러 스위치 전반에서 Layer 2 VLANS를 확장하여 네트워크 전반의 루프를 방지합니다.

  • VLAN당MAC 학습 및 Layer 2 학습 억제를 포함한 MAC 학습 –이 프로세스는 네트워크의 모든 노드의 MAC 주소를 획득합니다.

  • 링크어그리게이션—물리적 레이어의 이더넷 인터페이스 프로세스 그룹이 단일 링크 레이어 인터페이스를 형성합니다. 이는 LAG(Link Aggregation Group) 또는 LAG 번들입니다.

    주:

    링크 어그리게이트는 디바이스에서 NFX150 없습니다.

  • 유니캐스트, 멀티캐스트 및 브로드캐스트를 위한 물리적 포트의 스톰 제어

    주:

    스톰 컨트롤은 디바이스에서 NFX150 지원되지 않습니다.

  • 802.1d, RSTP, MSTP 및 Root Guard를 포함한 STP 지원

이더넷 스위칭 및 Layer 2 Transparent 모드 개요

Layer 2 Transparent 모드는 기존 라우팅 인프라스트럭처를 변경하지 않고도 방화벽을 구축할 수 있는 기능을 제공합니다. 방화벽은 여러 VLAN 세그먼트를 사용하는 Layer 2 스위치로 구축될 수 있으며 VLAN 세그먼트 내에서 보안 서비스를 제공합니다. Secure Wire는 레이어 2 투명 모드의 특수 버전으로, 범프 인 와이어(bump-in-wire) 구축이 지원됩니다.

Layer 2 인터페이스로 정의된 인터페이스가 있는 경우 디바이스는 Transparent 모드로 작동됩니다. 이 장치는 Layer 2 인터페이스로 구성된 물리적 인터페이스가 없는 경우 Route 모드(기본 모드)로 작동됩니다.

SRX 시리즈 디바이스의 경우 Transparent 모드는 보안 기능을 위한 레이어 2 스위칭 서비스입니다. 이러한 SRX 시리즈 디바이스에서 하나 이상의 VLA를 구성하여 네트워크 구성을 레이어 2 스위칭. VLAN은 동일한 플러드 또는 브로드캐스트 특성을 공유하는 논리적 인터페이스 집합입니다. VLAN(Virtual LAN)처럼, VLAN은 여러 디바이스의 하나 이상의 포트에 걸쳐 있습니다. 따라서 SRX 시리즈 디바이스는 동일한 Layer 2 네트워크에 참여하는 여러 VLA를 사용하는 Layer 2 스위치로 기능할 수 있습니다.

투명 모드에서 SRX 시리즈 디바이스는 IP 패킷 헤더에서 소스 또는 대상 정보를 수정하지 않고도 장치를 통과하는 패킷을 필터합니다. Transparent 모드는 라우터나 보호된 서버의 IP 설정을 재구성할 필요가 없음 때문에 주로 언트러스 소스에서 트래픽을 수신하는 서버를 보호하는 데 유용합니다.

투명 모드에서 장비의 모든 물리적 포트는 Layer 2 인터페이스에 할당됩니다. 디바이스를 통해 Layer 3 트래픽을 라우팅하지 않습니다. Layer 2 존은 Layer 2 인터페이스를 호스팅하도록 구성할 수 있으며, 레이어 2 존 간에 보안 정책을 정의할 수 있습니다. 패킷이 레이어 2 존 간에 전송되는 경우 이러한 패킷에 보안 정책을 적용할 수 있습니다.

표 1 지원되고 지원되는 보안 기능을 투명 모드에서 지원하지 레이어 2 스위칭.

표 1: Transparent 모드에서 지원되는 보안 기능

모드 유형

지원

지원되지 않습니다.

투명 모드

  • 애플리케이션 레이어 ALG(애플리케이션 레이어 Gateways)

  • 방화벽 사용자 인증(FWAUTH)

  • Intrusion Detection and Prevention (IDP)

  • 스크린

  • AppSecure

  • Unified Threat Management (UTM)

  • 네트워크 주소 변환(NAT)

  • VPN

주:

DHCP SRX300, SRX320, SRX340, SRX345 및 SRX550M 디바이스에서 DHCP 서버 전파는 Layer 2 Transparent 모드에서 지원되지 않습니다.

또한, SRX Series 장치는 Layer 2 Transparent 모드에서 다음과 같은 Layer 2 기능을 지원하지 않습니다.

  • STP(Spanning Tree Protocol), RSTP 또는 MSTP—네트워크 토폴로지에는 플러드 루프가 존재하지 않도록 보장하는 것이 사용자의 책임입니다.

  • IGMP(Internet Group Management Protocol) 스누킹—IPv4용 Host-to-Router 시그널링 프로토콜은 인접 라우터에 대한 멀티캐스트 그룹 멤버십을 보고 IP 멀티캐스팅 중에 그룹 멤버가 있는지 여부를 결정하는 데 사용됩니다.

  • 802.1Q 패킷("Q in Q" VLAN 태깅)으로 캡슐화된 이중 태깅된 VLAN 또는 IEEE(Institute of Electrical and Electronics Engineers) 802.1Q VLAN 식별자—태그가 지정되지 않은 또는 단일 태깅된 VLAN 식별자만 SRX 시리즈 디바이스에서 지원됩니다.

  • 비정격 VLAN 학습– VLAN 내에서 학습하는 데 MAC 주소만 사용— SRX 시리즈 디바이스에서 VLAN 학습이 자격을 갖춘 경우 즉, VLAN 식별자 및 MAC 주소가 모두 사용됩니다.

또한 SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 또는 SRX650 디바이스에서는 일부 기능이 지원되지 않습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다를 수 있습니다.) 언급된 장비에서 Layer 2 Transparent 모드에서는 다음 기능이 지원되지 않습니다.

  • 레이어 2 인터페이스의 G-ARP

  • 모든 인터페이스의 IP 주소 모니터링

  • IRB를 통한 전송 트래픽

  • 라우팅 인스턴스의 IRB 인터페이스

  • 레이어 3 트래픽의 IRB 인터페이스 처리

    주:

    IRB 인터페이스는 의사 인터페이스로, reth 인터페이스 및 리던던시 그룹에 속하지 않습니다.

SRX5000 라인 모듈 포트 컨센트레이터의 Layer 2 Transparent 모드

SRX5000 라인 모듈 포트 컨센트레이터(SRX5K-MPC)는 Layer 2 투명 모드를 지원하며 SRX 시리즈 디바이스가 Layer 2 Transparent 모드로 구성되면 트래픽을 처리합니다.

SRX5K-MPC가 Layer 2 모드에서 실행되는 경우 SRX5K-MPC의 모든 인터페이스를 레이어 2 트래픽을 지원하도록 레이어 2 스위칭 포트로 구성할 수 있습니다.

보안 처리 장치(SPU)는 모든 레이어 2 스위칭 서비스를 지원하며, MPC는 수신 패킷을 SPU에 전송하고 SPU에 의해 캡슐화되는 egress 패킷을 전송합니다.

SRX 시리즈 디바이스가 Layer 2 Transparent 모드로 구성되면, 패밀리 주소 유형이 있는 물리적 인터페이스에서 하나 이상의 논리적 장치를 정의하여 MPC의 인터페이스가 Layer 2 모드에서 작동하도록 할 수 Ethernet switching 있습니다. 나중에 레이어 2 보안 존을 구성하고 transparent 모드에서 보안 정책을 구성할 수 있습니다. 일단이 완료되면 넥스 홉 토폴로지가 ingress 및 egress 패킷을 처리하기 위해 설정됩니다.

보안 장비에서 Transparent 모드로 IPv6 플로우 이해

투명 모드에서 SRX 시리즈 디바이스는 패킷 MAC 헤더의 소스 또는 대상 정보를 수정하지 않고도 장치를 통과하는 패킷을 필터합니다. Transparent 모드는 라우터나 보호된 서버의 IP 설정을 재구성할 필요가 없음 때문에 주로 언트러스 소스에서 트래픽을 수신하는 서버를 보호하는 데 유용합니다.

장비의 모든 물리적 인터페이스가 Layer 2 인터페이스로 구성되면 디바이스가 Transparent 모드로 작동됩니다. 물리적 인터페이스는 논리적 인터페이스가 [ ] 계층 수준에서 옵션으로 구성되면 Layer 2 ethernet-switchingedit interfaces interface-name unit unit-number family 인터페이스입니다. 장비에서 Transparent 모드를 정의하거나 활성화하는 명령이 없습니다. 이 장치는 Layer 2 인터페이스로 정의된 인터페이스가 있는 경우 Transparent 모드로 작동됩니다. 디바이스는 모든 물리적 인터페이스가 Layer 3 인터페이스로 구성되면 Route 모드(기본 모드)로 작동됩니다.

기본적으로 IPv6 플로우는 보안 장비에 드롭됩니다. 영역, 스크린 및 방화벽 정책과 같은 보안 기능을 통해 프로세싱을 지원하려면 [] 계층 수준에서 구성 옵션을 사용하여 IPv6 트래픽에 대한 플로우 기반 포우링을 mode flow-basededit security forwarding-options family inet6 활성화해야 합니다. 모드를 변경할 때 디바이스를 재부팅해야 합니다.

투명 모드에서 레이어 2 존을 구성하여 Layer 2 인터페이스를 호스팅할 수 있으며 레이어 2 존 간에 보안 정책을 정의할 수 있습니다. 패킷이 레이어 2 존 간에 전송되는 경우 이러한 패킷에 보안 정책을 적용할 수 있습니다. 투명 모드에서 IPv6 트래픽에 대해 다음과 같은 보안 기능이 지원됩니다.

다음 보안 기능은 Transparent 모드에서 IPv6 플로우에서 지원되지 않습니다.

  • 논리적 시스템

  • IPv6 GTPv2

  • J-Web 인터페이스

  • NAT

  • IPsec VPN

  • DNS, FTP 및 TFTP ALG를 제외하고 다른 모든 ALG는 지원되지 않습니다.

IPv6 플로우를 위한 VLA 및 레이어 2 논리적 인터페이스 구성은 IPv4 플로우에 대한 VLA 및 레이어 2 논리적 인터페이스를 구성하는 경우와 동일합니다. VLAN에서 관리 트래픽을 위해 IRB(Integrated Routing and Bridging) 인터페이스를 구성할 수 있습니다. IRB 인터페이스는 Transparent 모드에서 허용되는 유일한 Layer 3 인터페이스입니다. SRX 시리즈 디바이스의 IRB 인터페이스는 트래픽 포우링 또는 라우팅을 지원하지 않습니다. IRB 인터페이스는 IPv4 및 IPv6 주소 모두로 구성할 수 있습니다. [ ] 계층 수준에서 구성 명령문을 사용하여 address IRB 인터페이스에 IPv6 edit interfaces irb unit number family inet6 주소를 할당할 수 있습니다. [ ] 계층 수준에서 구성 명령문을 사용하여 IRB 인터페이스에 IPv4 addressedit interfaces irb unit number family inet 주소를 할당할 수 있습니다.

SRX 시리즈 디바이스의 이더넷 스위칭 기능은 MX 시리즈 라우터의 스위칭 기능과 주니퍼 네트웍스 유사합니다. 그러나 MX 시리즈 라우터에서 지원되는 모든 Layer 2 네트워킹 기능이 SRX 시리즈 장치에서 지원되는 것은 아니라는 것입니다. 을 이더넷 스위칭 및 Layer 2 Transparent 모드 개요 참조합니다.

SRX 시리즈 디바이스는 각 레이어 2 VLAN에 대한 MAC 주소와 관련 인터페이스를 포함하는 포우링 테이블을 유지 관리합니다. IPv6 플로우 처리는 IPv4 플로우와 유사합니다. 을 VLA(Layer 2 Learning and Forwarding) 개요 참조합니다.

보안 장비의 Layer 2 Transparent 모드 섀시 클러스터 이해

레이어 2 투명 모드의 SRX 시리즈 디바이스 쌍을 섀시 클러스터에 연결하여 네트워크 노드 중복을 제공할 수 있습니다. 섀시 클러스터에서 구성된 경우 한 노드가 기본 디바이스로, 다른 노드는 보조 디바이스의 역할을 하여 시스템 또는 하드웨어 장애 발생 시 프로세스 및 서비스의 스테이트업(stateful failover)을 보장합니다. 기본 디바이스에 장애가 발생하면 보조 디바이스가 트래픽을 처리합니다.

주:

주 디바이스가 Layer 2 Transparent 모드 섀시 클러스터에서 장애가 발생하면 장애가 발생하기 몇 초 전에 디바이스의 물리적 포트가 비활성화(다운)됩니다.

섀시 클러스터를 구성하기 위해 지원되는 동일한 유형의 SRX 시리즈 디바이스 쌍이 결합되어 동일한 전반적인 보안을 적용하는 단일 시스템으로 작동합니다.

Layer 2 Transparent 모드의 장치는 액티브/백업 및 액티브/액티브 섀시 클러스터 구성에 구축할 수 있습니다.

다음 섀시 클러스터 기능은 Layer 2 Transparent 모드에서는 지원되지 않습니다.

  • Gratuitous ARP—리던던시 그룹에서 새로 선출된 기본 장비는 중복 Ethernet 인터페이스 링크에서 주요 역할의 변경을 네트워크 장비에 알리기 위한 무상 ARP 요청을 전송할 수 없습니다.

  • IP 주소 모니터링—업스트림 디바이스의 장애를 탐지할 수 없습니다.

중복 그룹은 양 노드에 객체 모음을 포함하는 구조입니다. 중복 그룹은 주요 노드와 다른 노드의 백업입니다. 중복 그룹이 노드의 기본인 경우 해당 노드의 객체가 활성화됩니다. 중복 그룹이 실패하면 모든 객체가 함께 실패합니다.

Active/Active Chassis 클러스터 구성에 대해 1에서 128로 번호가 있는 하나 이상의 중복 그룹을 만들 수 있습니다. 각 중복 그룹에는 하나 이상의 중복 Ethernet 인터페이스가 포함되어 있습니다. 중복 이더넷 인터페이스는 클러스터의 각 노드의 물리적 인터페이스를 포함하는 의사 인터페이스입니다. 중복 Ethernet 인터페이스의 물리적 인터페이스는 Fast Ethernet 또는 Gigabit Ethernet과 동일한 종류가 되어야 합니다. 리던던시 그룹이 Node 0에서 활성 상태인 경우 노드 0에 있는 모든 관련 중복 Ethernet 인터페이스의 자식 링크가 활성화됩니다. 중복 그룹이 Node 1로 장애가 발생하면 노드 1의 모든 중복 Ethernet 인터페이스의 하위 링크가 활성화됩니다.

주:

active/active 섀시 클러스터 구성에서 최대 중복 그룹 수는 구성하는 중복 이더넷 인터페이스의 수와 동일합니다. 액티브/백업 섀시 클러스터 구성에서 지원되는 최대 중복 그룹 수는 2개입니다.

Layer 2 Transparent 모드에서 장비에서 중복 이더넷 인터페이스를 구성하는 것은 Layer 3 Route 모드에서 장비에서 중복 Ethernet 인터페이스를 구성하는 경우와 유사합니다. Layer 2 Transparent 모드의 장치에 있는 중복 이더넷 인터페이스는 Layer 2 논리적 인터페이스로 구성됩니다.

중복 Ethernet 인터페이스는 액세스 인터페이스(인터페이스에서 수신되는 언타그드 패킷에 단일 VLAN ID가 할당된 경우)나 트렁크 인터페이스(인터페이스에서 허용되는 VLAN ID 목록과 인터페이스에서 수신되지 않은 패킷에 대한 네이티브 vlan-id)로 구성될 수 있습니다. 물리적 인터페이스(섀시 클러스터의 각 노드에서 하나)는 상위 중복 이더넷 인터페이스에 하위 인터페이스로 바인딩됩니다.

Layer 2 투명 모드에서 MAC 학습은 중복 이더넷 인터페이스를 기반으로 합니다. MAC 테이블은 쌍의 섀시 클러스터 디바이스 간에 중복 이더넷 인터페이스와 SPUS(Services Processing Units) 간에 동기화됩니다.

IRB 인터페이스는 관리 트래픽에만 사용하며, 중복 Ethernet 인터페이스나 리던던시 그룹에 할당될 수 없습니다.

단일 Junos OS 사용 가능한 모든 스크린 옵션은 Layer 2 Transparent 모드 섀시 클러스터의 장치에 사용 가능합니다.

주:

STP(Spanning Tree Protocols)는 Layer 2 Transparent 모드에서 지원되지 않습니다. 구축 토폴로지에서 루프 연결이 없는지 확인해야 합니다.

SRX 디바이스에서 대역 외 관리 구성

Layer 2 인터페이스가 장치에 정의된 경우에도 SRX 시리즈 디바이스에서 대역 외 관리 인터페이스를 Layer 3 인터페이스로 구성할 fxp0 수 있습니다. 인터페이스를 제외하고 디바이스의 네트워크 포트에서 Layer 2 및 Layer 3 인터페이스를 정의할 fxp0 수 있습니다.

주:

인터페이스, SRX300, SRX550M 디바이스에는 fxp0 SRX320 인터페이스가 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다를 수 있습니다.)

이더넷 스위칭

이더넷 스위칭은 Ethernet MAC 주소 정보를 사용하여 LAN 세그먼트(또는 VLAN) 내에서 또는 이더넷 프레임을 전달합니다. ASIC를 사용하여 SRX1500 장치의 이더넷 스위칭이 하드웨어에서 수행됩니다.

Release Junos OS 릴리스 15.1X49-D40 이더넷을 사용하여 Layer 2 투명 브리지 모드와 이더넷 스위칭 모드 간에 set protocols l2-learning global-mode(transparent-bridge | switching) 전환하십시오. 모드를 스위칭한 후 구성이 적용하려면 디바이스를 재부팅해야 합니다. 표 2 SRX 시리즈 디바이스의 기본 레이어 2 글로벌 모드를 설명합니다.

표 2: SRX 시리즈 디바이스의 기본 레이어 2 글로벌 모드

Junos OS 릴리스

플랫폼

기본 레이어 2 글로벌 모드

상세 내용

릴리스 Junos OS 릴리스 15.1X49-D50

지원되는

Junos OS 릴리스 17.3R1 릴리스 이후

SRX300, SRX320, SRX340 및 SRX345

스위칭 모드

없음

Junos OS 릴리스 15.1X49-D50 릴리스 Junos OS 릴리스가 15.1X49-D90

SRX300, SRX320, SRX340 및 SRX345

스위칭 모드

디바이스에서 레이어 2 글로벌 모드 구성을 삭제하면 디바이스가 투명 브리지 모드에 있습니다.

Junos OS 릴리스 15.1X49-D100 발표 예정

SRX300, SRX320, SRX340, SRX345, SRX550, and SRX550M

스위칭 모드

디바이스에서 레이어 2 글로벌 모드 구성을 삭제하면 디바이스가 스위칭 모드에 있습니다. 계층 수준 하에서 투명 브리지 모드로 set protocols l2-learning global-mode transparent-bridge[edit] 전환하도록 명령을 구성합니다. 구성이 적용하려면 디바이스를 재부팅합니다.

Junos OS 릴리스 15.1X49-D50 발표 예정

SRX1500

투명 브리지 모드

없음

스위칭 모드에서 지원되는 Layer 2 프로토콜은 LACP(Link Aggregation Control Protocol)입니다.

중복 이더넷 인터페이스에서 Layer 2 Transparent 모드를 구성할 수 있습니다. 다음 명령을 사용하여 중복 Ethernet 인터페이스를 정의합니다.

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX 시리즈 디바이스에서 Layer 2 스위칭 예외

SRX 시리즈 디바이스의 스위칭 기능은 MX 시리즈 라우터의 스위칭 기능과 주니퍼 네트웍스 유사합니다. 그러나 MX 시리즈 라우터의 레이어 2 네트워킹 기능은 SRX 시리즈 장치에서 지원되지 않습니다.

  • Layer 2 제어 프로토콜—이 프로토콜은 VPLS 라우팅 인스턴스의 고객 에지 인터페이스에서 RSTP(Rapid Spanning Tree Protocol) 또는 MSTP(Multiple Spanning Tree Protocol)를 위한 MX 시리즈 라우터에서 사용됩니다.

  • 가상 스위치 라우팅 인스턴스—가상 스위칭 라우팅 인스턴스는 MX 시리즈 라우터에서 하나 이상의 VLA를 그룹화하는 데 사용됩니다.

  • VPLS(Virtual Private LAN Services) 라우팅 인스턴스—VPLS 라우팅 인스턴스는 VPN의 사이트 세트 간의 점대다점(point-to-multipoint) LAN 구현을 위해 MX 시리즈 라우터에서 사용됩니다.

이해 유니캐스트

유니캐스팅은 네트워크 노드에서 다른 노드로 데이터를 전송하는 행위입니다. 이와 반대로 멀티캐스트 전송은 한 데이터 노드에서 다른 여러 데이터 노드로 트래픽을 전송합니다.

알 수 없는 유니캐스트 트래픽은 알 수 없는 대상 MAC 주소가 있는 유니캐스트 프레임으로 구성됩니다. 기본적으로 스위치는 VLAN에서 VLAN의 멤버인 모든 인터페이스로 이동하는 유니캐스트 프레임을 플러드합니다. 이러한 유형의 트래픽을 스위치의 인터페이스로 전달하면 보안 문제가 트리거될 수 있습니다. LAN에는 패킷이 갑자기 플러드되어 불필요한 트래픽이 생성되어 네트워크 성능이 열악해지거나 네트워크 서비스가 완전 상실될 수도 있습니다. 이는 트래픽 스톰(traffic storm)입니다.

스톰를 방지하기 위해 하나의 VLAN 또는 모든 VLAN을 구성하여 알려지지 않은 유니캐스트 트래픽을 특정 트렁크 인터페이스로 전송하도록 구성하여 알려지지 않은 유니캐스트 패킷의 플러드를 비활성화할 수 있습니다. (이를 통해 알려지지 않은 유니캐스트 트래픽을 단일 인터페이스로 채널을 구성합니다.)

스위치의 레이어 2 브로드캐스트 이해

Layer 2 네트워크에서 브로드캐스트는 네트워크의 모든 노드로 트래픽을 전송하는 것입니다.

레이어 2 브로드캐스트 트래픽은 LAN(Local Area Network) 경계 내에 유지, 브로드캐스트 도메인으로 알려져 있습니다. Layer 2 브로드캐스트 트래픽은 FF:FF:FF:FF:FF:FF:FF의 MAC 주소를 사용하여 브로드캐스트 도메인으로 전송됩니다. 브로드캐스트 도메인의 모든 디바이스는 이 MAC 주소를 인식하고 해당되는 경우 브로드캐스트 도메인의 다른 장비로 브로드캐스트 트래픽을 전달합니다. 브로드캐스트는 유니캐스트(단일 노드로 트래픽 전송) 또는 멀티캐스팅(노드 그룹으로 트래픽을 동시에 전송)과 비교할 수 있습니다.

그러나 Layer 3 브로드캐스트 트래픽은 브로드캐스트 네트워크 주소를 사용하여 네트워크의 모든 디바이스로 전송됩니다. 예를 들어 네트워크 주소가 10.0.0.0인 경우 브로드캐스트 네트워크 주소는 10.255.255.255입니다. 이 경우, 10.0.0.0 네트워크에 속하는 디바이스만 Layer 3 브로드캐스트 트래픽을 수신합니다. 이 네트워크에 속하지 않는 장치는 트래픽을 삭제합니다.

브로드캐스트는 다음과 같은 상황에서 사용됩니다.

  • ARP(Address Resolution Protocol)는 브로드캐스트를 사용하여 MAC 주소를 IP 주소에 매핑합니다. ARP는 IP 주소(논리적 주소)를 올바른 MAC 주소와 동적으로 연계합니다. IP 유니캐스트 패킷을 전송하기 전에 ARP는 IP 주소가 구성된 Ethernet 인터페이스에서 사용하는 MAC 주소를 검색합니다.

  • DHCP(Dynamic Host Configuration Protocol)는 브로드캐스트를 사용하여 네트워크 세그먼트 또는 서브넷의 호스트에 IP 주소를 동적으로 할당합니다.

  • 라우팅 프로토콜은 브로드캐스트를 사용하여 경로를 광고합니다.

과도한 브로드캐스트 트래픽은 때때로 브로드캐스트 스톰을 생성할 수 있습니다. 브로드캐스트 스톰는 메시지가 네트워크에서 브로드캐스트될 때 각 메시지는 네트워크에서 자체 메시지를 브로드캐스트하여 응답하는 수신 노드에 메시지를 표시하게 됩니다. 이를 통해 눈 덮개 효과를 생성하는 추가 응답을 프롬프트합니다. LAN에는 패킷이 갑자기 플러드되어 불필요한 트래픽이 생성되어 네트워크 성능이 열악해지거나 네트워크 서비스가 완전 상실될 수도 있습니다.

Using the Enhanced Layer 2 Software CLI

강화된 레이어 2 소프트웨어(ELS)는 QFX 시리즈 스위치CLI EX 시리즈 스위치 및 MX 시리즈 라우터와 같은 기타 주니퍼 네트웍스 디바이스에서 레이어 2 기능의 구성 및 모니터링을 위한 일원화 레이어 2 소프트웨어를 제공합니다. ELS를 사용하면 이러한 모든 디바이스에서 동일한 방식으로 레이어 2 기능을 주니퍼 네트웍스 있습니다.

이 주제에서는 플랫폼이 ELS를 실행하는지 알아 내는 방법을 설명합니다. 또한 ELS 구성 스타일로 일반적인 작업을 수행하는 방법에 대해 설명합니다.

ELS를 지원하는 장비 이해

디바이스가 지원되는 기존 릴리스를 Junos OS 경우 ELS가 자동으로 지원됩니다. ELS를 활성화하기 위해 조치를 취할 필요가 없습니다. ELS를 비활성화할 수 없습니다. ELS를 지원하는 플랫폼 및 릴리스에 대한 정보는 Feature Explorer를 참조하십시오.

ELS를 사용한 레이어 2 기능 구성 방법 이해

ELS는 동일한 보안 CLI 있기 때문에 이제 지원되는 장비에서 다음과 같은 작업을 수행할 수 있습니다.

VLAN 구성

하나 이상의 VLA를 구성하여 레이어 2 브리그링을 수행할 수 있습니다. Layer 2 브리지링 기능에는 동일한 인터페이스상에서 Layer 2 브리지어 및 Layer 3 IP 라우팅을 지원하기 위한 IRB(Integrated Routing and Bridging)가 포함됩니다. EX 시리즈 및 QFX 시리즈 스위치는 레이어 2 스위치로 작동할 수 있으며, 각 스위치는 여러 브리드 브리드 또는 브로드캐스트, 동일한 레이어 2 네트워크에 참여하는 도메인을 제공합니다. VLAN에 대한 Layer 3 라우팅 지원을 구성할 수 있습니다.

VLAN을 구성하는 경우:

  1. 고유의 VLAN 이름을 설정하고 VLAN ID를 구성하여 VLAN을 생성합니다.

    VLAN ID 목록 옵션을 사용하여 선택적으로 다양한 VLAN ID를 지정할 수 있습니다.

  2. VLAN에 하나 이상의 인터페이스를 할당합니다.

네이티브 VLAN 식별자 구성

EX 시리즈 및 QFX 시리즈 스위치는 802.1Q VLAN 태그를 사용하여 라우팅 또는 브리지 이더넷 프레임을 수신 및 포우링합니다. 일반적으로, 트렁크 포트는 스위치를 서로 연결하고, 언태그드 컨트롤 패킷을 허용하지만, 어그리게이트되지 않은 데이터 패킷은 허용하지 않습니다. 트렁크 포트가 언타그드 데이터 패킷을 수신하려는 인터페이스에서 네이티브 VLAN ID를 구성하여 언타그드 데이터 패킷을 허용할 수 있습니다.

네이티브 VLAN ID를 구성하기 위해 다음을 합니다.

  1. 언타그리게이트 데이터 패킷을 수신하려는 인터페이스에서 인터페이스 모드로 설정하면 인터페이스 모드가 여러 VLA에 있으며 서로 다른 VLA 간의 트래픽을 멀티플렉스할 수 trunk 있습니다.
  2. 기본 VLAN ID를 구성하고 네이티브 VLAN ID에 인터페이스를 할당합니다.
  3. 네이티브 VLAN ID에 인터페이스를 할당합니다.

레이어 2 인터페이스 구성

트래픽이 많은 네트워크가 최적의 성능을 위해 조정되도록 보장하기 위해 스위치의 네트워크 인터페이스에 일부 설정을 명시적으로 구성합니다.

Gigabit Ethernet 인터페이스 또는 10기가비트 이더넷 인터페이스를 인터페이스로 trunk 구성하는 경우:

Gigabit Ethernet 인터페이스 또는 10기가비트 이더넷 인터페이스를 인터페이스로 access 구성하는 경우:

VLAN에 인터페이스를 할당하는 경우:

레이어 3 인터페이스 구성

Layer 3 인터페이스를 구성하려면 인터페이스에 IP 주소를 할당해야 합니다. 프로토콜 패밀리를 구성할 때 주소를 지정하여 인터페이스에 주소를 할당합니다. 또는 inetinet6 패밀리의 경우 인터페이스 IP 주소를 구성합니다.

32비트 IP 버전 4(IPv4) 주소로 인터페이스를 구성하고 대상 Prefix를 선택적으로 서브넷 마스크라고도 합니다. IPv4 주소는 점선으로 점선인 주소 구문(예: 192.168.1.1)을 활용합니다. 대상 접두사가 있는 IPv4 주소는 대상 접두사(예: 192.168.1.1/16)와 함께 점선 4-옥et 주소 구문을 활용합니다.

논리적 단위에 대한 IP4 주소를 지정하는 경우:

16비트 값의 콜로 분리된 목록을 사용하여 IPv6(hexadecimal notation) 표현의 IP 버전 6 주소를 나타냅니다. 인터페이스에 128비트 IPv6 주소를 할당합니다.

논리적 단위에 대한 IP6 주소를 지정하는 경우:

IRB 인터페이스 구성

IRB(Integrated Routing and Bridging)는 동일한 인터페이스에서 Layer 2 브리지어 및 레이어 3 IP 라우팅을 제공합니다. IRB를 사용하면 레이어 3 프로토콜이 구성된 다른 라우팅 인터페이스 또는 다른 VLAN으로 패킷을 라우팅할 수 있습니다. IRB 인터페이스를 통해 장비는 로컬 주소로 전송되는 패킷을 인식할 수 있으므로 가능할 때마다 브리지(스위칭)하여 필요한 때에만 라우팅됩니다. 라우팅되지 않고 패킷을 스위칭할 수 있을 때마다 여러 계층의 프로세싱이 제거됩니다. irb 이름의 인터페이스는 VLAN을 위한 레이어 3 논리적 인터페이스를 구성할 수 있는 논리적 라우터로 기능합니다. 리던던시를 위해 IRB 인터페이스와 VRRP(Virtual Router Redundancy Protocol) 구현을 결합하여 브리지잉 및 VPLS(Virtual Private LAN Service) 환경 모두에서 구현할 수 있습니다.

IRB 인터페이스를 구성하는 경우:

  1. 이름과 VLAN ID를 할당하여 Layer 2 VLAN을 생성합니다.
  2. IRB 논리적 인터페이스를 생성합니다.
  3. IRB 인터페이스를 VLAN에 연결합니다.

통합 이더넷 인터페이스 구성 및 인터페이스에서 LACP 구성

링크 통합 기능을 사용하여 하나 이상의 링크를 통합하여 가상 링크 또는 링크 통합 그룹(LAG)을 형성합니다. MAC 클라이언트는 이 가상 링크가 대역폭을 증가하고 장애 발생 시 graceful degradation을 제공하고 가용성을 높이기 위해 이 가상 링크를 단일 링크인 것으로 취급할 수 있습니다.

통합 Ethernet 인터페이스를 구성하는 경우:

  1. 생성될 통합 Ethernet 인터페이스의 수를 지정합니다.
  2. 링크 집계 그룹 인터페이스의 이름을 지정합니다.
  3. 통합 Ethernet 인터페이스(aex)에 대한 최소 링크 개수를 지정합니다.즉, 정의된 번들입니다.
  4. 통합 Ethernet 번들에 대한 링크 속도를 지정합니다.
  5. 통합 Ethernet 번들 내에 포함될 멤버를 지정합니다.
  6. 통합 Ethernet 번들에 대한 인터페이스 패밀리를 지정합니다.

디바이스의 통합 이더넷 인터페이스의 경우 LACP(Link Aggregation Control Protocol)를 구성할 수 있습니다. LACP는 여러 물리적 인터페이스를 번들로 제공하여 하나의 논리적 인터페이스를 형성합니다. LACP를 활성화하거나 활성화하지 않은 경우 통합 이더넷을 구성할 수 있습니다.

LACP가 활성화되면 어그리게이션된 이더넷 링크의 로컬 및 원격측이 P2US(Protocol Data Units)를 교환하며 링크의 상태 정보를 저장합니다. 이더넷 링크를 구성하여 PDUS를 능동적으로 전송하거나 수동 전송하도록 링크를 구성하여 LACP PDUS를 다른 링크에서 수신한 경우만 전송할 수 있습니다. 링크의 한 쪽은 링크가 활성화될 수 있도록 구성해야 합니다.

LACP 구성:

  1. 통합 Ethernet 링크의 한쪽을 활성으로 활성화합니다.

  2. 인터페이스에서 LACP 패킷을 보내는 간격을 지정합니다.

ELS 구성 명령문 및 명령 변경 이해

ELS는 JUNOS OS 릴리스 12.3R2 릴리스 EX9200 발표되었습니다. ELS는 지원되는 EX CLI QFX 시리즈 스위치의 일부 Layer 2 기능에 대한 변경 사항을 적용합니다.

다음 섹션에서는 이 기능 향상 노력의 일환으로 새로운 계층 수준으로 이동하거나 EX 시리즈 스위치에서 변경된 기존 명령어 CLI 제공합니다. 이들 섹션은 개관적인 참조 자료로만 제공됩니다. 이러한 명령에 대한 자세한 내용은 제공된 구성 명령문에 대한 링크를 사용하거나 기술 문서를 참조하십시오.

이더넷 스위칭-옵션 계층 수준 변경

이 섹션에서는 계층 수준에 대한 ethernet-switching-options 변경 사항을 개략적으로 설명합니다.

주:

계층 ethernet-switching-options 수준이 으로 switch-options 변경됩니다.

표 3: 이더넷 스위칭-옵션 계층의 이름 변경

원본 계층

변경된 계층

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
표 4: RTG 명령문

원본 계층

변경된 계층

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
표 5: 삭제된 명령문

원본 계층

변경된 계층

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

명령문이 계층에서 switch-options 제거되었습니다.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

명령문이 계층에서 switch-options 제거되었습니다.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
주:

port-error-disable명령문이 새 명령문으로 대체됩니다.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

포트 미러링 계층 수준 변경

주:

명령문이 계층 수준에서 계층 ethernet-switching-options 수준으로 forwarding-options 이동했습니다.

표 6: 포트 미러링 계층

원본 계층

변경된 계층

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Layer 2 제어 프로토콜 계층 수준 변경

Layer 2 제어 프로토콜 명령문이 계층에서 계층으로 ethernet-switching-optionsprotocols 이동했습니다.

표 7: Layer 2 제어 프로토콜

원본 계층

변경된 계층

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

dot1q-tunneling 명령문의 변경

명령문이 새 명령문으로 대체되고 다른 계층 dot1q-tunneling 수준으로 이동했습니다.

표 8: dot1q-tunneling

원본 계층

변경된 계층

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

L2 학습 프로토콜의 변경

명령문이 새 명령문으로 대체되고 다른 계층 mac-table-aging-time 수준으로 이동했습니다.

표 9: mac-table-aging-time statement

원본 계층

변경된 계층

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

무고장 브리지(Nonstop Bridging)의 변경

nonstop-bridging명령문이 다른 계층 수준으로 이동했습니다.

표 10: 무정지 브리지어(Nonstop Bridging) 성명

원본 계층

변경된 계층

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

포트 보안 및 DHCP 스누킹의 변경

포트 보안 및 DHCP 스누킹 명령문이 서로 다른 계층 수준으로 이동했습니다.

주:

examine-dhcp명령문은 변경된 계층에 존재하지 않습니다. 다른 DHCP 보안 기능이 VLAN에 활성화되면 DHCP 스누킹이 자동으로 활성화됩니다. 추가 정보는 Configuring Port Security(ELS)를 참조하십시오.

표 11: 포트 보안 명령문

원본 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
팁:

허용 mac 구성의 경우, 원래 계층 명령문이 ELS 명령으로 set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 대체됩니다. set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

주:

DHCP 스누킹 명령문이 다른 계층 수준으로 이동했습니다.

표 12: DHCP 스누킹 명령문

원본 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

VLA 구성 변경

VLA 구성에 대한 명령문은 다른 계층 수준으로 이동했습니다.

주:

xSTP를 활성화할 경우 Junos OS 14.1X53-D10 EX4300 및 EX4600 스위치에 대한 Junos OS Release EX4600 VLAN에 포함된 일부 또는 모든 인터페이스에 릴리스를 활성화할 수 있습니다. 예를 들어 인터페이스 ge-0/0/0, ge-0/0/1 및 ge-0/0/2를 포함하도록 VLAN 100을 구성하고 인터페이스에서 MSTP를 활성화하려는 경우, 명령어와 명령을 지정할 수 set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 있습니다. 이 예에서는 인터페이스 ge-0/0/1에서 MSTP를 명시적으로 활성화하지 않은 경우 따라서 MSTP는 이 인터페이스에서 활성화되지 않습니다.

표 13: VLAN 계층

원본 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
주:

명령문을 새 명령문으로 대체하고 다른 계층 수준으로 이동했습니다.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

이러한 명령문은 제거되었습니다. 계층을 사용하여 VLAN에 인터페이스를 할당할 수 [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] 있습니다.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

명령문이 제거되었습니다.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
주:

구문이 변경됩니다.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

명령문이 제거됩니다. Ingress 트래픽이 자동으로 추적됩니다.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

명령문이 제거됩니다.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

명령문이 다른 계층으로 이동했습니다.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

명령문이 제거되었습니다.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

명령문이 제거됩니다.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
주:

명령문이 새 명령문으로 대체됩니다.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
주:

구문이 변경됩니다.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
표 14: 명령문이 다른 계층으로 이동

원본 계층

변경된 계층

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

: dot1q-tunneling

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

layer2-protocol-tunnelingFor(인터페이스에서 MAC 재라이트 가능):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

스톰 컨트롤 프로파일 변경

스톰 컨트롤은 2단계로 구성됩니다. 첫 번째 단계는 계층 수준에서 스톰 컨트롤 프로파일을 생성하는 것입니다. 두 번째 단계는 프로파일을 계층 수준에서 논리적 [edit forwarding-options] 인터페이스에 [edit interfaces] 연계하는 것입니다. 예제를 참조합니다. 변경된 절차를 위해 EX 시리즈 스위치에서 네트워크 정전을 방지하는 Storm Control 구성.

표 15: Storm Control Profile 계층 수준 변경

원본 계층

변경된 계층

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

인터페이스 계층 변경

주:

명령문이 다른 계층으로 이동했습니다.

표 16: 인터페이스 계층 변경

원본 계층

변경된 계층

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
주:

명령문이 새 명령문으로 대체됩니다.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
주:

명령문이 새 명령문으로 대체됩니다.

interfaces irb

IGMP 스누킹의 변경

표 17: IGMP 스누킹 계층

원본 계층

변경된 계층

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

보안 장비에 대한 CLI 구성 명령문 및 명령 변경을 위한 향상된 Layer 2

릴리스 Junos OS 릴리스 15.1X49-D10 Junos OS 릴리스 17.3R1 Layer 2 구성 명령문이 CLI 일부 명령어가 변경됩니다. 이 기능 향상 노력의 일환으로 새로운 계층으로 이동하거나 SRX 시리즈 디바이스에서 변경된 기존 표 18표 19 명령의 CLI 제공합니다. 표는 높은 수준의 참조로만 제공됩니다. 이 명령에 대한 자세한 내용은 CLI.

표 18: 향상된 Layer 2 구성 명령문 변경

원본 계층

변경된 계층

계층 수준

변경 설명

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[편집]

계층의 이름을 변경했습니다.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[vlans vlans 이름 편집]

명령문의 이름을 개명합니다.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[vlans vlans 이름 편집]

명령문의 이름을 개명합니다.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[보안 플로우 편집]

명령문의 이름을 개명합니다.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[인터페이스 이름 편집]유닛 번호

계층의 이름을 변경했습니다.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[vlans vlans 이름 편집]

명령문의 이름을 개명합니다.

표 19: 향상된 Layer 2 작동 명령 변경

원래 작동 명령

수정된 운영 명령

clear bridge mac-table

clear Ethernet 스위칭 테이블

clear bridge mac-table persistent learning

clear Ethernet 스위칭 테이블 영구적 학습

브리지 도메인 표시

vLAN을 표시

브리지 MAC 테이블 표시

이더넷 스위칭 테이블 표시

l2 학습 인터페이스를 표시

이더넷 스위칭 인터페이스 표시

주:

SRX500HM 디바이스, SRX300 fxp0 대역 외 관리 인터페이스는 SRX320 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다를 수 있습니다.)

ACX 시리즈용 레이어 2 차세대 모드

ELS(Enhanced Layer 2 Software)라고도 하는 Layer 2 차세대 모드는 레이어 2 기능을 구성하기 위해 ACX5048, ACX5096 및 ACX5448 라우터에서 지원됩니다. 레이어 2 CLI 구성과 ACX5048, ACX5096 및 ACX5448 라우터에 대한 명령은 다른 ACX 시리즈 라우터(ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000) 및 MX 시리즈 라우터의 명령과 다릅니다.

표 20 레이어 2 차세대 모드에서 레이어 CLI 구성하기 위한 계층의 차이점을 보여줍니다.

표 20: 레이어 2 CLI 레이어 2 기능에 대한 계층 구조의 차이

기능

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000, ACX5448 및 MX 시리즈 라우터

ACX5048 및 ACX5096 라우터

브리지 도메인

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

제품군 bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

레이어 2 옵션

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

이더넷 옵션

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

IRB(Integrated Routing and Bridging)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

스톰 컨트롤

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

IGMP(Internet Group Management Protocol) 스누킹

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

패밀리 bridge 방화벽 필터

[edit firewall family bridge]

[edit firewall family ethernet-switching]

표 21 레이어 2 차세대 모드에서 Layer 2 기능에 대한 명령어의 show 차이점을 보여줍니다.

표 21: 레이어 2 차세대 모드에서 Layer 2 기능에 대한 명령어의 차이점

기능

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 및 MX 시리즈 라우터

ACX5048, ACX5096 및 ACX5448 라우터

VLAN

show bridge-domain

show vlans

MAC 테이블

show bridge mac-table

show ethernet-switching table

MAC 테이블 옵션

show bridge mac-table(MAC 주소, 브리지 도메인 이름, 인터페이스, VLAN ID, 인스턴스)

show ethernet-switching table

VLAN 할당을 통해 스위치 포트 목록

show l2-learning interface

show ethernet-switching interfaces

플러시 데이터베이스 커널 상태

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

출시 내역 표
릴리스
설명
15.1X49-D40
Release Junos OS 릴리스 15.1X49-D40 이더넷을 사용하여 Layer 2 투명 브리지 모드와 이더넷 스위칭 모드 간에 set protocols l2-learning global-mode(transparent-bridge | switching) 전환하십시오.
15.1X49-D10
릴리스 Junos OS 릴리스 15.1X49-D10 Junos OS 릴리스 17.3R1 Layer 2 구성 명령문이 CLI 일부 명령어가 변경됩니다.