레이어 2 네트워킹
레이어 2 네트워킹 개요
데이터 링크 레이어로도 알려진 레이어 2는 네트워크 프로토콜 설계를 위한 7 레이어 OSI 참조 모델의 두 번째 수준입니다. 레이어 2는 TCP/IP 네트워크 모델의 링크 레이어(최저 레이어)와 동일합니다. 레이어 2는 광역 통신망의 인접 네트워크 노드 또는 동일한 로컬 영역 네트워크의 노드 간 데이터를 전송하는 데 사용되는 네트워크 레이어입니다.
프레임은 레이어 2 네트워크의 가장 작은 유닛인 프로토콜 데이터 유닛입니다. 프레임은 동일한 로컬 영역 네트워크(LAN)의 디바이스로부터 전송 및 수신됩니다. 비트와는 다르게 프레임은 정의된 구조를 보유하며, 오류 탐지와 컨트롤 플레인 활동 등에 사용될 수 있습니다. 모든 프레임이 사용자 데이터를 전달하지는 않습니다. 네트워크는 데이터 링크 자체를 제어하기 위해 일부 프레임을 사용합니다.
레이어 2에서 유니캐스트는 하나의 노드에서 다른 단일 노드로 프레임을 전송하는 반면, 멀티캐스트는 하나의 노드에서 여러 노드로 전송하며, 브로드캐스트는 네트워크 내 모든 노드로의 프레임 전송을 의미합니다. 브로드캐스트 도메인은 네트워크의 모든 노드가 브로드캐스트에 의해 레이어 2에 도달할 수 있는 네트워크의 논리적 디비전입니다.
LAN의 세그먼트는 브리지를 사용하여 프레임 수준에 연결될 수 있습니다. 브리징은 LAN에 별도의 브로드캐스트 도메인을 생성하여 관련 디바이스를 별도의 네트워크 세그먼트로 그룹화하는 독립적인 네트워크인 VLAN을 만듭니다. VLAN의 디바이스 그룹은 디바이스가 LAN에 물리적으로 위치하는 것과는 별개입니다. 브리징 및 VLAN 없이, 이더넷 LAN의 모든 디바이스는 단일 브로드캐스트 도메인에 있으며, 모든 디바이스에는 LAN의 모든 패킷을 감지합니다.
포워딩은 네트워크의 노드에 의한 하나의 네트워크 세그먼트에서 다른 세그먼트로의 패킷 릴레이입니다. VLAN에서 원본과 대상이 동일한 VLAN에 있는 프레임은 로컬 VLAN 내에서만 전달됩니다. 네트워크 세그먼트는 동일한 물리적 레이어를 사용하여 모든 디바이스 내에서 통신하는 컴퓨터 네트워크의 일부입니다.
레이어 2에는 두 개의 서브레이어가 있습니다.
LLC(Logical link control) 서브레이어는 통신 링크 관리 및 프레임 트래픽 처리를 책임집니다
MAC(Media Access Control) 서브레이어는 물리적 네트워크 매체에 대한 프로토콜 액세스를 관리합니다. 스위치의 모든 포트에 할당된 MAC 주소를 사용하여 동일한 물리적 링크의 여러 디바이스를 서로 고유하게 식별할 수 있습니다.
스위치의 포트 또는 인터페이스는 액세스 모드, 태그 처리된 액세스 또는 트렁크 모드 중 하나로 작동합니다.
액세스 모드 포트는 데스크탑 컴퓨터, IP 전화, 프린터, 파일 서버 또는 보안 카메라와 같은 네트워크 디바이스에 연결됩니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송되는 프레임은 정상적인 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드입니다.
태그 처리된 모드 포트는 데스크탑 컴퓨터, IP 전화, 프린터, 파일 서버 또는 보안 카메라와 같은 네트워크 디바이스에 연결됩니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송되는 프레임은 정상적인 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드입니다. 태그 처리된 액세스 모드 포트는 클라우드 컴퓨팅, 특히 가상 머신 또는 가상 컴퓨터를 포함한 시나리오를 수용합니다. 하나의 물리적 서버에 여러 가상 컴퓨터가 포함될 수 있으므로, 하나의 서버에서 생성되는 패킷에는 해당 서버의 다른 가상 머신의 VLAN 패킷 어그리게이션을 포함할 수 있습니다. 이 상황을 수용하기 위해 태그 처리된 액세스 모드는 패킷의 대상 주소가 해당 다운스트림 포트에서 학습될 때 동일한 다운스트림 포트에서 물리적 서버로 다시 패킷을 반영합니다. 또한 대상이 아직 학습되지 않은 경우, 패킷은 다운스트림의 물리적 서버로 다시 반영됩니다. 따라서 태그 처리된 액세스인 세 번째 인터페이스 모드에는 액세스 모드의 특성 및 트렁크 모드 기능을 일부 보유합니다.
트렁크 모드 포트는 동일한 물리적 연결을 통해 모든 VLAN에 대한 트래픽을 멀티플렉싱하여 여러 VLAN에 대한 트래픽을 처리합니다. 트렁크 인터페이스는 일반적으로 스위치를 다른 장치나 스위치에 연결하는 데 사용됩니다.
네이티브 VLAN로 구성된 경우, VLAN 태그를 전달하지 않는 프레임은 트렁크 인터페이스를 통해 전송됩니다. 패킷이 디바이스에서 액세스 모드의 스위치로 전달하는 상황인데 스위치에서 트렁크 포트를 통해 패킷을 전송하고 싶으면, 네이티브 VLAN 모드를 사용합니다. 스위치의 포트(액세스 모드인 경우)에서 단일 VLAN을 네이티브 VLAN으로 구성합니다. 그러면 스위치의 트렁크 포트는 다른 태그 처리된 패킷과 다르게 해당 프레임을 취급합니다. 예를 들어 트렁크 포트에 VLAN 10이 네이티브 VLAN인 10, 20 및 30이라는 세 개의 VLAN이 할당되어 있는 경우, 다른 쪽 끝의 트렁크 포트에서 나가는 VLAN 10의 프레임에는 802.1Q 헤더(태그)가 없습니다. 또 다른 네이티브 VLAN 옵션도 있습니다. 스위치가 태그 없는 패킷의 태그를 추가 및 제거하도록 할 수 있습니다. 그러려면 우선 단일 VLAN을 에지의 디바이스에 첨부된 포트의 네이티브 VLAN으로 구성합니다. 그런 다음 디바이스에 연결된 포트에 있는 단일 네이티브 VLAN에 VLAN ID 태그를 할당합니다. 마지막으로, VLAN ID를 트렁크 포트에 추가합니다. 이제, 스위치가 태그 처리되지 않은 패킷을 수신할 때, 지정된 ID를 추가하고 해당 VLAN을 수용하도록 구성된 트렁크 포트에서 태그 처리된 패킷을 송수신합니다.
서브레이어를 포함한 QFX 시리즈의 레이어 2는 다음 기능을 지원합니다.
유니캐스트, 멀티캐스트 및 브로드캐스트 트래픽.
브리징.
VLAN 802.1Q - VLAN 태깅이라고도 불리는 이 프로토콜은 이더넷 프레임에 VLAN 태그를 추가하여 여러 브리징 네트워크가 동일한 네트워크 링크를 투명하게 공유할 수 있습니다.
스패닝 트리 프로토콜(STP)을 사용하는 여러 스위치 전반에 걸친 레이어 2 VLAN의 확장은 네트워크에서 루프를 방지합니다.
VLAN당 MAC 학습 및 레이어 2 학습 억제를 포함한 MAC 학습 - 이 프로세스는 네트워크 모든 노드의 MAC 주소를 획득합니다
링크 어그리게이션 - 링크 어그리게이션 그룹(LAG) 또는 LAG 번들이라도 알려진 단일 링크 레이어 인터페이스를 구성하기 위한 물리적 레이어에서의 이더넷 인터페이스 프로세스 그룹
주:링크 어그리게이션은 NFX150 디바이스에서 지원되지 않습니다.
유니캐스트, 멀티캐스트 및 브로드캐스트용 물리적 포트의 스톰 컨트롤
주:스톰 컨트롤은 NFX150 디바이스에서 지원되지 않습니다.
802.1d, RSTP, MSTP 및 루트 가드를 포함한 STP 지원
참조
VLAN 이해
VLAN(가상 LAN)은 별도의 브로드캐스트 도메인을 형성하도록 함께 그룹화된 네트워크 노드의 집합입니다. 단일 LAN인 이더넷 네트워크에서는 모든 트래픽이 LAN의 모든 노드로 전달됩니다. VLAN에서 원본과 대상이 동일한 VLAN에 있는 프레임은 로컬 VLAN 내에서만 전달됩니다. 로컬 VLAN으로 향하지 않는 프레임은 다른 브로드캐스트 도메인으로 전달되는 프레임뿐입니다. VLAN은 전체 LAN을 통과하는 트래픽의 양을 제한하여 VLAN 내부와 전체 LAN에서 가능한 충돌 및 패킷 재전송 횟수를 줄입니다.
이더넷 LAN에서는 모든 네트워크 노드가 동일한 네트워크에 물리적으로 연결되어 있어야 합니다. VLAN에서는 노드의 물리적 위치가 중요하지 않습니다. 따라서 부서 또는 비즈니스 사업부, 네트워크 노드 유형 또는 물리적 위치 등 조직에 적합한 방식으로 네트워크 디바이스를 그룹화할 수 있습니다. 각 VLAN은 단일 IP 서브네트워크와 표준화된 IEEE 802.1Q 캡슐화로 식별됩니다.
트래픽이 속한 VLAN을 식별하기 위해, 이더넷 VLAN의 모든 프레임은 IEEE 802.1Q 표준에 정의된 태그로 식별됩니다. 이러한 프레임은 태그 처리되고 802.1Q 태그로 캡슐화됩니다.
단일 VLAN만 있는 단순 네트워크의 경우, 모든 트래픽에 동일한 802.1Q 태그가 있습니다. 이더넷 LAN이 VLAN으로 분할되면 각 VLAN은 고유한 802.1Q 태그로 식별됩니다. 프레임을 수신하는 네트워크 노드가 프레임이 속한 VLAN을 알도록 모든 프레임에 태그가 적용됩니다. 여러 VLAN에서 트래픽을 멀티플렉싱하는 트렁크 포트는 태그를 사용하여 프레임의 원본과 프레임을 전달할 위치를 결정합니다.
참조
이더넷 스위칭 및 레이어 2 투명 모드 개요
레이어 2 투명 모드는 기존 라우팅 인프라를 변경하지 않고도 방화벽을 구축하는 기능을 제공합니다. 방화벽은 여러 VLAN 세그먼트와 함께 레이어 2 스위치로 배포되며, VLAN 세그먼트 내 보안 서비스를 제공합니다. 보안 연결은 bump-in-wire 구축을 허용하는 레이어 2 투명 모드의 특별한 버전입니다.
레이어 2 인터페이스로 정의된 인터페이스가 있으면 디바이스가 투명 모드로 작동합니다. 레이어 2 인터페이스로 구성된 물리적 인터페이스가 없으면, 디바이스는 경로 모드(기본 모드)에서 작동합니다.
SRX 시리즈 방화벽의 경우, 투명 모드에서 레이어 2 스위칭 기능에 대한 완전한 보안 서비스를 제공합니다. SRX 시리즈 방화벽에서는 레이어 2 스위칭을 수행하기 위해 하나 이상의 VLAN을 구성할 수 있습니다. VLAN은 동일한 플러딩 또는 브로드캐스트 특성을 공유하는 논리적 인터페이스의 집합입니다. 가상 LAN(VLAN)과 마찬가지로, VLAN은 여러 디바이스의 하나 이상의 포트를 포괄합니다. 따라서 SRX 시리즈 방화벽은 동일한 레이어 2 네트워크에 참여하는 여러 VLAN과 함께 레이어 2 스위치 기능을 수행할 수 있습니다.
투명 모드에서 SRX 시리즈 방화벽은 IP 패킷 헤더에서 소스 또는 대상 정보를 변경하지 않고 디바이스를 트래버스하는 패킷을 필터링합니다. 투명 모드는 라우터 또는 보호된 서버의 IP 설정을 재구성할 필요가 없으므로 주로 신뢰할 수 없는 소스에서 트래픽을 수신하는 서버를 보호하는 데 유용합니다.
투명 모드에서는 디바이스의 모든 물리적 포트가 레이어 2 인터페이스에 할당됩니다. 디바이스를 통해 레이어 3 트래픽 경로를 지정하지 마십시오. 레이어 2 영역은 레이어 2 인터페이스를 호스트하도록 구성될 수 있으며, 레이어 2 영역 간 보안 정책을 정의할 수 있습니다. 레이어 2 구역 간 패킷이 이동할 때, 이러한 패킷에서 보안 정책이 시행될 수 있습니다.
표 1은(는) 레이어 2 스위칭의 투명 모드에서 지원되고 지원되지 않는 보안 기능을 나열합니다.
모드 유형 |
지원됨 |
지원되지 않음 |
|---|---|---|
투명 모드 |
|
|
SRX300, SRX320, SRX340, SRX345, SRX550M 디바이스에서는 DHCP 서버 전파가 레이어 2 투명 모드 내 지원되지 않습니다.
또한 SRX 시리즈 방화벽은 레이어 2 투명 모드에서 다음 레이어 2 기능을 지원하지 않습니다.
스패닝 트리 프로토콜(STP), RSTP 또는 MSTP-네트워크 토폴로지에서 플로딩 루프가 존재하지 않도록 하는 것은 사용자의 책임입니다.
인터넷 그룹 관리 프로토콜(IGMP) 스누핑 - IPv4에 대한 Host-to-router 신호 전송 프로토콜은 이웃 라우터에 멀티캐스트 그룹 멤버십을 보고하고 IP 멀티캐스트 중 존재할 그룹 멤버를 결정하는 데 사용됩니다.
이중 태그 VLAN 또는 IEEE 802.1Q VLAN 식별자는 802.1Q 패킷("Q-in-Q" VLAN 태깅이라고도 함)-태그되지 않거나 단일 태그 VLAN 식별자만이 SRX 시리즈 방화벽에서는 지원됩니다.
MAC 주소만 VLAN 내 학습에 사용되는 비적격 VLAN 학습 - SRX 시리즈 방화벽의 VLAN 학습은 자격을 갖추므로, VLAN 식별자 및 MAC 주소 모두 사용됩니다.
또한 SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 또는 SRX650 디바이스에서는 일부 기능이 지원되지 않습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 다릅니다.) 다음 기능은 언급한 디바이스의 레이어 2 투명 모드에 지원되지 않습니다:
레이어 2 인터페이스의 G-ARP
모든 인터페이스의 IP 주소 모니터링
IRB를 통한 전송 트래픽
라우팅 인스턴스의 IRB 인터페이스
레이어 3 트래픽의 IRB 인터페이스 처리
주:IRB 인터페이스는 pseudo 인터페이스이며, reth 인터페이스 및 중복 그룹에 속하지 않습니다.
- SRX5000 라인 Module Port Concentrator의 레이어 2 투명 모드
- 보안 장치에서 투명 모드의 IPv6 플로우 이해
- 보안 디바이스의 레이어 2 투명 모드 섀시 클러스터 이해
- SRX 시리즈 방화벽에서 대역 외 관리 구성
- 이더넷 스위칭
- SRX 시리즈 디바이스의 레이어 2 스위칭 예외
SRX5000 라인 Module Port Concentrator의 레이어 2 투명 모드
SRX 시리즈 방화벽이 레이어 2 투명 모드에서 구성될 때 SRX5000 라인 Module Port Concentrator(SRX5K-MPC)는 레이어 2 투명 모드를 지원하고 트래픽을 처리합니다.
SRX5K-MPC가 레이어 2 모드에서 작동할 때, 레이어 2 트래픽을 지원하도록 레이어 2 스위칭 포트로 SRX5K-MPC의 모든 인터페이스를 구성할 수 있습니다.
보안 처리 유닛(SPU)은 레이어 2 스위칭 기능에 대한 모든 보안 서비스를 지원하고, MPC는 SPU로 수신 패킷을 전달하며, SPU에 의해 캡슐화되는 송신 인터페이스를 발신 인터페이스로 전달합니다.
SRX 시리즈 방화벽이 레이어 2 투명 모드에서 구성되면, Ethernet switching의 패밀리 주소 유형의 물리적 인터페이스에 하나 이상의 논리적 단위를 정의함으로써 MPC의 인터페이스가 레이어 2 모드에서 작동하도록 지원할 수 있습니다. 나중에 레이어 2 보안 영역을 구성하고 투명 모드에서 보안 정책을 구성할 수 있습니다. 이것이 완료되면, 패킷의 수신 및 송신을 처리하기 위해 next-hop 토폴로지가 설정됩니다.
보안 장치에서 투명 모드의 IPv6 플로우 이해
투명 모드에서 SRX 시리즈 방화벽은 IP 패킷 MAC 헤더에서 소스 또는 대상 정보를 변경하지 않고 디바이스를 트래버스하는 패킷을 필터링합니다. 투명 모드는 라우터 또는 보호된 서버의 IP 설정을 재구성할 필요가 없으므로 주로 신뢰할 수 없는 소스에서 트래픽을 수신하는 서버를 보호하는 데 유용합니다.
디바이스에서 모든 물리적 인터페이스가 레이어 2 인터페이스로 구성되면, 디바이스는 투명 모드로 작동합니다. 논리적 인터페이스가 [ edit interfaces interface-name unit unit-number family] 계층 수준에서 ethernet-switching옵션으로 구성되면 물리적 인터페이스는 레이어 2 인터페이스입니다. 디바이스에서 투명 모드를 정의하거나 활성화할 명령이 없습니다. 레이어 2 인터페이스로 정의된 인터페이스가 있으면 디바이스가 투명 모드로 작동합니다. 모든 물리적 인터페이스가 레이어 3 인터페이스로 구성되면, 디바이스는 경로 모드(기본 모드)에서 작동합니다.
기본적으로 보안 장치에서 IPv6 플로우가 누락됩니다. 영역, 화면 및 방화벽 정책과 같은 보안 기능으로 처리를 가능하게 하려면 [edit security forwarding-options family inet6] 계층 수준의 mode flow-based구성 옵션으로 IPv6 트래픽에 플로우 기반 포워딩을 활성화해야 합니다. 모드를 변경할 때는 디바이스를 재부팅해야 합니다.
투명 모드에서는 레이어 2 인터페이스를 호스트하도록 레이어 2 인터페이스를 구성할 수 있으며, 레이어 2 영역 간의 보안 정책을 정의할 수 있습니다. 레이어 2 구역 간 패킷이 이동할 때, 이러한 패킷에서 보안 정책이 시행될 수 있습니다. 다음 보안 기능은 투명 모드에서 IPv6 트래픽을 지원합니다:
레이어 2 보안 영역 및 보안 정책. 레이어 2 보안 영역 이해 및 투명 모드의 보안 정책 이해를 참조하십시오.
방화벽 사용자 인증. 투명 모드의 방화벽 인증 이해를 참조하십시오.
레이어 2 투명 모드 섀시 클러스터.
서비스 등급 기능. 투명 모드의 서비스 등급 기능 개요를 참조하십시오.
다음 보안 기능은 투명 모드의 IPv6 플로우를 지원하지 않습니다:
논리적 시스템
IPv6 GTPv2
J-Web 인터페이스
NAT
IPsec VPN
DNS, FTP 및 TFTP ALG를 제외한 다른 모든 ALG는 지원되지 않습니다.
IPv6 플로우에 대한 VLAN 및 레이어 2 논리적 인터페이스를 구성하는 것은 IPv4 플로우에 대한 VLAN 및 레이어 2 논리적 인터페이스를 구성하는 것과 동일합니다. VLAN의 관리 트래픽을 위해 통합 라우팅 및 브리징((IRB) 인터페이스를 선택적으로 구성할 수 있습니다. IRB 인터페이스는 투명 모드에서 허용되는 유일한 레이어 3 인터페이스입니다. SRX 시리즈 방화벽에서 IRB 인터페이스는 트래픽 포워딩 또는 라우팅을 지원하지 않습니다. IRB 인터페이스는 IPv4 및 IPv6 주소 모두로 구성될 수 있습니다. [edit interfaces irb unit number family inet6] 계층 수준의 address구성 문으로 IRB 인터페이스에 대한 IPv6 주소를 할당할 수 있습니다. [edit interfaces irb unit number family inet] 계층 수준의 address구성 문으로 IRB 인터페이스에 대한 IPv4 주소를 할당할 수 있습니다.
SRX 시리즈 방화벽의 이더넷 스위칭 기능은 주니퍼 네트웍스 MX 시리즈 라우터의 스위칭 기능과 유사합니다. 그러나 MX 시리즈 라우터에서 지원되는 모든 레이어 2 기능이 SRX 시리즈 방화벽에서 지원되는 것은 아닙니다. 이더넷 스위칭 및 레이어 2 투명 모드 개요를 참조하십시오.
SRX 시리즈 방화벽은 각 레이어 2 VLAN에 대한 MAC 주소 및 관련 인터페이스를 포함하는 포워딩 테이블을 유지합니다. IPv6 플로우 프로세싱은 IPv4 플로우와 유사합니다. VLAN에 대한 레이어 2 학습 및 전달 개요을(를) 참조하세요.
보안 디바이스의 레이어 2 투명 모드 섀시 클러스터 이해
레이어 2 투명 모드의 SRX 시리즈 방화벽 한 쌍은 섀시 클러스터와 연결해 네트워크 노드 이중화 기능을 제공할 수 있습니다. 섀시 클러스터에 구성되면, 하나의 노드는 기본 디바이스로 다른 하나는 보조 디바이스로 작동하며, 시스템 또는 하드웨어 실패의 경우 프로세스 및 서비스의 스테이풀 페일오버를 보장합니다. 기본 디바이스가 실패하면, 보조 디바이스가 트래픽 처리를 수행합니다.
기본 디바이스가 레이어 2 투명 모드 섀시 클러스터에서 실패하면, 실패한 디바이스의 물리적 포트는 다시 활성화(작동)되기 전에 몇 초 동안 비활성화(중단)됩니다.
섀시 클러스터를 구성하기 위해서, 같은 종류의 지원 SRX 시리즈 방화벽 한 쌍은 동일한 전체 보안을 강화하는 단일 시스템으로 작동합니다.
레이어 2 투명 모드의 디바이스는 active/backup 및 active/active 섀시 클러스터 구성으로 배포될 수 있습니다.
다음 섀시 클러스터 기능은 레이어 2 투명 모드의 디바이스에서 지원되지 않습니다.
Gratuitous ARP - 중복 그룹에서 새로 선택된 기본은 네트워크 디바이스에 중복 이더넷 인터페이스 링크에서의 기본 역할 변경을 알리기 위해 Gratuitous ARP 요청을 전송할 수 없습니다.
IP 주소 모니터링 - 업스트림 디바이스 실패는 감지되지 않습니다.
중복 그룹은 두 노드의 객체 모음을 포함하는 구성체입니다. 중복 그룹은 한 개의 노드에서는 기본이며 다른 노드에서는 백업입니다. 중복 그룹이 노드에서 기본일 때, 해당 노드에서의 객체는 활성화됩니다. 중복 그룹이 실패하면, 모든 객체가 함께 실패합니다.
active/active 섀시 클러스터 구성을 위해 1~128로 번호가 매겨진 하나 이상의 중복 그룹을 생성할 수 있습니다. 각 중복 그룹에는 하나 이상의 중복 이더넷 인터페이스가 포함됩니다. 중복 이더넷 인터페이스는 각 클러스터 노드의 물리적 인터페이스를 포함한 pseudo 인터페이스입니다. 중복 이더넷 인터페이스의 물리적 인터페이스는 고속 이더넷이거나 기가비트 이더넷으로 같은 종류여야 합니다. 중복 그룹이 노드 0에서 활성화되면, 노드 0에서의 모든 관련 중복 이더넷 인터페이스의 하위 링크가 활성화됩니다. 중복 그룹이 노드 1에 실패하면, 노드 1에서의 모든 중복 이더넷 인터페이스의 하위 링크가 활성화됩니다.
active/active 섀시 클러스터 구성에서 중복 그룹의 최대 수는 구성하는 중복 이더넷 인터페이스의 수와 같습니다. active/backup 섀시 클러스터 설정에서 지원되는 중복 그룹의 최대 수는 2입니다.
레이어 2 투명 모드의 디바이스에서 중복 이더넷 인터페이스를 구성하는 것은 레이어 3 경로 모드의 디바이스에서 중복 이더넷 인터페이스를 구성하는 것과 유사하지만, 다음의 차이가 있습니다: 레이어 2 투명 모드의 디바이스에서 중복 이더넷 인터페이스는 레이어 2 논리적 인터페이스로 구성됩니다.
중복 이더넷 인터페이스는 액세스 인터페이스(인터페이스에 수신된 태그 처리되지 않은 패킷에 할당된 단일 VLAN ID로) 또는 트렁크 인터페이스(인터페이스에서 수락된 VLAN ID 목록 및 선택적으로 인터페이스에 수신된 태그 처리되지 않은 패킷에 대한 native-vlan-id로)로 구성될 수 있습니다. 물리적 인터페이스(섀시 클러스터의 각 노드에서 하나)는 상위 중복 이더넷 인터페이스에 하위 인터페이스로 바인딩됩니다.
레이어 2 투명 모드에서 MAC 학습은 중복 이더넷 인터페이스를 기반으로 합니다. MAC 테이블은 섀시 클러스터 디바이스 한 쌍 간 중복 이더넷 인터페이스와 서비스 처리 유닛(SPU)에 걸쳐 동기화됩니다.
IRB 인터페이스는 관리 트래픽에만 사용되며, 중복 이더넷 인터페이스나 중복 그룹에 할당할 수 없습니다.
단일 비클러스터형 디바이스에 가능한 모든 Junos OS 화면 옵션은 레이어 2 투명 모드 섀시 클러스터의 디바이스에서 사용할 수 있습니다.
스패닝 트리 프로토콜(STP)은 레이어 2 투명 모드에 지원되지 않습니다. 구축 토폴로지에서 루프 연결이 없음을 확인해야 합니다.
SRX 시리즈 방화벽에서 대역 외 관리 구성
레이어 2 인터페이스가 디바이스에서 정의되더라도, 레이어 3 인터페이스로 SRX 시리즈 방화벽에서 대역 외 관리 인터페이스를 fxp0구성할 수 있습니다. fxp0 인터페이스를 제외하고, 디바이스의 네트워크 포트에서 레이어 2 및 레이어 3 인터페이스를 정의할 수 있습니다.
SRX300, SRX320 및 SRX550M 디바이스에서는 fxp0 대역 외 관리 인터페이스가 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리즈에 따라 다릅니다.)
이더넷 스위칭
이더넷 스위칭은 이더넷 MAC 주소 정보를 사용하여 이더넷 프레임을 LAN 세그먼트(또는 VLAN) 내부 또는 전에 전달합니다. SRX1500 디바이스의 이더넷 스위칭은 ASIC를 사용하는 하드웨어에서 수행됩니다.
Junos OS 릴리스 15.1X49-D40부터 레이어 2 투명 브리지 모드와 이더넷 스위칭 모드 간 전환하는 set protocols l2-learning global-mode(transparent-bridge | switching) 명령을 사용합니다. 모드를 스위치한 후, 구성이 적용되도록 디바이스를 재부팅해야 합니다. 표 2은(는) SRX 시리즈 방화벽의 기본 레이어 2 전역 모드를 설명합니다.
Junos OS 릴리스 |
플랫폼 |
기본 레이어 2 전역 모드 |
상세 내용 |
|---|---|---|---|
Junos OS 릴리스 15.1X49-D50 이전 및 Junos OS 릴리스 17.3R1 이후 |
SRX300, SRX320, SRX340 및 SRX345 |
스위칭 모드 |
없음 |
Junos OS 릴리스 15.1X49-D50~Junos OS 릴리스 15.1X49-D90 |
SRX300, SRX320, SRX340 및 SRX345 |
스위칭 모드 |
디바이스에서 레이어 2 전역 모드 구성을 삭제할 때, 디바이스는 투명 브리지 모드입니다. |
Junos OS 릴리스 15.1X49-D100 이후 |
SRX300, SRX320, SRX340, SRX345, SRX550 및 SRX550M |
스위칭 모드 |
디바이스에서 레이어 2 전역 모드 구성을 삭제할 때, 디바이스는 스위칭 모드입니다. |
Junos OS 릴리스 15.1X49-D50 이후 |
SRX1500 |
투명 브리지 모드 |
없음 |
스위칭 모드에서 지원되는 레이어 2 프로토콜은 LACP(Link Aggregation Control Protocol)입니다.
중복 이더넷 인터페이스에서 레이어 2 투명 모드를 구성할 수 있습니다. 다음 명령을 사용하여 중복 이더넷 인터페이스를 정의합니다:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
SRX 시리즈 디바이스의 레이어 2 스위칭 예외
SRX 시리즈 방화벽의 스위칭 기능은 주니퍼 네트웍스 MX 시리즈 라우터의 스위칭 기능과 비슷합니다. 그러나 MX 시리즈 라우터에서의 다음 레이어 2 네트워킹 기능은 SRX 시리즈 방화벽에서 지원되지 않습니다:
레이어 2 제어 프로토콜 - 이러한 프로토콜은 VPLS 라우팅 인스턴스의 고객 에지 인터페이스에서 RSTP(Rapid Spanning Tree Protocol) 또는 MSTP(Multiple Spanning Tree Protocol)을 위해 MX 시리즈 라우터에서 사용됩니다.
가상 스위치 라우팅 인스턴스 - 가상 스위칭 라우팅 인스턴스는 하나 이상의 VLAN을 그룹화하기 위해 MX 시리즈 라우터에서 사용됩니다.
가상 프라이빗 LAN 서비스(VPLS) 라우팅 인스턴스 - VPLS 라우팅 인스턴스는 VPN의 사이트 집합 간 point-to-multipoint LAN 구현을 위해 MX 시리즈 라우터에서 사용됩니다.
참조
유니캐스트 이해하기
유니캐스트란 네트워크의 한 노드에서 다른 노드로 데이터를 전송하는 작업을 말합니다. 반면 멀티캐스트는 한 개 데이터 노드의 트래픽을 다른 여러 개의 데이터 노드로 전송합니다.
알 수 없는 유니캐스트 트래픽은 대상 MAC 주소를 알 수 없는 유니캐스트 프레임으로 구성됩니다. 기본적으로 스위치는 VLAN에서 이동하는 이러한 유니캐스트 프레임을 VLAN의 멤버인 모든 인터페이스로 플러딩합니다. 이런 유형의 트래픽을 스위치의 인터페이스로 전달하는 것은 보안 문제를 일으킬 수 있습니다. LAN이 갑자기 패킷으로 플러딩되어 불필요한 트래픽을 생성하면서 네트워크 성능이 저하되거나 네트워크 서비스가 완전히 손실될 수도 있습니다. 이를 트래픽 스톰이라고 합니다.
스톰을 방지하려면 한 개의 VLAN 또는 모든 VLAN이 알 수 없는 모든 유니캐스트 트래픽을 특정 트렁크 인터페이스로 전달하도록 구성하여 알 수 없는 유니캐스트 패킷을 모든 인터페이스로 플러딩하는 기능을 비활성화할 수 있습니다. (이렇게 하면 알 수 없는 유니캐스트 트래픽이 한 개의 인터페이스로 전달됩니다.)
참조
스위치의 레이어 2 브로드캐스트 이해하기
레이어 2 네트워크에서 브로드캐스트는 네트워크 상의 모든 노드에 트래픽을 전송하는 것을 의미합니다.
레이어 2 브로드캐스트 트래픽은 LAN(Local Area Network) 경계 내에 유지되며, 브로드캐스트 도메인으로 알려져 있습니다. 레이어 2 브로드캐스트 트래픽은 MAC 주소 FF:FF:FF:FF:FF:FF를 사용하여 브로드캐스트 도메인에 전송됩니다. 브로드캐스트 도메인의 모든 디바이스는 이 MAC 주소를 인식하고, 해당하는 경우 브로드캐스트 도메인의 다른 디바이스로 브로드캐스트 트래픽을 전달합니다. 브로드캐스트는 유니캐스팅(단일 노드로 트래픽 전송) 또는 멀티캐스팅(노드 그룹에 트래픽을 동시에 전달)과 비교할 수 있습니다.
그러나 레이어 3 브로드캐스트 트래픽은 브로드캐스트 네트워크 주소를 사용하여 네트워크의 모든 디바이스로 전송됩니다. 예를 들어, 네트워크 주소가 10.0.0.0인 경우 브로드캐스트 네트워크 주소는 10.255.255.255입니다. 이 경우, 10.0.0.0 네트워크에 속하는 디바이스만 레이어 3 브로드캐스트 트래픽을 수신합니다. 이 네트워크에 속하지 않는 디바이스의 트래픽은 감소합니다.
브로드캐스트는 다음과 같은 상황에서 사용됩니다.
ARP(Address Resolution Protocol)는 브로드캐스트를 사용하여 MAC 주소를 IP 주소로 매핑합니다. ARP는 IP 주소(논리적 주소)를 올바른 MAC 주소에 동적으로 바인딩합니다. IP 유니캐스트 패킷을 전송하기 전에, ARP는 IP 주소가 구성된 이더넷 인터페이스에서 사용한 MAC 주소를 검색합니다.
DHCP(Dynamic Host Configuration Protocol)는 브로드캐스트를 사용하여 네트워크 세그먼트 또는 서브넷의 호스트에 IP 주소를 동적으로 할당합니다.
라우팅 프로토콜은 브로드캐스트를 사용하여 경로를 보급합니다.
과도한 브로드캐스트 트래픽으로 브로드캐스트 스톰이 발생할 수도 있습니다. 브로드캐스트 스톰은 메시지가 네트워크 상에서 브로드캐스트되고, 각 메시지에서 수신 노드가 네트워크 상에 자체 메시지를 브로드캐스트하여 응답하도록 할 때 발생합니다. 이를 통해 스노우볼 효과를 만드는 추가 응답이 발생합니다. LAN이 갑자기 패킷으로 플러딩되어 불필요한 트래픽을 생성하면서 네트워크 성능이 저하되거나 네트워크 서비스가 완전히 손실될 수도 있습니다.
참조
Enhanced Layer 2 Software CLI 사용
ELS(Enhanced Layer 2 Software)는 QFX 시리즈 스위치, EX 시리즈 스위치 및 MX 시리즈 라우터와 같은 기타 주니퍼 네트웍스 디바이스에서 레이어 2 기능을 구성하고 모니터링하기 위한 일관된 CLI를 제공합니다. ELS를 사용하면 모든 주니퍼 네트웍스 디바이스에서 동일한 방식으로 레이어 2 기능을 구성할 수 있습니다.
이 주제에서는 플랫폼에서 ELS가 실행 중인지 여부를 확인하는 방법에 대해 설명합니다. 또한 ELS 구성 스타일을 사용하여 몇 가지 일반적인 작업을 수행하는 방법도 설명합니다.
ELS를 지원하는 디바이스 이해
디바이스에서 ELS를 지원하는 Junos OS 릴리스를 실행 중인 경우 ELS가 자동으로 지원됩니다. ELS를 활성화하기 위한 작업을 수행할 필요가 없으며 ELS를 비활성화할도 수 없습니다. ELS를 지원하는 플랫폼 및 릴리스에 대한 자세한 내용은 기능 탐색기를 참조하십시오.
ELS를 사용하여 레이어 2 기능을 구성하는 방법 이해
ELS는 일관성 있는 CLI를 제공하므로 동일한 방식으로 지원되는 디바이스에서 다음 작업을 수행할 수 있습니다.
- VLAN 구성
- 네이티브 VLAN 식별자 구성
- 레이어 2 인터페이스 구성
- 레이어 3 인터페이스 구성
- IRB 인터페이스 구성
- 어그리게이션 이더넷 인터페이스 구성 및 해당 인터페이스에 대한 LACP 구성
VLAN 구성
레이어 2 브리징을 수행할 수 있도록 하나 이상의 VLAN을 구성할 수 있습니다. 레이어 2 브리징 기능에는 동일한 인터페이스에서 레이어 2 브리징 및 레이어 3 IP 라우팅을 지원하기 위한 통합 라우팅 및 브리징(IRB)이 포함됩니다. EX 시리즈 및 QFX 시리즈 스위치는 각각 동일한 레이어 2 네트워크에 참여하는 다중 브리징 또는 브로드캐스트, 도메인을 가진 레이어 2 스위치의 기능을 할 수 있습니다. VLAN에 대한 레이어 3 라우팅 지원을 구성할 수도 있습니다.
VLAN을 구성하는 방법:
네이티브 VLAN 식별자 구성
EX 시리즈 및 QFX 시리즈 스위치는 802.1Q VLAN 태그 처리된 라우팅 또는 브리징 이더넷 프레임의 수신 및 전달을 지원합니다. 일반적으로 스위치를 서로 연결하는 트렁크 포트는 태그 처리되지 않은 제어 패킷은 허용하지만 태그 처리되지 않은 데이터 패킷은 허용하지 않습니다. 태그 처리되지 않은 데이터 패킷을 수신할 인터페이스에서 네이티브 VLAN ID를 구성하여 트렁크 포트가 태그 처리되지 않은 데이터 패킷을 허용하도록 설정할 수 있습니다.
네이티브 VLAN ID를 구성하는 방법:
레이어 2 인터페이스 구성
트래픽이 많은 네트워크가 최적의 성능을 발휘하도록 조정하려면 스위치의 네트워크 인터페이스에서 일부 설정을 명시적으로 구성합니다.
기가비트 이더넷 인터페이스 또는 10기가비트 이더넷 인터페이스를 trunk 인터페이스로 구성하는 방법:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
기가비트 이더넷 인터페이스 또는 10기가비트 이더넷 인터페이스를 access 인터페이스로 구성하는 방법:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
VLAN에 인터페이스를 할당하는 방법:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
레이어 3 인터페이스 구성
레이어 3 인터페이스를 구성하려면 인터페이스에 IP 주소를 할당해야 합니다. 프로토콜 체계를 구성할 때 주소를 지정하여 인터페이스에 주소를 할당합니다. inet 또는 inet6 체계의 경우 인터페이스 IP 주소를 구성합니다.
32비트 IP 버전 4(IPv4) 및 선택적으로 서브넷 마스크라고도 하는 대상 접두사를 사용하여 인터페이스를 구성할 수 있습니다. IPv4 주소는 4-옥텟 점분리 10진수 주소 구문(예: 192.168.1.1)을 사용합니다. 대상 접두사가 있는 IPv4 주소는 대상 접두사가 추가된 4-옥텟 점분리 10진수 주소 구문(예: 192.168.1.1/16)을 사용합니다.
논리 단위에 IP4 주소를 지정하려면:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
IP 버전 6(IPv6) 주소는 콜론으로 구분된 16비트 값 목록을 사용하여 16진수 표기법으로 표시합니다. 인터페이스에 128비트 IPv6 주소를 할당합니다.
논리 단위에 IP6 주소를 지정하려면:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
IRB 인터페이스 구성
통합 라우팅 및 브리징((IRB)은 동일한 인터페이스에서 레이어 2 브리징과 레이어 3 IP 라우팅을 지원합니다. IRB를 사용하면 패킷을 라우팅된 다른 인터페이스 또는 레이어 3 프로토콜이 구성된 다른 VLAN으로 라우팅할 수 있습니다. IRB 인터페이스를 사용하면 디바이스가 로컬 주소로 전송되는 패킷을 인식하여 가능할 때마다 브리징(스위칭)되고 필요한 경우에만 라우팅되도록 할 수 있습니다. 패킷이 라우팅 대신 스위칭될 때마다 여러 계층의 처리가 제거됩니다. irb라는 인터페이스는 VLAN에 레이어 3 논리 인터페이스를 구성할 수 있는 논리 라우터의 기능을 합니다. 중복을 위해 브리징 및 VPLS(Virtual Private LAN Service) 환경 모두에서 IRB 인터페이스를 VRRP(Virtual Router Redundancy Protocol)의 구현과 결합할 수 있습니다.
IRB 인터페이스를 구성하는 방법:
어그리게이션 이더넷 인터페이스 구성 및 해당 인터페이스에 대한 LACP 구성
링크 어그리게이션 기능을 사용하여 하나 이상의 링크를 어그리게이션함으로써 가상 링크 또는 링크 어그리게이션 그룹(LAG)을 형성할 수 있습니다. MAC 클라이언트는 이 가상 링크를 단일 링크인 것처럼 처리하여 대역폭을 늘리고 장애 발생 시 단계적 성능 저하(graceful degradation)를 제공하며 가용성을 높일 수 있습니다.
어그리게이션 이더넷 인터페이스를 구성하는 방법:
디바이스의 어그리게이션 이더넷 인터페이스에 대해 링크 어그리게이션 제어 프로토콜(LACP)을 구성할 수 있습니다. LACP는 여러 실제 인터페이스를 번들로 묶어 하나의 논리 인터페이스를 구성합니다. LACP를 활성화하거나 활성화하지 않은 상태에서 어그리게이션 이더넷을 구성할 수 있습니다.
LACP가 활성화되면 어그리게이션 이더넷 링크의 로컬 및 원격 측에서 링크 상태에 대한 정보가 포함된 프로토콜 데이터 유닛(PDU)을 교환합니다. PDU를 능동적으로 전송하도록 구성하거나, 수동적으로 전송하도록 구성하여 다른 링크로부터 수신할 때만 LACP PDU를 전송할 수 있습니다. 링크가 작동하려면 링크의 한쪽이 활성 상태로 구성되어야 합니다.
LACP를 구성하는 방법:
어그리게이션 이더넷 링크의 한쪽을 활성 상태로 설정합니다.
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
인터페이스가 LACP 패킷을 전송하는 간격을 지정합니다.
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
ELS 구성 문 및 명령 변경 사항에 대한 이해
EX9200 스위치용 Junos OS 릴리스 12.3R2에 ELS가 도입되었습니다. ELS는 지원되는 EX 시리즈 및 QFX 시리즈 스위치의 일부 레이어 2 기능에 대한 CLI를 변경합니다.
다음 섹션에서는 이 CLI 개선 노력의 일환으로 새로운 계층 수준으로 이동하거나 변경된 기존 명령의 목록을 제공합니다. 이들 섹션은 상위 수준 참조로만 제공됩니다. 이러한 명령에 대한 자세한 내용은 제공되는 구성 문의 링크를 사용하거나 기술 문서를 참조하십시오.
- ethernet-switching-options 계층 수준의 변경 사항
- 포트 미러링 계층 수준의 변경 사항
- 레이어 2 제어 프로토콜 계층 수준의 변경 사항
- dot1q-tunneling 문의 변경 사항
- L2 학습 프로토콜의 변경 사항
- 논스톱 브리징의 변경 사항
- 포트 보안 및 DHCP 스누핑의 변경 사항
- VLAN 구성의 변경 사항
- 스톰 컨트롤 프로필의 변경 사항
- 인터페이스 계층의 변경 사항
- IGMP 스누핑의 변경 사항
ethernet-switching-options 계층 수준의 변경 사항
이 섹션에서는 ethernet-switching-options 계층 수준의 변경 사항에 대해 간략히 설명합니다.
ethernet-switching-options 계층 수준의 이름이 switch-options(으)로 변경되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
이 문은 |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
이 문은 |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
주:
interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
포트 미러링 계층 수준의 변경 사항
레이어 2 제어 프로토콜 계층 수준의 변경 사항
레이어 2 제어 프로토콜 문이 ethernet-switching-options 계층에서 protocols 계층으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
dot1q-tunneling 문의 변경 사항
dot1q-tunneling 문이 새로운 문으로 대체되었으며 다른 계층 수준으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
L2 학습 프로토콜의 변경 사항
mac-table-aging-time 문이 새로운 문으로 대체되었으며 다른 계층 수준으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
논스톱 브리징의 변경 사항
nonstop-bridging 문이 다른 계층 수준으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
포트 보안 및 DHCP 스누핑의 변경 사항
포트 보안 및 DHCP 스누핑 문이 다른 계층 수준으로 이동되었습니다.
변경된 계층에는 examine-dhcp 문이 존재하지 않습니다. 이제 VLAN에서 다른 DHCP 보안 기능이 활성화되면 DHCP 스누핑이 자동으로 활성화됩니다. 자세한 내용은 포트 보안(ELS) 구성을 참조하십시오.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
허용되는 mac 구성의 경우, 원래 계층의 set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 문이 ELS 명령 set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8(으)로 대체되었습니다.
DHCP 스누핑 문이 다른 계층 수준으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
VLAN 구성의 변경 사항
VLAN 구성 문이 다른 계층 수준으로 이동되었습니다.
EX4300 및 EX4600 스위치용 Junos OS 릴리스 14.1X53-D10부터 xSTP를 활성화할 때 VLAN에 포함된 일부 또는 모든 인터페이스에서 이를 활성화할 수 있습니다. 예를 들어 인터페이스 ge-0/0/0, ge-0/0/1 및 ge-0/0/2를 포함하도록 VLAN 100을 구성하고 인터페이스 ge-0/0/0 및 ge-0/0/2에서 MSTP를 활성화하려는 경우, set protocols mstp interface ge-0/0/0 및 set protocols mstp interface ge-0/0/2 명령을 지정할 수 있습니다. 이 예에서는 인터페이스 ge-0/0/1에서 MSTP를 명시적으로 활성화하지 않았으므로 이 인터페이스에서는 MSTP가 활성화되지 않습니다.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
주:
문이 새로운 문으로 대체되고 다른 계층 수준으로 이동되었습니다. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
이 문은 삭제되었습니다. |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
문이 삭제되었습니다. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
주:
구문이 변경되었습니다. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
문이 삭제되었습니다. 수신 트래픽은 자동으로 추적됩니다. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
문이 삭제되었습니다. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
문이 다른 계층으로 이동되었습니다. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
문이 삭제되었습니다. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
문이 삭제되었습니다. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
주:
문이 새로운 문으로 대체되었습니다. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
주:
구문이 변경되었습니다. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
원래 계층 |
변경된 계층 |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
스톰 컨트롤 프로필의 변경 사항
스톰 컨트롤은 두 단계로 구성됩니다. 첫 번째 단계는 [edit forwarding-options] 계층 수준에서 스톰 컨트롤 프로필을 생성하는 것이고, 두 번째 단계는 [edit interfaces] 계층 수준에서 논리 인터페이스에 해당 프로필을 바인딩하는 것입니다. 예: 변경된 절차에서 EX 시리즈 스위치의 네트워크 중단을 방지하기 위한 스톰 컨트롤 구성.
원래 계층 |
변경된 계층 |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
인터페이스 계층의 변경 사항
문이 다른 계층으로 이동되었습니다.
원래 계층 |
변경된 계층 |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
주:
문이 새로운 문으로 대체되었습니다. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
주:
문이 새로운 문으로 대체되었습니다. interfaces irb |
IGMP 스누핑의 변경 사항
원래 계층 |
변경된 계층 |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
보안 장치를 위한 향상된 계층 2 CLI 구성 명령문 및 명령 변경 사항
Junos OS 릴리즈 15.1X49-D10 및 Junos OS 릴리즈 17.3R1부터는 일부 계층 2 CLI 구성 명령문이 향상되고 일부 명령이 변경됩니다. 표 18 및 표 19은(는) 이러한 CLI 강화 노력의 일환으로 SRX 시리즈 방화벽에서 새 계층으로 이동되거나 변경된 기존 명령 목록을 제공합니다. 표는 높은 수준의 참조로만 제공됩니다. 이러한 명령에 대한 자세한 내용은 CLI 탐색기를 참조하십시오.
원래 계층 |
변경된 계층 |
계층 수준 |
설명 변경 |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[edit] |
계층 이름이 변경되었습니다. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[edit vlans vlans-name] |
명령문 이름이 변경되었습니다. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[edit vlans vlans-name] |
명령문 이름이 변경되었습니다. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[edit security flow] |
명령문 이름이 변경되었습니다. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[edit interfaces interface-name ] 유닛 unit-number |
계층 이름이 변경되었습니다. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[edit vlans vlans-name] |
명령문 이름이 변경되었습니다. |
본 작전 명령 |
수정된 작업 명령 |
|---|---|
clear bridge mac-table |
clear ethernet-switching table |
clear bridge mac-table persistent-learning |
clear ethernet-switching table persistent-learning |
show bridge domain |
show vlans |
show bridge mac-table |
show ethernet-switching table |
show l2-learning interface |
show ethernet-switching interface |
SRX300, SRX320 및 SRX500HM 디바이스에는 fxp0 대역 외 관리 인터페이스가 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리즈에 따라 다릅니다.)
참조
ACX 시리즈를 위한 레이어 2 차세대 모드
향상된 레이어 2 소프트웨어(ELS)라고도 하는 레이어 2 차세대 모드는 레이어 2 기능을 구성하기 위해 ACX5048, ACX5096 및 ACX5448에서 지원됩니다. ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 및 ACX7509 라우터에 대한 레이어 2 CLI 구성 및 표시 명령은 다른 ACX 시리즈 라우터(ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 및 ACX4000) 및 MX 시리즈 라우터의 구성과 다릅니다.
표 20은(는) 레이어 2 차세대 모드에서 레이어 2 기능을 구성하는 동안 CLI 계층의 차이를 나타냅니다.
기능 |
ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 및 MX 시리즈 라우터 |
ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, 및 ACX7509 라우터 |
|---|---|---|
브리지 도메인 |
[ |
[ |
제품군 |
[ |
[ |
레이어 2 옵션 |
[ |
[ |
이더넷 옵션 |
[ |
[ |
통합 라우팅 및 브리지(IRB) |
[ |
|
스톰 컨트롤 |
[ |
[ [ |
인터넷 그룹 관리 프로토콜(IGMP) 스누핑 |
[ |
[ |
제품군 |
[ |
[ |
표 21은(는) 레이어 2 차세대 모드에서 레이어 2 기능에 대한 show 명령의 차이를 나타냅니다.
기능 |
ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 및 MX 시리즈 라우터 |
ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, 및 ACX7509 라우터 |
|---|---|---|
VLAN |
|
|
MAC 테이블 |
|
|
MAC 테이블 옵션 |
|
|
VLAN 지정 요소를 포함한 스위치 포트 목록 |
|
|
플러시 데이터베이스의 커널 상태 |
|
|
참조
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
set protocols l2-learning global-mode(transparent-bridge | switching) 명령을 사용합니다.