Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

레이어 2 네트워킹

레이어 2 네트워킹 개요

데이터 링크 레이어라고도 하는 Layer 2는 네트워크 프로토콜 설계를 위한 7계층 OSI 참조 모델의 두 번째 레벨입니다. Layer 2는 TCP/IP 네트워크 모델의 링크 레이어(가장 낮은 레이어)와 동일합니다. Layer2는 광역 네트워크의 인접 네트워크 노드 간 또는 동일한 로컬 영역 네트워크의 노드 간에 데이터를 전송하는 데 사용되는 네트워크 레이어입니다.

프레임은 프로토콜 데이터 유닛으로 레이어 2 네트워크에서 가장 작은 비트 단위입니다. 프레임은 동일한 LAN(Local Area Network)의 장치로 전송되고 수신됩니다. Unilke 비트, 프레임은 정의된 구조를 가지고 있으며 오류 감지, 컨트롤 플레인 활동 등에 사용할 수 있습니다. 모든 프레임이 사용자 데이터를 전달하는 것은 아닙니다. 네트워크는 일부 프레임을 사용하여 데이터 링크 자체를 제어합니다.

Layer 2에서 유니캐스트 는 한 노드에서 단일 다른 노드로 프레임을 전송하는 것을 의미하며, 멀티캐스트 는 한 노드에서 여러 노드로 트래픽을 전송하는 것을 의미하며 브로드 스트는 네트워크의 모든 노드로 프레임을 전송하는 것을 의미합니다. 브로드캐스트 도메인은 브로드캐스트를 통해 네트워크의 모든 노드가 Layer 2에 도달할 수 있는 네트워크의 논리적 분할입니다.

LAN 세그먼트는 브리지를 사용하여 프레임 수준에서 연결할 수 있습니다. 브리징은 LAN에서 별도의 브로드캐스트 도메인을 생성하여 관련 장비를 별도의 네트워크 세그먼트로 그룹화하는 독립적인 논리적 네트워크인 VLAN을 생성합니다. VLAN상의 디바이스 그룹화는 장치가 LAN에 물리적으로 위치한 위치와 독립적입니다. 브리징 및 VLAN이 없으면 이더넷 LAN상의 모든 디바이스는 단일 브로드캐스트 도메인에 있으며 모든 장치는 LAN상의 모든 패킷을 감지합니다.

포워딩 은 네트워크의 노드를 통해 한 네트워크 세그먼트에서 다른 세그먼트로 패킷을 중계하는 것입니다. VLAN에서 원본과 대상이 동일한 VLAN에 있는 프레임은 로컬 VLAN 내에서만 전달됩니다. 네트워크 세그먼트는 컴퓨터 네트워크의 일부로서 모든 디바이스가 동일한 물리적 레이어를 사용하여 통신합니다.

레이어 2에는 다음 두 개의 서브레이어가 포함되어 있습니다.

  • 통신 링크를 관리하고 프레임 트래픽을 처리하는 논리적 링크 제어(LLC) 서브레이어입니다.

  • 물리적 네트워크 매체에 대한 프로토콜 액세스를 제어하는 MAC(Media Access Control) 서브레이어 스위치의 모든 포트에 할당된 MAC 주소를 사용함으로써 동일한 물리적 링크의 여러 디바이스가 고유하게 서로를 식별할 수 있습니다.

    스위치의 포트 또는 인터페이스는 액세스 모드, 태깅된 액세스 또는 트렁크 모드에서 작동합니다.

    • 액세스 모드 포트는 데스크톱 컴퓨터, IP 전화, 프린터, 파일 서버 또는 보안 카메라와 같은 네트워크 디바이스에 연결합니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송되는 프레임은 일반 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드에 있습니다.

    • 태깅된 액세스 모드 포트는 데스크톱 컴퓨터, IP 전화, 프린터, 파일 서버 또는 보안 카메라와 같은 네트워크 디바이스에 연결합니다. 포트 자체는 단일 VLAN에 속합니다. 액세스 인터페이스를 통해 전송되는 프레임은 일반 이더넷 프레임입니다. 기본적으로 스위치의 모든 포트는 액세스 모드에 있습니다. Tagged-Access 모드는 클라우드 컴퓨팅, 특히 가상 머신 또는 가상 컴퓨터를 비롯한 시나리오를 지원합니다. 여러 가상 컴퓨터가 하나의 물리적 서버에 포함될 수 있기 때문에 한 서버에서 생성된 패킷에는 해당 서버의 여러 가상 머신에서 VLAN 패킷의 어그리게이션이 포함될 수 있습니다. 이러한 상황을 수용하기 위해 태그 액세스 모드는 해당 다운스트림 포트에서 패킷의 대상 주소를 학습했을 때 동일한 다운스트림 포트의 물리적 서버로 패킷을 다시 반영합니다. 대상을 아직 익지 못한 경우 패킷은 다운스트림 포트의 물리적 서버로 다시 반영됩니다. 따라서 세 번째 인터페이스 모드인 태깅된 액세스는 액세스 모드의 일부 특징과 트렁크 모드의 일부 특성을 가지고 있습니다.

    • 트렁크 모드 포트는 여러 VLAN의 트래픽을 처리하고 동일한 물리적 연결을 통해 모든 VLAN의 트래픽을 멀티플렉싱합니다. 트렁크 인터페이스는 일반적으로 스위치를 다른 디바이스 또는 스위치와 상호 연결하는 데 사용됩니다.

      네이티브 VLAN이 구성되면 VLAN 태그를 전달하지 않는 프레임이 트렁크 인터페이스를 통해 전송됩니다. 패킷이 장비에서 스위치로 액세스 모드로 전달되고 트렁크 포트를 통해 스위치에서 해당 패킷을 전송하려는 경우 네이티브 VLAN 모드를 사용합니다. 스위치 포트(액세스 모드에 있는)에서 단일 VLAN을 기본 VLAN으로 구성합니다. 그러면 스위치의 트렁크 포트가 해당 프레임을 다른 태깅된 패킷과 다르게 취급합니다. 예를 들어 트렁크 포트에 VLAN 3개, 10, 20 및 30이 할당되어 VLAN 10이 기본 VLAN인 경우, 다른 쪽 끝에 트렁크 포트를 남기는 VLAN 10의 프레임에는 802.1Q 헤더(태그)가 없습니다. 또 다른 기본 VLAN 옵션이 있습니다. 태그가 없는 패킷에 대한 태그를 추가 및 제거할 수 있습니다. 이를 위해 먼저 에지의 디바이스에 연결된 포트에서 단일 VLAN을 네이티브 VLAN으로 구성합니다. 그런 다음 디바이스에 연결된 포트의 단일 네이티브 VLAN에 VLAN ID 태그를 할당합니다. 마지막으로, VLAN ID를 트렁크 포트에 추가합니다. 이제 스위치가 태그가 없는 패킷을 수신하면 지정된 ID를 추가하고 VLAN을 수락하도록 구성된 트렁크 포트에서 태그가 지정된 패킷을 보내고 수신합니다.

서브레이어 포함, QFX 시리즈의 Layer 2는 다음과 같은 기능을 지원합니다.

  • 유니캐스트, 멀티캐스트 및 브로드캐스트 트래픽.

  • 브리징.

  • VLAN 802.1Q— VLAN 태깅이라고도 하는 이 프로토콜은 여러 브리지 네트워크가 이더넷 프레임에 VLAN 태그를 추가하여 동일한 물리적 네트워크 링크를 투명하게 공유할 수 있도록 합니다.

  • STP(Spanning Tree Protocol)를 사용하여 여러 스위치 전반에서 레이어 2 VLAN을 확장함으로써 네트워크 전반의 루프를 방지합니다.

  • MAC 학습(VLAN당 MAC 학습 및 Layer 2 학습 억제 포함)–이 프로세스는 네트워크의 모든 노드에 대한 MAC 주소를 입수합니다.

  • 링크 어그리게이션—LAG (Link Aggregation Group) 또는 LAG 번들이라고도 하는 단일 링크 레이어 인터페이스를 형성하기 위해 물리적 레이어에 있는 이더넷 인터페이스의 프로세스 그룹

    주:

    링크 어그리게이션은 NFX150 디바이스에서 지원되지 않습니다.

  • 유니캐스트, 멀티캐스트 및 브로드캐스트를 위한 물리적 포트의 스톰 컨트롤

    주:

    NFX150 디바이스에서 스톰 컨트롤이 지원되지 않습니다.

  • 802.1d, RSTP, MSTP 및 Root Guard를 포함한 STP 지원

이더넷 스위칭 및 Layer 2 Transparent 모드 개요

Layer 2 Transparent 모드는 기존 라우팅 인프라스트럭처를 변경하지 않고도 방화벽을 구축할 수 있는 기능을 제공합니다. 방화벽은 여러 VLAN 세그먼트를 가진 레이어 2 스위치로 구축되며 VLAN 세그먼트 내에서 보안 서비스를 제공합니다. Secure Wire는 범프 인 와이어(bump-in-wire) 구축을 지원하는 Layer 2 Transparent 모드의 특별 버전입니다.

Layer 2 인터페이스로 정의된 인터페이스가 있을 때 디바이스가 Transparent 모드로 작동합니다. Layer 2 인터페이스로 구성된 물리적 인터페이스가 없는 경우 디바이스는 Route 모드(기본 모드)에서 작동합니다.

SRX 시리즈 디바이스의 경우 Transparent 모드는 레이어 2 스위칭 기능을 위한 완벽한 보안 서비스를 제공합니다. 이러한 SRX 시리즈 디바이스에서는 하나 이상의 VLAN을 구성하여 레이어 2 스위칭을 수행할 수 있습니다. VLAN은 동일한 플러딩 또는 브로드캐스트 특성을 공유하는 논리적 인터페이스 집합입니다. 가상 LAN(VLAN)과 마찬가지로 VLAN은 하나 이상의 여러 디바이스 포트를 포괄합니다. 따라서 SRX 시리즈 디바이스는 동일한 Layer 2 네트워크에 참여하는 여러 VLAN을 사용하는 Layer 2 스위치로 기능할 수 있습니다.

Transparent 모드에서 SRX 시리즈 디바이스는 IP 패킷 헤더의 소스 또는 대상 정보를 수정하지 않고도 디바이스를 통과하는 패킷을 필터링합니다. Transparent 모드는 라우터 또는 보호된 서버의 IP 설정을 재구성할 필요가 없기 때문에 신뢰할 수 없는 소스에서 주로 트래픽을 수신하는 서버를 보호하는 데 유용합니다.

Transparent 모드에서는 장비의 모든 물리적 포트가 Layer 2 인터페이스에 할당됩니다. 디바이스를 통해 레이어 3 트래픽을 라우팅하지 마십시오. Layer 2 존은 Layer 2 인터페이스를 호스팅하도록 구성될 수 있으며, 보안 정책은 Layer 2 존 간에 정의될 수 있습니다. 패킷이 Layer 2 존 사이를 이동하는 경우 이러한 패킷에 보안 정책을 적용할 수 있습니다.

표 1 투명 모드에서 지원되고 지원되지 않는 보안 기능을 나열합니다.

표 1: Transparent 모드에서 지원되는 보안 기능

모드 유형

지원

지원되지 않음

투명 모드

  • ALG(Application Layer Gateways)

  • 방화벽 사용자 인증(FWAUTH)

  • Intrusion Detection and Prevention (IDP)

  • 스크린

  • AppSecure

  • Unified Threat Management (UTM)

  • 네트워크 주소 변환(NAT)

  • VPN

주:

SRX300, SRX320, SRX340, SRX345 및 SRX550M 디바이스에서는 DHCP 서버 전파가 레이어 2 투명 모드에서 지원되지 않습니다.

또한 SRX 시리즈 디바이스는 레이어 2 투명 모드에서 다음 Layer 2 기능을 지원하지 않습니다.

  • STP(Spanning Tree Protocol), RSTP 또는 MSTP—네트워크 토폴로지에서 플러딩 루프가 없도록 하는 것은 사용자의 책임입니다.

  • IGMP(Internet Group Management Protocol) 스누핑—IPv4를 위한 Host-to-Router 시그널링 프로토콜은 멀티캐스트 그룹 멤버를 이웃 라우터에 보고하고 IP 멀티캐스팅 중에 그룹 멤버가 있는지 여부를 결정하는 데 사용되었습니다.

  • 802.1Q 패킷("Q in Q" VLAN 태깅이라고도 함) 내에서 캡슐화된 이중 태깅된 VLAN 또는 IEEE 802.1Q VLAN 식별자—SRX 시리즈 디바이스에서 태그가 지정되지 않거나 단일 태깅된 VLAN 식별자만 지원됩니다.

  • VLAN 내에서 학습하는 데 MAC 주소만 사용되는 비정형 VLAN 학습— SRX 시리즈 디바이스에서의 VLAN 학습이 적합합니다. 즉, VLAN 식별자와 MAC 주소가 모두 사용됩니다.

또한 SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 또는 SRX650 디바이스에서는 일부 기능이 지원되지 않습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 달라집니다.) 언급된 장비에서 Layer 2 Transparent 모드에서는 다음과 같은 기능이 지원되지 않습니다.

  • 레이어 2 인터페이스의 G-ARP

  • 모든 인터페이스의 IP 주소 모니터링

  • IRB를 통한 전송 트래픽

  • 라우팅 인스턴스의 IRB 인터페이스

  • 레이어 3 트래픽의 IRB 인터페이스 처리

    주:

    IRB 인터페이스는 의사 인터페이스이며 reth 인터페이스 및 이중화 그룹에 속하지 않습니다.

SRX5000 라인 모듈 포트 컨센트레이터의 Layer 2 Transparent 모드

SRX5000 라인 모듈 포트 컨센트레이터(SRX5K-MPC)는 레이어 2 투명 모드를 지원하고 SRX 시리즈 디바이스가 레이어 2 투명 모드로 구성되면 트래픽을 처리합니다.

SRX5K-MPC가 Layer 2 모드에서 작동하는 경우, SRX5K-MPC의 모든 인터페이스를 레이어 2 스위칭 포트로 구성하여 레이어 2 트래픽을 지원할 수 있습니다.

보안 처리 장치(SPU)는 Layer 2 스위칭 기능에 대한 모든 보안 서비스를 지원하며, MPC는 수신 패킷을 SPU에 제공하고 SPU에 의해 캡슐화된 송신 패킷을 송신 인터페이스로 전달합니다.

SRX 시리즈 디바이스가 Layer 2 Transparent 모드로 구성된 경우, 패밀리 주소 유형이 있는 물리적 인터페이스에서 하나 이상의 논리적 단위를 정의하여 MPC의 인터페이스가 Layer 2 모드에서 작동하도록 할 수 있습니다 Ethernet switching. 나중에 Layer 2 보안 존을 구성하고 Transparent 모드에서 보안 정책을 구성할 수 있습니다. 이 작업이 완료되면 수신 및 송신 패킷을 처리하도록 넥트 홉 토폴로지를 설정합니다.

보안 장치의 Transparent 모드에서 IPv6 플로우 이해

Transparent 모드에서 SRX 시리즈 디바이스는 패킷 MAC 헤더의 소스 또는 대상 정보를 수정하지 않고도 디바이스를 통과하는 패킷을 필터링합니다. Transparent 모드는 라우터 또는 보호된 서버의 IP 설정을 재구성할 필요가 없기 때문에 신뢰할 수 없는 소스에서 주로 트래픽을 수신하는 서버를 보호하는 데 유용합니다.

디바이스의 모든 물리적 인터페이스가 Layer 2 인터페이스로 구성되면 디바이스가 Transparent 모드로 작동합니다. 물리적 인터페이스는 [edit interfaces interface-name unit unit-number family] 계층 수준에서 옵션으로 ethernet-switching논리적 인터페이스를 구성한 경우 Layer 2 인터페이스입니다. 디바이스에서 Transparent 모드를 정의하거나 활성화하는 명령은 없습니다. Layer 2 인터페이스로 정의된 인터페이스가 있을 때 디바이스는 Transparent 모드에서 작동합니다. 모든 물리적 인터페이스가 Layer 3 인터페이스로 구성된 경우 디바이스는 Route 모드(기본 모드)에서 작동합니다.

기본적으로 IPv6 플로우는 보안 장비에 드롭됩니다. 영역, 스크린, 방화벽 정책과 같은 보안 기능을 통해 프로세싱을 활성화하려면 [edit security forwarding-options family inet6] 계층 수준에서 구성 옵션을 사용하여 IPv6 트래픽 mode flow-based 에 대한 플로우 기반 포워딩을 활성화해야 합니다. 모드를 변경할 때 디바이스를 재부팅해야 합니다.

Transparent 모드에서는 레이어 2 존을 구성하여 레이어 2 인터페이스를 호스팅하고 레이어 2 존 간에 보안 정책을 정의할 수 있습니다. 패킷이 Layer 2 존 사이를 이동하는 경우 이러한 패킷에 보안 정책을 적용할 수 있습니다. 투명 모드에서 IPv6 트래픽에 대해 다음과 같은 보안 기능이 지원됩니다.

투명 모드의 IPv6 플로우에는 다음과 같은 보안 기능이 지원 되지 않습니다 .

  • 논리적 시스템

  • IPv6 GTPv2

  • J-Web 인터페이스

  • NAT

  • IPsec VPN

  • DNS, FTP 및 TFTP ALG를 제외하고 다른 모든 ALG는 지원되지 않습니다.

IPv6 플로우에 대한 VLAN 및 레이어 2 논리적 인터페이스 구성은 IPv4 플로우에 대한 VLAN 및 레이어 2 논리적 인터페이스 구성과 동일합니다. VLAN에서 관리 트래픽을 위해 IRB(Integrated Routing and Bridging) 인터페이스를 선택적으로 구성할 수 있습니다. IRB 인터페이스는 Transparent 모드에서 허용되는 유일한 Layer 3 인터페이스입니다. SRX 시리즈 디바이스의 IRB 인터페이스는 트래픽 포워딩 또는 라우팅을 지원하지 않습니다. IRB 인터페이스는 IPv4 및 IPv6 주소로 구성할 수 있습니다. [edit interfaces irb unit number family inet6] 계층 수준에서 address 구성 명령문을 사용하여 IRB 인터페이스에 IPv6 주소를 할당할 수 있습니다. [edit interfaces irb unit number family inet] 계층 수준에서 구성 명령문과 함께 IRB 인터페이스에 address IPv4 주소를 할당할 수 있습니다.

SRX 시리즈 디바이스의 이더넷 스위칭 기능은 주니퍼 네트웍스 MX 시리즈 라우터의 스위칭 기능과 유사합니다. 그러나 MX 시리즈 라우터에서 지원되는 모든 레이어 2 네트워킹 기능이 SRX 시리즈 디바이스에서 지원되는 것은 아닙니다. 이더넷 스위칭 및 레이어 2 Transparent 모드 개요를 참조하십시오.

SRX 시리즈 디바이스는 각 레이어 2 VLAN에 대한 MAC 주소와 관련 인터페이스가 포함된 포워딩 테이블을 유지합니다. IPv6 플로우 처리는 IPv4 플로우와 유사합니다. 를 참조하십시오 VLAN을 위한 레이어 2 학습 및 포워딩 개요.

보안 장치의 Layer 2 Transparent 모드 섀시 클러스터 이해

Layer 2 Transparent 모드의 SRX 시리즈 디바이스 쌍을 섀시 클러스터 에 연결하여 네트워크 노드 이중화를 제공할 수 있습니다. 섀시 클러스터에서 구성되면 한 노드가 기본 디바이스로 작동하고 다른 노드는 보조 디바이스로 작동하여 시스템 또는 하드웨어 장애 발생 시 프로세스 및 서비스의 스테이트풀 페일오버를 보장합니다. 기본 디바이스에 장애가 발생하면 보조 디바이스가 트래픽 처리를 넘겨 받습니다.

주:

Layer 2 Transparent 모드 섀시 클러스터에서 기본 디바이스에 장애가 발생하면 장애가 발생한 장비의 물리적 포트가 활성화되기 전에 몇 초 동안 비활성화(다운)됩니다.

섀시 클러스터를 형성하기 위해 동일한 유형의 지원 SRX 시리즈 디바이스 쌍이 동일한 전체 보안을 적용하는 단일 시스템 역할을 합니다.

Layer 2 Transparent 모드의 디바이스는 active/backup 및 active/active 섀시 클러스터 구성에 구축할 수 있습니다.

다음 섀시 클러스터 기능은 레이어 2 투명 모드의 디바이스에서는 지원되지 않습니다.

  • 무상 ARP—이중화 그룹에서 새로 선출된 기본 기능은 이중화된 Ethernet 인터페이스 링크에서 기본 역할의 변경 사항을 네트워크 장비에 알리도록 무상 ARP 요청을 보낼 수 없습니다.

  • IP 주소 모니터링—업스트림 디바이스의 장애를 감지할 수 없습니다.

이중화 그룹은 두 노드에 있는 객체의 모음을 포함하는 구조입니다. 이중화 그룹은 한 노드에서 기본이고 다른 노드에는 백업이 있습니다. 노드에서 이중화 그룹이 기본인 경우 해당 노드의 객체가 활성 상태입니다. 이중화 그룹에 장애가 발생하면 모든 객체가 함께 페일오버됩니다.

액티브/액티브 섀시 클러스터 구성을 위해 1개에서 128개 이상의 이중화 그룹을 만들 수 있습니다. 각 이중화 그룹에는 하나 이상의 이중화된 Ethernet 인터페이스가 포함되어 있습니다. 이중화된 이더넷 인터페이스는 클러스터의 각 노드에서 물리적 인터페이스를 포함하는 의사 인터페이스입니다. 이중화된 Ethernet 인터페이스의 물리적 인터페이스는 Fast Ethernet 또는 Gigabit Ethernet과 동일해야 합니다. 노드 0에서 이중화 그룹이 활성화된 경우 노드 0상의 모든 관련 이중 Ethernet 인터페이스의 하위 링크가 활성화됩니다. 이중화 그룹이 Node 1에 장애가 발생하면 노드 1의 모든 이중 Ethernet 인터페이스의 하위 링크가 활성화됩니다.

주:

active/active 섀시 클러스터 구성에서 최대 이중화 그룹의 수는 사용자가 구성한 이중화된 이더넷 인터페이스의 수와 같습니다. 액티브/백업 섀시 클러스터 구성에서는 지원되는 최대 이중화 그룹의 수는 2개입니다.

Layer 2 Transparent 모드에서 장비에서 이중화된 Ethernet 인터페이스를 구성하는 것은 Layer 3 route 모드의 장비에서 이중화된 Ethernet 인터페이스를 구성하는 것과 유사하며, 다음과 같은 차이점이 있습니다. Layer 2 Transparent 모드의 장비에서 이중화된 이더넷 인터페이스가 Layer 2 논리적 인터페이스로 구성됩니다.

이중화된 이더넷 인터페이스는 액세스 인터페이스(인터페이스에서 수신되는 언태그드 패킷에 할당된 단일 VLAN ID 포함) 또는 트렁크 인터페이스로 구성될 수 있습니다(인터페이스에서 허용되는 VLAN ID 목록과 인터페이스에서 수신되지 않은 패킷을 위한 네이티브 vlan id 포함). 물리적 인터페이스(섀시 클러스터의 각 노드에서 하나씩)는 상위 이중 이더넷 인터페이스에 대한 하위 인터페이스로 연결됩니다.

Layer 2 Transparent 모드에서 MAC 학습은 이중화된 이더넷 인터페이스를 기반으로 합니다. MAC 테이블은 쌍의 섀시 클러스터 디바이스 간에 이중화된 이더넷 인터페이스와 SPU(Services Processing Unit) 간에 동기화됩니다.

IRB 인터페이스는 관리 트래픽에만 사용되며 이중화된 Ethernet 인터페이스 또는 이중화 그룹에 할당될 수 없습니다.

단일 비정형 디바이스에서 사용할 수 있는 모든 Junos OS 화면 옵션은 Layer 2 Transparent 모드 섀시 클러스터의 디바이스에서 사용할 수 있습니다.

주:

STP(Spanning Tree Protocols)는 Layer 2 Transparent 모드에서는 지원되지 않습니다. 구축 토폴로지에서 루프 연결이 없도록 해야 합니다.

SRX 디바이스에서 대역 외 관리 구성

장비에 Layer 2 인터페이스가 fxp0 정의되어 있더라도 SRX 시리즈 디바이스에서 대역 외 관리 인터페이스를 Layer 3 인터페이스로 구성할 수 있습니다. 인터페이스를 제외하고 fxp0 디바이스의 네트워크 포트에서 레이어 2 및 레이어 3 인터페이스를 정의할 수 있습니다.

주:

SRX300, SRX320 및 SRX550M 디바이스에는 fxp0 대역 외 관리 인터페이스가 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 달라집니다.)

이더넷 스위칭

이더넷 스위칭은 이더넷 MAC 주소 정보를 사용하여 LAN 세그먼트(또는 VLAN) 내 또는 전반에서 이더넷 프레임을 전달합니다. SRX1500 디바이스의 이더넷 스위칭은 ASIC을 사용하여 하드웨어에서 수행됩니다.

Junos OS Release 15.1X49-D40에서 시작하여 Layer 2 Transparent Bridge 모드와 이더넷 스위칭 모드 사이를 전환하는 명령을 사용합니다 set protocols l2-learning global-mode(transparent-bridge | switching) . 모드를 전환한 후에는 구성이 적용되면 디바이스를 재부팅해야 합니다. 표 2 SRX 시리즈 디바이스의 기본 레이어 2 글로벌 모드를 설명합니다.

표 2: SRX 시리즈 디바이스의 기본 레이어 2 글로벌 모드

Junos OS 릴리스

플랫폼

기본 레이어 2 글로벌 모드

상세 내용

Junos OS 릴리스 15.1X49-D50 이전

지원되는

Junos OS 릴리스 17.3R1 이후

SRX300, SRX320, SRX340, and SRX345

스위칭 모드

없음

Junos OS 릴리스 15.1X49-D50 - Junos OS 릴리스 15.1X49-D90

SRX300, SRX320, SRX340, and SRX345

스위칭 모드

디바이스에서 Layer 2 글로벌 모드 구성을 삭제하면 디바이스가 투명 브리지 모드로 표시됩니다.

Junos OS 릴리스 15.1X49-D100 이후

SRX300, SRX320, SRX340, SRX345, SRX550, and SRX550M

스위칭 모드

디바이스에서 Layer 2 글로벌 모드 구성을 삭제하면 디바이스가 스위칭 모드에 있습니다. set protocols l2-learning global-mode transparent-bridge 계층 수준에서 투명 브리지 모드로 전환하도록 명령을 [edit] 구성합니다. 구성이 적용될 수 있도록 디바이스를 재부팅합니다.

Junos OS 릴리스 15.1X49-D50 이후

SRX1500

투명 브리지 모드

없음

스위칭 모드에서 지원되는 Layer 2 프로토콜은 LACP(Link Aggregation Control Protocol)입니다.

이중화된 이더넷 인터페이스에서 Layer 2 Transparent 모드를 구성할 수 있습니다. 이중화된 Ethernet 인터페이스를 정의하려면 다음 명령을 사용합니다.

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX 시리즈 디바이스의 레이어 2 스위칭 예외

SRX 시리즈 디바이스의 스위칭 기능은 주니퍼 네트웍스 MX 시리즈 라우터의 스위칭 기능과 유사합니다. 그러나 MX 시리즈 라우터의 레이어 2 네트워킹 기능은 SRX 시리즈 디바이스에서 지원되지 않습니다.

  • Layer 2 제어 프로토콜—이 프로토콜은 VPLS 라우팅 인스턴스의 고객 에지 인터페이스에서 RSTP(Rapid Spanning Tree Protocol) 또는 MSTP(Multiple Spanning Tree Protocol)를 위한 MX 시리즈 라우터에서 사용됩니다.

  • 가상 스위치 라우팅 인스턴스—가상 스위칭 라우팅 인스턴스는 MX 시리즈 라우터에서 하나 이상의 VLAN을 그룹화하기 위해 사용됩니다.

  • VPLS(Virtual Private LAN Services) 라우팅 인스턴스—VPN의 일련의 사이트 간 P2M(Point-to-Multipoint) LAN 구현을 위해 VPLS 라우팅 인스턴스가 MX 시리즈 라우터에서 사용됩니다.

유니캐스트 이해

유니캐스팅 은 네트워크의 한 노드에서 다른 노드로 데이터를 전송하는 행위입니다. 이와 반대로 멀티캐스트 전송은 한 데이터 노드에서 여러 개의 다른 데이터 노드로 트래픽을 전송합니다.

알 수 없는 유니캐스트 트래픽은 알 수 없는 대상 MAC 주소가 있는 유니캐스트 프레임으로 구성됩니다. 기본적으로 스위치는 VLAN에서 이동하는 유니캐스트 프레임을 VLAN의 구성원인 모든 인터페이스로 플러딩합니다. 이러한 유형의 트래픽을 스위치의 인터페이스로 전달하면 보안 문제가 발생할 수 있습니다. LAN이 갑자기 패킷으로 넘쳐나 불필요한 트래픽이 생성되어 네트워크 성능이 저하되거나 네트워크 서비스가 완전히 손실됩니다. 이는 트래픽 폭풍으로 알려져 있습니다.

폭풍을 방지하기 위해 하나의 VLAN 또는 모든 VLAN을 구성하여 알 수 없는 유니캐스트 트래픽을 특정 트렁크 인터페이스로 전달하여 알 수 없는 유니캐스트 패킷을 모든 인터페이스로 플러딩하지 않도록 설정할 수 있습니다. (이 채널은 알 수 없는 유니캐스트 트래픽을 단일 인터페이스로 연결합니다.)

스위치상의 Layer 2 브로드캐스팅 이해

Layer 2 네트워크에서 브로드캐스팅 은 네트워크의 모든 노드로 트래픽을 전송하는 것을 의미합니다.

Layer 2 브로드캐스트 트래픽은 LAN(Local Area Network) 경계 내에 유지됩니다. 브로드캐스트 도메인이라고 합니다. Layer 2 브로드캐스트 트래픽은 FF:FF:FF:FF:FF:FF:FF의 MAC 주소를 사용하여 브로드캐스트 도메인으로 전송됩니다. 브로드캐스트 도메인의 모든 디바이스는 이 MAC 주소를 인식하고 해당되는 경우 브로드캐스트 도메인의 다른 장치로 브로드캐스트 트래픽을 전달합니다. 브로드캐스팅을 유니캐스팅(단일 노드로 트래픽 전송) 또는 멀티캐스팅(트래픽을 노드 그룹에 동시에 제공)과 비교할 수 있습니다.

그러나 Layer 3 브로드캐스트 트래픽은 브로드캐스트 네트워크 주소를 사용하여 네트워크의 모든 장치로 전송됩니다. 예를 들어 네트워크 주소가 10.0.0.0인 경우 브로드캐스트 네트워크 주소는 10.255.255.255입니다. 이 경우 10.0.0.0.0 네트워크에 속한 장치만 Layer 3 브로드캐스트 트래픽을 수신합니다. 이 네트워크에 속하지 않는 장치는 트래픽을 드롭합니다.

브로드캐스트는 다음과 같은 상황에서 사용됩니다.

  • ARP(Address Resolution Protocol)는 브로드캐스팅을 사용하여 MAC 주소를 IP 주소에 매핑합니다. ARP는 IP 주소(논리적 주소)를 올바른 MAC 주소에 동적으로 바인딩합니다. IP 유니캐스트 패킷을 전송하기 전에 ARP는 IP 주소가 구성된 이더넷 인터페이스에서 사용하는 MAC 주소를 발견합니다.

  • DHCP(Dynamic Host Configuration Protocol)는 브로드캐스트를 사용하여 네트워크 세그먼트 또는 서브넷의 호스트에 IP 주소를 동적으로 할당합니다.

  • 라우팅 프로토콜은 브로드캐스트를 사용하여 경로를 광고합니다.

과도한 브로드캐스트 트래픽이 브로드캐스트 폭풍을 일으킬 수 있습니다. 메시지가 네트워크에서 브로드캐스트되고 각 메시지가 수신 노드가 네트워크에서 자체 메시지를 브로드캐스트하여 응답하라는 메시지를 표시하면 브로드캐스트 스톰이 발생합니다. 이것은 차례로, 눈덩이 효과를 만드는 추가 응답을 프롬프트. LAN이 갑자기 패킷으로 넘쳐나 불필요한 트래픽이 생성되어 네트워크 성능이 저하되거나 네트워크 서비스가 완전히 손실됩니다.

향상된 레이어 2 소프트웨어 CLI 사용

ELS(Enhanced Layer 2 Software)는 QFX 시리즈 스위치, EX 시리즈 스위치 및 MX 시리즈 라우터와 같은 기타 주니퍼 네트웍스 장치에서 Layer 2 기능을 구성하고 모니터링하기 위한 일관된 CLI를 제공합니다. ELS를 사용하면 모든 주니퍼 네트웍스 디바이스에서 동일한 방식으로 레이어 2 기능을 구성할 수 있습니다.

이 주제는 플랫폼이 ELS를 실행하는지 파악하는 방법을 설명합니다. 또한 ELS 구성 스타일을 사용하여 몇 가지 일반적인 작업을 수행하는 방법에 대해서도 설명합니다.

ELS를 지원하는 장비 이해

ELS는 디바이스가 이를 지원하는 Junos OS 릴리스를 실행하는 경우 자동으로 지원됩니다. ELS를 활성화하기 위한 어떠한 조치도 취할 필요가 없으며 ELS를 비활성화할 수는 없습니다. ELS를 지원하는 플랫폼 및 릴리스에 대한 정보는 Feature Explorer 를 참조하십시오.

ELS를 사용하여 레이어 2 기능을 구성하는 방법 이해

ELS는 일관된 CLI를 제공하기 때문에 지원되는 디바이스에서 동일한 방식으로 다음 작업을 수행할 수 있습니다.

VLAN 구성

하나 이상의 VLAN을 구성하여 레이어 2 브리징을 수행할 수 있습니다. Layer 2 브리징 기능에는 동일한 인터페이스에서 Layer 2 브리징 및 레이어 3 IP 라우팅을 지원하기 위한 IRB(Integrated Routing and Bridging)가 포함됩니다. EX 시리즈 및 QFX 시리즈 스위치는 동일한 레이어 2 네트워크에 참여하는 여러 브리징 또는 브로드캐스트 도메인을 갖춘 레이어 2 스위치로 기능할 수 있습니다. VLAN에 대한 레이어 3 라우팅 지원을 구성할 수도 있습니다.

VLAN을 구성하려면 다음을 수행합니다.

  1. 고유의 VLAN 이름을 설정하고 VLAN ID를 구성하여 VLAN을 생성합니다.

    VLAN ID 목록 옵션을 사용하여 원하는 범위의 VLAN ID를 지정할 수 있습니다.

  2. VLAN에 하나 이상의 인터페이스를 할당합니다.

네이티브 VLAN 식별자 구성

EX 시리즈 및 QFX 시리즈 스위치는 802.1Q VLAN 태그가 있는 라우팅 또는 브리징된 이더넷 프레임의 수신 및 포워딩을 지원합니다. 일반적으로 트렁크 포트는 스위치를 서로 연결하며, 태그가 지정되지 않은 제어 패킷을 허용하지만, 태그가 지정되지 않은 데이터 패킷은 허용하지 않습니다. 태그가 지정되지 않은 데이터 패킷을 수신할 인터페이스에서 네이티브 VLAN ID를 구성하여 트렁크 포트에서 태그가 지정되지 않은 데이터 패킷을 허용하도록 할 수 있습니다.

네이티브 VLAN ID를 구성하려면 다음을 수행합니다.

  1. 태그가 지정되지 않은 데이터 패킷을 수신하려는 인터페이스에서 인터페이스 모드 trunk를 설정합니다. 인터페이스가 여러 VLAN에 있고 서로 다른 VLAN 간에 트래픽을 멀티플렉싱할 수 있도록 지정합니다.
  2. 네이티브 VLAN ID를 구성하고 기본 VLAN ID에 인터페이스를 할당합니다.
  3. 네이티브 VLAN ID에 인터페이스 할당:

레이어 2 인터페이스 구성

트래픽이 많은 네트워크가 최적의 성능을 발휘하도록 조정하려면 스위치의 네트워크 인터페이스에 일부 설정을 명시적으로 구성하십시오.

기가비트 이더넷 인터페이스 또는 10기가비트 이더넷 인터페이스를 인터페이스로 trunk 구성하려면 다음을 수행합니다.

기가비트 이더넷 인터페이스 또는 10기가비트 이더넷 인터페이스를 인터페이스로 access 구성하려면 다음을 수행합니다.

VLAN에 인터페이스를 할당하려면 다음을 수행합니다.

레이어 3 인터페이스 구성

레이어 3 인터페이스를 구성하려면 인터페이스에 IP 주소를 할당해야 합니다. 프로토콜 제품군을 구성할 때 주소를 지정하여 인터페이스에 주소를 할당합니다. 또는 inet6 제품군의 inet 경우 인터페이스 IP 주소를 구성합니다.

32비트 IP 버전 4(IPv4) 주소로 인터페이스를 구성하고, 서브넷 마스크라고도 하는 대상 접두사에서 인터페이스를 구성할 수 있습니다. IPv4 주소는 4-옥텟 점선 10진수 주소 구문을 사용합니다(예: 192.168.1.1). 대상 접두어가 있는 IPv4 주소는 대상 접두사(예: 192.168.1.1/16)가 추가된 4-옥텟 점선 10진수 주소 구문을 사용합니다.

논리적 단위에 대한 IP4 주소를 지정하려면 다음을 수행합니다.

결장이 분리된 16비트 값 목록을 사용하여 16진수 표기법으로 IP 버전 6(IPv6) 주소를 나타냅니다. 인터페이스에 128비트 IPv6 주소를 할당합니다.

논리적 단위에 대한 IP6 주소를 지정하려면 다음을 수행합니다.

IRB 인터페이스 구성

IRB(Integrated Routing and Bridging)는 동일한 인터페이스에서 Layer 2 브리징 및 레이어 3 IP 라우팅을 지원합니다. IRB를 사용하면 패킷을 다른 라우팅 인터페이스 또는 Layer 3 프로토콜이 구성된 다른 VLAN으로 라우팅할 수 있습니다. IRB 인터페이스를 통해 장비는 로컬 주소로 전송되는 패킷을 인식할 수 있으므로 가능할 때마다 브리징(스위치)을 주고 받고 필요할 때만 라우팅됩니다. 라우팅 대신 패킷을 전환할 때마다 여러 계층의 프로세싱이 제거됩니다. irb라는 인터페이스는 VLAN에 대한 레이어 3 논리적 인터페이스를 구성할 수 있는 논리적 라우터 역할을 합니다. 이중화를 위해 IRB 인터페이스와 브리징 및 VPLS(Virtual Private LAN Service) 환경에서 VRRP(Virtual Router Redundancy Protocol) 구현을 결합할 수 있습니다.

IRB 인터페이스를 구성하려면 다음을 수행합니다.

  1. 이름과 VLAN ID를 할당하여 레이어 2 VLAN을 생성합니다.
  2. IRB 논리적 인터페이스 생성:
  3. IRB 인터페이스와 VLAN 연결:

통합 이더넷 인터페이스 구성 및 해당 인터페이스에서 LACP 구성

링크 어그리게이션 기능을 사용하여 하나 이상의 링크를 집계하여 가상 링크 또는 LAG(Link Aggregation Group)를 형성합니다. MAC 클라이언트는 이 가상 링크를 마치 단일 링크처럼 취급하여 대역폭을 늘리고 장애가 발생할 때 graceful degradation을 제공하며 가용성을 높일 수 있습니다.

통합 Ethernet 인터페이스를 구성하려면 다음을 수행합니다.

  1. 생성할 통합 Ethernet 인터페이스 수를 지정합니다.
  2. 링크 어그리게이션 그룹 인터페이스의 이름을 지정합니다.
  3. 집계된 Ethernet 인터페이스(aex)를 위한 최소 링크 개수(즉, 정의된 번들)를 레이블링할 링크를 지정합니다.
  4. 어그리게이션된 Ethernet 번들의 링크 속도를 지정합니다.
  5. 어그리게이션된 Ethernet 번들에 포함할 멤버를 지정합니다.
  6. 어그리게이션된 Ethernet 번들에 대한 인터페이스 제품군을 지정합니다.

장비의 통합 이더넷 인터페이스의 경우 LACP(Link Aggregation Control Protocol)를 구성할 수 있습니다. LACP는 하나의 논리적 인터페이스를 형성하기 위해 여러 물리적 인터페이스를 번들합니다. LACP를 사용하거나 사용하지 않고 통합된 이더넷을 구성할 수 있습니다.

LACP가 활성화되면, 어그리게이션된 이더넷 링크의 로컬 및 원격 측은 링크 상태에 대한 정보를 포함하는 PDU(Protocol Data Unit)를 교환합니다. 이더넷 링크를 구성하여 PDU를 적극적으로 전송하거나, 수동적으로 전송하도록 링크를 구성하여 다른 링크에서 PDU를 수신할 때만 LACP PDU를 전송할 수 있습니다. 링크의 한쪽은 링크가 가동되도록 활성으로 구성해야 합니다.

LACP를 구성하려면 다음을 수행합니다.

  1. 어그리게이션된 Ethernet 링크의 한쪽을 활성으로 사용:

  2. 인터페이스가 LACP 패킷을 보내는 간격을 지정합니다.

ELS 구성 명령문 및 명령 변경 이해하기

ELS는 EX9200 스위치용 Junos OS 릴리스 12.3R2에서 출시되었습니다. ELS는 지원되는 EX 시리즈 및 QFX 시리즈 스위치의 레이어 2 기능 중 일부에 대해 CLI를 변경합니다.

다음 섹션에서는 CLI 향상 노력의 일환으로 새로운 계층 수준으로 이동되거나 EX 시리즈 스위치에서 변경된 기존 명령어 목록을 제공합니다. 이 섹션은 상위 수준의 참조 자료로만 제공됩니다. 이러한 명령에 대한 자세한 내용은 제공된 구성 명령문에 대한 링크를 사용하거나 기술 문서를 참조하십시오.

이더넷 스위칭 옵션 계층 수준 변경

이 섹션에서는 계층 수준에 대한 변경을 ethernet-switching-options 개략적으로 설명합니다.

주:

ethernet-switching-options 계층 수준이 으로 switch-options이름이 변경되었습니다.

표 3: 이더넷 스위칭 옵션 계층의 이름 바꾸기

원래 계층

변경된 계층

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
표 4: RTG 명령문

원래 계층

변경된 계층

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
표 5: 삭제된 명령문

원래 계층

변경된 계층

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

명령문은 계층에서 switch-options 제거되었습니다.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

명령문은 계층에서 switch-options 제거되었습니다.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
주:

명령문이 port-error-disable 새로운 명령문으로 대체되었습니다.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

포트 미러링 계층 수준 변경

주:

명령문이 계층 수준에서 계층 수준으로 forwarding-options 이동 ethernet-switching-options 했습니다.

표 6: 포트 미러링 계층

원래 계층

변경된 계층

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Layer 2 제어 프로토콜 계층 수준 변경

Layer 2 제어 프로토콜 명령문이 계층에서 ethernet-switching-options 계층으로 protocols 이동했습니다.

표 7: Layer 2 제어 프로토콜

원래 계층

변경된 계층

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

dot1q-tunneling Statement 변경

명령문이 dot1q-tunneling 새로운 명령문으로 대체되고 다른 계층 수준으로 이동되었습니다.

표 8: dot1q-tunneling

원래 계층

변경된 계층

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

L2 학습 프로토콜 변경

명령문이 mac-table-aging-time 새로운 명령문으로 대체되고 다른 계층 수준으로 이동되었습니다.

표 9: mac-table-aging-time 명령문

원래 계층

변경된 계층

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

무정지 브리징 변경

명령 nonstop-bridging 문은 다른 계층 수준으로 이동했습니다.

표 10: 무상 브리징(Nonstop Bridging) 명령문

원래 계층

변경된 계층

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

포트 보안 및 DHCP 스누핑 변경

포트 보안 및 DHCP 스누핑 명령문이 서로 다른 계층 수준으로 이동했습니다.

주:

명령문 examine-dhcp 은 변경된 계층에 존재하지 않습니다. 이제 다른 DHCP 보안 기능이 VLAN에서 활성화되면 DHCP 스누핑이 자동으로 활성화됩니다. 추가 정보는 ELS(Configuring Port Security) 를 참조하십시오.

표 11: 포트 보안 명령문

원래 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
팁:

허용된 mac 구성을 위해 원래 계층 명령 set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 문이 ELS 명령어로 대체됨 set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

주:

DHCP 스누핑 명령문은 다른 계층 수준으로 이동했습니다.

표 12: DHCP 스누핑 명령문

원래 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

VLAN 구성 변경

VLAN 구성을 위한 명령문이 다른 계층 수준으로 이동했습니다.

주:

EX4300 및 EX4600 스위치용 Junos OS 릴리스 14.1X53-D10부터 xSTP를 활성화할 때 VLAN에 포함된 일부 또는 전체 인터페이스에서 활성화할 수 있습니다. 예를 들어, VLAN 100을 인터페이스 ge-0/0/0/0, ge-0/0/1 및 ge-0/0/2 인터페이스를 포함하도록 구성하고 인터페이스 ge-0/0/0 및 ge-0/0/2에서 MSTP를 활성화하려는 경우 및 set protocols mstp interface ge-0/0/2 명령을 지정할 set protocols mstp interface ge-0/0/0 수 있습니다. 이 예에서는 인터페이스 ge-0/0/1에서 MSTP를 명시적으로 활성화하지 않았습니다. 따라서 MSTP는 이 인터페이스에서 활성화되지 않습니다.

표 13: VLAN 계층

원래 계층

변경된 계층

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
주:

명령문이 새로운 명령문으로 대체되고 다른 계층 수준으로 이동되었습니다.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

이러한 진술은 제거되었습니다. 계층을 사용하여 VLAN에 인터페이스를 할당할 [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] 수 있습니다.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

명령문이 제거되었습니다.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
주:

구문이 변경되었습니다.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

문이 제거됩니다. 수신 트래픽은 자동으로 추적됩니다.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

문이 제거됩니다.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

명령문이 다른 계층으로 이동되었습니다.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

문이 제거되었습니다.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

문이 제거됩니다.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
주:

성명서가 새로운 명령문으로 대체되었습니다.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
주:

구문이 변경되었습니다.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
표 14: 명령문이 다른 계층으로 이동

원래 계층

변경된 계층

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

용:dot1q-tunneling

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

( layer2-protocol-tunneling 인터페이스에서 MAC 재작성):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Storm Control Profiles 변경

스톰 컨트롤은 두 단계로 구성됩니다. 첫 번째 단계는 계층 수준에서 스톰 컨트롤 프로파일 [edit forwarding-options] 을 생성하는 것이며, 두 번째 단계는 프로파일을 계층 레벨의 [edit interfaces] 논리적 인터페이스에 바인딩하는 것입니다. 예제 보기 : 변경된 절차를 위해 EX 시리즈 스위치 에서 네트워크 중단을 방지하기 위한 스톰 컨트롤 구성

표 15: Storm Control Profile 계층 수준 변경

원래 계층

변경된 계층

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

인터페이스 계층의 변경

주:

명령문이 다른 계층으로 이동되었습니다.

표 16: 인터페이스 계층의 변경

원래 계층

변경된 계층

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
주:

성명서가 새로운 명령문으로 대체되었습니다.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
주:

성명서가 새로운 명령문으로 대체되었습니다.

interfaces irb

IGMP 스누핑 변경 사항

표 17: IGMP 스누핑 계층

원래 계층

변경된 계층

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

강화된 레이어 2 CLI 구성 명령문 및 보안 장비에 대한 명령 변경

Junos OS 릴리스 15.1X49-D10 및 Junos OS Release 17.3R1부터 일부 레이어 2 CLI 구성 명령문이 향상되고 일부 명령문이 변경되었습니다. 표 18표 19 CLI 개선 노력의 일환으로 SRX 시리즈 디바이스에서 새로운 계층으로 이동되거나 변경된 기존 명령어 목록을 제공합니다. 테이블은 상위 수준의 참조로만 제공됩니다. 이러한 명령에 대한 자세한 내용은 CLI Explorer를 참조하십시오.

표 18: 향상된 Layer 2 구성 명령문 변경

원래 계층

변경된 계층

계층 수준

변경 설명

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[편집]

계층의 이름이 변경되었습니다.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[vlans vlans 이름 편집]

명령문의 이름이 변경되었습니다.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[vlans vlans 이름 편집]

명령문의 이름이 변경되었습니다.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[보안 플로우 편집]

명령문의 이름이 변경되었습니다.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[편집 인터페이스 인터페이스 이름 ] 단위 번호

계층의 이름이 변경되었습니다.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[vlans vlans 이름 편집]

명령문의 이름이 변경되었습니다.

표 19: 강화된 레이어 2 운영 명령 변경

원래 운영 명령

수정된 운영 명령

clear bridge mac-table

clear Ethernet 스위칭 테이블

clear Bridge mac-table 영구 학습

clear Ethernet 스위칭 테이블 영구 학습

브리지 도메인을 표시합니다.

vlans 표시

브리지 mac 테이블 표시

이더넷 스위칭 테이블을 보여줘

l2 학습 인터페이스 표시

이더넷 스위칭 인터페이스를 보여 줘요.

주:

SRX300, SRX320 및 SRX500HM 디바이스에는 fxp0 대역 외 관리 인터페이스가 없습니다. (플랫폼 지원은 설치 시 Junos OS 릴리스에 따라 달라집니다.)

ACX 시리즈용 레이어 2 차세대 모드

LAYER 2 ELS(Enhanced Layer 2 Software)라고도 하는 레이어 2 차세대 모드는 레이어 2 기능을 구성하기 위해 ACX5048, ACX5096 및 ACX5448 라우터에서 지원됩니다. ACX5048, ACX5096 및 ACX5448 라우터의 레이어 2 CLI 구성 및 표시 명령은 다른 ACX 시리즈 라우터(ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 및 ACX4000) 및 MX 시리즈 라우터의 경우와 다릅니다.

표 20 Layer 2 차세대 모드에서 Layer 2 기능을 구성하기 위한 CLI 계층의 차이점을 보여줍니다.

표 20: Layer 2 차세대 모드의 Layer 2 기능에 대한 CLI 계층의 차이

기능

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 및 MX 시리즈 라우터

ACX5048, ACX5096 및 ACX5448 라우터

브리지 도메인

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

가족 bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

레이어 2 옵션

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

이더넷 옵션

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

IRB(Integrated Routing and Bridging)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

스톰 컨트롤

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

IGMP(Internet Group Management Protocol) 스누핑

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

패밀리 bridge 방화벽 필터

[edit firewall family bridge]

[edit firewall family ethernet-switching]

표 21 Layer 2 차세대 모드에서 show Layer 2 기능에 대한 명령어의 차이점을 보여줍니다.

표 21: Layer 2 차세대 모드의 Layer 2 기능에 대한 show 명령어의 차이점

기능

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 및 MX 시리즈 라우터

ACX5048, ACX5096 및 ACX5448 라우터

VLAN

show bridge-domain

show vlans

MAC 테이블

show bridge mac-table

show ethernet-switching table

MAC 테이블 옵션

show bridge mac-table(MAC 주소, 브리지 도메인 이름, 인터페이스, VLAN ID 및 인스턴스)

show ethernet-switching table

VLAN 할당이 포함된 스위치 포트 목록

show l2-learning interface

show ethernet-switching interfaces

플러시 데이터베이스의 커널 상태

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

출시 내역 표
릴리스
설명
15.1X49-D40
Junos OS Release 15.1X49-D40에서 시작하여 Layer 2 Transparent Bridge 모드와 이더넷 스위칭 모드 사이를 전환하는 명령을 사용합니다 set protocols l2-learning global-mode(transparent-bridge | switching) .
15.1X49-D10
Junos OS 릴리스 15.1X49-D10 및 Junos OS Release 17.3R1부터 일부 레이어 2 CLI 구성 명령문이 향상되고 일부 명령문이 변경되었습니다.