Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Redes de capa 2

Descripción general de las redes de capa 2

La capa 2, también conocida como Capa de vínculo de datos, es el segundo nivel del modelo de referencia OSI de siete niveles para el diseño de protocolos de red. La capa 2 es equivalente a la capa de vínculo (la capa inferior) del modelo de red TCP/IP. Layer2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos de la misma red de área local.

Un marco es una unidad de datos de protocolo, la unidad más pequeña de bits en una red de capa 2. Las tramas se transmiten a los dispositivos de la misma red de área local (LAN) y se reciben de ellos? Unilke de bits, los marcos tienen una estructura definida y se pueden usar para la detección de errores, las actividades del plano de control, etc. No todas las tramas contienen datos de usuario. La red utiliza algunos marcos para controlar el propio vínculo de datos..

En la capa 2, unidifusión se refiere a enviar tramas desde un nodo a un único nodo, mientras que la multidifusión denota el envío de tráfico de un nodo a varios nodos, mientras que la transmisión se refiere a la transmisión de tramas a todos los nodos de una red. Un dominio de difusión es una división lógica de una red en la que una difusión puede alcanzar todos los nodos de esa red en la capa 2.

Los segmentos de una LAN se pueden vincular en el nivel de fotograma mediante puentes. La combinación de puentes crea dominios de difusión independientes en la LAN, lo que crea VLAN, que son redes lógicas independientes que agrupan los dispositivos relacionados en segmentos de red independientes. La agrupación de dispositivos en una VLAN es independiente de la ubicación física de los dispositivos en la LAN. Sin puentes y VLAN, todos los dispositivos de la LAN Ethernet se encuentran en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes de la LAN.

El reenvío consiste en la transmisión de paquetes de un segmento de red a otro por los nodos de la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía únicamente dentro de la VLAN local. Un segmento de red es una parte de una red de equipos, en la que todos los dispositivos se comunican utilizando la misma capa física.

La capa 2 contiene dos subcapas:

  • Subcapa de control de vínculo lógico (LLC), que es responsable de administrar los vínculos de comunicaciones y controlar el tráfico de las tramas.

  • Subcapas de control de acceso al medio (MAC), que controla el acceso de protocolos al medio físico de la red. Mediante el uso de las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos del mismo vínculo físico pueden identificarse de manera exclusiva.

    Los puertos, o interfaces, de un conmutador funcionan en modo de acceso, acceso con etiqueta o modo de troncal:

    • Los puertos del modo de acceso se conectan a un dispositivo de red como un equipo de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso.

    • Los puertos del modo de acceso etiquetado se conectan a un dispositivo de red, como un equipo de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso. El modo de acceso etiquetado admite la informática en la nube, en concreto, escenarios, incluidas máquinas virtuales o equipos virtuales. Dado que se pueden incluir varios equipos virtuales en un solo servidor físico, los paquetes generados por un servidor pueden contener una adición de paquetes de VLAN de diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso etiquetado refleja los paquetes de regreso al servidor físico en el mismo puerto de dirección descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se vuelven a reflejar en el servidor físico del puerto de salida de flujo cuando aún no se ha aprendido el destino. Por lo tanto, el tercer modo de interfaz, el acceso con etiquetas, tiene algunas características del modo de acceso y algunas características del modo de tronco:

    • Los puertos del modo de tronco administran el tráfico de varias VLAN, lo que multiplexa el tráfico de todas esas VLAN sobre la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores a otros dispositivos o switches.

      Con la VLAN nativa configurada, los fotogramas que no contienen etiquetas de VLAN se envían a través de la interfaz troncal. Si tiene una situación en la que los paquetes pasan de un dispositivo a un conmutador en modo de acceso, y desea enviar esos paquetes desde el conmutador a través de un puerto troncal, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que se encuentra en modo de acceso) como una VLAN nativa. Luego, el puerto de troncalización del conmutador tratará esas tramas de manera diferente a los otros paquetes etiquetados. Por ejemplo, si un puerto de enlace tiene tres VLAN, 10, 20 y 30, asignadas con una VLAN 10 que es la VLAN nativa, los fotogramas en VLAN 10 que dejen el puerto de enlace en el otro extremo no tienen encabezado (etiqueta) 802.1 Q. Existe otra opción de VLAN nativa. Puede hacer que el conmutador agregue o quite etiquetas para los paquetes sin etiquetar. Para ello, configure primero la VLAN como una VLAN nativa en un puerto conectado a un dispositivo del perímetro. A continuación, asigne una etiqueta VLAN ID a la VLAN nativa en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto troncal. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el identificador que especificó y envía y recibe los paquetes etiquetados del puerto de enlace configurado para aceptar dicha VLAN.

Al incluir las subcapas, la capa 2 del serie QFX admite la siguiente funcionalidad:

  • Tráfico de unidifusión, multidifusión y difusión.

  • Denodadamente.

  • VLAN 802.1Q: también conocido como etiquetado VLAN,este protocolo permite que varias redes por puente compartan de forma transparente el mismo vínculo de red físico agregando etiquetas VLAN a una trama Ethernet.

  • Extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) evita el bucle a través de la red.

  • Aprendizaje de MAC,incluido el aprendizaje de MAC por VLAN y la supresión de aprendizaje de capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red

  • Agregación de vínculos: este proceso agrupa las interfaces Ethernet en la capa física para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete LAG

    Nota:

    La agregación de vínculos no se admite en dispositivos NFX150.

  • Control de tormentas en el puerto físico de unidifusión, multidifusión y difusión

    Nota:

    No se admite Storm control en dispositivos NFX150.

  • Compatibilidad con STP, incluidas 802.1 d, RSTP, MSTP y root Guard

Conmutación Ethernet y modo transparente de capa 2

El modo transparente de capa 2 proporciona la capacidad de implementar el Firewall sin hacer cambios en la infraestructura de enrutamiento existente. El cortafuegos se implementa como un conmutador de capa 2 con varios segmentos de VLAN y proporciona servicios de seguridad dentro de los segmentos de VLAN. El cable seguro es una versión especial del modo transparente de capa 2 que permite la implementación de golpes en el cable.

Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de enrutamiento (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.

En el caso de los dispositivos serie SRX, el modo transparente proporciona servicios de seguridad completos para las capacidades de conmutación de capa 2. En estos serie SRX dispositivos, puede configurar una o más redes VLAN para llevar a cabo conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o varios puertos de varios dispositivos. Por lo tanto, el dispositivo serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.

En el modo transparente, el dispositivo de serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados de los paquetes IP. El modo transparente resulta útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar las opciones IP de los enrutadores o servidores protegidos.

En el modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No Enrute el tráfico de la capa 3 a través del dispositivo. Las zonas de capa 2 pueden configurarse para alojar interfaces de capa 2 y se pueden definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden imponer políticas de seguridad en estos paquetes.

Tabla 1enumera las características de seguridad que se admiten y que no se admiten en el modo transparente para la conmutación de capa 2.

Tabla 1: Características de seguridad compatibles con el modo transparente

Tipo de modo

Posible

No compatible

Modo transparente

  • Puertas de enlace de Capa de aplicación (ALGs)

  • Autenticación de usuario firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Administración unificada de amenazas (UTM)

  • Traducción de la dirección de red (NAT)

  • VIRTUALES

Nota:

En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en el modo transparente de capa 2.

Además, los dispositivos serie SRX no admiten las siguientes características de capa 2 en modo transparente de capa 2:

  • Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existen bucles de inundación en la topología de red.

  • Espionaje del Protocolo de administración de grupo de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 que se usa para informar sus membresías de grupo de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.

  • VLAN con doble etiqueta o IEEE identificadores VLAN 802.1Q encapsulados en paquetes 802.1Q (también denominados etiquetado VLAN "Q en Q"): solo se admiten identificadores VLAN sin etiquetar o con una sola etiqueta en dispositivos serie SRX.

  • Aprendizaje de VLAN no calificado, donde solo se usa la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en dispositivos de la serie SRX está calificado; es decir, se utilizan tanto el identificador de VLAN como la dirección MAC.

Asimismo, en SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o dispositivos SRX650, algunas características no se admiten. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación). Las siguientes características no se admiten para el modo transparente de capa 2 en los dispositivos mencionados:

  • G-ARP en la interfaz de capa 2

  • Supervisión de direcciones IP en cualquier interfaz

  • Tránsito de tráfico a través de IRB

  • Interfaz IRB en una instancia de enrutamiento

  • Manejo de la interfaz IRB del tráfico de capa 3

    Nota:

    La interfaz IRB es una pseudointerface y no pertenece a la interfaz Reth y al grupo de redundancia.

Modo transparente de capa 2 en el módulo de línea SRX5000 del concentrador de Puerto

El concentrador de puerto del módulo de línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el dispositivo serie SRX se configura en modo transparente de capa 2.

Cuando SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces en el SRX5K-MPC como puertos conmutación de capa 2 para admitir el tráfico de capa 2.

La unidad de procesamiento de seguridad (SPU) soporta todos los servicios de seguridad para las funciones de conmutación de capa 2, y la MPC ofrece los paquetes de entrada a la SPU y reenvía los paquetes de salida encapsulados por la SPU a las interfaces de salida.

Cuando el dispositivo serie SRX se configura en el modo transparente de capa 2, puede permitir que las interfaces de la MPC funcionen en el modo de capa 2 definiendo una o más unidades lógicas en una interfaz física con Ethernet switchingel tipo de dirección de familia como. Más adelante podrá configurar las zonas seguridad de capa 2 y configurar políticas de seguridad en el modo transparente. Una vez hecho esto, las topologías de salto siguiente se configuran para procesar los paquetes de entrada y salida.

Descripción de los flujos IPv6 en modo transparente en dispositivos de seguridad

En el modo transparente, el dispositivo serie SRX filtra paquetes que atraviesan el dispositivo sin modificar ninguna información de origen o de destino en los encabezados del paquete de MAC. El modo transparente resulta útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar las opciones IP de los enrutadores o servidores protegidos.

Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo se configuran como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 Si su interfaz lógica está configurada con la ethernet-switching opciónedit interfaces interface-name unit unit-number familyen el nivel de jerarquía []. No hay ningún comando para definir o activar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de enrutamiento (el modo predeterminado) si todas las interfaces físicas se configuran como interfaces de capa 3.

De forma predeterminada, los flujos IPv6 se eliminan en los dispositivos de seguridad. Para permitir el procesamiento por parte de características de seguridad tales como zonas, pantallas y políticas de firewall, debe habilitar el reenvío basado en flujo para mode flow-based el tráfico de IPv6 conedit security forwarding-options family inet6la opción de configuración en el nivel de jerarquía []. Debe reiniciar el dispositivo cuando cambie el modo.

En el modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y puede definir directivas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden imponer políticas de seguridad en estos paquetes. Las siguientes características de seguridad son compatibles con el tráfico IPv6 en el modo transparente:

Las siguientes características de seguridad no son compatibles con los flujos IPv6 en el modo transparente:

  • Los sistemas lógicos

  • IPv6 GTPv2

  • Interfaz de J-Web

  • TDR

  • IPsec VPN

  • A excepción de ALGs DNS, FTP y TFTP, no se admiten los demás ALGs.

La configuración de VLAN y las interfaces lógicas de capa 2 para flujos IPv6 es lo mismo que configurar VLAN e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de puente y enrutamiento integrados (IRB) para el tráfico de administración en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB del dispositivo de serie SRX no es compatible con el enrutamiento o reenvío de tráfico. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la address instrucción de configuración en el niveledit interfaces irb unit number family inet6de jerarquía []. Puede asignar una dirección IPv4 para la interfaz IRB con la address instrucción de configuración en el niveledit interfaces irb unit number family inetde jerarquía [].

Las funciones de conmutación de Ethernet de serie SRX dispositivos son similares a las características de conmutación de los enrutadores serie MX Juniper Networks. Sin embargo, no todas las características de red de capa 2 que se admiten en enrutadores serie MX son compatibles con serie SRX dispositivos. Consulte Conmutación Ethernet y modo transparente de capa 2la.

El dispositivo serie SRX mantiene las tablas de reenvío que contienen direcciones MAC y las interfaces asociadas para cada VLAN de capa 2. El procesamiento de flujo de IPv6 es similar a los flujos IPv4. Consulte Descripción general del aprendizaje y reenvío de capa 2 para redes VLANla.

Descripción de los clústeres del chasis en modo transparente de capa 2 en dispositivos de seguridad

Se puede conectar un par de dispositivos serie SRX en el modo transparente de capa 2 en un clúster de chasis para proporcionar redundancia de nodos de red. Cuando se configura en un clúster del chasis, un nodo actúa como el dispositivo principal y el otro como dispositivo secundario, lo que garantiza la conmutación por error de los procesos y servicios en caso de producirse un fallo del sistema o del hardware. Si se produce un error en el dispositivo primario, el dispositivo secundario asume el procesamiento del tráfico.

Nota:

Si se produce un fallo en el dispositivo primario en un cluster de chasis de modo transparente de capa 2, los puertos físicos del dispositivo averiado pasan a estar inactivos durante unos segundos antes de que pasen a estar activos (aparecer) de nuevo.

Para formar un clúster de chasis, se combina un par de la misma clase de dispositivos serie SRX compatibles, que actúa como un único sistema que aplica la misma seguridad general.

Los dispositivos del modo transparente de capa 2 se pueden implementar en configuraciones de clústeres de chasis activo/activo y en Active/Active.

Los dispositivos del modo transparente de capa 2 no admiten las siguientes características de clúster en el chasis:

  • ARP gratuito: el primario recién elegido en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red de un cambio en la función principal en los vínculos de interfaz Ethernet redundantes.

  • Supervisión de dirección IP: no se puede detectar una falla en un dispositivo ascendente.

Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es principal en un nodo y una copia de seguridad en el otro. Cuando un grupo de redundancia es principal en un nodo, sus objetos están activos en dicho nodo. Cuando un grupo de redundancia conmuta por error, todos sus objetos conmutarán por error juntos.

Puede crear uno o varios grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es un pseudointerface que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas en una interfaz Ethernet redundante deben ser del mismo tipo, ya sea Fast Ethernet o Gigabit Ethernet. Si un grupo de redundancia está activo en el nodo 0, entonces los vínculos secundarios de todas las interfaces Ethernet redundantes asociadas en el nodo 0 se activan. Si el grupo de redundancia conmuta por error al nodo 1, entonces se activarán los vínculos secundarios de todas las interfaces Ethernet redundantes del nodo 1.

Nota:

En la configuración del clúster de chasis activo-activo, el número máximo de grupos de redundancia es igual al número de interfaces Ethernet redundantes que configure. En la configuración del clúster del chasis activo/de reserva, el número máximo de grupos de redundancia admitidos es dos.

La configuración de interfaces Ethernet redundantes en un dispositivo en el modo transparente de capa 2 es similar a la configuración de interfaces Ethernet redundantes en un dispositivo en modo de ruta de capa 3, con la siguiente diferencia: la interfaz Ethernet redundante de un dispositivo en el modo transparente de capa 2 se configura como una interfaz lógicade capa 2.

La interfaz Ethernet redundante puede configurarse como una interfaz de acceso (con una sola ID de VLAN asignada a paquetes sin etiqueta recibido en la interfaz) o como una interfaz troncal (con una lista de ID de VLAN aceptadas en la interfaz y, opcionalmente, un ID. de VLAN nativo paquetes sin etiquetar recibidos en la interfaz). Las interfaces físicas (una de cada nodo del clúster del chasis) se enlazan como interfaces secundarias a la interfaz Ethernet redundante primaria.

En el modo transparente de capa 2, el aprendizaje de MAC se basa en la interfaz Ethernet redundante. La tabla de MAC se sincroniza entre las interfaces Ethernet y las unidades de procesamiento de servicios (SPUs) redundantes entre el par de dispositivos de clústeres de chasis.

La interfaz IRB se usa solo para el tráfico de administración y no puede asignarse a ninguna interfaz Ethernet redundante ni grupo de redundancia.

Todas las opciones de Junos OS pantalla que están disponibles para un único dispositivo no agrupado están disponibles para los dispositivos en los clústeres del chasis en modo transparente de capa 2.

Nota:

No se admiten los protocolos de árbol de expansión (STPs) para el modo transparente de capa 2. Debe asegurarse de que no hay ninguna conexión de bucle en la topología de implementación.

Configuración de la administración fuera de banda en dispositivos SRX

Puede configurar la interfaz de administración fuera de banda en el dispositivo serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 están fxp0 definidas en el dispositivo. Con la excepción de la interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de fxp0 red del dispositivo.

Nota:

No existe una interfaz de administración fuera de banda de fxp0 en los dispositivos SRX300, SRX320 y SRX550M . (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Conmutación Ethernet

El conmutador Ethernet reenvía las tramas Ethernet que se encuentran dentro o a través del segmento de LAN (o VLAN) mediante la información de dirección MAC Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante circuitos ASIC.

A partir de Junos OS versión 15.1 X49-D40, utilice set protocols l2-learning global-mode(transparent-bridge | switching) el comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet. Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración suba a efecto. Tabla 2 describe el modo global predeterminado de capa 2 en dispositivos serie SRX.

Tabla 2: Modo global de capa 2 predeterminado en dispositivos serie SRX

Versión Junos OS

Plataformas

Modo global de capa 2 predeterminado

Indicaciones

Antes de Junos OS versión 15.1 X49-D50

y

Junos OS emitir 17.3 R1 hacia adelante

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Ninguno

Junos OS versión 15.1 X49-D50 a Junos OS versión 15.1 X49-D90

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Al eliminar la configuración del modo global de capa 2 en un dispositivo, éste se encuentra en modo de puente transparente.

Junos OS versión 15.1 X49-D100 en adelante

SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M

Modo de conmutación

Cuando se elimina la configuración del modo global de capa 2 de un dispositivo, el dispositivo se encuentra en modo de conmutación. Configure set protocols l2-learning global-mode transparent-bridge el comando en [edit] el nivel de jerarquía para cambiar al modo de puente transparente. Reinicie el dispositivo para que la configuración surta efecto.

Junos OS versión 15.1 X49-D50 en adelante

SRX1500

Modo de puente transparente

Ninguno

El protocolo de capa 2 compatible con el modo de conmutación es el protocolo de control de agregación de enlaces (LACP).

Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los comandos siguientes para definir una interfaz Ethernet redundante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Capa 2 conmutación de excepciones en dispositivos serie SRX

Las funciones de conmutación en los dispositivos serie SRX son similares a las características de conmutación de los enrutadores serie MX Juniper Networks. Sin embargo, las siguientes características de red de capa 2 de enrutadores serie MX no son compatibles con los dispositivos serie SRX:

  • Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores serie MX para protocolos de árbol de expansión rápida (RSTP) o protocolo de árbol de expansión múltiple (MSTP) en interfaces de borde del cliente de una instancia de enrutamiento VPLS.

  • Instancia de enrutamiento de conmutador virtual: la instancia de enrutamiento de conmutación virtual se utiliza en enrutadores serie MX para agrupar una o más VLAN.

  • Instancia de enrutamiento de servicios LAN privadas virtuales (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores serie MX para implementaciones de LAN de punto a multipunto entre un conjunto de sitios en una VPN.

Descripción de unidifusión

La unidifusión es el acto de enviar datos de un nodo de la red a otro. Por el contrario, las transmisiones de multidifusión envían tráfico de un nodo de datos a varios nodos de datos.

El tráfico de unidifusión desconocido consta de tramas de unidifusión con direcciones MAC de destino desconocidas. De forma predeterminada, el conmutador inunda estos fotogramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. El reenvío de este tipo de tráfico a las interfaces en el conmutador puede desencadenar un problema de seguridad. Repentinamente, la LAN se inunda con paquetes, lo que crea un tráfico innecesario que conduce al rendimiento de red deficiente o incluso a una pérdida completa del servicio de red. Esto se conoce como una avalancha de tráfico.

Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos para todas las interfaces configurando una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Este canal canaliza el tráfico unidifusión desconocido a una sola interfaz.)

Descripción de la difusión de capa 2 en conmutadores

En una red de capa 2, la transmisión se refiere al envío de tráfico a todos los nodos de una red.

El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conoce como el dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión con un dirección MAC de FF: FF: FF: FF: FF: FF. Todos los dispositivos del dominio de difusión reconocen esta dirección MAC y transmiten el tráfico de difusión a otros dispositivos del dominio de difusión, si es aplicable. La transmisión puede compararse con la unidifusión (enviar tráfico a un solo nodo) o multidifusión (lo que permite que el tráfico se entregue a un grupo de nodos simultáneamente).

Sin embargo, el tráfico de difusión de la capa 3 se envía a todos los dispositivos de una red con una dirección de red de difusión. Por ejemplo, si su dirección de red es 10.0.0.0, la dirección de red de la difusión es 10.255.255.255. En este caso, sólo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de la capa 3. Los dispositivos que no pertenecen a esta red descartan el tráfico.

La difusión se utiliza en las siguientes situaciones:

  • El protocolo de resolución de direcciones (ARP) utiliza la difusión para asignar direcciones MAC a direcciones IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) con el dirección MAC correcto. Antes de poder enviar paquetes de unidifusión IP, ARP Descubre el dirección MAC utilizado por la interfaz Ethernet donde se configura la dirección IP.

  • El protocolo de configuración dinámica de host (DHCP) utiliza la difusión para asignar dinámicamente direcciones IP a los hosts de un segmento o subred de la red.

  • Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.

Un tráfico de difusión excesivo puede, en ocasiones, crear una tormenta de difusión. Las tormentas de difusión se producen cuando se emiten mensajes en una red y cada mensaje pide a un nodo receptor que responda difundiendo sus propios mensajes en la red. Esto, a su vez, solicita más respuestas que crean un efecto Snowball. Repentinamente, la LAN se inunda con paquetes, lo que crea un tráfico innecesario que conduce al rendimiento de red deficiente o incluso a una pérdida completa del servicio de red.

Uso de la avanzada CLI de software de capa 2

El software de capa 2 mejorado (ELS) proporciona una CLI uniforme para configurar y supervisar las características de capa 2 en conmutadores de serie QFX, conmutadores de la serie EX y otros dispositivos de Juniper Networks, como enrutadores de la serie MX. Con ELS, las características de capa 2 se configuran de la misma manera en todos estos dispositivos de Juniper Networks.

Este tema explica cómo saber si su plataforma ejecuta ELS. También se explica cómo realizar algunas tareas comunes utilizando el estilo ELS de configuración.

Descripción de los dispositivos compatibles con ELS

Se admite ELS automáticamente si el dispositivo ejecuta una versión Junos OS que lo admite. No es necesario que realice ninguna acción para habilitar ELS y no puede deshabilitar ELS. Vea el Explorador de características para obtener información acerca de qué plataformas y versiones son compatibles con Els.

Descripción de cómo configurar las características de capa 2 con ELS

Dado que ELS proporciona una CLI uniforme, ahora puede llevar a cabo las siguientes tareas en los dispositivos compatibles de la misma manera:

Configuración de una VLAN

Puede configurar una o más redes VLAN para llevar a cabo puentes de capa 2. Las funciones de puente de capa 2 incluyen enrutamiento y puentes integrados (IRB) para compatibilidad con puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores de la serie EX y serie QFX funcionan como conmutadores de capa 2, cada uno con varios dominios de puente, o difusión, que participan en la misma red de capa 2. También puede configurar la compatibilidad con el enrutamiento de capa 3 para una VLAN.

Para configurar una VLAN:

  1. Cree una VLAN estableciendo un nombre de VLAN único y configure el ID de VLAN:

    Si utiliza la opción lista de ID de VLAN, puede especificar opcionalmente un rango de ID de VLAN.

  2. Asigne al menos una interfaz a la VLAN:

Configuración del identificador VLAN nativo

Los conmutadores de las series y serie QFX admiten la recepción y reenvío de tramas Ethernet enrutadas o puente con 802.1 Q, etiquetas de VLAN. Normalmente, los puertos troncales, que conectan conmutadores entre sí, aceptan paquetes de control sin etiquetar, pero no aceptan paquetes de datos sin etiquetar. Puede activar un puerto de tronco para aceptar paquetes de datos sin etiquetar configurando un ID. de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.

Para configurar el ID. de VLAN nativo:

  1. En la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar, establezca el trunkmodo de interfaz en, que especifica que la interfaz se encuentra en varias VLAN y puede multiplexar el tráfico entre distintas VLAN.
  2. Configure el ID. de VLAN nativo y asigne la interfaz al ID. de VLAN nativo:
  3. Asignar la interfaz al ID. de VLAN nativo:

Configuración de interfaces de capa 2

Para asegurarse de que su red de tráfico elevado se ajusta para obtener un rendimiento óptimo, configure explícitamente algunos valores en las interfaces de red del conmutador.

Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como trunk interfaz:

Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como access interfaz:

Para asignar una interfaz a una VLAN:

Configurar interfaces de capa 3

Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. Puede asignar una dirección a una interfaz especificando la dirección cuando configure la familia de protocolos. Para la inet familia inet6 o, CONFIGURe la dirección IP de la interfaz.

Puede configurar interfaces con una dirección IP versión 4 (IPv4) de 32 bits y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal con punto y 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con un prefijo de destino utiliza una sintaxis de dirección decimal con puntos de 4 octetos con un prefijo de destino anexado (por ejemplo, 192.168.1.1/16).

Para especificar una dirección IP4 para la unidad lógica:

Representa las direcciones de IP versión 6 (IPv6) en notación hexadecimal mediante una lista separada por dos puntos de valores de 16 bits. Asigna una dirección IPv6 de 128 bits a una interfaz.

Para especificar una dirección IP6 para la unidad lógica:

Configuración de una interfaz IRB

Enrutamiento y puentes integrados (IRB) ofrece compatibilidad para puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten al dispositivo reconocer los paquetes que se envían a direcciones locales para que se enlacen (cambien), siempre que sea posible, y solo se enrutan cuando son necesarios. Siempre que pueden cambiarse los paquetes en lugar de enrutarse, se eliminan varios niveles de procesamiento. Una interfaz denominada IRB funciona como un enrutador lógico en el que puede configurar una interfaz lógica de capa 3 para VLAN. Para ofrecer redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicios LAN privadas virtuales (VPLS).

Para configurar una interfaz IRB:

  1. Cree una VLAN de capa 2 asignándole un nombre y un ID de VLAN:
  2. Crear una interfaz lógica de IRB:
  3. Asocie la interfaz IRB con la VLAN:

Configuración de una interfaz Ethernet agregada y configuración de LACP en dicha interfaz

Utilice la característica de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (posposición). El cliente de MAC puede tratar este vínculo virtual como si fuera un único vínculo para aumentar el ancho de banda, proporcionar una degradación correcta a medida que se produce un fallo y aumentar la disponibilidad.

Para configurar una interfaz Ethernet agregada:

  1. Especifique el número de interfaces Ethernet agregadas que se van a crear:
  2. Especifique el nombre de la interfaz del grupo de agregación de vínculos:
  3. Especifique el número mínimo de vínculos para la interfaz de Ethernet agregada (aex),es decir, el paquete definido que se va a etiquetar:
  4. Especifique la velocidad de vínculo para el paquete Ethernet agregado:
  5. Especifique los miembros que se incluirán en el paquete de Ethernet agregado:
  6. Especifique una familia de interfaces para el paquete Ethernet agregado:

Para las interfaces Ethernet agregadas en el dispositivo, puede configurar Link Aggregation Control Protocol (LACP). LACP incluye varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP activado.

Cuando se activa LACP, los lados local y remoto de los vínculos Ethernet agregados unidades de datos del Protocolo de intercambio (PDU), que contienen información acerca del estado del vínculo. Puede configurar vínculos Ethernet para transmitir de forma activa las PDU o puede configurar los enlaces para transmitirlos de forma pasiva, enviando PDU LACP únicamente cuando las reciba desde otro enlace. Un lado del vínculo debe estar configurado como activo para que el vínculo esté en funcionamiento.

Para configurar LACP:

  1. Activar un lado del vínculo Ethernet agregado como activo:

  2. Especifique el intervalo en el que las interfaces envían paquetes LACP:

Descripción de los cambios en la instrucción y comando de ELS

ELS se introdujo en Junos OS versión 12.3 R2 para los conmutadores de EX9200. ELS cambia la CLI de algunas características de la capa 2 en los conmutadores serie QFX y serie EX compatibles.

Las secciones siguientes proporcionan una lista de comandos existentes que se movieron a nuevos niveles de jerarquía o que se cambiaron en conmutadores de la serie EX como parte de este esfuerzo de mejora de la CLI. Estas secciones se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.

Cambios en el nivel de jerarquía de opciones de conmutación Ethernet

En esta sección se describen los cambios en el ethernet-switching-options nivel de jerarquía.

Nota:

Se ethernet-switching-options cambió el nombre del nivel jerárquico switch-optionscomo.

Tabla 3: Cambio de nombre de la jerarquía de opciones de conmutación Ethernet

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabla 4: Instrucciones RTG

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabla 5: Instrucciones eliminadas

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Las instrucciones se han quitado de switch-options la jerarquía.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Las instrucciones se han quitado de switch-options la jerarquía.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Nota:

La port-error-disable instrucción se ha sustituido por una nueva instrucción.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Cambios en el nivel de jerarquía del reflejo del puerto

Nota:

Las instrucciones se han movido ethernet-switching-options del nivel jerárquico al forwarding-options nivel jerárquico.

Tabla 6: Jerarquía de duplicación de puertos

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Cambios en el nivel de jerarquía del Protocolo de control de capa 2

Las instrucciones de protocolo de control de capa 2 se ethernet-switching-options han movido de protocols la jerarquía a la jerarquía.

Tabla 7: Protocolo de control de capa 2

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Cambios en la instrucción de túnel de dot1q

La dot1q-tunneling instrucción se ha sustituido por una nueva instrucción y se ha movido a un nivel de jerarquía diferente.

Tabla 8: dot1q-tunneling

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Cambios en el protocolo de aprendizaje L2

La mac-table-aging-time instrucción se ha sustituido por una nueva instrucción y se ha movido a un nivel de jerarquía diferente.

Tabla 9: instrucción MAC-Table-caducado-Time

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en los puentes nonstop

La nonstop-bridging instrucción se movió a un nivel de jerarquía diferente.

Tabla 10: Instrucción nonstop puente

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Cambios en la seguridad del puerto y en la supervisión DHCP

La seguridad de los puertos y las sentencias de supervisión de DHCP se han trasladado a distintos niveles de jerarquía.

Nota:

La instrucción examine-dhcp no existe en la jerarquía cambiada. La supervisión DHCP se activa ahora automáticamente cuando se habilitan otras funciones de seguridad DHCP en una VLAN. Consulte configuración de la seguridad de puertos (Els) para obtener más información.

Tabla 11: Instrucciones de seguridad del puerto

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Consejo:

Para la configuración de Mac permitida, la set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 instrucción de jerarquía original se sustituye por el comando Els.set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Nota:

Las instrucciones de supervisión DHCP se han trasladado a un nivel diferente de jerarquía.

Tabla 12: Instrucciones de supervisión de DHCP

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Cambios en la configuración de redes VLAN

Las instrucciones para configurar las VLAN se han movido a un nivel diferente de jerarquía.

Nota:

A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, cuando habilite xSTP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN. Por ejemplo, si configura VLAN 100 para que incluya interfaces GE-0/0/0, GE-0/0/1 y GE-0/0/2, y desea activar MSTP en las interfaces GE-0/0/0 y GE-0/0/2, puede especificar los set protocols mstp interface ge-0/0/0 comandos y. set protocols mstp interface ge-0/0/2 En este ejemplo, no se ha activado de forma explícita MSTP en la interfaz GE-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.

Tabla 13: Jerarquía de VLAN

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Nota:

La instrucción se ha reemplazado con una nueva instrucción y se ha movido a un nivel de jerarquía diferente.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Estas instrucciones se han eliminado. Puede asignar interfaces a una VLAN utilizando la [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] jerarquía.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Se han eliminado las instrucciones.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se cambia la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Instrucción eliminada. Automáticamente se realiza el seguimiento del tráfico de entrada.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Instrucción eliminada.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

La instrucción se ha movido a una jerarquía diferente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Se ha quitado la instrucción.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Instrucción eliminada.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Nota:

La instrucción se ha sustituido por una nueva instrucción.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se cambia la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabla 14: Instrucciones movidas a una jerarquía diferente

Jerarquía original

Jerarquía modificada

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

Durante dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Para layer2-protocol-tunneling (la reescritura de Mac está habilitada en una interfaz):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en los perfiles de control de tormentas

Storm control se configura en dos pasos. El primer paso consiste en crear un perfil de Storm control en [edit forwarding-options] el nivel jerárquico y el segundo paso es enlazar el perfil a una interfaz lógica en el [edit interfaces] nivel de jerarquía. Consulte ejemplo: Configuración de Storm control para evitar interrupciones de red en los conmutadores de la serie ex para el procedimiento modificado.

Tabla 15: Cambios en el nivel de jerarquía del perfil de Storm control

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Cambios en la jerarquía de interfaces

Nota:

Las instrucciones se han movido a una jerarquía diferente.

Tabla 16: Cambios en la jerarquía de interfaces

Jerarquía original

Jerarquía modificada

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Nota:

La instrucción se ha sustituido por una nueva instrucción.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Nota:

La instrucción se ha sustituido por una nueva instrucción.

interfaces irb

Cambios en la supervisión IGMP

Tabla 17: Jerarquía de supervisión IGMP

Jerarquía original

Jerarquía modificada

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Cambios en los comandos y la declaración de configuración de la CLI de capa 2 mejorada para dispositivos de seguridad

A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, se mejoran algunas instrucciones de configuración de CLI capa 2 y se cambian algunos comandos. y proporcionar listas de comandos existentes que se trasladaron a nuevas jerarquías o cambiaron en dispositivos serie SRX como parte de esta CLI Tabla 18Tabla 19 esfuerzo de mejora. Las tablas se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada sobre estos comandos, consulte el explorador de la CLI.

Tabla 18: Cambios en la declaración de configuración de capa 2 mejorados

Jerarquía original

Jerarquía modificada

Nivel de jerarquía

Cambiar Descripción

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

ediciones

Se cambió el nombre de la jerarquía.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[edit vlans-name]

Instrucción cuyo nombre ha cambiado.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[edit vlans-name]

Instrucción cuyo nombre ha cambiado.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[modificar flujo de seguridad]

Instrucción cuyo nombre ha cambiado.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[edit interfaces interface-name ] unit unit-number

Se cambió el nombre de la jerarquía.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[edit vlans-name]

Instrucción cuyo nombre ha cambiado.

Tabla 19: Cambios de comandos operativos de capa 2 mejorados

Comando operativo original

Comando operativo modificado

borrar puente Mac-tabla

Borrar tabla de conmutación Ethernet

borrar puente de aprendizaje persistente de tabla de Mac

borrar el aprendizaje persistente de tablas de conmutación de Ethernet

Mostrar dominio de puente

Mostrar redes VLAN

Mostrar puente Mac-tabla

Mostrar tabla de conmutación Ethernet

Mostrar interfaz de aprendizaje L2

Mostrar interfaz de conmutación Ethernet

Nota:

No existe una interfaz de administración fuera de banda de fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

Modo de última generación de capa 2 para serie ACX

El modo de última generación de capa 2, también denominado software de capa 2 mejorado (ELS), se admite en enrutadores ACX5048, ACX5096 y ACX5448 para configurar las características de capa 2. Las configuraciones de la CLI de capa 2 y los comandos show para los enrutadores ACX5048, ACX5096 y ACX5448 se diferencian de los de los enrutadores serie ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y los enrutadores de la serie MX.

Tabla 20muestra las diferencias en la jerarquía de CLI para configurar las características de capa 2 en el modo de última generación de capa 2.

Tabla 20: Diferencias en la jerarquía de CLI para características de capa 2 en modo de última generación de capa 2

Función

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000, ACX5448 y serie MX

Enrutadores ACX5048 y ACX5096

Dominio de puente

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Seriebridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Opciones de capa 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Opciones de Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Enrutamiento y puentes integrados (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Control de tormenta

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Supervisión del Protocolo de administración de grupos de Internet (IGMP)

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtro bridge de cortafuegos familiar

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabla 21muestra las diferencias en show los comandos para las características de la capa 2 en el modo de última generación capa 2.

Tabla 21: Diferencias en los comandos show para las características de capa 2 en modo de última generación de capa 2

Función

Enrutadores de ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y serie MX

Enrutadores ACX5048, ACX5096 y ACX5448

LAN

show bridge-domain

show vlans

Tabla de MAC

show bridge mac-table

show ethernet-switching table

Opciones de tabla de MAC

show bridge mac-table

(Dirección MAC, puente: nombre del dominio, interfaz, ID de VLAN e instancia)

show ethernet-switching table

Lista de puertos de conmutadores con asignaciones de VLAN

show l2-learning interface

show ethernet-switching interfaces

Estado del núcleo de base de datos de vaciado

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D40
A partir de Junos OS versión 15.1 X49-D40, utilice set protocols l2-learning global-mode(transparent-bridge | switching) el comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.
15.1X49-D10
A partir de Junos OS versión 15.1 X49-D10 y Junos OS Release 17.3 R1, se han mejorado algunas instrucciones de configuración de la CLI de capa 2 y se han cambiado algunos comandos.