Redes de capa 2
Descripción general de las redes de capa 2
La capa 2, también conocida como capa de vínculo de datos, es el segundo nivel del modelo de referencia de siete capas de OSI para el diseño de protocolos de red. La capa 2 es equivalente a la capa de vínculo (la capa más baja) del modelo de red TCP/IP. La capa 2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos en la misma red de área local.
Una trama es una unidad de datos de protocolo, la unidad de bits más pequeña de una red de capa 2. Las tramas se transmiten hacia y desde los dispositivos en la misma red de área local (LAN). Unilke bits, las tramas tienen una estructura definida y se pueden usar para la detección de errores, actividades del plano de control, etc. No todas las tramas contienen datos de usuario. La red usa algunas tramas para controlar el propio vínculo de datos.
En la capa 2, la unidifusión se refiere al envío de tramas desde un nodo a otro nodo, mientras que la multidifusión indica el envío de tráfico desde un nodo a varios nodos, y la difusión se refiere a la transmisión de tramas a todos los nodos de una red. Un dominio de difusión es una división lógica de una red en la que se puede llegar a todos los nodos de esa red en la capa 2 mediante una difusión.
Los segmentos de una LAN se pueden vincular a nivel de trama mediante puentes. El puente crea dominios de difusión independientes en la LAN, lo que crea VLAN, que son redes lógicas independientes que agrupan dispositivos relacionados en segmentos de red separados. La agrupación de dispositivos en una VLAN es independiente de dónde se encuentran físicamente los dispositivos en la LAN. Sin puentes ni VLAN, todos los dispositivos de la LAN Ethernet están en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes en la LAN.
El reenvío es la transmisión de paquetes de un segmento de red a otro por los nodos de la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía solo dentro de la VLAN local. Un segmento de red es una parte de una red informática en la que cada dispositivo se comunica mediante la misma capa física.
La capa 2 contiene dos subcapas:
Subcapa de control de vínculos lógicos (LLC), que se encarga de administrar los vínculos de comunicaciones y manejar el tráfico de tramas.
Subcapa de control de acceso a medios (MAC), que controla el acceso de protocolo al medio de red físico. Al usar las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos en el mismo vínculo físico pueden identificarse entre sí de manera única.
Los puertos o interfaces de un conmutador funcionan en modo de acceso, acceso con etiqueta o modo de troncalización:
Los puertos en modo de acceso se conectan a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso.
Los puertos en modo de acceso con etiqueta se conectan a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso. El modo de acceso con etiquetas se adapta a la computación en la nube, específicamente en escenarios que incluyen máquinas virtuales o computadoras virtuales. Dado que se pueden incluir varios equipos virtuales en un servidor físico, los paquetes generados por un servidor pueden contener una agregación de paquetes VLAN de diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso con etiquetas refleja los paquetes de vuelta al servidor físico en el mismo puerto descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se reflejan de vuelta al servidor físico en el puerto descendente cuando aún no se ha aprendido el destino. Por lo tanto, el tercer modo de interfaz, el acceso con etiquetas, tiene algunas características del modo de acceso y algunas características del modo de troncalización:
Los puertos en modo de troncalización manejan el tráfico de varias VLAN, lo que multiplexa el tráfico de todas esas VLAN mediante la misma conexión física. Las interfaces de troncalización se utilizan generalmente para interconectar conmutadores a otros dispositivos o conmutadores.
Con VLAN nativa configurada, las tramas que no llevan etiquetas VLAN se envían a través de la interfaz troncal. Si tiene una situación en la que los paquetes pasan de un dispositivo a un conmutador en modo de acceso y desea enviar esos paquetes desde el conmutador a través de un puerto de troncalización, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que se encuentra en modo de acceso) como una VLAN nativa. Luego, el puerto de troncalización del conmutador tratará esas tramas de manera diferente a los otros paquetes etiquetados. Por ejemplo, si un puerto de troncalización tiene tres VLAN, 10, 20 y 30, asignadas con VLAN 10 como la VLAN nativa, las tramas en VLAN 10 que dejan el puerto de troncalización en el otro extremo no tienen encabezado (etiqueta) 802.1Q. Hay otra opción de VLAN nativa. Puede hacer que el conmutador agregue y elimine etiquetas para paquetes sin etiquetar. Para ello, primero configure la VLAN única como una VLAN nativa en un puerto conectado a un dispositivo en el borde. A continuación, asigne una etiqueta de ID de VLAN a la VLAN nativa única en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto de troncalización. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el ID que especificó y envía y recibe los paquetes etiquetados en el puerto de troncalización configurado para aceptar esa VLAN.
Incluyendo las subcapas, la capa 2 de la serie QFX admite la siguiente funcionalidad:
Tráfico de unidifusión, multidifusión y difusión.
Puente.
VLAN 802.1Q: también conocido como etiquetado de VLAN, este protocolo permite que varias redes de puente compartan de manera transparente el mismo vínculo de red físico mediante la adición de etiquetas VLAN a una trama Ethernet.
La extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) evita el bucle en toda la red.
Aprendizaje de MAC, incluido el aprendizaje de MAC por VLAN y la supresión de aprendizaje de la capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red
Agregación de vínculos: este proceso agrupa las interfaces ethernet en la capa física para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete LAG
Nota:La agregación de vínculos no se admite en dispositivos NFX150.
Control de tormentas en el puerto físico para unidifusión, multidifusión y difusión
Nota:El control de tormentas no se admite en dispositivos NFX150.
Compatibilidad con STP, incluyendo 802.1d, RSTP, MSTP y Root Guard
Consulte también
Descripción de las VLAN
Una VLAN (LAN virtual) es una colección de nodos de red agrupados para formar dominios de difusión independientes. En una red Ethernet que sea una sola LAN, todo el tráfico se reenvía a todos los nodos de la LAN. En las VLAN, las tramas cuyo origen y destino se encuentran en la misma VLAN se reenvían solo dentro de la VLAN local. Las tramas que no están destinadas a la VLAN local son las únicas que se reenvían a otros dominios de difusión. Por lo tanto, las VLAN limitan la cantidad de tráfico que fluye a través de toda la LAN, lo que reduce la cantidad posible de colisiones y retransmisiones de paquetes dentro de una VLAN y en toda la LAN.
En una LAN Ethernet, todos los nodos de red deben estar conectados físicamente a la misma red. En las VLAN, la ubicación física de los nodos no es importante; por lo tanto, puede agrupar los dispositivos de red de cualquier manera que tenga sentido para su organización, como por departamento o función empresarial, por tipos de nodos de red o por ubicación física. Cada VLAN se identifica por una sola subred IP y por la encapsulación estandarizada IEEE 802.1Q.
Para identificar a qué VLAN pertenece el tráfico, todas las tramas de una VLAN Ethernet se identifican mediante una etiqueta, como se define en el estándar IEEE 802.1Q. Estas tramas se etiquetan y se encapsulan con etiquetas 802.1Q.
Para una red simple que tenga una sola VLAN, todo el tráfico tiene la misma etiqueta 802.1Q. Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas sepan a qué VLAN pertenece una trama. Los puertos de troncalización, que multiplexan el tráfico entre varias VLAN, usan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Consulte también
Descripción general de la conmutación Ethernet y el modo transparente de capa 2
El modo transparente de capa 2 ofrece la capacidad de implementar el firewall sin hacer cambios en la infraestructura de enrutamiento existente. El firewall se despliega como un conmutador de capa 2 con varios segmentos de VLAN y ofrece servicios de seguridad dentro de segmentos de VLAN. Secure wire es una versión especial del modo transparente de capa 2 que permite la implementación de "bump-in-wire".
Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.
Para los firewalls de la serie SRX, el modo transparente ofrece servicios de seguridad completos para capacidades de conmutación de capa 2. En estos firewalls serie SRX, puede configurar una o más VLAN para realizar conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o más puertos de varios dispositivos. Por lo tanto, el firewall de la serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.
En modo transparente, el firewall serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar ninguna de las informaciones de origen o destino en los encabezados del paquete IP. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario reconfigurar la configuración de IP de enrutadores o servidores protegidos.
En modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No enruta el tráfico de capa 3 a través del dispositivo. Las zonas de capa 2 se pueden configurar para alojar interfaces de capa 2 y las políticas de seguridad se pueden definir entre las zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes.
Tabla 1 enumera las funciones de seguridad que se admiten y no se admiten en modo transparente para la conmutación de capa 2.
Tipo de modo |
Apoyado |
No compatible |
|---|---|---|
Modo transparente |
|
|
En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en el modo transparente de capa 2.
Además, los firewalls de la serie SRX no admiten las siguientes funciones de capa 2 en el modo transparente de capa 2:
Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existan bucles inundados en la topología de red.
Protocolo de administración de grupos de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 que se utiliza para informar sus membresías de grupo de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.
VLAN con doble etiqueta o identificadores de VLAN IEEE 802.1Q encapsulados dentro de paquetes 802.1Q (también denominado etiquetado de VLAN "Q in Q"): solo se admiten identificadores de VLAN sin etiquetar o con una sola etiqueta en los firewalls de la serie SRX.
Aprendizaje de VLAN no cualificado, en el que solo se utiliza la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en firewalls serie SRX está calificado; es decir, se utilizan tanto el identificador VLAN como la dirección MAC.
Además, en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o SRX650, algunas funciones no son compatibles. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.) No se admiten las siguientes funciones para el modo transparente de capa 2 en los dispositivos mencionados:
G-ARP en la interfaz de capa 2
Monitoreo de direcciones IP en cualquier interfaz
Tráfico de tránsito a través de IRB
Interfaz IRB en una instancia de enrutamiento
Manejo de interfaz IRB del tráfico de capa 3
Nota:La interfaz IRB es una pseudointerfase y no pertenece al grupo de redundancia y interfaz reth.
- Modo transparente de capa 2 en el concentrador de puerto de módulos de la línea SRX5000
- Descripción de los flujos IPv6 en modo transparente en dispositivos de seguridad
- Descripción de los clústeres de chasis en modo transparente de capa 2 en dispositivos de seguridad
- Configuración de la administración fuera de banda en firewalls serie SRX
- Conmutación Ethernet
- Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Modo transparente de capa 2 en el concentrador de puerto de módulos de la línea SRX5000
El concentrador de puertos de módulos de la línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el firewall de la serie SRX está configurado en modo transparente de capa 2.
Cuando el SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces en el SRX5K-MPC como puertos de conmutación de capa 2 para admitir tráfico de capa 2.
La unidad de procesamiento de seguridad (SPU) admite todos los servicios de seguridad para funciones de conmutación de capa 2, y el MPC entrega los paquetes de entrada a la SPU y reenvía los paquetes de salida que la SPU encapsula a las interfaces de salida.
Cuando el firewall de la serie SRX está configurado en modo transparente de capa 2, puede habilitar las interfaces del MPC para que funcionen en modo de capa 2 mediante la definición de una o más unidades lógicas en una interfaz física con el tipo de dirección de familia como Ethernet switching. Más tarde, puede continuar con la configuración de zonas de seguridad de capa 2 y la configuración de políticas de seguridad en modo transparente. Una vez hecho esto, las topologías del próximo salto se configuran para procesar los paquetes de entrada y salida.
Descripción de los flujos IPv6 en modo transparente en dispositivos de seguridad
En modo transparente, el firewall serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar ninguna de las informaciones de origen o destino en los encabezados MAC del paquete. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario reconfigurar la configuración de IP de enrutadores o servidores protegidos.
Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo están configuradas como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 si su interfaz lógica está configurada con la ethernet-switching opción en el nivel de jerarquía [edit interfaces interface-name unit unit-number family]. No hay ningún comando para definir o habilitar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si todas las interfaces físicas están configuradas como interfaces de capa 3.
De forma predeterminada, los flujos IPv6 se pierden en los dispositivos de seguridad. Para habilitar el procesamiento mediante funciones de seguridad, como zonas, pantallas y políticas de firewall, debe habilitar el reenvío basado en flujo para el tráfico IPv6 con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6]. Debe reiniciar el dispositivo cuando cambie el modo.
En modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y puede definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes. Se admiten las siguientes funciones de seguridad para el tráfico IPv6 en modo transparente:
Zonas de seguridad de capa 2 y políticas de seguridad. Consulte Descripción de zonas de seguridad de capa 2 y Descripción de políticas de seguridad en modo transparente .
Autenticación de usuario de firewall. Consulte Descripción de la autenticación de usuario de firewall en modo transparente .
Clústeres de chasis en modo transparente de capa 2.
Clase de funciones de servicio . Vea descripción general de clase de funciones de servicio en modo transparente.
No se admiten las siguientes funciones de seguridad para flujos IPv6 en modo transparente:
Sistemas lógicos
IPv6 GTPv2
Interfaz J-Web
Traducción de dirección de red (NAT)
VPN IPSec
Con la excepción de las ALG DNS, FTP y TFTP, no se admiten todas las demás ALG.
La configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv6 es igual que configurar VLAN e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de enrutamiento y puentes integrados (IRB) para administrar el tráfico en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB del firewall de la serie SRX no admite el reenvío ni el enrutamiento de tráfico. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la address instrucción de configuración en el nivel de jerarquía [edit interfaces irb unit number family inet6]. Puede asignar una dirección IPv4 para la interfaz IRB con la address instrucción de configuración en el nivel de jerarquía [edit interfaces irb unit number family inet].
Las funciones de conmutación Ethernet en firewalls serie SRX son similares a las funciones de conmutación en los enrutadores serie MX de Juniper Networks. Sin embargo, no todas las funciones de red de capa 2 compatibles con los enrutadores serie MX se admiten en firewalls serie SRX. Consulte Descripción general de conmutación Ethernet y modo transparente de capa 2.
El firewall serie SRX mantiene tablas de reenvío que contienen direcciones MAC e interfaces asociadas para cada VLAN de capa 2. El procesamiento de flujo IPv6 es similar a los flujos IPv4. Consulte Descripción general de aprendizaje y reenvío de capa 2 para redes VLAN.
Descripción de los clústeres de chasis en modo transparente de capa 2 en dispositivos de seguridad
Un par de firewalls serie SRX en modo transparente de capa 2 se pueden conectar en un clúster de chasis para proporcionar redundancia de nodo de red. Cuando se configura en un clúster de chasis, un nodo actúa como dispositivo principal y el otro como dispositivo secundario, lo que garantiza una conmutación por error de estado de los procesos y servicios en caso de que el sistema o el hardware fallen. Si se produce un error en el dispositivo principal, el secundario se hace cargo del procesamiento del tráfico.
Si el dispositivo principal falla en un clúster de chasis de modo transparente de capa 2, los puertos físicos del dispositivo fallido se vuelven inactivos (se desactivan) durante unos segundos antes de que vuelvan a activarse (aparecer) de nuevo.
Para formar un clúster de chasis, un par del mismo tipo de firewalls de la serie SRX compatibles se combinan para actuar como un único sistema que hace cumplir la misma seguridad general.
Los dispositivos en el modo transparente de capa 2 se pueden implementar en configuraciones de clústeres de chasis activo/de respaldo y activo/activo.
No se admiten las siguientes funciones de clúster de chasis para dispositivos en modo transparente de capa 2:
ARP gratuito: el principal recién elegido en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red un cambio en el rol principal en los vínculos de interfaz Ethernet redundantes.
Monitoreo de direcciones IP: no se puede detectar un error de un dispositivo ascendente.
Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es el principal en un nodo y la copia de seguridad en el otro. Cuando un grupo de redundancia es principal en un nodo, sus objetos en ese nodo están activos. Cuando se produce una falla en un grupo de redundancia, todos sus objetos fallan juntos.
Puede crear uno o más grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es una pseudointerfase que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas de una interfaz Ethernet redundante deben ser del mismo tipo: Fast Ethernet o Gigabit Ethernet. Si un grupo de redundancia está activo en el nodo 0, los vínculos secundario de todas las interfaces ethernet redundantes asociadas en el nodo 0 están activos. Si el grupo de redundancia falla al nodo 1, entonces los vínculos hijos de todas las interfaces Ethernet redundantes en el nodo 1 se activarán.
En la configuración del clúster de chasis activo/activo, la cantidad máxima de grupos de redundancia es igual a la cantidad de interfaces Ethernet redundantes que configure. En la configuración del clúster de chasis activo o de respaldo, el número máximo de grupos de redundancia admitidos es dos.
Configurar interfaces Ethernet redundantes en un dispositivo en modo transparente de capa 2 es similar a configurar interfaces Ethernet redundantes en un dispositivo en modo de ruta de capa 3, con la siguiente diferencia: la interfaz Ethernet redundante en un dispositivo en modo transparente de capa 2 está configurada como una interfaz lógica de capa 2.
La interfaz Ethernet redundante puede configurarse como una interfaz de acceso (con un único ID de VLAN asignado a paquetes sin etiquetar recibidos en la interfaz) o como interfaz de troncalización (con una lista de ID de VLAN aceptados en la interfaz y, opcionalmente, un vlan-id nativo para paquetes sin etiquetar recibidos en la interfaz). Las interfaces físicas (una desde cada nodo del clúster de chasis) se vinculan como interfaces secundarias a la interfaz Ethernet redundante principal.
En el modo transparente de capa 2, el aprendizaje de MAC se basa en la interfaz redundante de Ethernet. La tabla MAC se sincroniza entre interfaces Ethernet redundantes y unidades de procesamiento de servicios (SPU) entre el par de dispositivos del clúster de chasis.
La interfaz IRB se utiliza solo para el tráfico de administración y no se puede asignar a ninguna interfaz Ethernet redundante o grupo de redundancia.
Todas las opciones de pantalla de Junos OS que están disponibles para un dispositivo único y no agrupado están disponibles para dispositivos en clústeres de chasis de modo transparente de capa 2.
Los protocolos de árbol de expansión (STP) no se admiten para el modo transparente de capa 2. Debe asegurarse de que no haya conexiones de bucle en la topología de implementación.
Configuración de la administración fuera de banda en firewalls serie SRX
Puede configurar la fxp0 interfaz de administración fuera de banda en el firewall de la serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 están definidas en el dispositivo. Con la excepción de la fxp0 interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de red del dispositivo.
No hay ninguna interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX550M . (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)
Conmutación Ethernet
La conmutación Ethernet reenvía las tramas Ethernet dentro o a través del segmento LAN (o VLAN) mediante la información de dirección MAC de Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante ASIC.
A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet. Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración suba a efecto. Tabla 2 describe el modo global predeterminado de capa 2 en Firewalls serie SRX.
Versión de Junos OS |
Plataformas |
Modo global de capa 2 predeterminado |
Detalles |
|---|---|---|---|
Antes de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3R1 en adelante |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Ninguno |
Junos OS versión 15.1X49-D50 to Junos OS versión 15.1X49-D90 |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Cuando elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo se encuentra en modo de puente transparente. |
Junos OS versión 15.1X49-D100 en adelante |
SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M |
Modo de conmutación |
Cuando elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo está en modo de conmutación. Configure el |
Junos OS versión 15.1X49-D50 en adelante |
SRX1500 |
Modo de puente transparente |
Ninguno |
El protocolo de capa 2 admitido en el modo de conmutación es el Protocolo de control de agregación de vínculos (LACP).
Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los siguientes comandos para definir una interfaz Ethernet redundante:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Las funciones de conmutación de los firewalls serie SRX son similares a las funciones de conmutación de los enrutadores serie MX de Juniper Networks. Sin embargo, las siguientes funciones de red de capa 2 en enrutadores serie MX no se admiten en firewalls serie SRX:
Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores serie MX para protocolo de árbol de expansión rápida (RSTP) o protocolo de árbol de expansión múltiple (MSTP) en interfaces de borde de cliente de una instancia de enrutamiento VPLS.
Instancia de enrutamiento de conmutador virtual: la instancia de enrutamiento de conmutación virtual se utiliza en enrutadores serie MX para agrupar una o más VLAN.
Instancia de enrutamiento de servicios LAN privados virtuales (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores serie MX para implementaciones DE LAN punto a multipunto entre un conjunto de sitios en una VPN.
Consulte también
Descripción de unidifusión
Unicasting es el acto de enviar datos de un nodo de la red a otro. Por el contrario, las transmisiones de multidifusión envían tráfico desde un nodo de datos a varios otros nodos de datos.
El tráfico de unidifusión desconocida consiste en tramas de unidifusión con direcciones MAC de destino desconocidos. De forma predeterminada, el conmutador inunda estas tramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. El reenvío de este tipo de tráfico a las interfaces del conmutador puede desencadenar un problema de seguridad. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento de red deficiente o incluso a una pérdida completa del servicio de red. Esto se conoce como tormenta de tráfico.
Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos a todas las interfaces mediante la configuración de una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Esto canaliza el tráfico de unidifusión desconocido a una sola interfaz.)
Consulte también
Descripción de la difusión de capa 2 en conmutadores
En una red de capa 2, la difusión se refiere al envío de tráfico a todos los nodos de una red.
El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conocido como dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión mediante una dirección MAC de FF:FF:FF:FF:FF:FF. Cada dispositivo del dominio de difusión reconoce esta dirección MAC y pasa el tráfico de difusión a otros dispositivos del dominio de difusión, si corresponde. La difusión se puede comparar con la unicación (envío de tráfico a un solo nodo) o la multidifusión (entrega de tráfico a un grupo de nodos de forma simultánea).
Sin embargo, el tráfico de difusión de capa 3 se envía a todos los dispositivos de una red mediante una dirección de red de difusión. Por ejemplo, si su dirección de red es 10.0.0.0, la dirección de red de difusión es 10.255.255.255. En este caso, solo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de capa 3. Los dispositivos que no pertenecen a esta red dejan caer el tráfico.
La difusión se utiliza en las siguientes situaciones:
El protocolo de resolución de direcciones (ARP) usa la difusión para asignar direcciones MAC a direcciones IP. ARP vincula dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz de Ethernet en la que está configurada la dirección IP.
El protocolo de configuración dinámica de host (DHCP) usa la difusión para asignar dinámicamente direcciones IP a hosts en un segmento de red o subred.
Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.
A veces, un tráfico de difusión excesivo puede crear una tormenta de difusión. Se produce una tormenta de difusión cuando se transmiten mensajes en una red y cada mensaje solicita a un nodo receptor que responda difundiendo sus propios mensajes en la red. Esto, a su vez, genera más respuestas que crean un efecto de bola de nieve. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento de red deficiente o incluso a una pérdida completa del servicio de red.
Consulte también
Uso de la CLI de software de capa 2 mejorada
Enhanced Layer 2 Software (ELS) proporciona una CLI uniforme para configurar y monitorear funciones de capa 2 en conmutadores serie QFX, conmutadores de la serie EX y otros dispositivos de Juniper Networks, como enrutadores serie MX. Con ELS, puede configurar las funciones de capa 2 de la misma manera en todos estos dispositivos de Juniper Networks.
En este tema, se explica cómo saber si su plataforma ejecuta ELS. También explica cómo realizar algunas tareas comunes mediante el estilo de configuración ELS.
- Descripción de qué dispositivos admiten ELS
- Descripción de cómo configurar funciones de capa 2 mediante ELS
- Descripción de los cambios de comando y de la instrucción de configuración ELS
Descripción de qué dispositivos admiten ELS
Els se admite automáticamente si el dispositivo ejecuta una versión de Junos OS que lo admita. No es necesario realizar ninguna acción para habilitar ELS y no puede deshabilitar ELS. Consulte el Explorador de funciones para obtener información sobre qué plataformas y versiones son compatibles con ELS.
Descripción de cómo configurar funciones de capa 2 mediante ELS
Dado que ELS proporciona una CLI uniforme, ahora puede realizar las siguientes tareas en los dispositivos compatibles de la misma manera:
- Configuración de una VLAN
- Configuración del identificador VLAN nativo
- Configuración de interfaces de capa 2
- Configuración de interfaces de capa 3
- Configuración de una interfaz IRB
- Configurar una interfaz Ethernet agregada y configurar LACP en esa interfaz
Configuración de una VLAN
Puede configurar una o varias VLAN para realizar puentes de capa 2. Las funciones de puente de capa 2 incluyen enrutamiento y puentes integrados (IRB) para admitir puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores serie EX y QFX pueden funcionar como conmutadores de capa 2, cada uno con varios dominios de puente o difusión que participan en la misma red de capa 2. También puede configurar la compatibilidad de enrutamiento de capa 3 para una VLAN.
Para configurar una VLAN:
Configuración del identificador VLAN nativo
Los conmutadores serie EX y QFX admiten recepción y reenvío de tramas Ethernet enrutadas o puenteadas con etiquetas VLAN 802.1Q. Por lo general, los puertos de troncalización, que conectan conmutadores entre sí, aceptan paquetes de control sin etiquetar, pero no aceptan paquetes de datos sin etiquetar. Puede habilitar un puerto de troncalización para aceptar paquetes de datos sin etiquetar mediante la configuración de un ID de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.
Para configurar el ID de VLAN nativo:
Configuración de interfaces de capa 2
Para garantizar que su red de alto tráfico esté sintonizada para un rendimiento óptimo, configure explícitamente algunas opciones en las interfaces de red del conmutador.
Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz trunk :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz access :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Para asignar una interfaz a VLAN:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuración de interfaces de capa 3
Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. Puede asignar una dirección a una interfaz especificando la dirección al configurar la familia de protocolos. Para la inet familia o inet6 , configure la dirección IP de la interfaz.
Puede configurar interfaces con una dirección IP versión 4 (IPv4) de 32 bits y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal con puntos de 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con prefijo de destino utiliza una sintaxis de dirección decimal de puntos de 4 octetos con un prefijo de destino anexado (por ejemplo, 192.168.1.1/16).
Para especificar una dirección IP4 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Representa direcciones IP versión 6 (IPv6) en notación hexadecimal mediante una lista separada por dos puntos de valores de 16 bits. Se asigna una dirección IPv6 de 128 bits a una interfaz.
Para especificar una dirección IP6 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuración de una interfaz IRB
Enrutamiento y puentes integrados (IRB) proporciona soporte para puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. La IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten que el dispositivo reconozca los paquetes que se envían a direcciones locales para que se puenten (conmuten) siempre que sea posible y solo se enrutan cuando sea necesario. Cada vez que se pueden conmutar paquetes en lugar de enrutarse, se eliminan varias capas de procesamiento. Una interfaz denominada IRB funciona como un enrutador lógico en el que puede configurar una interfaz lógica de capa 3 para VLAN. Para la redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicio LAN privada virtual (VPLS).
Para configurar una interfaz IRB:
Configurar una interfaz Ethernet agregada y configurar LACP en esa interfaz
Utilice la función de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (LAG). El cliente MAC puede tratar este vínculo virtual como si se tratara de un solo vínculo para aumentar el ancho de banda, proporcionar degradación a medida que se produce un error y aumentar la disponibilidad.
Para configurar una interfaz Ethernet agregada:
Para las interfaces Ethernet agregadas en el dispositivo, puede configurar el Protocolo de control de agregación de vínculos (LACP). LACP agrupa varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP habilitada.
Cuando la LACP está habilitada, los lados locales y remotos de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para transmitir activamente PDU, o puede configurar los vínculos para que los transmitan pasivamente, enviando PDU LACP solo cuando los reciben desde otro vínculo. Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.
Para configurar LACP:
Habilite un lado del vínculo Ethernet agregado como activo:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Especifique el intervalo en el que las interfaces envían paquetes LACP:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Descripción de los cambios de comando y de la instrucción de configuración ELS
ELS se introdujo en la versión 12.3R2 de Junos OS para conmutadores EX9200. ELS cambia la CLI para algunas de las funciones de capa 2 en conmutadores de las series EX y QFX compatibles.
En las siguientes secciones, se proporciona una lista de comandos existentes que se movieron a nuevos niveles jerárquicos o que cambiaron en conmutadores de la serie EX como parte de este esfuerzo de mejora de CLI. Estas secciones se proporcionan solo como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.
- Cambios en el nivel de jerarquía de opciones de conmutación Ethernet
- Cambios en el nivel de jerarquía de duplicación de puertos
- Cambios en el nivel de jerarquía del protocolo de control de capa 2
- Cambios en la instrucción dot1q-tunneling
- Cambios en el protocolo de aprendizaje L2
- Cambios en los puentes sin interrupción
- Cambios en la seguridad de puerto y la optimización de DHCP
- Cambios en la configuración de redes VLAN
- Cambios en los perfiles de control de tormentas
- Cambios en la jerarquía de interfaces
- Cambios en igmp snooping
Cambios en el nivel de jerarquía de opciones de conmutación Ethernet
En esta sección, se describen los cambios en el ethernet-switching-options nivel de jerarquía.
El ethernet-switching-options nivel de jerarquía ha cambiado el nombre como switch-options.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Las instrucciones se quitaron de la |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Las instrucciones se quitaron de la |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
Nota:
La interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Cambios en el nivel de jerarquía de duplicación de puertos
Las instrucciones se han movido del ethernet-switching-options nivel de jerarquía al forwarding-options nivel de jerarquía.
Cambios en el nivel de jerarquía del protocolo de control de capa 2
Las instrucciones de protocolo de control de capa 2 se han movido de la ethernet-switching-options jerarquía a la protocols jerarquía.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Cambios en la instrucción dot1q-tunneling
La dot1q-tunneling instrucción se reemplazó por una nueva instrucción y se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Cambios en el protocolo de aprendizaje L2
La mac-table-aging-time instrucción se reemplazó por una nueva instrucción y se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en los puentes sin interrupción
La nonstop-bridging instrucción se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Cambios en la seguridad de puerto y la optimización de DHCP
Las instrucciones de seguridad de puerto y de snooping DHCP se han movido a diferentes niveles jerárquicos.
La instrucción examine-dhcp no existe en la jerarquía cambiada. Ahora, la protección de DHCP se habilita automáticamente cuando otras funciones de seguridad dhcp están habilitadas en una VLAN. Consulte Configurar la seguridad de puerto (ELS) para obtener más información.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Para la configuración mac permitida, la instrucción set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 de jerarquía original se sustituye por el comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Las instrucciones de snooping DHCP se han movido a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Cambios en la configuración de redes VLAN
Las instrucciones para configurar VLAN se han movido a un nivel de jerarquía diferente.
A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, al habilitar xSTP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN. Por ejemplo, si configura VLAN 100 para incluir interfaces ge-0/0/0, ge-0/0/1 y ge-0/0/2, y desea habilitar MSTP en las interfaces ge-0/0/0 y ge-0/0/2, puede especificar los set protocols mstp interface ge-0/0/0 comandos y set protocols mstp interface ge-0/0/2 . En este ejemplo, no habilitó explícitamente MSTP en la interfaz ge-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
Nota:
La instrucción se sustituye por una nueva instrucción y se ha movido a un nivel de jerarquía diferente. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Estas instrucciones se quitaron. Puede asignar interfaces a una VLAN mediante la |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Se eliminaron las instrucciones. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
Nota:
La sintaxis ha cambiado. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
Se elimina la instrucción. El tráfico de entrada se rastrea automáticamente. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
Se elimina la instrucción. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
La instrucción se movió a una jerarquía diferente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
La instrucción se ha eliminado. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
Se elimina la instrucción. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
Nota:
La instrucción se reemplazó por una nueva instrucción. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
Nota:
La sintaxis ha cambiado. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Jerarquía original |
Jerarquía cambiada |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Para interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Para protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en los perfiles de control de tormentas
El control de tormentas se configura en dos pasos. El primer paso es crear un perfil de control de tormentas en el [edit forwarding-options] nivel jerárquico y el segundo paso es enlazar el perfil a una interfaz lógica en el [edit interfaces] nivel jerárquico. Vea el ejemplo: Configuración del control de tormentas para evitar interrupciones de red en conmutadores de la serie EX para el procedimiento cambiado.
Jerarquía original |
Jerarquía cambiada |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Cambios en la jerarquía de interfaces
Las instrucciones se han movido a una jerarquía diferente.
Jerarquía original |
Jerarquía cambiada |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
Nota:
La instrucción se reemplazó por una nueva instrucción. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
Nota:
La instrucción se reemplazó por una nueva instrucción. interfaces irb |
Cambios en igmp snooping
Jerarquía original |
Jerarquía cambiada |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Cambios de comando y declaración de configuración de CLI de capa 2 mejoradas para dispositivos de seguridad
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, se mejoran algunas instrucciones de configuración de CLI de capa 2 y se cambian algunos comandos. Tabla 18 y Tabla 19 proporcionar listas de comandos existentes que se han movido a nuevas jerarquías o cambiado en firewalls serie SRX como parte de este esfuerzo de mejora de CLI. Las tablas se proporcionan solo como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, consulte Explorador de CLI.
Jerarquía original |
Jerarquía cambiada |
Nivel de jerarquía |
Cambiar descripción |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[edit] |
Cambia el nombre de la jerarquía. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[editar vlans vlans-name] |
Cambia el nombre de la instrucción. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[editar vlans vlans-name] |
Cambia el nombre de la instrucción. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[editar flujo de seguridad] |
Cambia el nombre de la instrucción. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[editar interfaces interface-name ] Unidad unit-number |
Cambia el nombre de la jerarquía. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[editar vlans vlans-name] |
Cambia el nombre de la instrucción. |
Comando operativo original |
Comando operativo modificado |
|---|---|
tabla mac de puente despejado |
tabla de conmutación Ethernet clara |
aprendizaje persistente de tabla mac de puente transparente |
tabla de conmutación Ethernet clara aprendizaje persistente |
muestra el dominio del puente |
mostrar vLAN |
mostrar tabla mac bridge |
muestra la tabla de conmutación Ethernet |
mostrar la interfaz l2-learning |
muestra la interfaz de conmutación Ethernet |
No hay una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad de la plataforma depende de la versión de Junos OS en su instalación.)
Consulte también
Modo de última generación de capa 2 para la serie ACX
El modo de última generación de capa 2, también llamado Enhanced Layer 2 Software (ELS), es compatible con los enrutadores ACX5048, ACX5096 y ACX5448 para configurar funciones de capa 2. Las configuraciones de CLI de capa 2 y los comandos de muestra para los enrutadores ACX5048, ACX5096, ACX5448 y ACX710 difieren de los de otros enrutadores serie ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y los enrutadores serie MX.
Tabla 20 muestra las diferencias en la jerarquía de CLI para configurar funciones de capa 2 en el modo de última generación de capa 2.
Característica |
Enrutadores serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX |
Enrutadores ACX5048, ACX5096, ACX5448 y ACX710 |
|---|---|---|
Dominio de puente |
[ |
[ |
Familia |
[ |
[ |
Opciones de capa 2 |
[ |
[ |
Opciones de Ethernet |
[ |
[ |
Enrutamiento y puentes integrados (IRB) |
[ |
|
Control de tormentas |
[ |
[ [ |
Esnooping del Protocolo de administración de grupos de Internet (IGMP) |
[ |
[ |
Filtro de firewall de familia |
[ |
[ |
Tabla 21 muestra las diferencias en show los comandos para las funciones de capa 2 en el modo de última generación de capa 2.
Característica |
Enrutadores serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX |
Enrutadores ACX5048, ACX5096, ACX5448 y ACX710 |
|---|---|---|
VLAN |
|
|
tabla MAC |
|
|
Opciones de tabla MAC |
|
|
Lista de puertos de conmutación con asignaciones de VLAN |
|
|
Estado del kernel de la base de datos descargada |
|
|
Consulte también
set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.