Redes de capa 2
Descripción general de las redes de capa 2
La capa 2, también conocida como Capa de vínculo de datos, es el segundo nivel del modelo de referencia OSI de siete niveles para el diseño de protocolos de red. La capa 2 es equivalente a la capa de vínculo (la capa más baja) del modelo de red TCP/IP. Layer2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos de la misma red de área local.
Una trama es una unidad de datos de protocolo, la unidad más pequeña de bits en una red de capa 2. Las tramas se transmiten hacia y desde los dispositivos en la misma red de área local (LAN). A diferencia de los bits, las tramas tienen una estructura definida y se pueden usar para la detección de errores, las actividades del plano de control, etc. No todas las tramas contienen datos de usuario. La red utiliza algunas tramas para controlar el propio vínculo de datos.
En la capa 2, unidifusión se refiere a enviar tramas desde un nodo a otro nodo único, mientras que la multidifusión denota el envío de tráfico de un nodo a varios nodos y la transmisión se refiere a la transmisión de tramas a todos los nodos en una red. Un dominio de difusión es una división lógica de una red en la cual una difusión puede alcanzar a todos los nodos de esa red en la capa 2.
Los segmentos de una LAN se pueden vincular a nivel de trama mediante puentes. La conexión por puentes crea dominios de difusión independientes en la LAN, lo cual crea VLAN, las cuales son redes lógicas independientes que agrupan dispositivos relacionados en segmentos de red independientes. El agrupamiento de dispositivos en una VLAN no depende de la ubicación física de los dispositivos en la LAN. Sin puentes ni VLAN, todos los dispositivos en la LAN Ethernet se encuentran en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes de la LAN.
El reenvío es la transmisión de paquetes desde un segmento de red a otro mediante nodos en la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía únicamente dentro de la VLAN local. Un segmento de red es una parte de una red de equipos, en la cual cada dispositivo se comunica utilizando la misma capa física.
La capa 2 contiene dos subcapas:
Subcapa de control de vínculo lógico (LLC), la cual se encarga de administrar vínculos de comunicaciones y controlar el tráfico de tramas.
Subcapa de control de acceso a medios (MAC), la cual controla el acceso de protocolos al medio físico de la red. Mediante el uso de las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos en el mismo vínculo físico pueden identificarse entre sí de manera única.
Los puertos, o interfaces, en un conmutador funcionan en modo de acceso, acceso con etiqueta o modo de troncalización:
Los puertos en modo de acceso se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso.
Los puertos en modo de acceso con etiqueta se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso. El modo de acceso con etiqueta admite informática en la nube, específicamente en situaciones que incluyen máquinas virtuales o equipos virtuales. Dado que se pueden incluir varios equipos virtuales en un solo servidor físico, los paquetes generados por un servidor pueden contener una adición de paquetes de VLAN desde diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso con etiqueta refleja los paquetes de regreso al servidor físico en el mismo puerto descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se reflejan de vuelta al servidor físico en el puerto descendente cuando aún no se ha aprendido el destino. Por lo tanto, el tercer modo de interfaz, el acceso con etiquetas, tiene algunas características del modo de acceso y algunas características del modo de troncalización:
Los puertos del modo de troncalización administran el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN sobre la misma conexión física. Las interfaces troncalizadas se utilizan generalmente para interconectar conmutadores a otros dispositivos o conmutadores.
Con la VLAN nativa configurada, las tramas que no contienen etiquetas de VLAN se envían a través de la interfaz troncalizada. Si tiene una situación en la cual los paquetes pasan de un dispositivo a un conmutador en modo de acceso, y desea enviar esos paquetes desde el conmutador a través de un puerto de troncalización, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que está en modo de acceso) como una VLAN nativa. El puerto troncal del conmutador tratará esas tramas de manera diferente a los demás paquetes etiquetados. Por ejemplo, si un puerto de troncalización tiene tres VLAN (10, 20 y 30) asignadas con una VLAN 10 que es la VLAN nativa, las tramas en VLAN 10 que dejen el puerto de troncalización en el otro extremo no tienen encabezado (etiqueta) 802.1Q. Existe otra opción de VLAN nativa. Puede hacer que el conmutador agregue o quite etiquetas para los paquetes sin etiquetar. Para ello, configure primero la VLAN única como una VLAN nativa en un puerto conectado a un dispositivo del perímetro. A continuación, asigne una etiqueta de ID VLAN a la VLAN nativa única en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto de troncalización. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el ID que especificó y, luego, envía y recibe los paquetes etiquetados en el puerto de troncalización configurado para aceptar dicha VLAN.
Al incluir las subcapas, la capa 2 de la serie QFX admite la siguiente funcionalidad:
Tráfico de unidifusión, multidifusión y difusión.
Conexión por puentes.
VLAN 802.1Q: también conocido como etiquetado VLAN, este protocolo permite que varias redes en puente compartan de forma transparente el mismo enlace de red físico agregando etiquetas VLAN a una trama Ethernet.
La extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) evita que hayan bucles a través de la red.
Aprendizaje de MAC, incluido el aprendizaje de MAC por VLAN y la supresión de aprendizaje de capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red
Agregación de vínculos: este proceso agrupa las interfaces Ethernet en la capa física para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete LAG
Nota:La agregación de vínculos no se admite en dispositivos NFX150.
Control de tormentas en el puerto físico de unidifusión, multidifusión y difusión
Nota:No se admite el control de tormentas en dispositivos NFX150.
Compatibilidad con STP, incluido 802.1d, RSTP, MSTP y protección de raíz
Consulte también
Descripción de las VLAN
Una VLAN (LAN virtual) es una colección de nodos de red agrupados para formar dominios de difusión independientes. En una red Ethernet que es una sola LAN, todo el tráfico se reenvía a todos los nodos de la LAN. En las VLAN, las tramas cuyo origen y destino se encuentran en la misma VLAN se reenvían únicamente dentro de la VLAN local. Las tramas que no están destinadas a la VLAN local son las únicas que se reenvían a otros dominios de difusión. Por lo tanto, las VLAN limitan la cantidad de tráfico que fluye a través de toda la LAN, reduciendo el posible número de colisiones y retransmisiones de paquetes dentro de una VLAN y en toda la LAN.
En una LAN Ethernet, todos los nodos de la red deben estar conectados físicamente a la misma red. En las VLAN, la ubicación física de los nodos no es importante; Por lo tanto, puede agrupar los dispositivos de red de cualquier manera que tenga sentido para su organización, como por departamento o función empresarial, por tipos de nodos de red o por ubicación física. Cada VLAN se identifica mediante una única subred IP y mediante encapsulación IEEE 802.1Q estandarizada.
Para identificar a qué VLAN pertenece el tráfico, todas las tramas de una VLAN Ethernet se identifican mediante una etiqueta, tal como se define en el estándar IEEE 802.1Q. Estas tramas se etiquetan y se encapsulan con etiquetas 802.1Q.
Para una red simple que tiene una sola VLAN, todo el tráfico tiene la misma etiqueta 802.1Q. Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas sepan a qué VLAN pertenece una trama. Los puertos troncales, que multiplexan el tráfico entre varias VLAN, utilizan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Consulte también
Descripción general de la conmutación Ethernet y el modo transparente de capa 2
El modo transparente de capa 2 permite implementar el firewall sin realizar cambios en la infraestructura de enrutamiento existente. El firewall se implementa como un conmutador de capa 2 con múltiples segmentos de VLAN y proporciona servicios de seguridad dentro de los segmentos de VLAN. Secure Wire es una versión especial del modo transparente de capa 2 que permite el despliegue bump-in-wire.
Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.
Para los firewalls de la serie SRX, el modo transparente proporciona servicios de seguridad completos para las capacidades de conmutación de capa 2. En estos firewalls de la serie SRX, puede configurar una o más VLAN para realizar la conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o más puertos de múltiples dispositivos. Por lo tanto, el firewall de la serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.
En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados de los paquetes IP. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar los ajustes de IP de enrutadores o servidores protegidos.
En el modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No enrute el tráfico de capa 3 a través del dispositivo. Las zonas de capa 2 se pueden configurar para alojar interfaces de capa 2 y las políticas de seguridad se pueden definir entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes.
Tabla 1 enumera las características de seguridad compatibles y no compatibles en modo transparente para la conmutación de capa 2.
Tipo de modo |
Compatible |
No compatible |
|---|---|---|
Modo transparente |
|
|
En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en el modo transparente de capa 2.
Además, los firewalls de la serie SRX no admiten las siguientes funciones de capa 2 en el modo transparente de capa 2:
Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existan bucles de inundación en la topología de red.
Espionaje del Protocolo de administración de grupos de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 que se utiliza para informar de sus pertenencias a grupos de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.
VLAN de doble etiqueta o identificadores de VLAN IEEE 802.1Q encapsulados en paquetes 802.1Q (también llamados etiquetado VLAN "Q en Q"): los firewalls de la serie SRX solo admiten identificadores VLAN sin etiquetar o con etiqueta única.
Aprendizaje de VLAN no calificado, donde solo se usa la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en firewalls de la serie SRX está calificado; es decir, se usan tanto el identificador de VLAN como la dirección MAC.
Además, en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o SRX650, algunas características no son compatibles. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Las siguientes características no son compatibles con el modo transparente de capa 2 en los dispositivos mencionados:
G-ARP en la interfaz de capa 2
Monitoreo de direcciones IP en cualquier interfaz
Tráfico de tránsito a través del IRB
Interfaz IRB en una instancia de enrutamiento
Manejo del tráfico de capa 3 en la interfaz IRB
Nota:La interfaz IRB es una pseudointerfaz y no pertenece al grupo de redundancia y interfaz reth.
- Modo transparente de capa 2 en el concentrador de puerto del módulo de línea SRX5000
- Descripción de los flujos de IPv6 en modo transparente en dispositivos de seguridad
- Descripción de los clústeres de chasis de modo transparente de capa 2 en dispositivos de seguridad
- Configuración de la administración fuera de banda en firewalls de la serie SRX
- Conmutación Ethernet
- Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Modo transparente de capa 2 en el concentrador de puerto del módulo de línea SRX5000
El concentrador de puerto de módulo de línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el firewall de la serie SRX está configurado en modo transparente de capa 2.
Cuando el SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces del SRX5K-MPC como puertos de conmutación de capa 2 para admitir el tráfico de capa 2.
La unidad de procesamiento de seguridad (SPU) admite todos los servicios de seguridad para las funciones de conmutación de capa 2, y la MPC entrega los paquetes de entrada a la SPU y reenvía los paquetes de salida encapsulados por la SPU a las interfaces salientes.
Cuando el firewall de la serie SRX está configurado en modo transparente de capa 2, puede permitir que las interfaces de la MPC funcionen en modo de capa 2 definiendo una o varias unidades lógicas en una interfaz física con el tipo de dirección de familia como .Ethernet switching Más tarde, puede continuar con la configuración de las zonas de seguridad de capa 2 y la configuración de las políticas de seguridad en modo transparente. Una vez hecho esto, se configuran las topologías del próximo salto para procesar los paquetes de entrada y salida.
Descripción de los flujos de IPv6 en modo transparente en dispositivos de seguridad
En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados MAC del paquete. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar los ajustes de IP de enrutadores o servidores protegidos.
Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo están configuradas como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 si su interfaz lógica está configurada con la opción en el nivel de jerarquía [].ethernet-switchingedit interfaces interface-name unit unit-number family No hay ningún comando para definir o habilitar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si todas las interfaces físicas están configuradas como interfaces de capa 3.
De forma predeterminada, los flujos IPv6 se eliminan en los dispositivos de seguridad. Para habilitar el procesamiento por características de seguridad como zonas, pantallas y directivas de firewall, debe habilitar el reenvío basado en flujos para el tráfico IPv6 con la opción de configuración en el nivel de jerarquía [].mode flow-basededit security forwarding-options family inet6 Debe reiniciar el dispositivo cuando cambie el modo.
En el modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes. Las siguientes características de seguridad son compatibles con el tráfico IPv6 en modo transparente:
Zonas de seguridad y políticas de seguridad de capa 2. Consulte Descripción de las zonas de seguridad de capa 2 y Descripción de las políticas de seguridad en modo transparente .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-layer-2-security-zoneshttps://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-security-policies-in-transparent-mode
Autenticación de usuario de firewall. Consulte Descripción de la autenticación de usuario de firewall en modo transparente .https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/security-zones-and-security-policies-on-security-devices.html#id-understanding-firewall-user-authentication-in-transparent-mode
Clústeres de chasis en modo transparente de capa 2.
Clase de funciones de servicio. Consulte Descripción general de las funciones de clase de servicio en modo transparente.https://www.juniper.net/documentation/en_US/junos/topics/concept/security-class-of-service-function-transparent-mode-overview.html
Las siguientes características de seguridad no son compatibles con los flujos IPv6 en modo transparente:
Sistemas lógicos
IPv6 GTPv2
Interfaz J-Web
TDR
VPN IPSec
Con la excepción de las ALG de DNS, FTP y TFTP, no se admiten todas las demás ALG.
La configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv6 es lo mismo que la configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de enrutamiento y puente integrados (IRB) para administrar el tráfico en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB en el firewall de la serie SRX no admite el enrutamiento ni el reenvío de tráfico. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la instrucción configuration en el nivel de jerarquía [].addressedit interfaces irb unit number family inet6 Puede asignar una dirección IPv4 para la interfaz IRB con la instrucción configuration en el nivel de jerarquía [].addressedit interfaces irb unit number family inet
Las funciones de conmutación Ethernet de los firewalls de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, no todas las funciones de red de capa 2 compatibles con los enrutadores de la serie MX son compatibles con los firewalls de la serie SRX. Consulte Descripción general de la conmutación Ethernet y del modo transparente de capa 2.https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/layer-2-understanding.html#id-ethernet-switching-and-layer-2-transparent-mode-overview
El firewall de la serie SRX mantiene tablas de reenvío que contienen direcciones MAC e interfaces asociadas para cada VLAN de capa 2. El procesamiento de flujo IPv6 es similar al de los flujos IPv4. Consulte Descripción general del aprendizaje y reenvío de capas 2 para VLAN.
Descripción de los clústeres de chasis de modo transparente de capa 2 en dispositivos de seguridad
Un par de firewalls de la serie SRX en modo transparente de capa 2 se pueden conectar en un clúster de chasis para proporcionar redundancia de nodo de red. Cuando se configura en un clúster de chasis, un nodo actúa como dispositivo principal y el otro como dispositivo secundario, lo que garantiza la conmutación por error con estado de los procesos y servicios en caso de fallo del sistema o del hardware. Si se produce un error en el dispositivo primario, el secundario se encarga del procesamiento del tráfico.
Si se produce un error en el dispositivo principal en un clúster de chasis de modo transparente de capa 2, los puertos físicos del dispositivo con errores se vuelven inactivos (dejan de funcionar) durante unos segundos antes de volver a activarse (volver a subir).
Para formar un clúster de chasis, un par de firewalls compatibles de la serie SRX se combinan para actuar como un único sistema que aplica la misma seguridad general.
Los dispositivos en modo transparente de capa 2 se pueden implementar en configuraciones de clúster de chasis activo/de copia de seguridad y activo/activo.
Las siguientes características del clúster de chasis no son compatibles con dispositivos en modo transparente de capa 2:
ARP gratuito: la primaria recién elegida en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red un cambio en el rol principal en los vínculos redundantes de la interfaz Ethernet.
Supervisión de direcciones IP: no se puede detectar un fallo de un dispositivo ascendente.
Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es primario en un nodo y copia de seguridad en el otro. Cuando un grupo de redundancia es primario en un nodo, sus objetos en ese nodo están activos. Cuando un grupo de redundancia conmuta por error, todos sus objetos conmutan por error juntos.
Puede crear uno o más grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es una pseudointerfaz que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas de una interfaz Ethernet redundante deben ser del mismo tipo: Fast Ethernet o Gigabit Ethernet. Si un grupo de redundancia está activo en el nodo 0, los vínculos secundarios de todas las interfaces Ethernet redundantes asociadas en el nodo 0 están activos. Si el grupo de redundancia conmuta por error al nodo 1, se activarán los vínculos secundarios de todas las interfaces Ethernet redundantes del nodo 1.
En la configuración del clúster de chasis activo/activo, el número máximo de grupos de redundancia es igual al número de interfaces Ethernet redundantes que configure. En la configuración del clúster de chasis activo/de reserva, el número máximo de grupos de redundancia admitidos es dos.
La configuración de interfaces Ethernet redundantes en un dispositivo en modo transparente de capa 2 es similar a la configuración de interfaces Ethernet redundantes en un dispositivo en modo de ruta de capa 3, con la siguiente diferencia: la interfaz Ethernet redundante en un dispositivo en modo transparente de capa 2 se configura como una interfaz lógica de capa 2.
La interfaz Ethernet redundante puede configurarse como una interfaz de acceso (con un único ID de VLAN asignado a los paquetes sin etiquetar recibidos en la interfaz) o como una interfaz troncal (con una lista de ID de VLAN aceptados en la interfaz y, opcionalmente, un id-VLAN nativo para los paquetes sin etiquetar recibidos en la interfaz). Las interfaces físicas (una de cada nodo del clúster de chasis) están enlazadas como interfaces secundarias a la interfaz Ethernet redundante principal.
En el modo transparente de capa 2, el aprendizaje de MAC se basa en la interfaz Ethernet redundante. La tabla MAC se sincroniza entre interfaces Ethernet redundantes y unidades de procesamiento de servicios (SPU) entre el par de dispositivos de clúster de chasis.
La interfaz IRB solo se utiliza para administrar el tráfico y no se puede asignar a ninguna interfaz Ethernet redundante ni a ningún grupo de redundancia.
Todas las opciones de pantalla de Junos OS disponibles para un único dispositivo no agrupado están disponibles para dispositivos en clústeres de chasis en modo transparente de capa 2.
Los protocolos de árbol de expansión (STP) no son compatibles con el modo transparente de capa 2. Debe asegurarse de que no haya conexiones de bucle en la topología de implementación.
Configuración de la administración fuera de banda en firewalls de la serie SRX
Puede configurar la interfaz de administración fuera de banda en el firewall de la serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 están definidas en el dispositivo.fxp0 Con la excepción de la interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de red del dispositivo.fxp0
No hay una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX550M . (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Conmutación Ethernet
La conmutación Ethernet reenvía las tramas Ethernet dentro o a través del segmento LAN (o VLAN) utilizando la información de la dirección MAC de Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante ASIC.
A partir de Junos OS versión 15.1X49-D40, utilice el comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.set protocols l2-learning global-mode(transparent-bridge | switching) Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración surta efecto. describe el modo global predeterminado de capa 2 en Firewalls de la serie SRX.Tabla 2
Versión de Junos OS |
Plataformas |
Modo global predeterminado de capa 2 |
Detalles |
|---|---|---|---|
Antes de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3R1 en adelante |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Ninguna |
Junos OS versión 15.1X49-D50 a Junos OS versión 15.1X49-D90 |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Cuando se elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo está en modo de puente transparente. |
Junos OS versión 15.1X49-D100 en adelante |
SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M |
Modo de conmutación |
Cuando se elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo se encuentra en modo de conmutación. Configure el comando bajo el nivel de jerarquía para cambiar al modo de puente transparente. |
Junos OS versión 15.1X49-D50 en adelante |
SRX1500 |
Modo de puente transparente |
Ninguna |
El protocolo de capa 2 admitido en el modo de conmutación es el Protocolo de control de agregación de vínculos (LACP).
Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los siguientes comandos para definir una interfaz Ethernet redundante:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Las funciones de conmutación de los firewalls de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, las siguientes funciones de red de capa 2 en los enrutadores de la serie MX no son compatibles con los firewalls de la serie SRX:
Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores de la serie MX para el protocolo de árbol de expansión rápida (RSTP) o el protocolo de árbol de expansión múltiple (MSTP) en interfaces perimetrales de clientes de una instancia de enrutamiento VPLS.
Instancia de enrutamiento de conmutación virtual: la instancia de enrutamiento de conmutación virtual se utiliza en los enrutadores de la serie MX para agrupar una o más VLAN.
Instancia de enrutamiento de servicios de LAN privada virtual (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores de la serie MX para implementaciones LAN punto a multipunto entre un conjunto de sitios en una VPN.
Consulte también
Descripción de la unidifusión
La unidifusión es el acto de enviar datos de un nodo de la red a otro. Por el contrario, las transmisiones de multidifusión envían tráfico de un nodo de datos a otros nodos de datos.
El tráfico de unidifusión desconocido consiste en tramas de unidifusión con direcciones MAC de destino desconocido. De forma predeterminada, el conmutador inunda estas tramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. El reenvío de este tipo de tráfico a las interfaces del conmutador puede desencadenar un problema de seguridad. La LAN se inunda repentinamente de paquetes, creando tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida completa del servicio de red. Esto se conoce como una tormenta de tráfico.
Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos en todas las interfaces configurando una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Esto canaliza el tráfico de unidifusión desconocido a una sola interfaz).
Consulte también
Descripción de la difusión de capa 2 en conmutadores
En una red de capa 2, la difusión se refiere al envío de tráfico a todos los nodos de una red.
El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conocido como el dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión mediante una dirección MAC de FF:FF:FF:FF:FF:FF. Todos los dispositivos del dominio de difusión reconocen esta dirección MAC y pasan el tráfico de difusión a otros dispositivos del dominio de difusión, si procede. La difusión se puede comparar con la unidifusión (envío de tráfico a un solo nodo) o la multidifusión (entrega de tráfico a un grupo de nodos simultáneamente).
Sin embargo, el tráfico de difusión de capa 3 se envía a todos los dispositivos de una red mediante una dirección de red de difusión. Por ejemplo, si la dirección de red es 10.0.0.0, la dirección de red de difusión es 10.255.255.255. En este caso, solo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de capa 3. Los dispositivos que no pertenecen a esta red dejan caer el tráfico.
La radiodifusión se utiliza en las siguientes situaciones:
El Protocolo de resolución de direcciones (ARP) utiliza la difusión para asignar direcciones MAC a direcciones IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz Ethernet donde está configurada la dirección IP.
El Protocolo de configuración dinámica de host (DHCP) utiliza la difusión para asignar dinámicamente direcciones IP a hosts de un segmento o subred de red.
Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.
El tráfico de difusión excesivo a veces puede crear una tormenta de difusión. Una tormenta de difusión se produce cuando los mensajes se difunden en una red y cada mensaje solicita a un nodo receptor que responda difundiendo sus propios mensajes en la red. Esto, a su vez, provoca más respuestas que crean un efecto de bola de nieve. La LAN se inunda repentinamente de paquetes, creando tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida completa del servicio de red.
Consulte también
Uso de la CLI del software mejorado de capa 2
El software mejorado de capa 2 (ELS) proporciona una CLI uniforme para configurar y monitorear funciones de capa 2 en conmutadores de la serie QFX, conmutadores de la serie EX y otros dispositivos de Juniper Networks, como los enrutadores de la serie MX. Con ELS, puede configurar las funciones de capa 2 de la misma manera en todos estos dispositivos de Juniper Networks.
En este tema se explica cómo saber si su plataforma está ejecutando ELS. También explica cómo realizar algunas tareas comunes utilizando el estilo de configuración ELS.
- Descripción de qué dispositivos admiten ELS
- Descripción de cómo configurar entidades de capa 2 mediante ELS
- Descripción de la instrucción de configuración de ELS y los cambios de comando
Descripción de qué dispositivos admiten ELS
ELS se admite automáticamente si su dispositivo ejecuta una versión de Junos OS que lo admita. No necesita realizar ninguna acción para habilitar ELS y no puede deshabilitar ELS. Consulte Explorador de características para obtener información sobre qué plataformas y versiones admiten ELS.https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=5890&fn=Uniform+Enhanced+Layer+2+Software+(ELS)+CLI+configuration+statements+and+operational+commands
Descripción de cómo configurar entidades de capa 2 mediante ELS
Dado que ELS proporciona una CLI uniforme, ahora puede realizar las siguientes tareas en dispositivos compatibles de la misma manera:
- Configuración de una VLAN
- Configuración del identificador de VLAN nativo
- Configuración de interfaces de capa 2
- Configuración de interfaces de capa 3
- Configuración de una interfaz IRB
- Configuración de una interfaz Ethernet agregada y configuración de LACP en esa interfaz
Configuración de una VLAN
Puede configurar una o más VLAN para realizar puentes de capa 2. Las funciones de puente de capa 2 incluyen enrutamiento y puente integrados (IRB) para admitir puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores de las series EX y QFX pueden funcionar como conmutadores de capa 2, cada uno con varios dominios de puente o difusión que participan en la misma red de capa 2. También puede configurar la compatibilidad con enrutamiento de capa 3 para una VLAN.
Para configurar una VLAN:
Configuración del identificador de VLAN nativo
Los conmutadores serie EX y QFX admiten la recepción y el reenvío de tramas Ethernet enrutadas o con puente con etiquetas VLAN 802.1Q. Normalmente, los puertos de troncalización, que conectan conmutadores entre sí, aceptan paquetes de control sin etiquetar, pero no aceptan paquetes de datos sin etiquetar. Puede habilitar un puerto de troncalización para que acepte paquetes de datos sin etiquetar configurando un ID de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.
Para configurar el ID de VLAN nativo:
Configuración de interfaces de capa 2
Para asegurarse de que su red de alto tráfico esté ajustada para un rendimiento óptimo, configure explícitamente algunas opciones en las interfaces de red del conmutador.
Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como interfaz:trunk
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como interfaz:access
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Para asignar una interfaz a VLAN:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuración de interfaces de capa 3
Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. Para asignar una dirección a una interfaz, especifique la dirección al configurar la familia de protocolos. Para la familia o, configure la dirección IP de la interfaz.inetinet6
Puede configurar interfaces con una dirección IP versión 4 (IPv4) de 32 bits y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal con puntos de 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con prefijo de destino utiliza una sintaxis de dirección decimal punteada de 4 octetos con un prefijo de destino agregado (por ejemplo, 192.168.1.1/16).
Para especificar una dirección IP4 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Las direcciones IP versión 6 (IPv6) se representan en notación hexadecimal mediante una lista de valores de 16 bits separados por dos puntos. Asignar una dirección IPv6 de 128 bits a una interfaz.
Para especificar una dirección IP6 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuración de una interfaz IRB
El enrutamiento y puente integrados (IRB) proporciona compatibilidad con puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. El IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten que el dispositivo reconozca los paquetes que se envían a direcciones locales para que estén conectados por puente (conmutados) siempre que sea posible y se enruten solo cuando sea necesario. Siempre que se puedan conmutar los paquetes en lugar de enrutarlos, se eliminan varios niveles de procesamiento. Una interfaz denominada IRB funciona como un enrutador lógico en el que puede configurar una interfaz lógica de capa 3 para VLAN. Para lograr redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicios LAN privadas virtuales (VPLS).
Para configurar una interfaz IRB:
Configuración de una interfaz Ethernet agregada y configuración de LACP en esa interfaz
Use la función de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (LAG). El cliente MAC puede tratar este vínculo virtual como si fuera un único vínculo para aumentar el ancho de banda, proporcionar degradación elegante si ocurre un error y aumentar la disponibilidad.
Para configurar una interfaz Ethernet agregada:
Para las interfaces Ethernet agregadas en el dispositivo, puede configurar el Protocolo de control de agregación de vínculos (LACP). LACP agrupa varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP habilitado.
Cuando LACP está habilitado, los lados local y remoto de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para transmitir PDU activamente, o puede configurar los vínculos para transmitirlos pasivamente, enviando PDU LACP solo cuando los reciben desde otro vínculo. Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.
Para configurar LACP:
Habilite un lado del vínculo Ethernet agregado como activo:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Especifique el intervalo en el que las interfaces envían paquetes LACP:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Descripción de la instrucción de configuración de ELS y los cambios de comando
ELS se introdujo en Junos OS versión 12.3R2 para conmutadores EX9200. ELS cambia la CLI para algunas de las funciones de capa 2 de los conmutadores serie EX y QFX compatibles.
En las siguientes secciones se proporciona una lista de los comandos existentes que se movieron a nuevos niveles de jerarquía o se cambiaron en los conmutadores de la serie EX como parte de este esfuerzo de mejora de la CLI. Estas secciones se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.
- Cambios en el nivel jerárquico de las opciones de conmutación Ethernet
- Cambios en el nivel de jerarquía de creación de reflejo de puertos
- Cambios en el nivel de jerarquía del protocolo de control de capa 2
- Cambios en la instrucción dot1q-tunneling
- Cambios en el protocolo de aprendizaje L2
- Cambios en el puente sin interrupciones
- Cambios en la seguridad de puertos y espionaje DHCP
- Cambios en la configuración de VLAN
- Cambios en los perfiles de control de tormentas
- Cambios en la jerarquía de interfaces
- Cambios en IGMP Snooping
Cambios en el nivel jerárquico de las opciones de conmutación Ethernet
En esta sección se describen los cambios en el nivel jerárquico .ethernet-switching-options
El nivel de jerarquía ha cambiado de nombre a .ethernet-switching-optionsswitch-options
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Las instrucciones se han quitado de la jerarquía. |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Las instrucciones se han quitado de la jerarquía. |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
Nota:
La instrucción ha sido reemplazada por una nueva instrucción. interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Cambios en el nivel de jerarquía de creación de reflejo de puertos
Las instrucciones se han movido del nivel jerárquico al nivel jerárquico .ethernet-switching-optionsforwarding-options
Cambios en el nivel de jerarquía del protocolo de control de capa 2
Las instrucciones del protocolo de control de capa 2 se han movido de la jerarquía a la jerarquía.ethernet-switching-optionsprotocols
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Cambios en la instrucción dot1q-tunneling
La instrucción se ha reemplazado por una nueva instrucción y se ha movido a un nivel jerárquico diferente.dot1q-tunneling
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Cambios en el protocolo de aprendizaje L2
La instrucción se ha reemplazado por una nueva instrucción y se ha movido a un nivel jerárquico diferente.mac-table-aging-time
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en el puente sin interrupciones
La instrucción se ha movido a un nivel jerárquico diferente.nonstop-bridging
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Cambios en la seguridad de puertos y espionaje DHCP
La seguridad de puertos y las instrucciones de espionaje DHCP se han movido a diferentes niveles de jerarquía.
La instrucción no existe en la jerarquía modificada.examine-dhcp La supervisión de DHCP ahora se habilita automáticamente cuando se habilitan otras funciones de seguridad DHCP en una VLAN. Consulte Configuración de la seguridad de puertos (ELS) para obtener información adicional.Overview of Port Security
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Para la configuración MAC permitida, la instrucción jerarquía original se sustituye por el comando ELS set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Las instrucciones de espionaje DHCP se han movido a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Cambios en la configuración de VLAN
Las instrucciones para configurar VLAN se han movido a un nivel de jerarquía diferente.
A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, al habilitar STP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN.x Por ejemplo, si configura VLAN 100 para incluir las interfaces ge-0/0/0, ge-0/0/1 y ge-0/0/2, y desea habilitar MSTP en las interfaces ge-0/0/0 y ge-0/0/2, puede especificar los comandos y .set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 En este ejemplo, no habilitó explícitamente MSTP en la interfaz ge-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
Nota:
La instrucción se reemplaza por una nueva instrucción y se ha movido a un nivel jerárquico diferente. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Estas declaraciones han sido eliminadas. Puede asignar interfaces a una VLAN mediante la jerarquía. |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Se han eliminado las instrucciones. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
Nota:
Se ha cambiado la sintaxis. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
Se quita la instrucción. El tráfico de entrada se rastrea automáticamente. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
Se quita la instrucción. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
La instrucción se ha movido a una jerarquía diferente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
Se ha eliminado la instrucción. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
Se quita la instrucción. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
Nota:
La instrucción ha sido reemplazada por una nueva instrucción. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
Nota:
Se ha cambiado la sintaxis. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Para : interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Para (reescritura de MAC habilitada en una interfaz): protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en los perfiles de control de tormentas
El control de tormentas se configura en dos pasos. El primer paso es crear un perfil de control de tormentas en el nivel de jerarquía y el segundo paso es enlazar el perfil a una interfaz lógica en el nivel de jerarquía.[edit forwarding-options][edit interfaces] Consulte Ejemplo: Configuración del control de tormentas para evitar interrupciones de red en conmutadores de la serie EX para el procedimiento modificado.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Cambios en la jerarquía de interfaces
Las instrucciones se han movido a una jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
Nota:
La instrucción ha sido reemplazada por una nueva instrucción. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
Nota:
La instrucción ha sido reemplazada por una nueva instrucción. interfaces irb |
Cambios en IGMP Snooping
Jerarquía original |
Jerarquía modificada |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Declaración de configuración de CLI de capa 2 mejorada y cambios de comando para dispositivos de seguridad
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, algunas instrucciones de configuración de CLI de capa 2 se mejoran y algunos comandos se cambian. Tabla 18 y Tabla 19 proporcionar listas de comandos existentes que se han movido a nuevas jerarquías o cambiado en los firewalls de la serie SRX como parte de este esfuerzo de mejora de la CLI. Las tablas se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, consulte Explorador de CLI.
Jerarquía original |
Jerarquía modificada |
Nivel jerárquico |
Cambiar descripción |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[editar] |
Se ha cambiado el nombre de la jerarquía. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[editar VLAN ]vlans-name |
Se ha cambiado el nombre de la instrucción. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[editar VLAN ]vlans-name |
Se ha cambiado el nombre de la instrucción. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[editar flujo de seguridad] |
Se ha cambiado el nombre de la instrucción. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[editar interfaces ] Unidad interface-nameunit-number |
Se ha cambiado el nombre de la jerarquía. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[editar VLAN ]vlans-name |
Se ha cambiado el nombre de la instrucción. |
Comando operativo original |
Comando operativo modificado |
|---|---|
Clear Bridge Mac-Table |
Borrar tabla de conmutación Ethernet |
Clear Bridge MAC-Table Persistent-Learning |
Borrar la tabla de conmutación Ethernet Aprendizaje persistente |
Mostrar dominio de puente |
Mostrar VLAN |
Mostrar Bridge Mac-Table |
Mostrar tabla de conmutación Ethernet |
Mostrar interfaz de aprendizaje L2 |
Mostrar interfaz de conmutación Ethernet |
No existe una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Consulte también
Modo de próxima generación de capa 2 para la serie ACX
El modo de próxima generación de capa 2, también llamado software mejorado de capa 2 (ELS), es compatible con enrutadores ACX5048, ACX5096 y ACX5448 para configurar funciones de capa 2. Las configuraciones y comandos show de la CLI de capa 2 para los enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509 difieren de los de otros enrutadores de la serie ACX (enrutadores de la serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y de la serie MX.
Tabla 20 muestra las diferencias en la jerarquía de CLI para configurar funciones de capa 2 en el modo de próxima generación de capa 2.
Característica |
Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX |
Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509 |
|---|---|---|
Dominio de puente |
[] |
[] |
Familia |
[] |
[] |
Opciones de capa 2 |
[] |
[] |
Opciones de Ethernet |
[] |
[] |
Enrutamiento y puente integrados (IRB) |
[; |
|
Control de tormentas |
[] |
[] [ |
Monitoreo del protocolo de administración de grupos de Internet (IGMP) |
[] |
[] |
Filtro de firewall de familia |
[] |
[] |
muestra las diferencias de comandos para las funciones de capa 2 en el modo de próxima generación de capa 2.Tabla 21show
Característica |
Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX |
Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509 |
|---|---|---|
VLAN |
|
|
Tabla MAC |
|
|
Opciones de tabla MAC |
|
|
Lista de puertos de conmutador con asignaciones de VLAN |
|
|
Estado del kernel de la base de datos flush |
|
|
Consulte también
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
set protocols l2-learning global-mode(transparent-bridge | switching)