Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Redes de capa 2

Descripción general de las redes de capa 2

La capa 2, también conocida como capa de vínculo de datos, es el segundo nivel del modelo de referencia OSI de siete capas para el diseño de protocolo de red. La capa 2 es equivalente a la capa de vínculo (la capa más baja) en el modelo de red TCP/IP. La capa 2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos en la misma red de área local.

Una trama es una unidad de datos de protocolo, la unidad de bits más pequeña de una red de capa 2. Las tramas se transmiten y reciben desde dispositivos en la misma red de área local (LAN). Los bits unilke, las tramas tienen una estructura definida y se pueden usar para la detección de errores, las actividades del plano de control, etc. No todas las tramas transportan datos de usuario. La red utiliza algunas tramas para controlar el propio vínculo de datos.

En la capa 2, la unidifusión se refiere al envío de tramas de un nodo a otro nodo único, mientras que la multidifusión indica el envío de tráfico desde un nodo a varios nodos, y la difusión se refiere a la transmisión de tramas a todos los nodos de una red. Un dominio de difusión es una división lógica de una red en la que una difusión puede alcanzar todos los nodos de esa red en la capa 2.

Los segmentos de una LAN se pueden vincular a nivel de trama mediante puentes. El puente crea dominios de difusión independientes en la LAN, lo que crea VLAN, que son redes lógicas independientes que agrupan dispositivos relacionados en segmentos de red independientes. La agrupación de dispositivos en una VLAN es independiente de dónde se encuentran físicamente los dispositivos en la LAN. Sin puentes y VLAN, todos los dispositivos de la LAN Ethernet se encuentran en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes en la LAN.

El reenvío es la retransmisión de paquetes de un segmento de red a otro por nodos de la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía solo dentro de la VLAN local. Un segmento de red es una parte de una red informática en la que cada dispositivo se comunica utilizando la misma capa física.

La capa 2 contiene dos subcapas:

  • Subcapa de control de vínculo lógico (LLC), que es responsable de administrar vínculos de comunicaciones y de manejar el tráfico de tramas.

  • Subcapa de control de acceso de medios (MAC), que rige el acceso de protocolo al medio físico de la red. Mediante el uso de las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos en el mismo vínculo físico pueden identificarse de forma única entre sí.

    Los puertos o interfaces de un conmutador funcionan en modo de acceso, de acceso con etiquetas o de troncalización:

    • Los puertos del modo de acceso se conectan a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso.

    • Los puertos en modo de acceso con etiqueta se conectan a un dispositivo de red, como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos de un conmutador están en modo de acceso. El modo de acceso con etiquetas admite la computación en la nube, específicamente escenarios que incluyen máquinas virtuales o computadoras virtuales. Dado que se pueden incluir varios equipos virtuales en un servidor físico, los paquetes generados por un servidor pueden contener una agregación de paquetes VLAN de diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso con etiqueta refleja los paquetes de vuelta al servidor físico en el mismo puerto descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se reflejan en el servidor físico en el puerto descendente cuando el destino aún no se ha aprendido. Por lo tanto, el tercer modo de interfaz, el acceso etiquetado, tiene algunas características del modo de acceso y algunas características del modo de troncalización:

    • Los puertos del modo de troncalización manejan el tráfico de varias VLAN, multiplexando el tráfico de todas esas VLAN a través de la misma conexión física. Las interfaces troncales se utilizan generalmente para interconectar conmutadores a otros dispositivos o conmutadores.

      Con la VLAN nativa configurada, las tramas que no llevan etiquetas VLAN se envían a través de la interfaz de troncalización. Si tiene una situación en la que los paquetes pasan de un dispositivo a un conmutador en modo de acceso y desea enviar esos paquetes desde el conmutador a través de un puerto de troncalización, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que está en modo de acceso) como una VLAN nativa. A continuación, el puerto de troncalización del conmutador tratará esas tramas de manera diferente a los demás paquetes etiquetados. Por ejemplo, si un puerto de troncalización tiene tres VLAN, 10, 20 y 30, asignadas con VLAN 10 como VLAN nativa, las tramas en VLAN 10 que dejan el puerto de troncalización en el otro extremo no tienen encabezado (etiqueta) 802.1Q. Hay otra opción de VLAN nativa. Puede hacer que el conmutador agregue y elimine etiquetas para paquetes sin etiquetar. Para ello, primero configure la VLAN única como una VLAN nativa en un puerto conectado a un dispositivo en el borde. A continuación, asigne una etiqueta de ID de VLAN a la VLAN nativa única en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto de troncalización. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el ID que especificó y envía y recibe los paquetes etiquetados en el puerto de troncalización configurado para aceptar esa VLAN.

Incluidas las subcapas, la capa 2 de la serie QFX admite la siguiente funcionalidad:

  • Unidifusión, multidifusión y tráfico de difusión.

  • Puente.

  • VLAN 802.1Q: también conocido como etiquetado VLAN, este protocolo permite que varias redes puenteadas compartan de forma transparente el mismo vínculo de red físico mediante la adición de etiquetas VLAN a una trama Ethernet.

  • La extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) impide el bucle a través de la red.

  • Aprendizaje MAC, incluyendo aprendizaje MAC por VLAN y supresión de aprendizaje de capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red

  • Agregación de vínculos: este proceso agrupa las interfaces Ethernet en la capa física para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete LAG

    Nota:

    La agregación de vínculos no se admite en dispositivos NFX150.

  • Control de tormentas en el puerto físico para unidifusión, multidifusión y difusión

    Nota:

    El control de tormentas no se admite en dispositivos NFX150.

  • Soporte STP, incluyendo 802.1d, RSTP, MSTP y Root Guard

Descripción general del modo transparente de conmutación Ethernet y capa 2

El modo transparente de capa 2 ofrece la capacidad de desplegar el firewall sin hacer cambios en la infraestructura de enrutamiento existente. El firewall se despliega como un conmutador de capa 2 con varios segmentos de VLAN y proporciona servicios de seguridad dentro de segmentos de VLAN. Secure Wire es una versión especial del modo transparente de capa 2 que permite el despliegue de bump-in-wire.

Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.

En el caso de los dispositivos de la serie SRX, el modo transparente ofrece servicios de seguridad completos para las capacidades de conmutación de capa 2. En estos dispositivos de la serie SRX, puede configurar una o más VLAN para realizar la conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o más puertos de varios dispositivos. Por lo tanto, el dispositivo serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.

En modo transparente, el dispositivo serie SRX filtra paquetes que atraviesan el dispositivo sin modificar ninguna de la información de origen o destino en los encabezados de paquete IP. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes no confiables, ya que no es necesario reconfigurar la configuración IP de enrutadores o servidores protegidos.

En modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No enrutar el tráfico de capa 3 a través del dispositivo. Las zonas de capa 2 se pueden configurar para alojar interfaces de capa 2, y las políticas de seguridad se pueden definir entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes.

Tabla 1 enumera las funciones de seguridad que se admiten y no se admiten en modo transparente para la conmutación de capa 2.

Tabla 1: Funciones de seguridad compatibles en modo transparente

Tipo de modo

Apoyado

No compatible

Modo transparente

  • Puertas de enlace de capa de aplicación (ALG)

  • Autenticación de usuario de firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Administración unificada de amenazas (UTM)

  • Traducción de la dirección de red (NAT)

  • VPN

Nota:

En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en modo transparente de capa 2.

Además, los dispositivos de la serie SRX no admiten las siguientes funciones de capa 2 en modo transparente de capa 2:

  • Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existan bucles de inundación en la topología de red.

  • Supervisión del protocolo de administración de grupos de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 utilizado para informar sus pertenencias a grupos de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.

  • VLAN con etiqueta doble o identificadores de VLAN IEEE 802.1Q encapsulados dentro de paquetes 802.1Q (también denominados etiquetados VLAN "Q in Q"): solo se admiten identificadores VLAN sin etiquetar o con etiqueta única en dispositivos de la serie SRX.

  • Aprendizaje de VLAN no calificado, donde solo se utiliza la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en dispositivos de la serie SRX está calificado; es decir, se utilizan tanto el identificador de VLAN como la dirección MAC.

Además, en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o SRX650, algunas funciones no son compatibles. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.) No se admiten las siguientes funciones para el modo transparente de capa 2 en los dispositivos mencionados:

  • G-ARP en la interfaz de capa 2

  • Monitoreo de direcciones IP en cualquier interfaz

  • Tráfico de tránsito a través de IRB

  • Interfaz IRB en una instancia de enrutamiento

  • Manejo de interfaz IRB del tráfico de capa 3

    Nota:

    La interfaz IRB es una pseudointerfaz y no pertenece a la interfaz de reth y al grupo de redundancia.

Modo transparente de capa 2 en el concentrador de puerto de módulo de línea SRX5000

El concentrador de puerto de módulo de línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el dispositivo de la serie SRX está configurado en modo transparente de capa 2.

Cuando el SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces en la SRX5K-MPC como puertos de conmutación de capa 2 para admitir tráfico de capa 2.

La unidad de procesamiento de seguridad (SPU) admite todos los servicios de seguridad para las funciones de conmutación de capa 2, y la MPC entrega los paquetes de entrada a la SPU y reenvía los paquetes de salida encapsulados por la SPU a las interfaces salientes.

Cuando el dispositivo serie SRX está configurado en modo transparente de capa 2, puede habilitar las interfaces de la MPC para que funcionen en modo de capa 2 definiendo una o más unidades lógicas en una interfaz física con el tipo de dirección de familia como Ethernet switching. Más adelante, puede continuar con la configuración de zonas de seguridad de capa 2 y la configuración de políticas de seguridad en modo transparente. Una vez hecho esto, se configuran topologías de salto siguiente para procesar paquetes de entrada y salida.

Descripción de flujos IPv6 en modo transparente en dispositivos de seguridad

En modo transparente, el dispositivo serie SRX filtra paquetes que atraviesan el dispositivo sin modificar ninguna de la información de origen o destino en los encabezados MAC del paquete. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes no confiables, ya que no es necesario reconfigurar la configuración IP de enrutadores o servidores protegidos.

Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo están configuradas como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 si su interfaz lógica está configurada con la ethernet-switching opción en el nivel de jerarquía [edit interfaces interface-name unit unit-number family]. No hay ningún comando para definir o habilitar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si todas las interfaces físicas están configuradas como interfaces de capa 3.

De forma predeterminada, los flujos IPv6 se pierden en los dispositivos de seguridad. Para habilitar el procesamiento por funciones de seguridad, como zonas, pantallas y políticas de firewall, debe habilitar el reenvío basado en flujo para el tráfico IPv6 con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6]. Debe reiniciar el dispositivo cuando cambie el modo.

En modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes. Se admiten las siguientes funciones de seguridad para el tráfico IPv6 en modo transparente:

No se admiten las siguientes funciones de seguridad para flujos IPv6 en modo transparente:

  • Sistemas lógicos

  • IPv6 GTPv2

  • Interfaz J-Web

  • TDR

  • VPN IPSec

  • Con la excepción de DNS, FTP y ALG TFTP, no se admiten todas las demás ALG.

Configurar las VLAN y las interfaces lógicas de capa 2 para flujos IPv6 es lo mismo que configurar vlan e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de enrutamiento y puente integrados (IRB) para el tráfico de administración en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB del dispositivo de la serie SRX no admite el reenvío de tráfico ni el enrutamiento. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la address instrucción de configuración en el nivel de jerarquía [edit interfaces irb unit number family inet6]. Puede asignar una dirección IPv4 para la interfaz IRB con la address instrucción de configuración en el nivel de jerarquía [edit interfaces irb unit number family inet].

Las funciones de conmutación Ethernet en dispositivos de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, no todas las funciones de red de capa 2 compatibles con enrutadores serie MX se admiten en dispositivos de la serie SRX. Consulte Descripción general del modo transparente de conmutación Ethernet y capa 2.

El dispositivo de la serie SRX mantiene tablas de reenvío que contienen direcciones MAC e interfaces asociadas para cada VLAN de capa 2. El procesamiento de flujo IPv6 es similar a los flujos IPv4. Consulte Descripción general de aprendizaje y reenvío de capa 2 para VLAN.

Descripción de clústeres de chasis en modo transparente de capa 2 en dispositivos de seguridad

Se puede conectar un par de dispositivos serie SRX en modo transparente de capa 2 en un clúster de chasis para proporcionar redundancia de nodo de red. Cuando se configura en un clúster de chasis, un nodo actúa como el dispositivo principal y el otro como dispositivo secundario, lo que garantiza la conmutación por error de estado de los procesos y servicios en caso de falla del sistema o del hardware. Si el dispositivo principal falla, el dispositivo secundario se encarga del procesamiento del tráfico.

Nota:

Si el dispositivo principal falla en un clúster de chasis en modo transparente de capa 2, los puertos físicos del dispositivo con errores se inactivan (bajan) durante unos segundos antes de que se activen (vuelvan a activarse).

Para formar un clúster de chasis, un par del mismo tipo de dispositivos compatibles de la serie SRX se combina para actuar como un único sistema que aplica la misma seguridad general.

Los dispositivos en modo transparente de capa 2 se pueden desplegar en configuraciones de clústeres de chasis activo/de respaldo y activo/activo.

Las siguientes funciones de clúster de chasis no se admiten para dispositivos en modo transparente de capa 2:

  • ARP gratuito: el principal recién elegido en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red un cambio en el rol principal en los vínculos de interfaz Ethernet redundantes.

  • Supervisión de direcciones IP: no se puede detectar una falla de un dispositivo ascendente.

Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es principal en un nodo y una copia de seguridad en el otro. Cuando un grupo de redundancia es principal en un nodo, sus objetos en ese nodo están activos. Cuando se produce un error en un grupo de redundancia, todos sus objetos conmutan por error juntos.

Puede crear uno o más grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es una pseudointerfaz que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas en una interfaz Ethernet redundante deben ser del mismo tipo: Fast Ethernet o Gigabit Ethernet. Si un grupo de redundancia está activo en el nodo 0, los vínculos secundarios de todas las interfaces Ethernet redundantes asociadas en el nodo 0 están activos. Si el grupo de redundancia conmuta por error al nodo 1, los vínculos secundarios de todas las interfaces Ethernet redundantes del nodo 1 se activarán.

Nota:

En la configuración del clúster de chasis activo/activo, el número máximo de grupos de redundancia es igual al número de interfaces Ethernet redundantes que configure. En la configuración del clúster de chasis activo/de respaldo, el número máximo de grupos de redundancia admitidos es dos.

Configurar interfaces Ethernet redundantes en un dispositivo en modo transparente de capa 2 es similar a configurar interfaces Ethernet redundantes en un dispositivo en modo de ruta de capa 3, con la siguiente diferencia: la interfaz Ethernet redundante en un dispositivo en modo transparente de capa 2 se configura como una interfaz lógica de capa 2.

La interfaz Ethernet redundante puede configurarse como una interfaz de acceso (con un único ID de VLAN asignado a paquetes sin etiquetar recibidos en la interfaz) o como una interfaz troncal (con una lista de ID de VLAN aceptados en la interfaz y, opcionalmente, un ID de vlan nativa para paquetes sin etiqueta recibidos en la interfaz). Las interfaces físicas (una de cada nodo del clúster de chasis) se enlazan como interfaces secundarias a la interfaz Ethernet redundante principal.

En el modo transparente de capa 2, el aprendizaje MAC se basa en la interfaz Ethernet redundante. La tabla MAC se sincroniza entre interfaces Ethernet redundantes y unidades de procesamiento de servicios (SPU) entre el par de dispositivos del clúster de chasis.

La interfaz IRB se utiliza solo para el tráfico de administración y no se puede asignar a ninguna interfaz Ethernet redundante ni a ningún grupo de redundancia.

Todas las opciones de pantalla de Junos OS que están disponibles para un solo dispositivo no clúster están disponibles para dispositivos en clústeres de chasis en modo transparente de capa 2.

Nota:

Los protocolos de árbol de expansión (STP) no se admiten para el modo transparente de capa 2. Debe asegurarse de que no hay conexiones de bucle en la topología de despliegue.

Configuración de la administración fuera de banda en dispositivos SRX

Puede configurar la fxp0 interfaz de administración fuera de banda en el dispositivo serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 se definen en el dispositivo. A excepción de la fxp0 interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de red del dispositivo.

Nota:

No hay ninguna interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX550M . (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

Conmutación Ethernet

La conmutación Ethernet reenvía las tramas Ethernet dentro o a través del segmento LAN (o VLAN) mediante la información de dirección MAC Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante ASIC.

A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet. Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración surte efecto. Tabla 2 describe el modo global predeterminado de capa 2 en dispositivos de la serie SRX.

Tabla 2: Modo global predeterminado de capa 2 en dispositivos de la serie SRX

Versión de Junos OS

Plataformas

Modo global predeterminado de capa 2

Detalles

Antes de junos OS versión 15.1X49-D50

y

Junos OS versión 17.3R1 en adelante

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Ninguna

Junos OS versión 15.1X49-D50 a Junos OS versión 15.1X49-D90

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Cuando elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo está en modo de puente transparente.

Junos OS versión 15.1X49-D100 en adelante

SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M

Modo de conmutación

Cuando elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo está en modo de conmutación. Configure el set protocols l2-learning global-mode transparent-bridge comando bajo el [edit] nivel de jerarquía para cambiar al modo de puente transparente. Reinicie el dispositivo para que la configuración surte efecto.

Junos OS versión 15.1X49-D50 en adelante

SRX1500

Modo de puente transparente

Ninguna

El protocolo de capa 2 compatible en modo de conmutación es protocolo de control de agregación de vínculos (LACP).

Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los siguientes comandos para definir una interfaz Ethernet redundante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Excepciones de conmutación de capa 2 en dispositivos de la serie SRX

Las funciones de conmutación en los dispositivos de la serie SRX son similares a las de los enrutadores de la serie MX de Juniper Networks. Sin embargo, las siguientes funciones de red de capa 2 en enrutadores serie MX no se admiten en dispositivos de la serie SRX:

  • Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores serie MX para protocolos de árbol de expansión rápida (RSTP) o protocolo de árbol de expansión múltiple (MSTP) en interfaces de borde del cliente de una instancia de enrutamiento VPLS.

  • Instancia de enrutamiento de conmutador virtual: la instancia de enrutamiento de conmutación virtual se utiliza en enrutadores serie MX para agrupar una o más VLAN.

  • Instancia de enrutamiento de servicios LAN privadas virtuales (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores de la serie MX para implementaciones de LAN de punto a multipunto entre un conjunto de sitios en una VPN.

Descripción de unidifusión

Unicasting es el acto de enviar datos de un nodo de la red a otro. Por el contrario, las transmisiones de multidifusión envían tráfico desde un nodo de datos a varios otros nodos de datos.

El tráfico de unidifusión desconocido consta de tramas de unidifusión con direcciones MAC de destino desconocidas. De forma predeterminada, el conmutador inunda estas tramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. Reenviar este tipo de tráfico a interfaces del conmutador puede desencadenar un problema de seguridad. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento de red deficiente o incluso a una pérdida completa del servicio de red. Esto se conoce como tormenta de tráfico.

Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos a todas las interfaces configurando una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Esto canaliza el tráfico de unidifusión desconocido a una sola interfaz.)

Descripción de la difusión de capa 2 en conmutadores

En una red de capa 2, la difusión se refiere al envío de tráfico a todos los nodos de una red.

El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conocido como dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión mediante una dirección MAC de FF:FF:FF:FF:FF:FF:FF. Cada dispositivo del dominio de difusión reconoce esta dirección MAC y pasa el tráfico de difusión a otros dispositivos del dominio de difusión, si corresponde. La difusión se puede comparar con unicasting (envío de tráfico a un solo nodo) o multidifusión (entrega de tráfico a un grupo de nodos simultáneamente).

Sin embargo, el tráfico de difusión de capa 3 se envía a todos los dispositivos de una red mediante una dirección de red de difusión. Por ejemplo, si la dirección de red es 10.0.0.0, la dirección de red de difusión es 10.255.255.255. En este caso, solo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de capa 3. Los dispositivos que no pertenecen a esta red pierden el tráfico.

La difusión se utiliza en las siguientes situaciones:

  • El protocolo de resolución de direcciones (ARP) utiliza la difusión para asignar direcciones MAC a direcciones IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz Ethernet donde está configurada la dirección IP.

  • El Protocolo de configuración dinámica de host (DHCP) utiliza la difusión para asignar dinámicamente direcciones IP a hosts en un segmento o subred de red.

  • Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.

El tráfico de difusión excesivo a veces puede crear una tormenta de difusión. Una tormenta de difusión se produce cuando los mensajes se difunden en una red y cada mensaje solicita a un nodo de recepción que responda mediante la difusión de sus propios mensajes en la red. Esto, a su vez, solicita más respuestas que creen un efecto bola de nieve. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento de red deficiente o incluso a una pérdida completa del servicio de red.

Uso de la CLI de software de capa 2 mejorada

Enhanced Layer 2 Software (ELS) ofrece una CLI uniforme para configurar y monitorear funciones de capa 2 en conmutadores serie QFX, conmutadores de la serie EX y otros dispositivos Juniper Networks, como enrutadores serie MX. Con ELS, puede configurar las funciones de capa 2 de la misma manera en todos estos dispositivos de Juniper Networks.

En este tema, se explica cómo saber si su plataforma está ejecutando ELS. También explica cómo realizar algunas tareas comunes mediante el estilo de configuración ELS.

Descripción de qué dispositivos son compatibles con ELS

ELS se admite automáticamente si el dispositivo está ejecutando una versión de Junos OS que lo admita. No es necesario realizar ninguna acción para habilitar ELS y no puede deshabilitar ELS. Consulte Explorador de funciones para obtener información sobre qué plataformas y versiones admiten ELS.

Descripción de cómo configurar funciones de capa 2 mediante ELS

Dado que ELS proporciona una CLI uniforme, ahora puede realizar las siguientes tareas en dispositivos compatibles de la misma manera:

Configuración de una VLAN

Puede configurar una o más VLAN para realizar puentes de capa 2. Las funciones de puente de capa 2 incluyen enrutamiento y puente integrados (IRB) para admitir puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores serie EX y QFX pueden funcionar como conmutadores de capa 2, cada uno con varios dominios de puente o difusión que participan en la misma red de capa 2. También puede configurar la compatibilidad de enrutamiento de capa 3 para una VLAN.

Para configurar una VLAN:

  1. Cree la VLAN estableciendo un nombre VLAN único y configurando el ID de VLAN:

    Si usa la opción de lista de ID de VLAN, puede especificar opcionalmente un intervalo de ID de VLAN.

  2. Asigne al menos una interfaz a la VLAN:

Configuración del identificador vlan nativo

Los conmutadores serie EX y QFX admiten la recepción y el reenvío de tramas Ethernet enrutadas o puenteadas con etiquetas VLAN 802.1Q. Por lo general, los puertos de troncalización, que conectan conmutadores entre sí, aceptan paquetes de control sin etiquetar, pero no aceptan paquetes de datos sin etiquetar. Puede habilitar un puerto de troncalización para aceptar paquetes de datos sin etiquetar mediante la configuración de un ID de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.

Para configurar el ID de VLAN nativo:

  1. En la interfaz en la que desea que se reciban paquetes de datos sin etiquetar, establezca el modo de interfaz en trunk, lo que especifica que la interfaz está en varias VLAN y puede multiplexar el tráfico entre distintas VLAN.
  2. Configure el ID de VLAN nativo y asigne la interfaz al ID de VLAN nativo:
  3. Asigne la interfaz al ID de VLAN nativo:

Configuración de interfaces de capa 2

Para garantizar que su red de alto tráfico esté sintonizada para un rendimiento óptimo, configure explícitamente algunas opciones en las interfaces de red del conmutador.

Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz trunk :

Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz access :

Para asignar una interfaz a vlan:

Configuración de interfaces de capa 3

Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. Para asignar una dirección a una interfaz, especifique la dirección cuando configure la familia de protocolos. Para la inet familia o inet6 , configure la dirección IP de la interfaz.

Puede configurar interfaces con una dirección IP de 32 bits versión 4 (IPv4) y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal de 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con prefijo de destino utiliza una sintaxis de dirección decimal de 4 octetos con un prefijo de destino anexado (por ejemplo, 192.168.1.1/16).

Para especificar una dirección IP4 para la unidad lógica:

Representa direcciones IP versión 6 (IPv6) en notación hexadecimal mediante una lista separada por dos puntos de valores de 16 bits. Asigne una dirección IPv6 de 128 bits a una interfaz.

Para especificar una dirección IP6 para la unidad lógica:

Configuración de una interfaz IRB

El enrutamiento y el puente integrados (IRB) admiten puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten que el dispositivo reconozca paquetes que se envían a direcciones locales para que estén conectados (conmutados) siempre que sea posible y se enrutan solo cuando sea necesario. Cada vez que se pueden conmutar paquetes en lugar de enrutarse, se eliminan varias capas de procesamiento. Una interfaz denominada irb funciona como un enrutador lógico en el que puede configurar una interfaz lógica de capa 3 para VLAN. Para obtener redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicio LAN privada virtual (VPLS).

Para configurar una interfaz IRB:

  1. Cree una VLAN de capa 2 asignándole un nombre y un ID de VLAN:
  2. Cree una interfaz lógica IRB:
  3. Asocie la interfaz IRB con la VLAN:

Configuración de una interfaz Ethernet agregada y configuración de LACP en esa interfaz

Utilice la función de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (LAG). El cliente MAC puede tratar este vínculo virtual como si fuera un único vínculo para aumentar el ancho de banda, proporcionar una degradación elegante a medida que ocurre un error y aumentar la disponibilidad.

Para configurar una interfaz Ethernet agregada:

  1. Especifique el número de interfaces Ethernet agregadas que se van a crear:
  2. Especifique el nombre de la interfaz del grupo de agregación de vínculos:
  3. Especifique el número mínimo de vínculos para la interfaz de Ethernet agregada (aex) (es decir, el paquete definido) que se va a etiquetar:
  4. Especifique la velocidad de vínculo para el paquete Ethernet agregado:
  5. Especifique los miembros que se incluirán en el paquete Ethernet agregado:
  6. Especifique una familia de interfaces para el paquete Ethernet agregado:

Para interfaces Ethernet agregadas en el dispositivo, puede configurar el protocolo de control de agregación de vínculos (LACP). LACP agrupa varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP habilitado.

Cuando la LACP está habilitada, los lados local y remoto de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para transmitir PDU de forma activa, o puede configurar los vínculos para transmitirlos pasivamente, enviando PDU LACP solo cuando las reciban desde otro vínculo. Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.

Para configurar LACP:

  1. Habilite un lado del vínculo Ethernet agregado como activo:

  2. Especifique el intervalo en el que las interfaces envían paquetes LACP:

Descripción de la instrucción de configuración de ELS y los cambios de comandos

ELS se introdujo en Junos OS versión 12.3R2 para conmutadores EX9200. ELS cambia la CLI para algunas de las funciones de capa 2 en los conmutadores compatibles de las series EX y QFX.

En las siguientes secciones, se proporciona una lista de comandos existentes que se trasladaron a nuevos niveles jerárquicos o se cambiaron en conmutadores de la serie EX como parte de este esfuerzo de mejora de la CLI. Estas secciones se proporcionan solo como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.

Cambios en el nivel de jerarquía de opciones de conmutación ethernet

En esta sección se describen los cambios en el ethernet-switching-options nivel jerárquico.

Nota:

El ethernet-switching-options nivel jerárquico se cambió a .switch-options

Tabla 3: Cambiar el nombre de la jerarquía de opciones de conmutación ethernet

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabla 4: Declaraciones RTG

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabla 5: Instrucciones eliminadas

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Las instrucciones se han eliminado de la switch-options jerarquía.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Las instrucciones se han eliminado de la switch-options jerarquía.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Nota:

La port-error-disable instrucción se ha reemplazado por una instrucción nueva.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Cambios en el nivel de jerarquía de creación de reflejo de puertos

Nota:

Las instrucciones se han desplazado del nivel jerárquico ethernet-switching-options al forwarding-options nivel jerárquico.

Tabla 6: Jerarquía de creación de reflejo de puertos

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Cambios en el nivel de jerarquía del protocolo de control de capa 2

Las instrucciones del protocolo de control de capa 2 se han desplazado de la ethernet-switching-options jerarquía a la protocols jerarquía.

Tabla 7: Protocolo de control de capa 2

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Cambios en la instrucción dot1q-tunneling

La dot1q-tunneling instrucción se reemplazó con una instrucción nueva y se movió a un nivel jerárquico diferente.

Tabla 8: dot1q-tunneling

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Cambios en el protocolo de aprendizaje L2

La mac-table-aging-time instrucción se reemplazó con una instrucción nueva y se movió a un nivel jerárquico diferente.

Tabla 9: instrucción mac-table-aging-time

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en puentes sin interrupción

La nonstop-bridging instrucción se ha desplazado a un nivel de jerarquía diferente.

Tabla 10: Declaración de puente sin interrupción

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Cambios en la seguridad de puertos y la fisgoneo DHCP

Las instrucciones de seguridad de puerto y de espionaje DHCP se han desplazado a diferentes niveles jerárquicos.

Nota:

La instrucción examine-dhcp no existe en la jerarquía cambiada. Ahora, el espionaje DHCP se habilita automáticamente cuando otras funciones de seguridad DHCP están habilitadas en una VLAN. Consulte Configurar seguridad de puerto (ELS) para obtener más información.

Tabla 11: Instrucciones de seguridad de puerto

Jerarquía original

Jerarquía cambiada

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Consejo:

Para la configuración mac permitida, la instrucción set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 de jerarquía original se sustituye por el comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Nota:

Las instrucciones de espionaje DHCP se han desplazado a un nivel jerárquico diferente.

Tabla 12: Instrucciones de espionaje DHCP

Jerarquía original

Jerarquía cambiada

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Cambios en la configuración de redes VLAN

Las instrucciones para configurar redes VLAN se han desplazado a un nivel jerárquico diferente.

Nota:

A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, cuando habilite xSTP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN. Por ejemplo, si configura VLAN 100 para incluir interfaces ge-0/0/0, ge-0/0/1 y ge-0/0/2, y desea habilitar MSTP en las interfaces ge-0/0/0 y ge-0/0/2, puede especificar los set protocols mstp interface ge-0/0/0 comandos y set protocols mstp interface ge-0/0/2 . En este ejemplo, no habilite explícitamente MSTP en la interfaz ge-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.

Tabla 13: Jerarquía de VLAN

Jerarquía original

Jerarquía cambiada

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Nota:

La instrucción se sustituye por una nueva instrucción y se ha desplazado a un nivel de jerarquía diferente.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Estas instrucciones se han eliminado. Puede asignar interfaces a una VLAN mediante la [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] jerarquía.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Se han eliminado las instrucciones.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se cambia la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Se elimina la instrucción. El tráfico de entrada se rastrea automáticamente.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Se elimina la instrucción.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

La instrucción se ha trasladado a una jerarquía diferente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Se eliminó la instrucción.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Se elimina la instrucción.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Nota:

La instrucción se reemplazó con una nueva instrucción.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se cambia la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabla 14: Instrucciones trasladadas a una jerarquía diferente

Jerarquía original

Jerarquía cambiada

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

Para dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Para layer2-protocol-tunneling (reescritura MAC habilitada en una interfaz):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en los perfiles de control de tormentas

El control de tormentas se configura en dos pasos. El primer paso es crear un perfil de control de tormenta en el [edit forwarding-options] nivel de jerarquía y el segundo paso es enlazar el perfil a una interfaz lógica en el [edit interfaces] nivel de jerarquía. Consulte Ejemplo: Configuración del control de tormentas para evitar interrupciones de la red en conmutadores de la serie EX para el procedimiento cambiado.

Tabla 15: Cambios en el nivel de jerarquía del perfil de control de tormentas

Jerarquía original

Jerarquía cambiada

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Cambios en la jerarquía de interfaces

Nota:

Las instrucciones se han trasladado a una jerarquía diferente.

Tabla 16: Cambios en la jerarquía de interfaces

Jerarquía original

Jerarquía cambiada

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Nota:

La instrucción se reemplazó con una nueva instrucción.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Nota:

La instrucción se reemplazó con una nueva instrucción.

interfaces irb

Cambios en la supervisión de IGMP

Tabla 17: Jerarquía de espionaje IGMP

Jerarquía original

Jerarquía cambiada

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Instrucción de configuración de CLI de capa 2 mejorada y cambios de comandos para dispositivos de seguridad

A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, se mejoran algunas instrucciones de configuración de CLI de capa 2 y se cambian algunos comandos. Tabla 18 y Tabla 19 proporcionar listas de comandos existentes que se han trasladado a nuevas jerarquías o cambiados en dispositivos de la serie SRX como parte de este esfuerzo de mejora de CLI. Las tablas se proporcionan solo como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, consulte el Explorador de CLI.

Tabla 18: Cambios en la instrucción de configuración mejorada de capa 2

Jerarquía original

Jerarquía cambiada

Nivel jerárquico

Descripción del cambio

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[editar]

Jerarquía cambiada de nombre.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[editar vlan]vlans-name

Instrucción cambiada de nombre.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[editar vlan]vlans-name

Instrucción cambiada de nombre.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[editar flujo de seguridad]

Instrucción cambiada de nombre.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[editar interfaces interface-name ] Unidad unit-number

Jerarquía cambiada de nombre.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[editar vlan]vlans-name

Instrucción cambiada de nombre.

Tabla 19: Cambios mejorados de comandos operativos de capa 2

Comando operativo original

Comando operativo modificado

mac-table de puente claro

tabla de conmutación Ethernet clara

puente claro mac-table de aprendizaje persistente

tabla de conmutación Ethernet sin problemas de aprendizaje persistente

mostrar dominio de puente

mostrar VLAN

muestra la mac-table de puente

muestra la tabla de conmutación Ethernet

muestra la interfaz de aprendizaje l2

muestra la interfaz de conmutación Ethernet

Nota:

No hay ninguna interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

Modo de última generación de capa 2 para la serie ACX

El modo de última generación de capa 2, también llamado Software mejorado de capa 2 (ELS), se admite en enrutadores ACX5048, ACX5096 y ACX5448 para configurar funciones de capa 2. Las configuraciones de CLI de capa 2 y los comandos show para enrutadores ACX5048, ACX5096 y ACX5448 son diferentes de los de otros enrutadores serie ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y serie MX.

Tabla 20 muestra las diferencias en la jerarquía de CLI para configurar funciones de capa 2 en el modo de próxima generación de capa 2.

Tabla 20: Diferencias en la jerarquía de CLI para entidades de capa 2 en modo de última generación de capa 2

Característica

Enrutadores serie MX, ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX

Enrutadores ACX5048, ACX5096 y ACX5448

Dominio de puente

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Familia bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Opciones de capa 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Opciones de Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Enrutamiento y puente integrados (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Control de tormentas

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Supervisión del protocolo de administración de grupos de Internet (IGMP)

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtro de firewall de familia bridge

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabla 21 muestra las diferencias en show los comandos para las funciones de capa 2 en el modo de próxima generación de capa 2.

Tabla 21: Diferencias en mostrar comandos para funciones de capa 2 en modo de última generación de capa 2

Característica

Enrutadores serie MX, ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX

Enrutadores ACX5048, ACX5096 y ACX5448

VLAN

show bridge-domain

show vlans

Tabla MAC

show bridge mac-table

show ethernet-switching table

Opciones de tabla MAC

show bridge mac-table(dirección MAC, nombre de dominio de puente, interfaz, ID de VLAN e instancia)

show ethernet-switching table

Lista de puertos de conmutador con asignaciones de VLAN

show l2-learning interface

show ethernet-switching interfaces

Estado del kernel de la base de datos de vaciado

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D40
A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.
15.1X49-D10
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, se mejoran algunas instrucciones de configuración de CLI de capa 2 y se cambian algunos comandos.