Redes de capa 2
Descripción general de las redes de capa 2
La capa 2, también conocida como capa de vínculo de datos, es el segundo nivel del modelo de referencia OSI de siete niveles para el diseño de protocolos de red. La capa 2 es equivalente a la capa de vínculo (la capa más baja) del modelo de red TCP/IP. Layer2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos de la misma red de área local.
Una trama es una unidad de datos de protocolo, la unidad más pequeña de bits en una red de capa 2. Las tramas se transmiten hacia y desde los dispositivos en la misma red de área local (LAN). A diferencia de los bits, las tramas tienen una estructura definida y se pueden usar para la detección de errores, las actividades del plano de control, etc. No todas las tramas contienen datos de usuario. La red utiliza algunas tramas para controlar el propio vínculo de datos.
En la capa 2, la unidifusión se refiere al envío de tramas desde un nodo a otro nodo único, mientras que la multidifusión denota el envío de tráfico de un nodo a varios nodos y la transmisión se refiere a la transmisión de tramas a todos los nodos en una red. Un dominio de difusión es una división lógica de una red en la cual una difusión puede alcanzar a todos los nodos de esa red en la capa 2.
Los segmentos de una LAN se pueden vincular a nivel de trama mediante puentes. La conexión por puentes crea dominios de difusión independientes en la LAN, lo cual crea VLAN, que son redes lógicas independientes que agrupan dispositivos relacionados en segmentos de red independientes. El agrupamiento de dispositivos en una VLAN no depende de la ubicación física de los dispositivos en la LAN. Sin puentes ni VLAN, todos los dispositivos en la Ethernet LAN se encuentran en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes de la LAN.
El reenvío es la transmisión de paquetes desde un segmento de red a otro mediante nodos en la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía únicamente dentro de la VLAN local. Un segmento de red es una parte de una red de equipos, en la cual cada dispositivo se comunica utilizando la misma capa física.
La capa 2 contiene dos subcapas:
Subcapa de control de vínculo lógico (LLC), la cual se encarga de administrar vínculos de comunicaciones y controlar el tráfico de tramas.
Subcapa de control de acceso a medios (MAC), la cual controla el acceso de protocolos al medio físico de la red. Mediante el uso de las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos en el mismo vínculo físico pueden identificarse entre sí de manera única.
Los puertos, o interfaces, en un conmutador funcionan en modo de acceso, acceso con etiqueta o modo de troncalización:
Los puertos en modo de acceso se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso.
Los puertos en modo de acceso con etiqueta se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso. El modo de acceso con etiqueta admite computación en la nube, específicamente en situaciones que incluyen máquinas virtuales o equipos virtuales. Dado que se pueden incluir varios equipos virtuales en un solo servidor físico, los paquetes generados por un servidor pueden contener una adición de paquetes de VLAN desde diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso con etiqueta refleja los paquetes de regreso al servidor físico en el mismo puerto descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se reflejan de vuelta al servidor físico en el puerto descendente cuando aún no se ha aprendido el destino. Por lo tanto, el tercer modo de interfaz, el acceso con etiquetas, tiene algunas características del modo de acceso y algunas características del modo de troncalización:
Los puertos del modo de troncalización administran el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN sobre la misma conexión física. Las interfaces troncalizadas se utilizan generalmente para interconectar conmutadores a otros dispositivos o conmutadores.
Con la VLAN nativa configurada, las tramas que no contienen etiquetas de VLAN se envían a través de la interfaz troncalizada. Si tiene una situación en la cual los paquetes pasan de un dispositivo a un conmutador en modo de acceso, y desea enviar esos paquetes desde el conmutador a través de un puerto de troncalización, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que está en modo de acceso) como una VLAN nativa. El puerto de troncalización del conmutador tratará esas tramas de manera diferente a los otros paquetes etiquetados. Por ejemplo, si un puerto de troncalización tiene tres VLAN (10, 20 y 30) asignadas con una VLAN 10 que es la VLAN nativa, las tramas en VLAN 10 que dejen el puerto de troncalización en el otro extremo no tienen encabezado (etiqueta) 802.1Q. Existe otra opción de VLAN nativa. Puede hacer que el conmutador agregue o quite etiquetas para los paquetes sin etiquetar. Para ello, configure primero la VLAN única como una VLAN nativa en un puerto conectado a un dispositivo del perímetro. A continuación, asigne una etiqueta de ID VLAN a la VLAN nativa única en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto de troncalización. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el ID que especificó y, luego, envía y recibe los paquetes etiquetados en el puerto de troncalización configurado para aceptar dicha VLAN.
Al incluir las subcapas, la capa 2 de la serie QFX admite la siguiente funcionalidad:
Tráfico de unidifusión, multidifusión y difusión.
Puente.
VLAN 802.1Q: Este protocolo, también conocido como etiquetado VLAN, permite que varias redes en puente compartan de forma transparente el mismo vínculo de red física mediante la adición de etiquetas VLAN a un marco Ethernet.
La extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) evita que hayan bucles a través de la red.
Aprendizaje de MAC, incluido el aprendizaje de MAC por VLAN y la supresión del aprendizaje de capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red
Agregación de vínculos: este proceso agrupa de interfaces Ethernet en la capa física para formar una interfaz de capa de vínculo única, también conocida como grupo de agregación de vínculos (LAG) o agrupación LAG
Nota:La agregación de vínculos no se admite en dispositivos NFX150.
Control de tormentas en el puerto físico de unidifusión, multidifusión y difusión
Nota:No se admite el control de tormentas en dispositivos NFX150.
Compatibilidad con STP, incluido 802.1d, RSTP, MSTP y protección de raíz
Ver también
Descripción de las VLAN
Una VLAN (LAN virtual) es una colección de nodos de red agrupados para formar dominios de difusión independientes. En una red Ethernet que es una sola LAN, todo el tráfico se reenvía a todos los nodos de la LAN. En las VLAN, las tramas cuyo origen y destino se encuentran en la misma VLAN se reenvían únicamente dentro de la VLAN local. Las tramas que no están destinadas a la VLAN local son las únicas que se reenvían a otros dominios de difusión. Por lo tanto, las VLAN limitan la cantidad de tráfico que fluye a través de toda la LAN, lo que reduce la cantidad de posibles colisiones y retransmisiones de paquetes dentro de una VLAN y en toda la LAN.
En una LAN Ethernet, todos los nodos de la red deben estar conectados físicamente a la misma red. En las VLAN, la ubicación física de los nodos no es importante; Por lo tanto, puede agrupar los dispositivos de red de la forma que sea conveniente para su organización, como por departamento o función empresarial, por tipos de nodos de red o por ubicación física. Cada VLAN se identifica mediante una única subred IP y mediante encapsulación estandarizada IEEE 802.1Q.
Para identificar a qué VLAN pertenece el tráfico, todas las tramas en una VLAN Ethernet se identifican mediante una etiqueta, tal como se define en el estándar IEEE 802.1Q. Estas tramas están etiquetadas y encapsuladas con etiquetas 802.1Q.
En caso de una red simple con una sola VLAN, todo el tráfico tiene la misma etiqueta 802.1Q. Cuando una LAN Ethernet está dividida en redes VLAN, cada VLAN se identifica con una etiqueta 802.1Q exclusiva. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas sepan a qué VLAN pertenece una trama. Los puertos de troncalización, que multiplican el tráfico entre varias VLAN, utilizan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.
Ver también
Descripción general de la conmutación Ethernet y el modo transparente de capa 2
El modo transparente de capa 2 ofrece la capacidad de implementar el firewall sin realizar cambios en la infraestructura de enrutamiento existente. El firewall se despliega como un conmutador de capa 2 con varios segmentos de VLAN y proporciona servicios de seguridad dentro de segmentos de VLAN. Secure Wire es una versión especial del modo transparente de capa 2 que permite el despliegue bump-in-wire.
Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.
Para los firewalls de la serie SRX, el modo transparente proporciona servicios de seguridad completos para capacidades de conmutación de capa 2. En estos firewalls de la serie SRX, puede configurar una o varias VLAN para que realicen la conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o más puertos de varios dispositivos. Por lo tanto, el firewall de la serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.
En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados de los paquetes IP. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes no confiables, ya que no es necesario volver a configurar los ajustes de IP de los enrutadores o servidores protegidos.
En el modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No enrute el tráfico de capa 3 a través del dispositivo. Las zonas de capa 2 se pueden configurar para alojar interfaces de capa 2 y se pueden definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes.
En la tabla 1 se enumeran las funciones de seguridad compatibles y no compatibles con el modo transparente para la conmutación de capa 2.
Tipo de modo |
Compatible |
No compatible |
|---|---|---|
Modo transparente |
|
|
En dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en la modo transparente de capa 2.
Además, los firewalls de la serie SRX no admiten las siguientes características de capa 2 en el modo transparente de capa 2:
Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existan bucles de inundación en la topología de red.
Monitoreo del protocolo de administración de grupos de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 que se utiliza para informar sus pertenencias a grupos de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.
VLAN con doble etiqueta o identificadores de VLAN IEEE 802.1Q encapsulados dentro de paquetes 802.1Q (también llamado etiquetado de VLAN "Q en Q"): solo se admiten identificadores VLAN con etiqueta única o sin etiquetar en los firewalls de la serie SRX.
Aprendizaje de VLAN no calificado, donde solo se usa la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en firewalls de la serie SRX está calificado; es decir, se utilizan tanto el identificador VLAN como la dirección MAC.
Además, en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o SRX650, algunas características no son compatibles. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación). Las siguientes características no son compatibles con el modo transparente de capa 2 en los dispositivos mencionados:
G-ARP en la interfaz de capa 2
Monitoreo de direcciones IP en cualquier interfaz
Tráfico de tránsito a través de IRB
Interfaz IRB en una instancia de enrutamiento
Interfaz IRB para gestionar el tráfico de capa 3
Nota:La interfaz IRB es una pseudointerfaz y no pertenece a la interfaz reth ni al grupo de redundancia.
- Modo transparente de capa 2 en el concentrador de puerto del módulo de la línea SRX5000
- Descripción de los flujos de IPv6 en modo transparente en dispositivos de seguridad
- Descripción de los clústeres de chasis en modo transparente de capa 2 en dispositivos de seguridad
- Configuración de la gestión fuera de banda en firewalls de la serie SRX
- Conmutación Ethernet
- Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Modo transparente de capa 2 en el concentrador de puerto del módulo de la línea SRX5000
El concentrador de puerto de módulo de la línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el firewall de la serie SRX está configurado en modo transparente de capa 2.
Cuando la SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces de la SRX5K-MPC como puertos de conmutación de capa 2 para admitir el tráfico de capa 2.
La unidad de procesamiento de seguridad (SPU) admite todos los servicios de seguridad para funciones de conmutación de capa 2, y la MPC entrega los paquetes de entrada a la SPU y reenvía los paquetes de salida encapsulados por la SPU a las interfaces de salida.
Cuando el firewall de la serie SRX está configurado en modo transparente de capa 2, puede habilitar las interfaces en la MPC para que funcionen en modo de capa 2 definiendo una o más unidades lógicas en una interfaz física con el tipo de dirección de familia como Ethernet switching. Más adelante puede continuar con la configuración de zonas de seguridad de capa 2 y la configuración de políticas de seguridad en modo transparente. Una vez hecho esto, se configuran las topologías del siguiente salto para procesar los paquetes de entrada y salida.
Descripción de los flujos de IPv6 en modo transparente en dispositivos de seguridad
En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados MAC del paquete. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes no confiables, ya que no es necesario volver a configurar los ajustes de IP de los enrutadores o servidores protegidos.
Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo están configuradas como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 si su interfaz lógica está configurada con la ethernet-switching opción en el nivel de jerarquía [edit interfaces interface-name unit unit-number family]. No hay ningún comando para definir o activar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si todas las interfaces físicas están configuradas como interfaces de capa 3.
De forma predeterminada, los flujos IPv6 se descartan en los dispositivos de seguridad. Para habilitar el procesamiento por características de seguridad como zonas, pantallas y políticas de firewall, debe habilitar el reenvío basado en flujo para el tráfico IPv6 con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6]. Debe reiniciar el dispositivo cuando cambie el modo.
En el modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y puede definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes. Las siguientes características de seguridad son compatibles con el tráfico IPv6 en modo transparente:
Zonas de seguridad de capa 2 y políticas de seguridad. Consulte Descripción de las zonas de seguridad de capa 2 y Descripción de las políticas de seguridad en modo transparente .
Autenticación de usuario de firewall. Consulte Descripción de la autenticación de usuario de firewall en modo transparente .
Clústeres de chasis en modo transparente de capa 2.
Clase de funciones de servicio . Consulte Descripción general de funciones de clase de servicio en modo transparente.
Las siguientes funciones de seguridad no se admiten para los flujos IPv6 en modo transparente:
Sistemas lógicos
IPv6 GTPv2
Interfaz J-Web
TDR
IPsec VPN
Con la excepción de los ALG DNS, FTP y TFTP, no se admiten todos los demás ALG.
La configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv6 es la misma que la configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de enrutamiento y puente integrados (IRB) para el tráfico de administración en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB en el firewall de la serie SRX no admite enrutamiento ni reenvío de tráfico. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la instrucción de address configuración en el nivel de jerarquía [edit interfaces irb unit number family inet6]. Puede asignar una dirección IPv4 para la interfaz IRB con la instrucción de address configuración en el nivel de jerarquía [edit interfaces irb unit number family inet].
Las funciones de conmutación Ethernet en los firewalls de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, no todas las funciones de red de capa 2 compatibles con los enrutadores de la serie MX son compatibles con los firewalls de la serie SRX. Consulte Descripción general de la conmutación Ethernet y el modo transparente de capa 2.
El firewall de la serie SRX mantiene tablas de reenvío que contienen direcciones MAC e interfaces asociadas para cada VLAN de capa 2. El procesamiento del flujo IPv6 es similar al de los flujos IPv4. Consulte Descripción general del aprendizaje y reenvío de capa 2 para VLAN.
Descripción de los clústeres de chasis en modo transparente de capa 2 en dispositivos de seguridad
Se pueden conectar un par de firewalls de la serie SRX en modo transparente de capa 2 en un clúster de chasis para proporcionar redundancia del nodo de red. Cuando se configura en un clúster de chasis, un nodo actúa como dispositivo principal y el otro como secundario, lo que garantiza la tolerancia a fallos de estado de procesos y servicios en caso de falla del sistema o del hardware. Si se produce un error en el dispositivo primario, el secundario se encarga del procesamiento del tráfico.
Si se produce un error en el dispositivo principal en un clúster de chasis de modo transparente de capa 2, los puertos físicos del dispositivo con errores se vuelven inactivos (descienden) durante unos segundos antes de volver a activarse (subir).
Para formar un clúster de chasis, un par del mismo tipo de firewalls compatibles de la serie SRX se combina para actuar como un único sistema que aplica la misma seguridad general.
Los dispositivos en modo transparente de capa 2 se pueden implementar en configuraciones de clúster de chasis activo/de respaldo y activo/activo.
Las siguientes funciones de clúster de chasis no se admiten para dispositivos en modo transparente de capa 2:
ARP gratuito: el principal recién elegido en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red un cambio en el rol principal en los vínculos de interfaz Ethernet redundantes.
Monitoreo de direcciones IP: no se puede detectar un error en un dispositivo ascendente.
Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es principal en un nodo y copia de seguridad en el otro. Cuando un grupo de redundancia es principal en un nodo, sus objetos en ese nodo están activos. Cuando un grupo de redundancia conmuta por error, todos sus objetos conmutan por error juntos.
Puede crear uno o varios grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es una pseudointerfaz que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas en una interfaz Ethernet redundante deben ser del mismo tipo, ya sea Fast Ethernet o Gigabit Ethernet. Si hay un grupo de redundancia activo en el nodo 0, los vínculos secundarios de todas las interfaces Ethernet redundantes asociadas en el nodo 0 están activos. Si el grupo de redundancia conmuta por error al nodo 1, los vínculos secundarios de todas las interfaces Ethernet redundantes del nodo 1 se activan.
En la configuración de clúster de chasis activo/activo, la cantidad máxima de grupos de redundancia es igual a la cantidad de interfaces Ethernet redundantes que configure. En la configuración de clúster de chasis activo/de respaldo, la cantidad máxima de grupos de redundancia admitidos es dos.
La configuración de interfaces Ethernet redundantes en un dispositivo en modo transparente de capa 2 es similar a la configuración de interfaces Ethernet redundantes en un dispositivo en modo de enrutamiento de capa 3, con la siguiente diferencia: La interfaz Ethernet redundante en un dispositivo en modo transparente de capa 2 se configura como una interfaz lógica de capa 2.
La interfaz Ethernet redundante se puede configurar como una interfaz de acceso (con un único ID de VLAN asignado a paquetes sin etiquetar recibidos en la interfaz) o como una interfaz troncal (con una lista de ID de VLAN aceptados en la interfaz y, opcionalmente, un ID de VLAN nativo para los paquetes sin etiqueta recibidos en la interfaz). Las interfaces físicas (una de cada nodo del clúster de chasis) se enlazan como interfaces secundarias a la interfaz Ethernet redundante principal.
En el modo transparente de capa 2, el aprendizaje de MAC se basa en la interfaz Ethernet redundante. La tabla MAC se sincroniza entre interfaces Ethernet redundantes y unidades de procesamiento de servicios (SPU) entre el par de dispositivos del clúster de chasis.
La interfaz IRB solo se utiliza para el tráfico de administración y no puede asignarse a ninguna interfaz Ethernet redundante ni a ningún grupo de redundancia.
Todas las opciones de pantalla de Junos OS que están disponibles para un único dispositivo que no está en clúster están disponibles para dispositivos en clústeres de chasis en modo transparente de capa 2.
Los protocolos de árbol de expansión (STP) no se admiten para el modo transparente de capa 2. Debe asegurarse de que no haya conexiones de bucle en la topología de despliegue.
Configuración de la gestión fuera de banda en firewalls de la serie SRX
Puede configurar la fxp0 interfaz de administración fuera de banda en el firewall de la serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 están definidas en el dispositivo. Con la excepción de la fxp0 interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de red del dispositivo.
No existe una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX550M. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Conmutación Ethernet
La conmutación Ethernet reenvía las tramas Ethernet dentro o a través del segmento de LAN (o VLAN) mediante la información de la dirección MAC de Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante ASIC.
A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet. Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración surta efecto. En la tabla 2 se describe el modo global de capa 2 predeterminado en los firewalls de la serie SRX.
Versión de Junos OS |
Plataformas |
Modo global de capa 2 predeterminado |
Detalles |
|---|---|---|---|
Antes de Junos OS versión 15.1X49-D50 y Junos OS versión 17.3R1 en adelante |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Ninguno |
Junos OS versión 15.1X49-D50 a Junos OS versión 15.1X49-D90 |
SRX300, SRX320, SRX340 y SRX345 |
Modo de conmutación |
Cuando elimina la configuración del modo global de capa 2 en un dispositivo, este se encuentra en modo de puente transparente. |
Junos OS versión 15.1X49-D100 en adelante |
SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M |
Modo de conmutación |
Cuando elimina la configuración del modo global de capa 2 en un dispositivo, este se encuentra en modo de conmutación. Configure el |
Junos OS versión 15.1X49-D50 en adelante |
SRX1500 |
Modo de puente transparente |
Ninguno |
El protocolo de capa 2 admitido en el modo de conmutación es el protocolo de control de agregación de vínculos (LACP).
Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los siguientes comandos para definir una interfaz Ethernet redundante:
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
Excepciones de conmutación de capa 2 en dispositivos de la serie SRX
Las funciones de conmutación de los firewalls de la serie SRX son similares a las de los enrutadores de la serie MX de Juniper Networks. Sin embargo, las siguientes funciones de red de capa 2 en enrutadores de la serie MX no se admiten en los firewalls de la serie SRX:
Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores de la serie MX para el protocolo de árbol de expansión rápida (RSTP) o el protocolo de árbol de expansión múltiple (MSTP) en las interfaces de borde del cliente de una instancia de enrutamiento VPLS.
Instancia de enrutamiento de conmutador virtual: la instancia de enrutamiento de conmutación virtual se utiliza en enrutadores de la serie MX para agrupar una o varias VLAN.
Instancia de enrutamiento de servicios LAN privados virtuales (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores de la serie MX para implementaciones de LAN punto a multipunto entre un conjunto de sitios en una VPN.
Ver también
Descripción de unidifusión
La unidifusión es el acto de enviar datos de un nodo de la red a otro. En cambio, las transmisiones de multidifusión envían tráfico de un nodo de datos a varios otros nodos de datos.
El tráfico de unidifusión desconocido consiste en tramas de unidifusión con direcciones MAC de destino desconocidas. De forma predeterminada, el conmutador inunda estas tramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. Reenviar este tipo de tráfico a las interfaces del conmutador puede desencadenar un problema de seguridad. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida total del servicio de red. Esto se conoce como tormenta de tráfico.
Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos a todas las interfaces configurando una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Esto canaliza el tráfico de unidifusión desconocido a una sola interfaz.)
Ver también
Descripción de la difusión de capa 2 en conmutadores
En una red de capa 2, la difusión se refiere al envío de tráfico a todos los nodos de una red.
El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conocido como dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión utilizando una dirección MAC de FF:FF:FF:FF:FF:FF. Cada dispositivo en el dominio de difusión reconoce esta dirección MAC y pasa el tráfico de difusión a otros dispositivos en el dominio de difusión, si corresponde. La difusión se puede comparar con la unidifusión (enviar tráfico a un solo nodo) o la multidifusión (entregar tráfico a un grupo de nodos simultáneamente).
Sin embargo, el tráfico de difusión de capa 3 se envía a todos los dispositivos de una red mediante una dirección de red de difusión. Por ejemplo, si la dirección de red es 10.0.0.0, la dirección de red de difusión es 10.255.255.255. En este caso, solo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de capa 3. Los dispositivos que no pertenecen a esta red interrumpen el tráfico.
La radiodifusión se utiliza en las siguientes situaciones:
El Protocolo de resolución de direcciones (ARP) utiliza la difusión para asignar direcciones MAC a direcciones IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz Ethernet en la que está configurada la dirección IP.
El protocolo de configuración dinámica de host (DHCP) utiliza la difusión para asignar dinámicamente direcciones IP a hosts en un segmento o subred de red.
Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.
Un tráfico de difusión excesivo a veces puede crear una tormenta de difusión. Se produce una tormenta de difusión cuando se difunden mensajes en una red y cada mensaje solicita a un nodo receptor que responda difundiendo sus propios mensajes en la red. Esto, a su vez, provoca más respuestas que crean un efecto de bola de nieve. La LAN se inunda repentinamente de paquetes, lo que crea tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida total del servicio de red.
Ver también
Uso de la CLI de software de capa 2 mejorada
El software de capa 2 mejorado (ELS) ofrece una CLI uniforme para configurar y monitorear las características de capa 2 en conmutadores de la serie QFX, conmutadores de la serie EX y otros dispositivos de Juniper Networks. Con ELS, las características de capa 2 se configuran de la misma manera en todos estos dispositivos de Juniper Networks.
En este tema, se explica cómo saber si la plataforma está ejecutando ELS. También explica cómo realizar algunas tareas comunes con el estilo de configuración ELS.
- Comprender qué dispositivos admiten ELS
- Descripción de cómo configurar entidades de capa 2 con ELS
- Descripción de los cambios en las instrucciones de configuración y los comandos de ELS
Comprender qué dispositivos admiten ELS
ELS se admite automáticamente si el dispositivo ejecuta una versión de Junos OS compatible. No es necesario realizar ninguna acción para habilitar ELS y no puede deshabilitar ELS. Consulte Explorador de características para obtener información acerca de las plataformas y versiones compatibles con ELS.
Descripción de cómo configurar entidades de capa 2 con ELS
Dado que ELS proporciona una CLI uniforme, ahora puede realizar las siguientes tareas en dispositivos compatibles de la misma manera:
- Configuración de una VLAN
- Configuración del identificador de VLAN nativo
- Configuración de interfaces de capa 2
- Configuración de interfaces de capa 3
- Configuración de una interfaz IRB
- Configuración de una interfaz Ethernet agregada y configuración de LACP en dicha interfaz
Configuración de una VLAN
Puede configurar una o varias VLAN para que realicen el puente de capa 2. Las funciones de puentes de capa 2 incluyen enrutamiento y puentes integrados (IRB) para admitir puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores de la serie EX y la serie QFX pueden funcionar como conmutadores de capa 2, cada uno con múltiples dominios de puente o difusión que participan en la misma red de capa 2. También puede configurar la compatibilidad del enrutamiento de capa 3 para una VLAN.
Para configurar una VLAN:
Configuración del identificador de VLAN nativo
Los conmutadores de la serie EX y la serie QFX admiten la recepción y el reenvío de tramas Ethernet enrutadas o en puente con etiquetas VLAN 802.1Q. Por lo general, los puertos de troncalización, que conectan conmutadores entre sí, aceptan paquetes de control sin etiqueta, pero no aceptan paquetes de datos sin etiqueta. Puede habilitar un puerto de troncalización para aceptar paquetes de datos sin etiquetar configurando un ID de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.
Para configurar el ID de VLAN nativo:
Configuración de interfaces de capa 2
Para asegurarse de que su red de alto tráfico esté sintonizada para un rendimiento óptimo, configure explícitamente algunos ajustes en las interfaces de red del conmutador.
Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz trunk :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
Para configurar una interfaz Gigabit Ethernet o una interfaz de 10 Gigabit Ethernet como interfaz access :
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
Para asignar una interfaz a VLAN:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
Configuración de interfaces de capa 3
Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. La asignación de una dirección a una interfaz se especifica al configurar la familia de protocolos. Para la inet familia or inet6 , configure la dirección IP de la interfaz.
Puede configurar interfaces con una dirección IP de 32 bits versión 4 (IPv4) y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal con puntos de 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con prefijo de destino utiliza una sintaxis de dirección decimal con puntos de 4 octetos con un prefijo de destino adjunto (por ejemplo, 192.168.1.1/16).
Para especificar una dirección IP4 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
Las direcciones IP versión 6 (IPv6) se representan en notación hexadecimal mediante una lista de valores de 16 bits separados por dos puntos. Asigne una dirección IPv6 de 128 bits a una interfaz.
Para especificar una dirección IP6 para la unidad lógica:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
Configuración de una interfaz IRB
El enrutamiento y los puentes integrados (IRB) proporciona compatibilidad con el puente de capa 2 y el enrutamiento IP de capa 3 en la misma interfaz. El IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten que el dispositivo reconozca los paquetes que se envían a direcciones locales para que se enlacen (cambien) siempre que sea posible y que se enruten únicamente cuando sea necesario. Siempre que se puedan conmutar los paquetes en lugar de enrutarlos, se eliminan varios niveles de procesamiento. Una interfaz denominada IRB funciona como un enrutador lógico en el cual puede configurar una interfaz lógica de capa 3 para VLAN. Para lograr redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicios de LAN privada virtual (VPLS).
Para configurar una interfaz IRB:
Configuración de una interfaz Ethernet agregada y configuración de LACP en dicha interfaz
Use la función de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (LAG). El cliente MAC puede tratar este vínculo virtual como si fuera un único vínculo para aumentar el ancho de banda, proporcionar degradación elegante si ocurre un error y aumentar la disponibilidad.
Para configurar una interfaz Ethernet agregada:
Para las interfaces Ethernet agregadas en el dispositivo, puede configurar el protocolo de control de agregación de vínculos (LACP). LACP agrupa varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP habilitado.
Cuando LAPC está habilitado, los lados local y remoto de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para que transmitan PDU de forma activa, o puede configurar los vínculos para que los transmitan de forma pasiva, enviando PDU LACP solo cuando los reciban de otro vínculo. Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.
Para configurar LACP:
Habilite un lado del vínculo Ethernet agregado como activo:
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
Especifique el intervalo en el que las interfaces envían paquetes LACP:
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
Descripción de los cambios en las instrucciones de configuración y los comandos de ELS
ELS se introdujo en la versión 12.3R2 de Junos OS para conmutadores EX9200. ELS cambia la CLI de algunas de las funciones de capa 2 en conmutadores serie EX y serie QFX compatibles.
En las siguientes secciones, se proporciona una lista de comandos existentes que se movieron a nuevos niveles de jerarquía o se cambiaron en conmutadores de la serie EX como parte de este esfuerzo de mejora de la CLI. Estas secciones se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.
- Cambios en el nivel de jerarquía de opciones de conmutación ethernet
- Cambios en el nivel de jerarquía de imitación de puerto
- Cambios en el nivel de jerarquía del protocolo de control de capa 2
- Cambios en la instrucción dot1q-tunneling
- Cambios en el protocolo de aprendizaje de L2
- Cambios en el puente continuo
- Cambios en la seguridad de puertos y la supervisión de DHCP
- Cambios en la configuración de redes VLAN
- Cambios en los perfiles de control de tormentas
- Cambios en la jerarquía de interfaces
- Cambios en la supervisión IGMP
Cambios en el nivel de jerarquía de opciones de conmutación ethernet
En esta sección, se describen los cambios en el nivel jerárquico ethernet-switching-options .
El ethernet-switching-options nivel de jerarquía se ha cambiado a .switch-options
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
Las instrucciones se han eliminado de la |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
Las instrucciones se han eliminado de la |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
Nota:
La interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
Cambios en el nivel de jerarquía de imitación de puerto
Las instrucciones se han movido del nivel de jerarquía al forwarding-options nivel de ethernet-switching-options jerarquía.
Cambios en el nivel de jerarquía del protocolo de control de capa 2
Las instrucciones del protocolo de control de capa 2 se han movido de la ethernet-switching-options jerarquía a la protocols jerarquía.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
Cambios en la instrucción dot1q-tunneling
La dot1q-tunneling instrucción se reemplazó por una nueva instrucción y se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
aggregated-ether-options
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
Cambios en el protocolo de aprendizaje de L2
La mac-table-aging-time instrucción se reemplazó por una nueva instrucción y se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en el puente continuo
La nonstop-bridging instrucción se movió a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
Cambios en la seguridad de puertos y la supervisión de DHCP
Las instrucciones de seguridad de puerto y de espionaje de DHCP se han movido a diferentes niveles de jerarquía.
La instrucción examine-dhcp no existe en la jerarquía cambiada. La supervisión de DHCP ahora se habilita automáticamente cuando se habilitan otras funciones de seguridad de DHCP en una VLAN. Consulte Configuración de la seguridad del puerto (ELS) para obtener más información.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
Para la configuración MAC permitida, la instrucción set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 hierarchy original se sustituye por el comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
Las instrucciones de espionaje DHCP se han movido a un nivel de jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
Cambios en la configuración de redes VLAN
Las instrucciones para configurar redes VLAN se movieron a un nivel de jerarquía diferente.
A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, al habilitar xSTP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN. Por ejemplo, si configura VLAN 100 para que incluya las interfaces ge-0/0/0, ge-0/0/1 y ge-0/0/2, y desea habilitar MSTP en las interfaces ge-0/0/0 y ge-0/0/2, puede especificar los set protocols mstp interface ge-0/0/0 comandos y set protocols mstp interface ge-0/0/2 . En este ejemplo, no habilitó explícitamente MSTP en la interfaz ge-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
Nota:
La instrucción se sustituye por una nueva instrucción y se ha movido a un nivel de jerarquía diferente. vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
Estas declaraciones han sido eliminadas. Puede asignar interfaces a una VLAN mediante la |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
Se han eliminado las declaraciones. |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
Nota:
La sintaxis ha cambiado. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
Se elimina la declaración. El tráfico de entrada se rastrea automáticamente. |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
Se elimina la declaración. |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
La instrucción se ha movido a una jerarquía diferente. vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
La declaración ha sido eliminada. |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
Se elimina la declaración. |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
Nota:
La declaración ha sido reemplazada por una nueva declaración. vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
Nota:
La sintaxis ha cambiado. vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
Jerarquía original |
Jerarquía modificada |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
Para interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
Para protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
Cambios en los perfiles de control de tormentas
El control de tormentas se configura en dos pasos. El primer paso es crear un perfil de control de tormentas en el [edit forwarding-options] nivel de jerarquía y el segundo paso es enlazar el perfil a una interfaz lógica en el nivel de [edit interfaces] jerarquía. Consulte Ejemplo: Configuración del control de tormentas para evitar interrupciones de red en conmutadores de la serie EX para conocer el procedimiento modificado.
Jerarquía original |
Jerarquía modificada |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
Cambios en la jerarquía de interfaces
Las instrucciones se movieron a una jerarquía diferente.
Jerarquía original |
Jerarquía modificada |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
Nota:
La declaración ha sido reemplazada por una nueva declaración. interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
Nota:
La declaración ha sido reemplazada por una nueva declaración. interfaces irb |
Cambios en la supervisión IGMP
Jerarquía original |
Jerarquía modificada |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
Declaración de configuración de la CLI de capa 2 mejorada y cambios de comando para dispositivos de seguridad
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, se mejoran algunas instrucciones de configuración de la CLI de capa 2 y se cambian algunos comandos. En las tablas 18 y 19 se proporcionan listas de comandos existentes que se movieron a nuevas jerarquías o se cambiaron en firewalls de la serie SRX como parte de este esfuerzo de mejora de la CLI. Las tablas se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, consulte Explorador de CLI.
Jerarquía original |
Jerarquía modificada |
Nivel jerárquico |
Descripción del cambio |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[editar] |
Se ha cambiado el nombre de la jerarquía. |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[editar VLAN]vlans-name |
Declaración renombrada. |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[editar VLAN]vlans-name |
Declaración renombrada. |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[Editar flujo de seguridad] |
Declaración renombrada. |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[editar interfaces interface-name ] unidad unit-number |
Se ha cambiado el nombre de la jerarquía. |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[editar VLAN]vlans-name |
Declaración renombrada. |
Comando operativo original |
Comando operativo modificado |
|---|---|
tabla mac de puente transparente |
borrar tabla de conmutación Ethernet |
Clear Bridge tabla MAC aprendizaje persistente |
borrar tabla de conmutación Ethernet aprendizaje persistente |
muestra dominio de puente |
mostrar VLAN |
muestra la tabla mac del puente |
muestra la tabla de conmutación Ethernet |
muestra la interfaz de aprendizaje l2 |
muestra la interfaz de conmutación Ethernet |
No hay ninguna interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
Ver también
Modo de próxima generación de capa 2 para la serie ACX
El modo de capa 2 de próxima generación, también llamado Software de capa 2 mejorada (ELS), se admite en enrutadores ACX5048, ACX5096 y ACX5448 para configurar las características de capa 2. La capa 2 CLI configuraciones y mostrar comandos para enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 y ACX7509 difieren de los de otros enrutadores serie ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y enrutadores serie MX.
En la tabla 20 se muestran las diferencias en la jerarquía de la CLI para configurar entidades de capa 2 en el modo de capa 2 de próxima generación.
Reportaje |
Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y serie MX |
Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 y ACX7509 |
|---|---|---|
Dominio de puentes |
[ |
[ |
Familia |
[ |
[ |
Opciones de la capa 2 |
[ |
[ |
Opciones de Ethernet |
[ |
[ |
Enrutamiento y puenteo integrados (IRB) |
[ |
|
Control de tormentas |
[ |
[ [ |
Monitoreo del protocolo de administración de grupos de Internet (IGMP) |
[ |
[ |
Filtro de firewall familiar |
[ |
[ |
En la tabla 21 se muestran las diferencias en show los comandos de las entidades de capa 2 en el modo de próxima generación de capa 2.
Reportaje |
Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y serie MX |
Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024, ACX7332, ACX7348 y ACX7509 |
|---|---|---|
VLAN |
|
|
Tabla MAC |
|
|
Opciones de tabla MAC |
|
|
Listado de puertos de conmutación con asignaciones de VLAN |
|
|
Estado del kernel de la base de datos de vaciado |
|
|
Ver también
Encapsulación de servicios Ethernet flexible para admitir los estilos de configuración del proveedor de servicios y la empresa en enrutadores de la serie ACX7000
Los servicios Ethernet flexibles son un tipo de encapsulación que permite a una interfaz física especificar encapsulaciones Ethernet en el nivel de interfaz lógica. Cada interfaz lógica puede tener una encapsulación Ethernet diferente. La definición de varias encapsulaciones Ethernet por unidad facilita la personalización de los servicios basados en Ethernet para varios hosts conectados a la misma interfaz física.
Una interfaz Ethernet que no está encapsulada con servicios Ethernet flexibles y funciona en modo de capa 2 está limitada a una sola unidad de interfaz lógica (0). El puente se habilita en la interfaz configurándolo ethernet-switching como la familia de interfaces en la unidad 0. La ethernet-switching familia solo se puede configurar en la unidad de interfaz lógica 0 y no se puede definir ninguna otra unidad lógica en esa interfaz.
Sin embargo, algunas funciones de conmutación no se pueden configurar en la unidad de interfaz lógica 0. Las características como la tunelización Q-in-Q requieren que la interfaz lógica transmita tramas etiquetadas con VLAN. Para permitir que una interfaz lógica reciba y reenvíe tramas Ethernet etiquetadas con un ID de VLAN coincidente, debe enlazar la interfaz lógica a esa VLAN. Estas funciones deben configurarse en una unidad de interfaz lógica distinta de 0, ya que no puede enlazar un ID de VLAN a la unidad 0.
Cuando encapsule una interfaz mediante servicios Ethernet flexibles, puede configurar una unidad de interfaz lógica distinta de 0 con family ethernet-switching. También puede configurar otras interfaces lógicas en esa misma interfaz con distintos tipos de encapsulaciones Ethernet. Esto permite que las interfaces lógicas enlazadas a un ID de VLAN coexistan con interfaces lógicas configuradas con family ethernet-switching.
La flexible-ethernet-services instrucción permite la configuración de interfaces lógicas de estilo proveedor de servicios y interfaces lógicas de estilo empresarial.
Por ejemplo, si configura PVLAN en la misma interfaz física en la que está configurando la tunelización Q-in-Q, puede usar servicios Ethernet flexibles para admitir el estilo empresarial de configuración para PVLAN, utilizando family ethernet-switching, junto con vlan-bridge la encapsulación para la tunelización Q-in-Q.
Le recomendamos que configure las siguientes instrucciones mediante grupos al configurar dispositivos que funcionen como VTEP de hardware:
-
establecer interfaces interface-name flexibles-vlan-tagging
-
interface-name set interfaces encapsulation extended-vlan-bridge
-
set interfaces interface-name native-vlan-id vlan-id
Estilo de configuración del proveedor de servicios
Para configurar la interfaz de modo que admita el estilo de configuración del proveedor de servicios:
Estilo de configuración empresarial
Para configurar la interfaz de modo que sea compatible con el estilo de configuración empresarial:
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.