Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Сети уровня 2

Обзор сетей уровня 2

Второй уровень в семиуровневой эталонной модели OSI для проектирования сетевых протоколов уровень передачи данных также известен как второй уровень. Уровень 2 соответствует уровень связи (самый низкий уровень) в модели сети TCP/IP. Уровень 2 – это сетевой уровень, используемый для передачи данных между смежными узлами сети в сети wide area или между узлами одной и той же локальной сети.

Кадр это блок данных протокола, наименьший блок битов в сети уровня 2. Кадры передаются и получаются от устройств в одной локальной сети (LAN). Unilke bits, кадры имеют определенные структуры и могут быть использованы для обнаружения ошибок, плоскость управления действий и так далее. Не все фреймы переносят данные пользователя. Сеть использует несколько кадров для управления самим соединением данных.

На уровне 2 одноадревая рассылка относится к отправке фреймов от одного узла к другому, в то время как многоадревая рассылка означает передачу трафика от одного узла на несколько узлов, а трансляция – передача фреймов всем узлам в сети. Домен широковещательной передачи – это логическое разделение сети, в которой все узлы этой сети могут быть разделены широковещательной передачей на уровне 2.

Сегменты LAN могут быть соединены на уровне кадров с помощью мостов. Формирование спартанных каналов создает отдельные домены широковещательной передачи в локальной сети, создавая сети VLANs, которые являются независимыми логическими сетями, которые группируются вместе связанных устройств в отдельные сегменты сети. Группировка устройств в VLAN не зависит от местонахождения устройств в локальной сети. Без использования запарайки и VLANs все устройства в сети Ethernet находятся в едином домене широковещательной передачи, и все устройства обнаруживают все пакеты в локальной сети.

Переад часть — это ретранслятор пакетов из одного сегмента сети в другой через узлы сети. В сети VLAN кадр, источник и назначение которого находятся в одной сети VLAN, перенаправлен только в пределах локальной сети VLAN. Сегмент сети – это часть компьютерной сети, в которой каждое устройство сообщается на одном физическом уровне.

Уровень 2 содержит две подуслойки:

  • Подслой логического управления каналом (LLC), ответственный за управление каналами связи и обработку трафика кадров.

  • Подуслой управления доступом к средствам связи (MAC), который управляет доступом протокола к физической среде сети. Используя MAC-адреса, присвоенные всем портам коммутатора, несколько устройств на одном физическом соединении могут уникально идентифицировать друг друга.

    Порты или интерфейсы коммутатора работают либо в режиме доступа, либо в режиме доступа с тегами, либо trunk-режим:

    • Порты режима доступа подключаются к сетевому устройству, например к настольному компьютеру, IP-телефону, принтеру, файловом серверу или камере безопасности. Сам порт принадлежит одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа.

    • Порты в режиме доступа с тегами подключаются к сетевому устройству, например к настольному компьютеру, IP-телефону, принтеру, файловом серверу или камере безопасности. Сам порт принадлежит одной VLAN. Кадры, передаваемые через интерфейс доступа, являются обычными кадрами Ethernet. По умолчанию все порты коммутатора находятся в режиме доступа. Режим доступа с тегами облако, в частности, в сценариях, включая виртуальные компьютеры и виртуальные компьютеры. Поскольку на одном физическом сервере можно включить несколько виртуальных компьютеров, пакеты, генерируемые одним сервером, могут содержать агрегацию пакетов VLAN, полученных от различных виртуальных компьютеров на этом сервере. В этой ситуации помеченный режим доступа отражает пакеты, возвращаясь на физический сервер на тот же 9-ой порт, когда адрес назначения пакета был заумлирован на этом 9-м порту. Пакеты также отражаются обратно на физический сервер 9-го порта, когда назначение еще не известно. Поэтому третий режим интерфейса (tagged access) имеет некоторые характеристики режима доступа и некоторые характеристики trunk-режим:

    • Порты магистрали обрабатывают трафик нескольких VLANs, мультиплексинг трафика для всех этих VLANs, подключенных к одному физическому соединению. Магистральные интерфейсы обычно используются для соединения коммутаторов с другими устройствами или коммутаторами.

      При настройке своей VLAN кадры, не переносимые тегами VLAN, отправляются по магистральным интерфейсам. Если имеется ситуация, когда пакеты передаются от устройства к коммутатору в режиме доступа, а затем необходимо отправить эти пакеты с коммутатора через магистральный порт, используйте режим native VLAN. Настройте единственную VLAN на порте коммутатора (который находится в режиме доступа) как родную VLAN. Затем магистральные порты коммутатора будут обрабатывать эти кадры иначе, чем другие помеченные пакеты. Например, если порт магистрали имеет три сети VLAN, 10, 20 и 30, которые назначены ему с VLAN 10 как родная VLAN, то кадры VLAN 10, которые покидают магистральные порты на другом конце, не имеют задатки 802.1Q (метки). Существует еще один параметр native VLAN. Коммутатор может добавить и удалить теги для непомеченых пакетов. Для этого сначала нужно настроить одну VLAN в качестве родной VLAN на порте, подключенном к устройству на границе сети. Затем назначьте метку VLAN ID единственной native VLAN на порту, подключенном к устройству. В конце добавьте VLAN ID к магистральму порту. Теперь, когда коммутатор получает непомеченый пакет, он добавляет указанный ID и отправляет и получает тегируемые пакеты на магистральном порту, настроенном для примите эту VLAN.

В том числе и подуровни, второй уровень серия QFX поддерживает следующие функции:

  • Однонастный, многоавещаный и широковещательный трафик.

  • Преодоление.

  • VLAN 802.1Q — также известная как маркировка VLAN . Этот протокол позволяет множественным сетям с мостами прозрачно использовать один и тот же физический сетевой физический соединение, добавляя теги VLANк кадру Ethernet.

  • Расширение VLANs уровня 2 на несколько коммутаторов с использованием протокола STP STP предотвращает распространение петель в сети.

  • ИзучениеMAC-адресов, включая обучение по VLAN MAC и подавление обучения на уровне 2 . Этот процесс получает MAC-адреса всех узлов сети

  • Агрегирование физических уровней в группах процессов интерфейсов Ethernet для формирования интерфейса одного уровня соединения, также известного как группа агрегации физических соединений (LAG) или связка LAG

    Прим.:

    Агрегирование соединений не поддерживается устройствами NFX150.

  • Контроль шторма на физическом порте для одноавторной, многоавторной и широковещательной передачи

    Прим.:

    Контроль шторма не поддерживается устройствами NFX150.

  • Поддержка STP, включая 802.1d, RSTP, MSTP и Root Guard

Обзор коммутации Ethernet и прозрачного режима уровня 2

На уровне 2 прозрачный режим возможность развертывания межсетевых экранов без внесения изменений в существующую инфраструктуру маршрутов. Межсетевой экран развертывается как коммутатор уровня 2 с несколькими сегментами VLAN и предоставляет сервисы безопасности в сегментах VLAN. Защищенная проводная проводка – это специальная версия прозрачный режим уровня 2, которая позволяет развертывать системы bump-in-wire.

Устройство работает в режиме прозрачный режим когда есть интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутов (режим по умолчанию), если нет физических интерфейсов, настроенных как интерфейсы уровня 2.

Для серия SRX устройств прозрачный режим все службы безопасности для коммутация на уровне 2 возможностей. На этих серия SRX можно настроить одну или несколько VLANs для выполнения коммутация на уровне 2. VLAN – это набор логических интерфейсов, которые имеют одинаковые характеристики flooding или broadcast. Как и виртуальная ЛВС (VLAN), VLAN охватывает один или несколько портов нескольких устройств. Таким образом, серия SRX может функционировать как коммутатор уровня 2 с несколькими VLANs, которые участвуют в одной сети уровня 2.

В прозрачный режим устройства серия SRX фильтруют пакеты, которые проходят через устройство, не изменяя ни одной информации об источнике или назначении в IP-пакетах. Прозрачный режим полезен для защиты серверов, которые главным образом получают трафик от недоверных источников, поскольку нет необходимости перенастраить IP-настройки маршрутизаторов или защищенных серверов.

В прозрачный режим все физические порты устройства назначены интерфейсам уровня 2. Не маршрутив трафик уровня 3 через устройство. Зоны уровня 2 можно настроить для интерфейсов уровня 2, а политики безопасности могут быть определены между зонами уровня 2. При перемещениях пакетов между зонами уровня 2 для этих пакетов могут быть применены политики безопасности.

Табл. 1 перечисляет функции безопасности, которые поддерживаются и не поддерживаются прозрачный режим для коммутация на уровне 2.

Табл. 1: Функции безопасности, поддерживаемые в прозрачном режиме

Тип режима

Поддерживается

Не поддерживается

Прозрачный режим

  • уровень приложений шлюзы (ALGs)

  • Аутентификация пользователя брандмауэра (FWAUTH)

  • обнаружение и предотвращение вторжений (IDP)

  • Экрана

  • AppSecure

  • Унифицированное управление угрозами (UTM)

  • Преобразование сетевых адресов (NAT)

  • Vpn

Прим.:

На SRX300 устройствах SRX320, SRX340, SRX345 и SRX550M распространение DHCP-сервера не поддерживается на уровне 2 прозрачный режим.

Кроме того, серия SRX устройства не поддерживают следующие функции уровня 2 в прозрачный режим:

  • Протокол spanning Tree Protocol (STP), RSTP или MSTP — это ответственность пользователя за то, чтобы в топологии сети не было петель с затопления.

  • Internet Group Management Protocol (IGMP) Snooping — протокол сигнализации между хостами и маршрутизаторами для IPv4, используемый для отчета о принадлежности многоаксической группы к соседним маршрутизаторам и определения, присутствуют ли члены группы во время многоандной IP-трансляции.

  • Идентификаторы VLAN с двойной маркировкой или IEEE 802.1Q VLAN, инкапсулированные в пакеты 802.1Q (также называемые метами Q in Q) — только идентификаторы VLAN, немаркированные или одномеченые, поддерживаются только на серия SRX устройствах.

  • Нетеверное обучение по VLAN, при котором только MAC-адрес для обучения в пределах VLAN— обучение VLAN на устройствах серия SRX квалифицировано; то есть используются идентификатор и MAC-адрес VLAN.

Кроме того, SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 или SRX650 устройства, некоторые функции не поддерживаются. (Поддержка платформы зависит от Junos OS версии установки.) Следующие функции не поддерживаются для прозрачный режим уровней на указанных устройствах:

  • G-ARP на интерфейсе уровня 2

  • Мониторинг IP-адресов на любом интерфейсе

  • Транзитный трафик через IRB

  • Интерфейс IRB в экземпляре маршрутов

  • Обработка интерфейсом IRB трафика уровня 3

    Прим.:

    Интерфейс IRB является псевдоинтерфейсом и не принадлежит повторному интерфейсу и группе избыточности.

Прозрачный режим уровня 2 на концентраторе порта линяного модуля SRX5000

Концентратор порта модуля линии SRX5000 (SRX5K-MPC) поддерживает уровень 2 прозрачный режим и обрабатывает трафик, когда серия SRX устройство настроено на уровне 2 прозрачный режим.

Когда SRX5K-MPC работает в режиме 2-го уровня, можно настроить все интерфейсы SRX5K-MPC как коммутация на уровне 2 для поддержки трафика уровня 2.

Блок обработки данных безопасности (SPU) поддерживает все службы безопасности для коммутация на уровне 2, а MPC доставляет входящий пакет на SPU и переадресовывают выходные пакеты, инкапсулированные SPU на исходячие интерфейсы.

Когда устройство серия SRX настроено на уровне 2 прозрачный режим, можно включить работу интерфейсов MPC в режиме 2-го уровня, определив один или несколько логических единиц на физическом интерфейсе с типом адреса семейства как Ethernet switching . Далее можно продолжить настройку зон безопасность на уровне 2 и настройку политик безопасности в прозрачный режим. После этого в то же время для обработки вегет-пакетов и пакетов на следующем переходе будут настроены следующие хребеты.

Понимание потоков IPv6 в прозрачном режиме на устройствах безопасности

В прозрачный режим устройства серия SRX фильтруют пакеты, которые проходят через устройство без изменения какой-либо информации об источнике или назначении в MAC-пакетах. Прозрачный режим полезен для защиты серверов, которые главным образом получают трафик от недоверных источников, поскольку нет необходимости перенастраить IP-настройки маршрутизаторов или защищенных серверов.

Устройство работает в режиме прозрачный режим, когда все физические интерфейсы устройства настроены как интерфейсы уровня 2. Физический интерфейс является интерфейсом уровня 2, если его логический интерфейс настроен с параметром на ethernet-switching уровне edit interfaces interface-name unit unit-number family [] иерархии. Для определения или прозрачный режим команд не существует команды. Устройство работает в режиме прозрачный режим, когда существуют интерфейсы, определенные как интерфейсы уровня 2. Устройство работает в режиме маршрутов (режим по умолчанию), если все физические интерфейсы настроены как интерфейсы уровня 3.

По умолчанию потоки IPv6 отброшены на устройствах безопасности. Чтобы включить обработку с помощью таких функций безопасности, как зоны, экраны и политики брандмауэра, необходимо включить переадранку на основе потока для трафика IPv6 с параметром конфигурации на уровне mode flow-basededit security forwarding-options family inet6 [] иерархии. Необходимо перезагруменить устройство при смене режима.

В прозрачный режим можно настроить зоны уровня 2 для интерфейсов уровня 2, а также определить политики безопасности между зонами уровня 2. При перемещениях пакетов между зонами уровня 2 для этих пакетов могут быть применены политики безопасности. Следующие функции безопасности поддерживаются для трафика IPv6 в прозрачный режим:

Следующие функции безопасности не поддерживаются для потоков IPv6 в прозрачный режим:

  • Логические системы

  • IPv6 GTPv2

  • Интерфейс J-Web

  • NAT

  • IPsec VPN

  • За исключением DNS, FTP и TFTP ALGs, все другие alGs не поддерживаются.

Настройка логических интерфейсов VLANs и уровня 2 для потоков IPv6 такая же, как и настройка логических интерфейсов VLANs и уровня 2 для потоков IPv4. Можно дополнительно настроить встроенный интерфейс маршрутной и маршрутной (IRB) интерфейса управления трафиком в VLAN. Интерфейс IRB – это единственный интерфейс уровня 3, разрешенный в прозрачный режим. Интерфейс IRB на устройстве серия SRX не поддерживает переад или маршрутизов трафика. Для интерфейса IRB можно использовать адреса IPv4 и IPv6. Адрес IPv6 можно назначить интерфейсу IRB с помощью утверждения address конфигурации на уровне edit interfaces irb unit number family inet6 [] иерархии. Адрес IPv4 можно назначить интерфейсу IRB с помощью утверждения конфигурации на address уровне edit interfaces irb unit number family inet [] иерархии.

Функции коммутаторов Ethernet на серия SRX схожи с функциями коммутатора на Juniper Networks серия MX маршрутизаторах. Однако не все функции сетевого уровня 2, поддерживаемые серия MX, поддерживаются на серия SRX устройствах. См. Обзор коммутации Ethernet и прозрачного режима уровня 2 .

Устройство серия SRX таблицы переадэинга, содержащие MAC-адреса и связанные интерфейсы, для каждой VLAN уровня 2. Обработка потока IPv6 аналогична потокам IPv4. См. Общие сведения о уровнях 2 и переадтрансляция для VLANs .

О кластерах шасси прозрачного режима уровня 2 на устройствах безопасности

Для обеспечения избыточности сетевых серия SRX в кластере с шасси можно подключать серия SRX прозрачный режим 2-го уровня. При настройке в кластере с шасси один узел действует как первичное устройство, а другой – как вторичное, обеспечивая stateful failover процессов и служб в случае сбоя системы или оборудования. Если первичное устройство сбойно, вторичное устройство берет на себя обработку трафика.

Прим.:

Если основное устройство отключится в кластере прозрачный режим уровня 2, физические порты сбойного устройства становятся неактивными (отключаются) на несколько секунд, прежде чем они снова становятся активными (включаем).

Для формирования кластера с шасси пара устройств, поддерживаемых серия SRX, работает как единая система, которая обеспечивает общую безопасность.

Устройства на уровне 2 прозрачный режим развертываться в конфигурациях кластеров active/backup и active/active chassis.

Следующие функции кластера с шасси не поддерживаются устройствами на уровне 2 прозрачный режим:

  • Несоотвещание ARP — вновь избранный основной в группе избыточности не может отправлять несоототвещаные запросы ARP для извещать сетевые устройства об изменении первичной роли на избыточных интерфейсных соединениях Ethernet.

  • Мониторинг IP-адресов — невозможно обнаружить сбой вышестояходящего устройства.

Группа избыточности – это сстройка, которая включает в себя набор объектов на обоих узлах. Группа резервирования является основной на одном узле и резервирование на другом. Когда группа избыточности является основной на узле, ее объекты на этом узле являются активными. При сбой группы избыточности происходит сбой всех ее объектов вместе.

Для конфигурации кластера активного/активного шасси можно создать одну или несколько групп избыточности с номерами от 1 до 128. Каждая группа избыточности содержит один или несколько избыточных интерфейсов Ethernet. Избыточный интерфейс Ethernet – это псевдоинтерфейс, содержащий физические интерфейсы от каждого узла кластера. Физические интерфейсы в избыточном интерфейсе Ethernet должны быть одного типа — Fast Ethernet или Gigabit Ethernet. Если группа избыточности активна на узле 0, то деинтерфейсные соединения всех связанных избыточных интерфейсов Ethernet на узле 0 активны. Если группа избыточности перенаправлилась на узел 1, становятся активными резервные соединения всех резервных интерфейсов Ethernet на узле 1.

Прим.:

В конфигурации кластера с активными/активными шасси максимальное число групп избыточности равняется количеству настроенных избыточных интерфейсов Ethernet. В конфигурации кластера с активным/резервным шасси максимальное число поддерживаемых групп резервирования составляет два.

Настройка избыточных интерфейсов Ethernet на устройстве уровня прозрачный режим 2 аналогично настройке избыточных интерфейсов Ethernet на устройстве в режиме маршрутизации уровня 3 с следующим отличием: избыточный интерфейс Ethernet на устройстве уровня 2 прозрачный режим настроен как логический интерфейс уровня2.

Избыточный интерфейс Ethernet может быть настроен как интерфейс доступа (при этом один VLAN-ID назначен незадаченным пакетам, полученным на интерфейсе) или магистральным (со списком VLAN ID, принятым на интерфейсе и, дополнительно, native-vlan-id для непотагемых пакетов, полученных на интерфейсе). Физические интерфейсы (по одному от каждого узла в кластере шасси) привязаны как "юные" к родительскому избыточному интерфейсу Ethernet.

В интерфейсах уровня прозрачный режим 2 обучение ПО MAC основано на избыточном интерфейсе Ethernet. Таблица MAC-таблицы синхронизируется между избыточными интерфейсами Ethernet и блоками обработки сервисов (SPUs) между парой кластерных устройств шасси.

Интерфейс IRB используется только для трафика управления и не может быть назначен избыточному интерфейсу Или группе избыточности Ethernet.

Все Junos OS экраны, доступные для одного некластерного устройства, доступны для устройств в кластерах с шасси уровня 2 прозрачный режим.

Прим.:

Протоколы протокола spanning Tree (STP) не поддерживаются для протоколов уровня 2 прозрачный режим. Необходимо убедиться в том, что в топологии развертывания нет подключений к петле.

Настройка внеконфигурного управления на устройствах SRX

Интерфейс управления вне диапазона можно настроить на устройстве серия SRX в качестве интерфейса уровня 3, даже если на устройстве задаются интерфейсы уровня fxp0 2. За исключением интерфейса, на сетевых портах устройства можно определить интерфейсы уровней 2 и fxp0 3.

Прим.:

На устройствах SRX300 SRX320 и SRX550M нет интерфейса вне диапазона fxp0. (Поддержка платформы зависит от Junos OS версии установки.)

Ethernet-коммутация

Коммутация Ethernet передает кадры Ethernet внутри или через сегмент ЛОКАЛЬНОй сети (или VLAN) с помощью информации MAC-адрес Ethernet. Коммутатор Ethernet на SRX1500 выполняется аппаратно с помощью микросхемы ASIC.

Начиная с Junos OS версии 15.1X49-D40, используйте команду для коммутации между режимом прозрачного моста уровня 2 и режимом set protocols l2-learning global-mode(transparent-bridge | switching) коммутации Ethernet. После переключения в режим необходимо перезагруменить устройство, чтобы конфигурация вступила в силу. Табл. 2 описывает режим глобального уровня 2 на серия SRX.

Табл. 2: Режим глобального уровня 2 по умолчанию на серия SRX устройствах

Junos OS версии

Платформы

Режим глобального уровня 2 по умолчанию

Детали

До Junos OS версии 15.1X49-D50

и

Junos OS выпуски 17.3R1 и в более

SRX300, SRX320, SRX340 и SRX345

Режим коммутации

Ни один

Junos OS release 15.1X49-D50 Junos OS release 15.1X49-D90

SRX300, SRX320, SRX340 и SRX345

Режим коммутации

При удалении конфигурации глобального режима уровня 2 на устройстве устройство находится в режиме прозрачного моста.

Junos OS релизе 15.1X49-D100 и 15.1X49-D100

SRX300, SRX320, SRX340, SRX345, SRX550, и SRX550M

Режим коммутации

При удалении конфигурации глобального режима уровня 2 на устройстве устройство находится в режиме коммутации. Настройте команду под уровнем иерархии для перехода set protocols l2-learning global-mode transparent-bridge в режим [edit] прозрачного моста. Перезагруйте устройство, чтобы конфигурация вступила в силу.

Junos OS выпуске 15.1X49-D50 и в более

SRX1500

Режим прозрачного моста

Ни один

В режиме коммутации поддерживается протокол уровня 2 — Link Aggregation Control Protocol (LACP).

Можно настроить интерфейс уровня 2 прозрачный режим на избыточном интерфейсе Ethernet. Используйте следующие команды для определения избыточного интерфейса Ethernet:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Исключения переключения уровня 2 на серия SRX устройствах

Функции коммутатора на серия SRX схожи с функциями коммутатора на Juniper Networks серия MX маршрутизаторах. Однако следующие функции сетевого уровня 2 на серия MX не поддерживаются на серия SRX устройствах:

  • Протоколы управления уровня 2. Эти протоколы используются на серия MX маршрутизаторах протокола быстрого spanning Tree Protocol (RSTP) или протокола множественных протоколов spanning Tree Protocol (MSTP) клиентское граничное устройство интерфейсах экземпляра маршрутов VPLS.

  • Экземпляр маршрутки виртуального коммутатора — экземпляр маршрутов виртуальной коммутатора используется на серия MX маршрутизаторах для группировки одной или более VLANs.

  • Экземпляр маршрутации виртуальных частных lan (VPLS) — экземпляр маршрутов VPLS используется на серия MX маршрутизаторах для реализации локальной сети из точки в многоточки между набором узлов в VPN.

О unicast

Однонаправная рассылка – это действие передачи данных из одного узла сети в другой. Сравнительна, многоавестные передачи посылают трафик от одного узла данных к нескольким другим узлам данных.

Неизвестный однонаправленный трафик состоит из однонаправленных кадров с неизвестными MAC-адресами назначения. По умолчанию коммутатор передает эти одноадретные кадры, которые перемещаются по VLAN всем интерфейсам, которые являются членами VLAN. Перенакака трафика этого типа на интерфейсы коммутатора может привести к проблеме безопасности. ЛВС внезапно насылается пакетами, создавая ненужный трафик, который приводит к низкой производительности сети или даже полной потере сетевой службы. Это называется штормом трафика.

Чтобы предотвратить шторм, можно отключить затопление неизвестных одноадростных пакетов на все интерфейсы, настроив одну VLAN или все VLAN для перенавания неизвестного одноадростного трафика на определенный магистральный интерфейс. (При этом неизвестный однонастный трафик передается на один интерфейс.)

Понимание многоавещания на коммутаторах уровня 2

В сети уровня 2 трансляция означает отправку трафика всем узлам сети.

Широковещательный трафик уровня 2 остается в пределах границы локальной сети (LAN); известен как широковещательный домен. Широковещательный трафик уровня 2 отправляется в широковещательный домен по MAC-адрес FF:FF:FF:FF:FF:FF:FF. Каждое устройство в домене широковещательной передачи распознает MAC-адрес и, если применимо, передает широковещательный трафик другим устройствам в домене широковещательной передачи. Телевещание можно сравнить с одноавременным (отправка трафика на один узел) или с многоавещанием (одновременно доставляется трафик группе узлов).

Однако широковещательный трафик 3-го уровня отправляется всем устройствам в сети по широковещательная сеть адреса. Например, если сетевой адрес 10.0.0.0, широковещательная сеть - 10.255.255.255. В этом случае только устройства, принадлежащие сети 10.0.0.0, получают широковещательный трафик уровня 3. Не принадлежащие этой сети устройства отбросить трафик.

Трансляция используется в следующих ситуациях:

  • Протокол разрешения адресов (ARP) использует трансляцию для соотнесе MAC-адресов с IP-адресами. ARP динамически привязывает IP-адрес (логический адрес) к правильному MAC-адрес. Перед тем, как отправить однонаправные пакеты IP, ARP обнаруживает MAC-адрес интерфейсом Ethernet, на котором настроен IP-адрес.

  • Протокол динамической настройки хостов (DHCP) использует трансляцию для динамического назначения IP-адресов хостам в сегменте сети или подсети.

  • Протоколы маршрутов используют вещание для объявления маршрутов.

Избыточный широковещательный трафик иногда может создавать широковещательный шторм. Широковещательный шторм возникает при широковещательной передаче по сети, при этом при каждом сообщении принимающий узел отвечает, транслирует свои собственные сообщения по сети. Это, в свою очередь, запросит дополнительные ответы, которые повеют о эффекте снега. ЛВС внезапно насылается пакетами, создавая ненужный трафик, который приводит к низкой производительности сети или даже полной потере сетевой службы.

Использование программного обеспечения Enhanced Layer 2 интерфейс командной строки

Улучшенное программное обеспечение уровня 2 (ELS) предоставляет унифицированные интерфейс командной строки функции настройки и мониторинга уровня 2 на серия QFX, коммутаторах серии EX и других Juniper Networks устройствах, например, серия MX маршрутизаторах. С помощью ELS функции уровня 2 настраиваются одинаково на всех этих Juniper Networks устройствах.

В данной теме объясняется, как узнать, запущена ли на платформе ELS. Здесь также объясняется, как выполнять некоторые распространенные задачи с использованием стиля конфигурации ELS.

Понимание того, какие устройства поддерживают ELS

ElS поддерживается автоматически, если устройство работает в том Junos OS, который его поддерживает. Чтобы включить ELS, не требуется никаких действий, и отключить ELS нельзя. Информацию о том, какие платформы и выпуски поддерживают ELS, см. в explorer функции.

Понимание настройки функций уровня 2 с помощью ELS

Поскольку ELS обеспечивает единое интерфейс командной строки, можно выполнить следующие задачи на поддерживаемых устройствах таким же образом:

Настройка сети VLAN

Можно настроить одну или несколько VLANs для выполнения запарагивирования уровня 2. Функции маршрутирования 2-го уровня включают интегрированную маршрутную и сетвую (IRB) для поддержки на том же интерфейсе маршрутов уровня 2 и IP-маршрутов 3-го уровня. Коммутаторы серии EX и серия QFX могут функционировать как коммутаторы уровня 2, каждый из которых имеет несколько коммутаторов с множественным замещанием или широковещательными доменами, которые участвуют в одной и той же сети уровня 2. Можно также настроить поддержку маршрутки уровня 3 для сети VLAN.

Настройка сети VLAN:

  1. Создайте VLAN, задав уникальное имя VLAN и задав его ID:

    С помощью параметра списка VLAN ID можно указать диапазон VLAN ID.

  2. Назначьте VLAN хотя бы один интерфейс:

Настройка идентификатора native VLAN

Коммутаторы серии EX серия QFX поддерживают получение и переадрикцию маршрутизации или мостового ethernet с тегами VLAN 802.1Q. Обычно магистральные порты, соединяющие коммутаторы друг с другом, принимают непотаговые контрольные пакеты, но не принимают пакеты непобитых данных. Можно позволить магистральным портам принимать непотаговые пакеты данных, настроив свой VLAN ID на интерфейсе, на котором необходимо получить непотагемые пакеты данных.

Для настройки native VLAN ID:

  1. На интерфейсе, на котором необходимо получить пакеты данных без разных указаний, установите режим интерфейса, который определяет, что интерфейс находится в нескольких VLANs и может мультиплексирует трафик между различными trunk VLANs.
  2. Настройте ИД родной сети VLAN и назначьте интерфейс для этого.
  3. Назначьте интерфейс для родной VLAN ID:

Настройка интерфейсов уровня 2

Чтобы обеспечить оптимальную настройку сети с высокой трафиком, необходимо явно настроить некоторые настройки на сетевых интерфейсах коммутатора.

Для настройки интерфейса Gigabit Ethernet или 10-Гигабитного интерфейса Ethernet в качестве trunk интерфейса:

Для настройки интерфейса Gigabit Ethernet или 10-Гигабитного интерфейса Ethernet в качестве access интерфейса:

Назначение интерфейса сети VLAN:

Настройка интерфейсов уровня 3

Для настройки интерфейса уровня 3 необходимо назначить IP-адрес интерфейсу. Адрес присваивается интерфейсу путем указания адреса при настройке семейства протоколов. Для семейства inetinet6 или семейства настройте IP-адрес интерфейса.

Можно настроить интерфейсы с 32-битным IP-адресом версии 4 (IPv4) и при желании с префиксом назначения, который иногда называется маской подсети. Адрес IPv4 использует десятичный синтаксис десятичных адресов в 4-октета (например, 192.168.1.1). Адрес IPv4 с префиксом назначения использует 4-октетный десятичный синтаксис адреса с префиксом назначения (например, 192.168.1.1/16).

Указание IP4-адреса логического блока:

Адреса IP версии 6 (IPv6) представлены в шестогодовом нотации с помощью списка 16-битных значений, разделенных двоеточием. Интерфейсу назначается 128-битный адрес IPv6.

Указание IP6-адреса логического блока:

Настройка интерфейса IRB

Интегрированная маршрутная маршрутная и маршрутная маршрутная система (IRB) обеспечивает поддержку ремирования 2-го и 3-го уровней IP-маршрутов на одном интерфейсе. IRB позволяет маршрутировать пакеты на другой маршрутсируемый интерфейс или на другую VLAN, настроенную протоколом уровня 3. Интерфейсы IRB позволяют устройству распознавать пакеты, которые отправляются на локальные адреса, таким образом, по возможности, они мостом (коммутализаются) и маршрутются только при необходимости. При каждом коммутаторе пакетов вместо маршрутов устраняется несколько уровней обработки. Функции irb интерфейса – логический маршрутизатор, на котором можно настроить логический интерфейс уровня 3 для VLAN. Для избыточности можно объединить интерфейс IRB с реализациями протокола избыточности виртуального маршрутизатора (VRRP) в средах с помощью виртуальных частных ЛВС (VPLS).

Для настройки интерфейса IRB:

  1. Создайте VLAN уровня 2, присвоив ему имя и ID VLAN:
  2. Создание логического интерфейса IRB:
  3. Связывать интерфейс IRB с VLAN:

Настройка агрегированного интерфейса Ethernet и настройка LACP на этом интерфейсе

Функция агрегирования соединений используется для агрегирования одного или более соединений для формирования виртуального соединения или группы агрегирования линий связи (LAG). MAC-клиент может рассматривать этот виртуальный канал так, как если бы он был единым каналом для увеличения пропускной способности, обеспечения изящного ухудшения качества и повышения доступности.

Для настройки агрегированного интерфейса Ethernet:

  1. Укажите число созданных агрегированных интерфейсов Ethernet:
  2. Укажите имя интерфейса группы агрегирования соединений:
  3. Укажите минимальное количество линий для агрегированного интерфейса Ethernet (aex)— то есть определенного пучка, который будет помечен:
  4. Укажите скорость соединения для агрегированной группы Ethernet:
  5. Укажите состав участников, которые будут включены в агрегированную связку Ethernet:
  6. Укажите семейство интерфейсов для агрегированной группы Ethernet:

Для агрегированных интерфейсов Ethernet на устройстве можно настроить протокол управления агрегированием соединений (LACP). LACP объединить несколько физических интерфейсов в один логический интерфейс. Можно настроить агрегированную сеть Ethernet с включенным или не включенным LACP.

Когда LACP включен, локальные и удаленные стороны агрегированных соединений Ethernet обмениваются блоками данных протокола (PDUs), содержащие информацию о состоянии соединения. Ссылки Ethernet можно настроить на активное передачу PDUS или ссылки для пассивной передачи, посылая PDUS LACP только при их приеме из другого соединения. Одна сторона соединения должна быть настроена как активная, чтобы он был в активном качестве.

Для настройки LACP:

  1. Активировать одну сторону агрегированного соединения Ethernet:

  2. Указание интервала, с которого интерфейсы отправляют пакеты LACP:

Понимание изменений конфигурации и команд ELS

В выпусках Junos OS ELS 12.3R2 в EX9200 коммутаторах. ELS изменяет интерфейс командной строки некоторых функций уровня 2 на поддерживаемых сериях EX серия QFX коммутаторах.

В следующих разделах приводится список существующих команд, которые были перемещены на новый уровень иерархии или изменены на коммутаторах серии EX в рамках интерфейс командной строки усовершенствования. Эти разделы предоставляются только в качестве справочника высокого уровня. Для получения более подробной информации об этих командах используйте ссылки на инструкции конфигурации, предоставленные или см. техническую документацию.

Изменения уровня иерархии параметров ethernet-коммутаторов

В этом разделе описаны изменения ethernet-switching-options уровня иерархии.

Прим.:

Иерархический ethernet-switching-options уровень переименован в switch-options .

Табл. 3: Переименование иерархии параметров ethernet-коммутаторов

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Табл. 4: Заявления RTG

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Табл. 5: Удаленные утверждения

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Эти утверждения удаляются из switch-options иерархии.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Эти утверждения удаляются из switch-options иерархии.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Прим.:

Утверждение port-error-disable было заменено новым утверждением.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Изменение уровня зеркального преобразования портов в иерархию

Прим.:

Утверждения переместились с ethernet-switching-options иерархической иерархии на forwarding-options иерархическую.

Табл. 6: Иерархия зеркального отражение портов

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Изменение уровня иерархии 2-го уровня управления протоколом

Утверждения протокола управления уровня 2 переместились из ethernet-switching-options иерархии в protocols иерархию.

Табл. 7: Протокол управления уровня 2

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Изменения в утверждение dot1q-tunneling

Утверждение было заменено новым утверждением dot1q-tunneling и перемещено на другой уровень иерархии.

Табл. 8: dot1q-tunneling

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Изменения в протоколе обучения L2

Утверждение было заменено новым утверждением mac-table-aging-time и перемещено на другой уровень иерархии.

Табл. 9: mac-table-aging-time statement

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Изменения в безостановочной лазейки

Утверждение nonstop-bridging перемещено на другой уровень иерархии.

Табл. 10: Неполная заверяемая перемыкание

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Изменения в port Security и DHCP Snooping

Службы безопасности порта и DHCP-Snooping переместились на различные уровни иерархии.

Прим.:

В examine-dhcp измененной иерархии этого утверждения нет. Функцию DHCP Snooping автоматически включается, когда в сети VLAN включены другие функции обеспечения безопасности DHCP. Дополнительные сведения см. в "Настройка безопасности портов" (ELS).

Табл. 11: Заявление о безопасности порта

Исходная иерархия

Измененная иерархия

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Совет:

Для разрешенной конфигурации mac исходный утверждение set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 иерархии заменяется командой ELS. set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Прим.:

1. Утверждения для управления DHCP перемещены на другой уровень иерархии.

Табл. 12: DHCP Snooping Statements

Исходная иерархия

Измененная иерархия

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Изменения в настройке VLANs

Утверждения для настройки VLANs переместились на другой уровень иерархии.

Прим.:

Начиная с Junos OS выпуска 14.1X53-D10 для EX4300 и EX4600, при включении xSTP можно включить его на некоторых или всех интерфейсах, включенных в VLAN. Например, если настроить VLAN 100, чтобы включить интерфейсы ge-0/0/0, ge-0/0/1 и ge-0/0/2, и вы хотите включить MSTP на интерфейсах ge-0/0/0 и ge-0/0/2, вы можете указать и set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 команды. В данном примере не было специально включить MSTP на интерфейсе ge-0/0/1; поэтому на этом интерфейсе не включен MSTP.

Табл. 13: Иерархия VLAN

Исходная иерархия

Измененная иерархия

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Прим.:

Утверждение заменяется новым утверждением и перемещено на другой уровень иерархии.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Эти утверждения удалены. Можно назначить интерфейсы VLAN, используя [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] иерархию.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Утверждения удалены.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Прим.:

Синтаксис изменен.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Заявление удалено. Вский трафик отслеживается автоматически.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Заявление удалено.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

Заявление перемещено в другую иерархию.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Заявление удалено.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Заявление удалено.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Прим.:

Утверждение было заменено новым утверждением.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Прим.:

Синтаксис изменен.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Табл. 14: Утверждения перемещаются в другую иерархию

Исходная иерархия

Измененная иерархия

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunnelingДля:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

For layer2-protocol-tunneling (переписать MAC-интерфейс включен на интерфейсе):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Изменения профилей управления штормом

Управление штормом настроено в два этапа. Первый этап – создание профиля управления штормом на уровне иерархии, а второй этап – привязка профиля к логическому интерфейсу на [edit forwarding-options][edit interfaces] уровне иерархии. См. пример: Настройка контроля шторма для предотвращения с отключений сети на коммутаторах серии EX для измененной процедуры.

Табл. 15: Изменение уровня иерархии профиля управления штормом

Исходная иерархия

Измененная иерархия

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Изменения иерархии интерфейсов

Прим.:

Утверждения перемещены в другую иерархию.

Табл. 16: Изменения иерархии интерфейсов

Исходная иерархия

Измененная иерархия

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Прим.:

Утверждение было заменено новым утверждением.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Прим.:

Утверждение было заменено новым утверждением.

interfaces irb

Изменения в IGMP Snooping

Табл. 17: Иерархия IGMP Snooping

Исходная иерархия

Измененная иерархия

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Улучшенная конфигурация интерфейс командной строки уровня 2 и изменения команд для устройств безопасности

Начиная Junos OS 15.1X49-D10 и Junos OS release 17.3R1, некоторые интерфейс командной строки уровня 2 улучшены и некоторые команды изменены. и представить списки существующих команд, которые были перемещены в новые иерархии или изменены на серия SRX устройствах в рамках интерфейс командной строки Табл. 18Табл. 19 усовершенствования. Таблицы предоставляются только в качестве справочника высокого уровня. Более подробную информацию об этих командах см. в интерфейс командной строки Explorer.

Табл. 18: Изменения в конфигурации улучшенного уровня 2

Исходная иерархия

Измененная иерархия

Уровень иерархии

Изменение описания

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[edit]

Иерархия переименована.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[edit vlans vlans-name]

Заявление переименовано.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[edit vlans vlans-name]

Заявление переименовано.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[изменить поток безопасности]

Заявление переименовано.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[edit interfaces interface-name ] unit-number

Иерархия переименована.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[edit vlans vlans-name]

Заявление переименовано.

Табл. 19: Изменения рабочих команд улучшенного уровня 2

Исходная операционная команда

Измененная операционная команда

clear bridge mac-table

clear ethernet-switching table

clear bridge mac-table persistent-learning

clear ethernet-switching table persistent-learning

show bridge domain

show vlans

show bridge mac-table

show ethernet-switching table

show l2-learning interface

show ethernet-switching interface

Прим.:

На устройствах SRX300, SRX320 и SRX500HM нет интерфейса вне диапазона fxp0. (Поддержка платформы зависит от Junos OS версии установки.)

Режим 2-го уровня для серия ACX

Режим второго уровня следующего поколения, также называемый Enhanced Layer 2 Software (ELS), поддерживается на ACX5048, ACX5096 и ACX5448 маршрутизаторах для настройки функций уровня 2. Конфигурации уровня 2 интерфейс командной строки и команды show для маршрутизаторов ACX5048, ACX5096 и ACX5448 отличаются от команд для других серия ACX (ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 и ACX4000) и серия MX маршрутизаторов.

Табл. 20 показывает различия в иерархии интерфейс командной строки для настройки функций уровня 2 в режиме второго уровня следующего поколения.

Табл. 20: Различия в иерархии интерфейс командной строки для функций уровня 2 в режиме следующего поколения 2-го уровня

Возможность

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000, ACX5448 и серия MX маршрутизаторы

Маршрутизаторы ACX5048 и ACX5096

Домен моста

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Семьи bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Параметры уровня 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Варианты Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Интегрированная маршрутная и маршрутная маршрутная система (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Контроль шторма

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Snooping (IGMP) протокола управления интернет-группами

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Фильтр bridge межсетевых экранов семейства

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Табл. 21 показывает различия в командах для функций уровня 2 в show режиме уровня 2 следующего поколения.

Табл. 21: Различия в командах show для функций уровня 2 в режиме 2-го уровня следующего поколения

Возможность

ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 и серия MX маршрутизаторов

Маршрутизаторы ACX5048, ACX5096 и ACX5448

Vlan

show bridge-domain

show vlans

Таблица MAC-таблиц

show bridge mac-table

show ethernet-switching table

Параметры таблицы MAC-таблиц

show bridge mac-table(MAC-адрес, имя домена моста, интерфейс, ID VLAN и экземпляр)

show ethernet-switching table

Список портов коммутатора с назначениями VLAN

show l2-learning interface

show ethernet-switching interfaces

База данных сброса состояния ядра

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Таблица истории выпусков
Версия
Описание
15.1X49-D40
Начиная с Junos OS версии 15.1X49-D40, используйте команду для коммутации между режимом прозрачного моста уровня 2 и режимом set protocols l2-learning global-mode(transparent-bridge | switching) коммутации Ethernet.
15.1X49-D10
Начиная Junos OS 15.1X49-D10 и Junos OS release 17.3R1, некоторые интерфейс командной строки уровня 2 улучшены и некоторые команды изменены.