Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

第 2 层网络

第 2 层网络概述

第 2 层又称为数据链路层,是网络协议设计七层 OSI 参考模型中的第二层。第 2 层等同于 TCP/IP 网络模型中的链路层(最底层)。第 2 层是用于在广域网中的相邻网络节点之间或同一局域网的节点之间传输数据的网络层。

是用来表示协议数据的单位,也是第 2 层网络中最小的比特流单位。同一局域网 (LAN) 上的设备之间可以进行帧的传输和接收。与比特不同,帧具有清晰的结构,可用于错误检测、控制平面活动等。并非所有帧都携带用户数据。网络会使用某些帧来控制数据链路本身。

在第 2 层,单播指从一个节点向另外一个节点发送帧,而组播表示从一个节点向多个节点发送帧流量,广播则是指向网络中的所有节点传输帧。广播域是网络的逻辑划分区域,通过广播可到达该区域第 2 层网络的所有节点。

可使用网桥在帧级别连接 LAN 网段。桥接可在 LAN 上创建单独的广播域,从而搭建 VLAN 网络,该网络是一种独立的逻辑网络,可将相关设备分组到不同的网段中。VLAN 上的设备分组与设备在 LAN 中的物理位置无关。如果没有桥接和 VLAN,以太网 LAN 上的所有设备均会处于一个广播域中,并且将检测到 LAN 上的全部数据包。

转发是指在网络中通过节点将数据包从一个网段中继到另一个网段。在 VLAN 上,源地址和目的地址在同一 VLAN 中的帧仅会在本地 VLAN 中进行转发。网段是计算机网络的一部分,其中的每个设备都使用相同的物理层进行通信。

第 2 层包含两个子层:

  • 逻辑链路控制 (LLC) 子层负责管理通信链路并处理帧流量。

  • 媒体访问控制 (MAC) 子层用于管理对物理网络介质的协议访问。通过使用交换机上所有端口的已分配 MAC 地址,相同物理链路上的多个设备可以相互唯一识别。

    交换机上的端口或接口可以在接入模式、标记访问模式或中继模式下运行:

    • 接入模式端口可以连接台式计算机、IP 电话、打印机、文件服务器或安全摄像机等网络设备。端口本身属于单个 VLAN 的一部分。通过接入接口传输的帧是正常的以太网帧。默认情况下,交换机上的所有端口均处于接入模式。

    • 标记访问模式端口可以连接台式计算机、IP 电话、打印机、文件服务器或安全摄像机等网络设备。端口本身属于单个 VLAN 的一部分。通过接入接口传输的帧是正常的以太网帧。默认情况下,交换机上的所有端口均处于接入模式。标记访问模式支持云计算,具体包括虚拟机或虚拟计算机等场景。由于一台物理服务器上可以包含多台虚拟计算机,因此一台服务器生成的数据包可以包含来自该服务器上不同虚拟机的 VLAN 数据包聚合。为了支持这种情况,当交换机在该下行端口上学习了数据包的目的地址后,标记访问模式会将数据包反射到同一个下行端口上的物理服务器。即使未学习目的地址,数据包也会被反射到下行端口的物理服务器上。因此,第三种接口模式(标记访问模式)具有接入模式和中继模式的某些特征:

    • 中继模式端口可以处理多个 VLAN 的流量,并可通过同一物理连接对所有这些 VLAN 的流量进行多路复用。中继接口通常用于将交换机与其他设备或交换机进行互连。

      在配置了本征 VLAN 的情况下,不携带 VLAN 标记的帧将通过中继接口发送。如果遇到在接入模式中将数据包从设备传输到交换机,而且希望随后通过中继端口从交换机发送这些数据包的情况,请使用本征 VLAN 模式。将交换机端口(处于接入模式)上的单个 VLAN 配置为本机 VLAN。然后,交换机的中继端口将采用与其他标记数据包不同的方式来处理这些帧。例如,如果为一个中继端口分配了三个 VLAN(VLAN 10、VLAN 20 和 VLAN 30,其中 VLAN 10 为本征 VLAN),在 VLAN 10 上的另一端离开中继端口的帧就不会有 802.1 Q 标头(标记)。还有另一个本征 VLAN 选项。您可以通过交换机为无标记数据包添加和删除标记。要进行该操作,首先将单个 VLAN 配置为边缘设备连接端口上的本征 VLAN。然后,将 VLAN ID 标记分配至设备连接端口上的单个本征 VLAN。最后,将 VLAN ID 添加至中继端口。现在,当交换机收到未标记的数据包时,它就会添加您指定的 ID,并在已配置好接受 VLAN 的中继端口上发送和接收带标记的数据包。

QFX 系列上的第 2 层(包括子层)支持以下功能:

  • 单播、组播和广播流量。

  • 桥接。

  • VLAN 802.1Q — 也称为 VLAN 标记,此协议通过将 VLAN 标记添加到以太网帧,允许多个桥接网络透明地共享相同的物理网络链路。

  • 使用生成树协议 (STP) 在多个交换机之间实现第 2 层 VLAN 扩展可避免跨网络环路的出现。

  • MAC 学习,包括每 VLAN MAC 学习和第 2 层学习抑制 – 此过程获取网络上所有节点的 MAC 地址

  • 链路聚合 — 此过程将物理层的以太网接口分组以形成单个链路层接口,也称为 链路聚合组 (LAG) 或 LAG 束

    注:

    NFX150 设备不支持链路聚合。

  • 物理端口上的单播、组播和广播风暴控制

    注:

    NFX150 设备不支持风暴控制。

  • 支持 STP 协议,包括 802.1 d、RSTP、MSTP 和 Root Guard

了解 VLAN

VLAN(虚拟 LAN)是组合在一起以形成单独广播域的网络节点的集合。在作为单个 LAN 的以太网网络上,所有流量都转发到 LAN 上的所有节点。在 VLAN 上,源和目标位于同一 VLAN 中的帧仅在本地 VLAN 中进行转发。不发往本地 VLAN 的帧是唯一转发到其他广播域的帧。因此,VLAN 会限制流经整个 LAN 的流量,从而减少 VLAN 内和整个 LAN 上可能发生的冲突和数据包重新传输次数。

在以太网 LAN 上,所有网络节点都必须物理连接到同一个网络。在 VLAN 上,节点的物理位置并不重要;因此,您可以按对组织有意义的任何方式对网络设备进行分组,例如按部门或业务职能、网络节点类型或物理位置。每个 VLAN 都由单个 IP 子网和标准化 IEEE 802.1Q 封装标识。

为了识别流量属于哪个 VLAN,以太网 VLAN 上的所有帧都由 IEEE 802.1Q 标准中定义的标记标识。这些帧带有标记,并使用 802.1Q 标记封装。

对于只有一个 VLAN 的简单网络,所有流量都具有相同的 802.1Q 标记。当以太网 LAN 划分为多个 VLAN 时,每个 VLAN 都由一个唯一的 802.1Q 标记标识。标记将应用于所有帧,以便接收帧的网络节点知道帧属于哪个 VLAN。中继端口在多个 VLAN 之间多路复用流量,使用标记来确定帧的来源及其转发位置。

以太网交换和第 2 层透明模式概述

第 2 层透明模式提供了在不更改现有路由基础架构的情况下部署防火墙的能力。防火墙部署为具有多个 VLAN 分段的第 2 层交换机,并在 VLAN 分段内提供安全服务。安全线路是第 2 层透明模式的特殊版本,允许在线碰撞部署。

当存在定义为第 2 层接口的接口时,设备以透明模式运行。如果没有配置为第 2 层接口的物理接口,设备将在路由模式(默认模式)下运行。

对于 SRX 系列防火墙,透明模式可为第 2 层交换功能提供全面的安全服务。在这些 SRX 系列防火墙上,您可以配置一个或多个 VLAN 来执行第 2 层交换。VLAN 是一组具有相同泛洪或广播特性的逻辑接口。与虚拟 LAN (VLAN) 一样,VLAN 跨越多个设备的一个或多个端口。因此, SRX 系列防火墙 可以用作具有多个 VLAN 的第 2 层交换机,这些 VLAN 参与同一第 2 层网络。

在透明模式下,SRX 系列防火墙过滤通过设备的数据包,而不修改 IP 数据包标头中的任何源或目标信息。透明模式对于保护主要从不受信任的来源接收流量的服务器非常有用,因为无需重新配置路由器或受保护服务器的 IP 设置。

在透明模式下,设备上的所有物理端口都分配给第 2 层接口。请勿通过设备路由第 3 层流量。可以将第 2 层区域配置为托管第 2 层接口,并且可以在第 2 层区域之间定义安全策略。当数据包在第 2 层区域之间传输时,可以对这些数据包实施安全策略。

表 1 列出了透明模式下第 2 层交换支持和不支持的安全功能。

表 1: 透明模式下支持的安全功能

模式类型

支持

不支持

透明模式

  • 应用层网关 (ALG)

  • 防火墙用户身份验证 (FWAUTH)

  • 入侵检测和防御 (IDP)

  • 筛选

  • AppSecure

  • 内容安全

  • 网络地址转换 (NAT)

  • VPN

注:

在 SRX300、SRX320、SRX340、SRX345 和 SRX550M 设备上,第 2 层透明模式下不支持 DHCP 服务器传播。

此外, SRX 系列防火墙 在第 2 层透明模式下不支持以下第 2 层功能:

  • 生成树协议 (STP)、RSTP 或 MSTP — 用户有责任确保网络拓扑中不存在泛洪环路。

  • 互联网组管理协议 (IGMP) 侦听 — IPv4 的主机到路由器信令协议,用于向相邻路由器报告其组播组成员身份,并确定 IP 组播期间是否存在组成员。

  • 封装在 802.1Q 数据包中的双标记 VLAN 或 IEEE 802.1Q VLAN 标识符(也称为“Q in Q”VLAN 标记)— SRX 系列防火墙仅支持未标记或单标记 VLAN 标识符。

  • 非限定 VLAN 学习,其中仅 MAC 地址用于 VLAN 内的学习 — SRX 系列防火墙上的 VLAN 学习是限定的;也就是说,同时使用 VLAN 标识符和 MAC 地址。

此外,在 SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550 或 SRX650 设备上,不支持某些功能。(平台支持取决于安装中的 Junos OS 版本。上述设备上的第 2 层透明模式不支持以下功能:

  • 第 2 层接口上的 G-ARP

  • 任何接口上的 IP 地址监控

  • 通过 IRB 的传输流量

  • 路由实例中的 IRB 接口

  • 第 3 层流量的 IRB 接口处理

    注:

    IRB 接口是伪接口,不属于 reth 接口和冗余组。

SRX5000 线路模块端口集中器上的第 2 层透明模式

SRX5000 系列模块端口集中器 (SRX5K-MPC) 支持第 2 层透明模式,并在将 SRX 系列防火墙配置为第 2 层透明模式时处理流量。

当 SRX5K-MPC 在第 2 层模式下运行时,您可以将 SRX5K-MPC 上的所有接口配置为第 2 层交换端口以支持第 2 层流量。

安全处理单元 (SPU) 支持第 2 层交换功能的所有安全服务,MPC 将入口数据包传送到 SPU,并将 SPU 封装的出口数据包转发到传出接口。

当 SRX 系列防火墙配置为第 2 层透明模式时,通过在系列地址类型为 的物理接口上定义一个或多个逻辑单元,可以使 MPC 上的接口在第 2 层模式下工作。Ethernet switching 稍后,您可以继续配置第 2 层安全区域并在透明模式下配置安全策略。完成此操作后,将设置下一跃点拓扑来处理入口和出口数据包。

了解安全设备上透明模式下的 IPv6 流

在透明模式下,SRX 系列防火墙过滤遍历设备的数据包,而不修改数据包 MAC 标头中的任何源或目标信息。透明模式对于保护主要从不受信任的来源接收流量的服务器非常有用,因为无需重新配置路由器或受保护服务器的 IP 设置。

当设备上的所有物理接口都配置为第 2 层接口时,设备在透明模式下运行。如果物理接口的逻辑接口在 [] 层级配置了选项,则该物理接口是第 2 层接口。ethernet-switchingedit interfaces interface-name unit unit-number family 没有用于在设备上定义或启用透明模式的命令。当存在定义为第 2 层接口的接口时,设备以透明模式运行。如果所有物理接口都配置为第 3 层接口,则设备将在路由模式(默认模式)下运行。

默认情况下,IPv6 流会在安全设备上丢弃。要按安全功能(如区域、屏幕和防火墙策略)启用处理,您必须使用 [] 层次结构级别的配置选项为 IPv6 流量启用基于流的转发。mode flow-basededit security forwarding-options family inet6 更改模式时,必须重新启动设备。

在透明模式下,您可以将第 2 层区域配置为托管第 2 层接口,并且可以在第 2 层区域之间定义安全策略。当数据包在第 2 层区域之间传输时,可以对这些数据包实施安全策略。透明模式下的 IPv6 流量支持以下安全功能:

透明模式下的 IPv6 流不支持以下安全功能:

  • 逻辑系统

  • IPv6 GTPv2

  • J-Web 界面

  • NAT

  • IPsec VPN

  • 除 DNS、FTP 和 TFTP ALG 外,不支持所有其他 ALG。

为 IPv6 流配置 VLAN 和第 2 层逻辑接口与为 IPv4 流配置 VLAN 和第 2 层逻辑接口相同。您可以选择为 VLAN 中的管理流量配置集成路由和桥接 (IRB) 接口。IRB 接口是透明模式下唯一允许的第 3 层接口。SRX 系列防火墙上的 IRB 接口不支持流量转发或路由。IRB 接口可以同时配置 IPv4 和 IPv6 地址。您可以使用 [] 层次结构级别的配置语句为 IRB 接口分配 IPv6 地址。addressedit interfaces irb unit number family inet6 您可以使用 [] 层次结构级别的配置语句为 IRB 接口分配 IPv4 地址。addressedit interfaces irb unit number family inet

SRX 系列防火墙上的以太网交换功能与瞻博网络 MX 系列路由器上的交换功能类似。但是,并非 MX 系列路由器支持的所有第 2 层网络功能在 SRX 系列防火墙上都受支持。请参阅 以太网交换和第 2 层透明模式概述。https://www.juniper.net/documentation/us/en/software/junos/multicast-l2/topics/topic-map/layer-2-understanding.html#id-ethernet-switching-and-layer-2-transparent-mode-overview

SRX 系列防火墙维护转发表,其中包含每个第 2 层 VLAN 的 MAC 地址和相关接口。IPv6 流处理类似于 IPv4 流。请参阅 VLAN 的第 2 层学习和转发概述

了解安全设备上的第 2 层透明模式机箱群集

可以在机箱群集中连接一对处于第 2 层透明模式的 SRX 系列防火墙,以提供网络节点冗余。在机箱群集中配置时,一个节点充当主设备,另一个节点充当辅助设备,确保在发生系统或硬件故障时进程和服务有状态故障切换。如果主设备发生故障,辅助设备将接管流量处理。

注:

如果主设备在第 2 层透明模式机箱群集中发生故障,则故障设备中的物理端口将处于非活动状态(关闭)几秒钟,然后再次变为活动状态(启动)。

要形成机箱群集,一对相同类型的受支持 SRX 系列防火墙 组合成一个系统,实施相同的整体安全性。

处于第 2 层透明模式的设备可以部署在主动/备份和主动/主动机箱群集配置中。

处于第 2 层透明模式下的设备不支持以下机箱群集功能:

  • 免费 ARP — 冗余组中新当选的主服务器无法发送免费 ARP 请求,以通知网络设备冗余以太网接口链路上的主要角色发生变化。

  • IP 地址监控 — 无法检测到上游设备的故障。

冗余组是一种构造,其中包含两个节点上的对象集合。冗余组在一个节点上是主节点,在另一个节点上是备份组。当冗余组在节点上为主冗余组时,该节点上的对象将处于活动状态。当冗余组故障转移时,其所有对象将一起故障转移。

您可以为主动/主动机箱群集配置创建一个或多个编号为 1 到 128 的冗余组。每个冗余组包含一个或多个冗余以太网接口。冗余以太网接口是一种伪接口,其中包含来自群集每个节点的物理接口。冗余以太网接口中的物理接口必须相同 — 快速以太网或千兆以太网。如果冗余组在节点 0 上处于活动状态,则节点 0 上所有关联冗余以太网接口的子链路都处于活动状态。如果冗余组故障转移到节点 1,则节点 1 上所有冗余以太网接口的子链路将变为活动状态。

注:

在主动/主动机箱群集配置中,最大冗余组数等于您配置的冗余以太网接口数。在主动/备份机箱群集配置中,支持的最大冗余组数为两个。

在第 2 层透明模式下在设备上配置冗余以太网接口类似于在第 3 层路由模式下在设备上配置冗余以太网接口,但区别如下:处于第 2 层透明模式的设备上的冗余以太网接口配置为第 2 层 逻辑接口。

冗余以太网接口可以配置为接入接口(将单个 VLAN ID 分配给接口上接收的未标记数据包)或中继接口(接口上接受的 VLAN ID 列表,以及接口上接收的未标记数据包的本机 VLAN ID)。物理接口(机箱群集中的每个节点一个)作为子接口绑定到父冗余以太网接口。

在第 2 层透明模式下,MAC 学习基于冗余以太网接口。MAC 表在机箱群集设备对之间的冗余以太网接口和服务处理单元 (SPU) 之间同步。

IRB 接口仅用于管理流量,不能分配给任何冗余以太网接口或冗余组。

可用于单个非群集设备的所有 Junos OS 屏幕选项都可用于第 2 层透明模式机箱群集中的设备。

注:

生成树协议 (STP) 不支持用于第 2 层透明模式。必须确保部署拓扑中没有环路连接。

在 SRX 系列防火墙上 配置带外管理

您可以将 SRX 系列防火墙上的带外管理接口配置为第 3 层接口,即使在设备上定义了第 2 层接口也是如此。fxp0 除接口外 ,您可以在设备的网络端口上定义第 2 层和第 3 层接口。fxp0

注:

SRX300、SRX320 和 SRX550M 设备上没有 fxp0 带外管理接口。(平台是否支持取决于设备安装的 Junos OS 版本。)

以太网交换

以太网交换使用以太网 MAC 地址信息在 LAN 分段(或 VLAN)内或之间转发以太网帧。SRX1500设备上的以太网交换在使用 ASIC 的硬件中执行。

从 Junos OS 15.1X49-D40 版开始,使用命令在第 2 层透明网桥模式和以太网交换模式之间切换。set protocols l2-learning global-mode(transparent-bridge | switching) 切换模式后,必须重新启动设备才能使配置生效。 介绍了上 默认的第 2 层全局模式SRX 系列防火墙。表 2

表 2: SRX 系列设备上的默认第 2 层全局模式

Junos OS 版本

平台

默认第 2 层全局模式

详细信息

在 Junos OS 版本 15.1X49-D50 之前

Junos OS 版本 17.3R1 及更高版本

SRX300、SRX320、SRX340 和 SRX345

切换模式

Junos OS 版本 15.1X49-D50 至 Junos OS 版本 15.1X49-D90

SRX300、SRX320、SRX340 和 SRX345

切换模式

删除设备上的第 2 层全局模式配置时,设备将处于透明网桥模式。

Junos OS 版本 15.1X49-D100 及更高版本

SRX300、SRX320、SRX340、SRX345、SRX550 和 SRX550M

切换模式

删除设备上的第 2 层全局模式配置时,设备将处于交换模式。在层次结构级别下配置命令以切换到透明网桥模式。set protocols l2-learning global-mode transparent-bridge[edit] 重新启动设备以使配置生效。

Junos OS 版本 15.1X49-D50 及更高版本

SRX1500

透明桥接模式

交换模式下支持的第 2 层协议是链路聚合控制协议 (LACP)。

您可以在冗余以太网接口上配置第 2 层透明模式。使用以下命令定义冗余以太网接口:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX 系列设备上的第 2 层交换例外

SRX 系列防火墙上的交换功能类似于瞻博网络 MX 系列路由器上的交换功能。但是,SRX 系列防火墙不支持 MX 系列路由器上的以下第 2 层网络功能:

  • 第 2 层控制协议 — 这些协议在 MX 系列路由器上用于 VPLS 路由实例的客户边缘接口中的快速生成树协议 (RSTP) 或多生成树协议 (MSTP)。

  • 虚拟交换机路由实例 — 虚拟交换路由实例在 MX 系列路由器上用于对一个或多个 VLAN 进行分组。

  • 虚拟专用 LAN 服务 (VPLS) 路由实例 — VPLS 路由实例在 MX 系列路由器上用于在 VPN 中的一组站点之间进行点对多点 LAN 实施。

了解单播

单播 是将数据从网络的一个节点发送到另一个节点的行为。相反,组播传输将流量从一个数据节点发送到多个其他数据节点。

未知单播流量由目标 MAC 地址未知的单播帧组成。默认情况下,交换机会将在 VLAN 中传输的这些单播帧泛洪到属于该 VLAN 成员的所有接口。将此类流量转发到交换机上的接口可能会引发安全问题。LAN 突然被数据包淹没,产生不必要的流量,导致网络性能不佳,甚至网络服务完全丢失。这被称为交通风暴。

为防止风暴,您可以通过配置一个 VLAN 或所有 VLAN 以将任何未知单播流量转发到特定中继接口,来禁用未知单播数据包泛洪到所有接口。(这会将未知单播流量引导到单个接口。

了解交换机上的第 2 层广播

在第 2 层网络中, 广播 是指向网络上的所有节点发送流量。

第 2 层广播流量保持在局域网 (LAN) 边界内;称为 广播域。第 2 层广播流量使用 FF:FF:FF:FF:FF:FF:FF 的 MAC 地址发送到广播域。广播域中的每台设备都能识别此 MAC 地址,并将广播流量传递到广播域中的其他设备(如果适用)。广播可以与单播(将流量发送到单个节点)或组播(同时将流量传递到一组节点)进行比较。

但是,第 3 层广播流量使用广播网络地址发送到网络中的所有设备。例如,如果您的网络地址是 10.0.0.0,则广播网络地址是 10.255.255.255。在这种情况下,只有属于 10.0.0.0 网络的设备才能接收第 3 层广播流量。不属于此网络的设备会丢弃流量。

广播用于以下情况:

  • 地址解析协议 (ARP) 使用广播将 MAC 地址映射到 IP 地址。ARP 将 IP 地址(逻辑地址)动态绑定到正确的 MAC 地址。在发送 IP 单播数据包之前,ARP 会发现配置了 IP 地址的以太网接口使用的 MAC 地址。

  • 动态主机配置协议 (DHCP) 使用广播将 IP 地址动态分配给网段或子网上的主机。

  • 路由协议使用广播来通告路由。

过多的广播流量有时会引发广播风暴。当消息在网络上广播并且每条消息都提示接收节点通过在网络上广播自己的消息来响应时,就会发生广播风暴。这反过来又会促使进一步的反应,从而产生滚雪球效应。LAN 突然被数据包淹没,产生不必要的流量,导致网络性能不佳,甚至网络服务完全丢失。

使用增强型第 2 层软件 CLI

增强型第 2 层软件 (ELS) 提供统一的 CLI,用于配置和监控 QFX 系列交换机、EX 系列交换机和其他瞻博网络设备(如 MX 系列路由器)上的第 2 层功能。借助 ELS,您可以在所有这些瞻博网络设备上以相同的方式配置第 2 层功能。

本主题说明如何知道您的平台是否正在运行 ELS。它还说明了如何使用 ELS 配置样式执行一些常见任务。

了解哪些设备支持 ELS

如果设备运行的 Junos OS 版本支持 ELS,则会自动支持 ELS。您无需执行任何操作即可启用 ELS,也无法禁用 ELS。有关哪些平台和版本支持 ELS 的信息,请参阅 功能资源管理器 。https://pathfinder.juniper.net/feature-explorer/feature-info.html?fKey=5890&fn=Uniform+Enhanced+Layer+2+Software+(ELS)+CLI+configuration+statements+and+operational+commands

了解如何使用 ELS 配置第 2 层功能

由于 ELS 提供统一的 CLI,您现在可以通过相同的方式在受支持的设备上执行以下任务:

配置 VLAN

您可以配置一个或多个 VLAN 来执行第 2 层桥接。第 2 层桥接功能包括集成路由和桥接 (IRB),用于在同一接口上支持第 2 层桥接和第 3 层 IP 路由。EX 系列和 QFX 系列交换机可以用作第 2 层交换机,每个交换机都有多个桥接或广播域,这些域参与同一第 2 层网络。您还可以为 VLAN 配置第 3 层路由支持。

要配置 VLAN:

  1. 通过设置唯一的 VLAN 名称和配置 VLAN ID 来创建 VLAN:

    使用 VLAN ID 列表选项,您可以随意指定 VLAN ID 的范围。

  2. 为 VLAN 至少分配一个接口:

配置本机 VLAN 标识符

EX 系列和 QFX 系列交换机支持接收和转发带有 802.1Q VLAN 标记的路由或桥接以太网帧。通常,将交换机相互连接的中继端口接受未标记的控制数据包,但不接受未标记的数据包。通过在要接收未标记数据包的接口上配置本机 VLAN ID,可以使中继端口接受未标记的数据包。

要配置本机 VLAN ID,请执行以下操作:

  1. 在要接收未标记数据包的接口上,将接口模式 设置为 ,这将指定接口位于多个 VLAN 中,并且可以在不同 VLAN 之间多路复用流量。trunk
  2. 配置本机 VLAN ID 并将接口分配给本机 VLAN ID:
  3. 将接口分配给本机 VLAN ID:

配置第 2 层接口

为确保针对最佳性能调整高流量网络,请在交换机的网络接口上显式配置一些设置。

要将千兆以太网接口或 10 千兆以太网接口配置为接口 :trunk

要将千兆以太网接口或 10 千兆以太网接口配置为接口 :access

要将接口分配给 VLAN:

配置第 3 层接口

要配置第 3 层接口,必须为接口分配 IP 地址。通过在配置协议家族时指定地址,可以为接口分配地址。对于或系列,配置接口 IP 地址。inetinet6

您可以使用 32 位 IP 版本 4 (IPv4) 地址和目标前缀(有时称为子网掩码)配置接口。IPv4 地址使用 4 个八位字节的点分十进制地址语法(例如,192.168.1.1)。带目标前缀的 IPv4 地址使用附加目标前缀的 4 个八位字节点分十进制地址语法(例如,192.168.1.1/16)。

要为逻辑单元指定 IP4 地址,请执行以下操作:

通过使用以冒号分隔的 16 位值列表,以十六进制表示法表示 IP 版本 6 (IPv6) 地址。您可以为接口分配一个 128 位 IPv6 地址。

要为逻辑单元指定 IP6 地址,请执行以下操作:

配置 IRB 接口

集成路由和桥接 (IRB) 支持同一接口上的第 2 层桥接和第 3 层 IP 路由。您可以通过 IRB 将数据包路由到另一个路由接口或配置了第 3 层协议的另一个 VLAN。IRB 接口使设备能够识别发送到本地地址的数据包,以便尽可能对这些数据包进行桥接(交换),并且仅在必要时进行路由。只要可以交换数据包,而不需要路由,就无需再进行多层处理。名为 irb 的接口用作逻辑路由器,您可以在其上为 VLAN 配置第 3 层逻辑接口。为实现冗余,您可以将 IRB 接口与桥接和虚拟专用 LAN 服务 (VPLS) 环境中虚拟路由器冗余协议 (VRRP) 的实现相结合。

要配置 IRB 接口,请执行以下操作:

  1. 通过分配名称和 VLAN ID 来创建第 2 层 VLAN:
  2. 创建 IRB 逻辑接口:
  3. 将 IRB 接口与 VLAN 关联:

配置聚合以太网接口并在该接口上配置 LACP

使用链路聚合功能聚合一个或多个链路以形成虚拟链路或链路聚合组 (LAG)。MAC 客户端可以将此虚拟链路视为单个链路来增加带宽,在发生故障时提供正常的降级并提高可用性。

要配置聚合以太网接口,请执行以下操作:

  1. 指定要创建的聚合以太网接口数量:
  2. 指定链路聚合组接口的名称:
  3. 指定要标记为 up 的聚合以太网接口 (aex)(即定义的捆绑包) 的最小链路数:
  4. 指定聚合以太网捆绑包的链路速度:
  5. 指定要包含在聚合以太网捆绑包中的成员:
  6. 为聚合以太网捆绑包指定接口族:

对于设备上的聚合以太网接口,您可以配置链路聚合控制协议 (LACP)。LACP 捆绑多个物理接口以形成一个逻辑接口。您可以在启用或不启用 LACP 的情况下配置聚合以太网。

启用 LACP 后,聚合以太网链路的本地端和远程端将交换协议数据单元 (PDU),其中包含有关链路状态的信息。您可以将以太网链路配置为主动传输 PDU,也可以将链路配置为被动传输 PDU,仅当它们从其他链路接收到 LACP PDU,才发送 LACP PDU。链路的一端必须配置为活动状态,链路才能打开。

要配置 LACP,请执行以下操作:

  1. 将聚合以太网链路的一端启用为活动状态:

  2. 指定接口发送 LACP 数据包的时间间隔:

了解 ELS 配置语句和命令更改

ELS 是在适用于 EX9200 交换机的 Junos OS 12.3R2 版中引入的。ELS 更改了受支持的 EX 系列和 QFX 系列交换机上某些第 2 层功能的 CLI。

以下各节提供了在 EX 系列交换机上移动到新层级或更改的现有命令的列表,这些命令是此 CLI 增强工作的一部分。这些部分仅作为高级参考提供。有关这些命令的详细信息,请使用指向提供的配置语句的链接或参阅技术文档。

对以太网交换选项层次结构级别的更改

本节概述了对 层次结构级别的更改。ethernet-switching-options

注:

层次结构级别已重命名为 。ethernet-switching-optionsswitch-options

表 3: 重命名以太网交换选项层次结构

原始层次结构

更改的层次结构

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
表 4: RTG 声明

原始层次结构

更改的层次结构

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
表 5: 已删除的语句

原始层次结构

更改的层次结构

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

这些语句已从 层次结构中删除。switch-options

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

这些语句已从 层次结构中删除。switch-options

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
注:

该 语句已替换为新语句。port-error-disable

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

对端口镜像层次结构级别的更改

注:

语句已从 层次结构级别移动到 层次结构级别。ethernet-switching-optionsforwarding-options

表 6: 端口镜像层次结构

原始层次结构

更改的层次结构

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

对第 2 层控制协议层次结构级别的更改

第 2 层控制协议语句已从层次结构移动到层次结构。ethernet-switching-optionsprotocols

表 7: 第 2 层控制协议

原始层次结构

更改的层次结构

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

对 dot1q-tunneling 语句的更改

该 语句已替换为新语句,并移动到其他层次结构级别。dot1q-tunneling

表 8: dot1q 隧道

原始层次结构

更改的层次结构

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

L2 学习协议的变更

该 语句已替换为新语句,并移动到其他层次结构级别。mac-table-aging-time

表 9: mac-table-aging-time 语句

原始层次结构

更改的层次结构

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

对不间断桥接的更改

语句 已移动到不同的层次结构级别。nonstop-bridging

表 10: 不间断桥接声明

原始层次结构

更改的层次结构

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

端口安全和 DHCP 侦听的更改

端口安全和 DHCP 侦听语句已移至不同的层次结构级别。

注:

更改后的层次结构中不存在该语句 。examine-dhcp 现在,当 VLAN 上启用了其他 DHCP 安全功能时,会自动启用 DHCP 侦听。有关其他信息,请参阅配置端口安全性 (ELS)。Overview of Port Security

表 11: 端口安全语句

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
提示:

对于允许的 mac 配置,原始层次结构语句 将由 ELS 命令替换 set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

注:

DHCP 侦听语句已移至不同的层次结构级别。

表 12: DHCP 侦听语句

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

对配置 VLAN 的更改

用于配置 VLAN 的语句已移至不同的层次结构级别。

注:

从适用于 EX4300 和 EX4600 交换机的 Junos OS 14.1X53-D10 版开始,启用 STP 时 ,您可以在 VLAN 中包含的部分或全部接口上启用它。x 例如,如果将 VLAN 100 配置为包括接口 ge-0/0/0、ge-0/0/1 和 ge-0/0/2,并且希望在接口 ge-0/0/0 和 ge-0/0/2 上启用 MSTP,则可以指定和命令。set protocols mstp interface ge-0/0/0set protocols mstp interface ge-0/0/2 在此示例中,您没有在接口 ge-0/0/1 上显式启用 MSTP;因此,此接口上未启用 MSTP。

表 13: VLAN 层次结构

原始层次结构

更改的层次结构

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
注:

语句将替换为新语句,并已移动到不同的层次结构级别。

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

这些语句已被删除。您可以使用层次结构将 接口分配给 VLAN。[edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name]

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

语句已被删除。

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
注:

语法已更改。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

语句已删除。系统会自动跟踪入口流量。

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

语句已删除。

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

语句已移至不同的层次结构。

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

语句已被删除。

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

语句已删除。

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
注:

语句已替换为新语句。

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
注:

语法已更改。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
表 14: 语句移动到其他层次结构

原始层次结构

更改的层次结构

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

对于 :dot1q-tunneling

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

对于 (在接口上启用 MAC 重写):layer2-protocol-tunneling

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

风暴控制配置文件的更改

风暴控制分两步进行配置。第一步是在层次结构级别创建风暴控制配置文件,第二步是将配置文件 绑定到层次结构级别的逻辑接口 。[edit forwarding-options][edit interfaces] 请参阅 示例:针对更改的过程,配置 EX 系列交换机 上的风暴控制以防止网络中断。

表 15: 对风暴控制配置文件层次结构级别的更改

原始层次结构

更改的层次结构

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

对接口层次结构的更改

注:

语句已移动到不同的层次结构。

表 16: 对接口层次结构的更改

原始层次结构

更改的层次结构

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
注:

语句已替换为新语句。

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
注:

语句已替换为新语句。

interfaces irb

对 IGMP 侦听的更改

表 17: IGMP 侦听层次结构

原始层次结构

更改的层次结构

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

安全设备的增强型第 2 层 CLI 配置语句和命令更改

从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,某些第 2 层 CLI 配置语句得到增强,一些命令也发生了更改。表 18并提供表 19在 SRX 系列防火墙上移动到新层次结构或更改的现有命令的列表,这些命令是此 CLI 增强工作的一部分。这些表仅作为高级参考提供。有关这些命令的详细信息,请参阅 CLI 资源管理器

表 18: 增强的第 2 层配置语句更改

原始层次结构

更改的层次结构

层次结构级别

更改说明

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[编辑]

层次结构已重命名。

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[编辑VLAN]vlans-name

语句已重命名。

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[编辑VLAN]vlans-name

语句已重命名。

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[编辑安全流程]

语句已重命名。

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[编辑界面 ]单位 interface-nameunit-number

层次结构已重命名。

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[编辑VLAN]vlans-name

语句已重命名。

表 19: 增强的第 2 层操作命令更改

原始作战指挥部

修改后的操作命令

Clear Bridge MAC-Table

清除以太网交换表

Clear Bridge MAC-table 持久学习

清除以太网交换表 持久学习

显示桥域

显示 VLAN

显示桥 Mac-Table

显示以太网交换表

显示 L2-学习接口

显示以太网交换接口

注:

SRX300、SRX320 和 SRX500HM 设备上没有 fxp0 带外管理接口。(平台是否支持取决于设备安装的 Junos OS 版本。)

ACX 系列的第 2 层新一代模式

ACX5048、ACX5096 和 ACX5448 路由器支持第 2 层新一代模式,也称为增强型第 2 层软件 (ELS),用于配置第 2 层功能。ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024 和 ACX7509 路由器的第 2 层 CLI 配置和显示命令与其他 ACX 系列路由器(ACX1000、ACX1100、ACX2000、ACX2100、ACX2200 和 ACX4000)和 MX 系列路由器的配置和显示命令不同。

表 20 显示了在第 2 层下一代模式下配置第 2 层功能的 CLI 层次结构差异。

表 20: 第 2 层下一代模式下第 2 层功能的 CLI 层次结构差异

功能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000 和 MX 系列路由器

ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024 和 ACX7509 路由器

桥接域

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

家庭 bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

第 2 层选项

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

以太网选项

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

集成路由和桥接 (IRB)

[;edit bridge-domains bridge-domain-name] routing-interface irb.unit

[edit vlans vlan-name] l3-interface irb.unit;

风暴控制

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

互联网组管理协议 (IGMP) 窥探

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

系列 防火墙过滤器bridge

[edit firewall family bridge]

[edit firewall family ethernet-switching]

显示了第 2 层下一代模式下第 2 层功能的命令差异 。表 21show

表 21: 第 2 层下一代模式下第 2 层功能的 show 命令的差异

功能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000 和 MX 系列路由器

ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024 和 ACX7509 路由器

VLAN

show bridge-domain

show vlans

MAC 表

show bridge mac-table

show ethernet-switching table

MAC 表选项

show bridge mac-table(MAC 地址、网桥域名、接口、VLAN ID 和实例)

show ethernet-switching table

包含 VLAN 分配的交换机端口列表

show l2-learning interface

show ethernet-switching interfaces

刷新数据库的内核状态

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
15.1X49-D40
从 Junos OS 15.1X49-D40 版开始,使用命令在第 2 层透明网桥模式和以太网交换模式之间切换。set protocols l2-learning global-mode(transparent-bridge | switching)
15.1X49-D10
从 Junos OS 15.1X49-D10 版和 Junos OS 17.3R1 版开始,某些第 2 层 CLI 配置语句得到增强,一些命令也发生了更改。