Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Redes de capa 2

Descripción general de las redes de capa 2

La capa 2, también conocida como Capa de vínculo de datos, es el segundo nivel del modelo de referencia OSI de siete niveles para el diseño de protocolos de red. La capa 2 es equivalente a la capa de vínculo (la capa más baja) del modelo de red TCP/IP. Layer2 es la capa de red que se utiliza para transferir datos entre nodos de red adyacentes en una red de área extensa o entre nodos de la misma red de área local.

Una trama es una unidad de datos de protocolo, la unidad más pequeña de bits en una red de capa 2. Las tramas se transmiten hacia y desde los dispositivos en la misma red de área local (LAN). A diferencia de los bits, las tramas tienen una estructura definida y se pueden usar para la detección de errores, las actividades del plano de control, etc. No todas las tramas contienen datos de usuario. La red utiliza algunas tramas para controlar el propio vínculo de datos.

En la capa 2, unidifusión se refiere a enviar tramas desde un nodo a otro nodo único, mientras que la multidifusión denota el envío de tráfico de un nodo a varios nodos y la transmisión se refiere a la transmisión de tramas a todos los nodos en una red. Un dominio de difusión es una división lógica de una red en la cual una difusión puede alcanzar a todos los nodos de esa red en la capa 2.

Los segmentos de una LAN se pueden vincular a nivel de trama mediante puentes. La conexión por puentes crea dominios de difusión independientes en la LAN, lo cual crea VLAN, las cuales son redes lógicas independientes que agrupan dispositivos relacionados en segmentos de red independientes. El agrupamiento de dispositivos en una VLAN no depende de la ubicación física de los dispositivos en la LAN. Sin puentes ni VLAN, todos los dispositivos en la LAN Ethernet se encuentran en un único dominio de difusión, y todos los dispositivos detectan todos los paquetes de la LAN.

El reenvío es la transmisión de paquetes desde un segmento de red a otro mediante nodos en la red. En una VLAN, una trama cuyo origen y destino se encuentran en la misma VLAN se reenvía únicamente dentro de la VLAN local. Un segmento de red es una parte de una red de equipos, en la cual cada dispositivo se comunica utilizando la misma capa física.

La capa 2 contiene dos subcapas:

  • Subcapa de control de vínculo lógico (LLC), la cual se encarga de administrar vínculos de comunicaciones y controlar el tráfico de tramas.

  • Subcapa de control de acceso a medios (MAC), la cual controla el acceso de protocolos al medio físico de la red. Mediante el uso de las direcciones MAC que se asignan a todos los puertos de un conmutador, varios dispositivos en el mismo vínculo físico pueden identificarse entre sí de manera única.

    Los puertos, o interfaces, en un conmutador funcionan en modo de acceso, acceso con etiqueta o modo de troncalización:

    • Los puertos en modo de acceso se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso.

    • Los puertos en modo de acceso con etiqueta se conectan a un dispositivo de red como una computadora de escritorio, un teléfono IP, una impresora, un servidor de archivos o una cámara de seguridad. El puerto en sí pertenece a una sola VLAN. Las tramas transmitidas a través de una interfaz de acceso son tramas Ethernet normales. De forma predeterminada, todos los puertos en un conmutador están en modo de acceso. El modo de acceso con etiqueta admite informática en la nube, específicamente en situaciones que incluyen máquinas virtuales o equipos virtuales. Dado que se pueden incluir varios equipos virtuales en un solo servidor físico, los paquetes generados por un servidor pueden contener una adición de paquetes de VLAN desde diferentes máquinas virtuales en ese servidor. Para adaptarse a esta situación, el modo de acceso con etiqueta refleja los paquetes de regreso al servidor físico en el mismo puerto descendente cuando se aprendió la dirección de destino del paquete en ese puerto descendente. Los paquetes también se reflejan de vuelta al servidor físico en el puerto descendente cuando aún no se ha aprendido el destino. Por lo tanto, el tercer modo de interfaz, el acceso con etiquetas, tiene algunas características del modo de acceso y algunas características del modo de troncalización:

    • Los puertos del modo de troncalización administran el tráfico de varias VLAN, lo que multiplexa el tráfico para todas esas VLAN sobre la misma conexión física. Las interfaces troncalizadas se utilizan generalmente para interconectar conmutadores a otros dispositivos o conmutadores.

      Con la VLAN nativa configurada, las tramas que no contienen etiquetas de VLAN se envían a través de la interfaz troncalizada. Si tiene una situación en la cual los paquetes pasan de un dispositivo a un conmutador en modo de acceso, y desea enviar esos paquetes desde el conmutador a través de un puerto de troncalización, utilice el modo VLAN nativo. Configure la VLAN única en el puerto del conmutador (que está en modo de acceso) como una VLAN nativa. El puerto troncal del conmutador tratará esas tramas de manera diferente a los demás paquetes etiquetados. Por ejemplo, si un puerto de troncalización tiene tres VLAN (10, 20 y 30) asignadas con una VLAN 10 que es la VLAN nativa, las tramas en VLAN 10 que dejen el puerto de troncalización en el otro extremo no tienen encabezado (etiqueta) 802.1Q. Existe otra opción de VLAN nativa. Puede hacer que el conmutador agregue o quite etiquetas para los paquetes sin etiquetar. Para ello, configure primero la VLAN única como una VLAN nativa en un puerto conectado a un dispositivo del perímetro. A continuación, asigne una etiqueta de ID VLAN a la VLAN nativa única en el puerto conectado a un dispositivo. Por último, agregue el ID de VLAN al puerto de troncalización. Ahora, cuando el conmutador recibe el paquete sin etiquetar, agrega el ID que especificó y, luego, envía y recibe los paquetes etiquetados en el puerto de troncalización configurado para aceptar dicha VLAN.

Al incluir las subcapas, la capa 2 de la serie QFX admite la siguiente funcionalidad:

  • Tráfico de unidifusión, multidifusión y difusión.

  • Conexión por puentes.

  • VLAN 802.1Q: también conocido como etiquetado VLAN, este protocolo permite que varias redes en puente compartan de forma transparente el mismo enlace de red físico agregando etiquetas VLAN a una trama Ethernet.

  • La extensión de VLAN de capa 2 en varios conmutadores mediante el protocolo de árbol de expansión (STP) evita que hayan bucles a través de la red.

  • Aprendizaje de MAC, incluido el aprendizaje de MAC por VLAN y la supresión de aprendizaje de capa 2: este proceso obtiene las direcciones MAC de todos los nodos de una red

  • Agregación de vínculos: este proceso agrupa las interfaces Ethernet en la capa física para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete LAG

    Nota:

    La agregación de vínculos no se admite en dispositivos NFX150.

  • Control de tormentas en el puerto físico de unidifusión, multidifusión y difusión

    Nota:

    No se admite el control de tormentas en dispositivos NFX150.

  • Compatibilidad con STP, incluido 802.1d, RSTP, MSTP y protección de raíz

Descripción de las VLAN

Una VLAN (LAN virtual) es una colección de nodos de red agrupados para formar dominios de difusión independientes. En una red Ethernet que es una sola LAN, todo el tráfico se reenvía a todos los nodos de la LAN. En las VLAN, las tramas cuyo origen y destino se encuentran en la misma VLAN se reenvían únicamente dentro de la VLAN local. Las tramas que no están destinadas a la VLAN local son las únicas que se reenvían a otros dominios de difusión. Por lo tanto, las VLAN limitan la cantidad de tráfico que fluye a través de toda la LAN, reduciendo el posible número de colisiones y retransmisiones de paquetes dentro de una VLAN y en toda la LAN.

En una LAN Ethernet, todos los nodos de la red deben estar conectados físicamente a la misma red. En las VLAN, la ubicación física de los nodos no es importante; Por lo tanto, puede agrupar los dispositivos de red de cualquier manera que tenga sentido para su organización, como por departamento o función empresarial, por tipos de nodos de red o por ubicación física. Cada VLAN se identifica mediante una única subred IP y mediante encapsulación IEEE 802.1Q estandarizada.

Para identificar a qué VLAN pertenece el tráfico, todas las tramas de una VLAN Ethernet se identifican mediante una etiqueta, tal como se define en el estándar IEEE 802.1Q. Estas tramas se etiquetan y se encapsulan con etiquetas 802.1Q.

Para una red simple que tiene una sola VLAN, todo el tráfico tiene la misma etiqueta 802.1Q. Cuando una LAN Ethernet se divide en VLAN, cada VLAN se identifica mediante una etiqueta 802.1Q única. La etiqueta se aplica a todas las tramas para que los nodos de red que reciben las tramas sepan a qué VLAN pertenece una trama. Los puertos troncales, que multiplexan el tráfico entre varias VLAN, utilizan la etiqueta para determinar el origen de las tramas y dónde reenviarlas.

Descripción general de la conmutación Ethernet y el modo transparente de capa 2

El modo transparente de capa 2 permite implementar el firewall sin realizar cambios en la infraestructura de enrutamiento existente. El firewall se implementa como un conmutador de capa 2 con múltiples segmentos de VLAN y proporciona servicios de seguridad dentro de los segmentos de VLAN. Secure Wire es una versión especial del modo transparente de capa 2 que permite el despliegue bump-in-wire.

Un dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si no hay interfaces físicas configuradas como interfaces de capa 2.

Para los firewalls de la serie SRX, el modo transparente proporciona servicios de seguridad completos para las capacidades de conmutación de capa 2. En estos firewalls de la serie SRX, puede configurar una o más VLAN para realizar la conmutación de capa 2. Una VLAN es un conjunto de interfaces lógicas que comparten las mismas características de inundación o difusión. Al igual que una LAN virtual (VLAN), una VLAN abarca uno o más puertos de múltiples dispositivos. Por lo tanto, el firewall de la serie SRX puede funcionar como un conmutador de capa 2 con varias VLAN que participan en la misma red de capa 2.

En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados de los paquetes IP. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar los ajustes de IP de enrutadores o servidores protegidos.

En el modo transparente, todos los puertos físicos del dispositivo se asignan a interfaces de capa 2. No enrute el tráfico de capa 3 a través del dispositivo. Las zonas de capa 2 se pueden configurar para alojar interfaces de capa 2 y las políticas de seguridad se pueden definir entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes.

Tabla 1 enumera las características de seguridad compatibles y no compatibles en modo transparente para la conmutación de capa 2.

Tabla 1: Funciones de seguridad admitidas en modo transparente

Tipo de modo

Compatible

No compatible

Modo transparente

  • Puertas de enlace de la capa de aplicación (ALG)

  • Autenticación de usuario de firewall (FWAUTH)

  • Detección y prevención de intrusiones (IDP)

  • Pantalla

  • AppSecure

  • Seguridad de contenido

  • Traducción de la dirección de red (NAT)

  • VPN

Nota:

En los dispositivos SRX300, SRX320, SRX340, SRX345 y SRX550M, la propagación del servidor DHCP no se admite en el modo transparente de capa 2.

Además, los firewalls de la serie SRX no admiten las siguientes funciones de capa 2 en el modo transparente de capa 2:

  • Protocolo de árbol de expansión (STP), RSTP o MSTP: es responsabilidad del usuario asegurarse de que no existan bucles de inundación en la topología de red.

  • Espionaje del Protocolo de administración de grupos de Internet (IGMP): protocolo de señalización de host a enrutador para IPv4 que se utiliza para informar de sus pertenencias a grupos de multidifusión a enrutadores vecinos y determinar si los miembros del grupo están presentes durante la multidifusión IP.

  • VLAN de doble etiqueta o identificadores de VLAN IEEE 802.1Q encapsulados en paquetes 802.1Q (también llamados etiquetado VLAN "Q en Q"): los firewalls de la serie SRX solo admiten identificadores VLAN sin etiquetar o con etiqueta única.

  • Aprendizaje de VLAN no calificado, donde solo se usa la dirección MAC para el aprendizaje dentro de la VLAN: el aprendizaje de VLAN en firewalls de la serie SRX está calificado; es decir, se usan tanto el identificador de VLAN como la dirección MAC.

Además, en dispositivos SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550 o SRX650, algunas características no son compatibles. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación). Las siguientes características no son compatibles con el modo transparente de capa 2 en los dispositivos mencionados:

  • G-ARP en la interfaz de capa 2

  • Monitoreo de direcciones IP en cualquier interfaz

  • Tráfico de tránsito a través del IRB

  • Interfaz IRB en una instancia de enrutamiento

  • Manejo del tráfico de capa 3 en la interfaz IRB

    Nota:

    La interfaz IRB es una pseudointerfaz y no pertenece al grupo de redundancia y interfaz reth.

Modo transparente de capa 2 en el concentrador de puerto del módulo de línea SRX5000

El concentrador de puerto de módulo de línea SRX5000 (SRX5K-MPC) admite el modo transparente de capa 2 y procesa el tráfico cuando el firewall de la serie SRX está configurado en modo transparente de capa 2.

Cuando el SRX5K-MPC funciona en modo de capa 2, puede configurar todas las interfaces del SRX5K-MPC como puertos de conmutación de capa 2 para admitir el tráfico de capa 2.

La unidad de procesamiento de seguridad (SPU) admite todos los servicios de seguridad para las funciones de conmutación de capa 2, y la MPC entrega los paquetes de entrada a la SPU y reenvía los paquetes de salida encapsulados por la SPU a las interfaces salientes.

Cuando el firewall de la serie SRX está configurado en modo transparente de capa 2, puede permitir que las interfaces de la MPC funcionen en modo de capa 2 definiendo una o varias unidades lógicas en una interfaz física con el tipo de dirección de familia como Ethernet switching. Más tarde, puede continuar con la configuración de las zonas de seguridad de capa 2 y la configuración de las políticas de seguridad en modo transparente. Una vez hecho esto, se configuran las topologías del próximo salto para procesar los paquetes de entrada y salida.

Descripción de los flujos de IPv6 en modo transparente en dispositivos de seguridad

En el modo transparente, el firewall de la serie SRX filtra los paquetes que atraviesan el dispositivo sin modificar la información de origen o destino en los encabezados MAC del paquete. El modo transparente es útil para proteger servidores que reciben principalmente tráfico de fuentes que no son de confianza, ya que no es necesario volver a configurar los ajustes de IP de enrutadores o servidores protegidos.

Un dispositivo funciona en modo transparente cuando todas las interfaces físicas del dispositivo están configuradas como interfaces de capa 2. Una interfaz física es una interfaz de capa 2 si su interfaz lógica está configurada con la ethernet-switching opción en el nivel de jerarquía [edit interfaces interface-name unit unit-number family]. No hay ningún comando para definir o habilitar el modo transparente en el dispositivo. El dispositivo funciona en modo transparente cuando hay interfaces definidas como interfaces de capa 2. El dispositivo funciona en modo de ruta (el modo predeterminado) si todas las interfaces físicas están configuradas como interfaces de capa 3.

De forma predeterminada, los flujos IPv6 se eliminan en los dispositivos de seguridad. Para habilitar el procesamiento por características de seguridad como zonas, pantallas y directivas de firewall, debe habilitar el reenvío basado en flujos para el tráfico IPv6 con la mode flow-based opción de configuración en el nivel de jerarquía [edit security forwarding-options family inet6]. Debe reiniciar el dispositivo cuando cambie el modo.

En el modo transparente, puede configurar zonas de capa 2 para alojar interfaces de capa 2 y definir políticas de seguridad entre zonas de capa 2. Cuando los paquetes viajan entre zonas de capa 2, se pueden aplicar políticas de seguridad en estos paquetes. Las siguientes características de seguridad son compatibles con el tráfico IPv6 en modo transparente:

Las siguientes características de seguridad no son compatibles con los flujos IPv6 en modo transparente:

  • Sistemas lógicos

  • IPv6 GTPv2

  • Interfaz J-Web

  • TDR

  • VPN IPSec

  • Con la excepción de las ALG de DNS, FTP y TFTP, no se admiten todas las demás ALG.

La configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv6 es lo mismo que la configuración de VLAN e interfaces lógicas de capa 2 para flujos IPv4. Opcionalmente, puede configurar una interfaz de enrutamiento y puente integrados (IRB) para administrar el tráfico en una VLAN. La interfaz IRB es la única interfaz de capa 3 permitida en modo transparente. La interfaz IRB en el firewall de la serie SRX no admite el enrutamiento ni el reenvío de tráfico. La interfaz IRB se puede configurar con direcciones IPv4 e IPv6. Puede asignar una dirección IPv6 para la interfaz IRB con la address instrucción configuration en el nivel de jerarquía [edit interfaces irb unit number family inet6]. Puede asignar una dirección IPv4 para la interfaz IRB con la address instrucción configuration en el nivel de jerarquía [edit interfaces irb unit number family inet].

Las funciones de conmutación Ethernet de los firewalls de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, no todas las funciones de red de capa 2 compatibles con los enrutadores de la serie MX son compatibles con los firewalls de la serie SRX. Consulte Descripción general de la conmutación Ethernet y del modo transparente de capa 2.

El firewall de la serie SRX mantiene tablas de reenvío que contienen direcciones MAC e interfaces asociadas para cada VLAN de capa 2. El procesamiento de flujo IPv6 es similar al de los flujos IPv4. Consulte Descripción general del aprendizaje y reenvío de capas 2 para VLAN.

Descripción de los clústeres de chasis de modo transparente de capa 2 en dispositivos de seguridad

Un par de firewalls de la serie SRX en modo transparente de capa 2 se pueden conectar en un clúster de chasis para proporcionar redundancia de nodo de red. Cuando se configura en un clúster de chasis, un nodo actúa como dispositivo principal y el otro como dispositivo secundario, lo que garantiza la conmutación por error con estado de los procesos y servicios en caso de fallo del sistema o del hardware. Si se produce un error en el dispositivo primario, el secundario se encarga del procesamiento del tráfico.

Nota:

Si se produce un error en el dispositivo principal en un clúster de chasis de modo transparente de capa 2, los puertos físicos del dispositivo con errores se vuelven inactivos (dejan de funcionar) durante unos segundos antes de volver a activarse (volver a subir).

Para formar un clúster de chasis, un par de firewalls compatibles de la serie SRX se combinan para actuar como un único sistema que aplica la misma seguridad general.

Los dispositivos en modo transparente de capa 2 se pueden implementar en configuraciones de clúster de chasis activo/de copia de seguridad y activo/activo.

Las siguientes características del clúster de chasis no son compatibles con dispositivos en modo transparente de capa 2:

  • ARP gratuito: la primaria recién elegida en un grupo de redundancia no puede enviar solicitudes ARP gratuitas para notificar a los dispositivos de red un cambio en el rol principal en los vínculos redundantes de la interfaz Ethernet.

  • Supervisión de direcciones IP: no se puede detectar un fallo de un dispositivo ascendente.

Un grupo de redundancia es una construcción que incluye una colección de objetos en ambos nodos. Un grupo de redundancia es primario en un nodo y copia de seguridad en el otro. Cuando un grupo de redundancia es primario en un nodo, sus objetos en ese nodo están activos. Cuando un grupo de redundancia conmuta por error, todos sus objetos conmutan por error juntos.

Puede crear uno o más grupos de redundancia numerados del 1 al 128 para una configuración de clúster de chasis activo/activo. Cada grupo de redundancia contiene una o más interfaces Ethernet redundantes. Una interfaz Ethernet redundante es una pseudointerfaz que contiene interfaces físicas de cada nodo del clúster. Las interfaces físicas de una interfaz Ethernet redundante deben ser del mismo tipo: Fast Ethernet o Gigabit Ethernet. Si un grupo de redundancia está activo en el nodo 0, los vínculos secundarios de todas las interfaces Ethernet redundantes asociadas en el nodo 0 están activos. Si el grupo de redundancia conmuta por error al nodo 1, se activarán los vínculos secundarios de todas las interfaces Ethernet redundantes del nodo 1.

Nota:

En la configuración del clúster de chasis activo/activo, el número máximo de grupos de redundancia es igual al número de interfaces Ethernet redundantes que configure. En la configuración del clúster de chasis activo/de reserva, el número máximo de grupos de redundancia admitidos es dos.

La configuración de interfaces Ethernet redundantes en un dispositivo en modo transparente de capa 2 es similar a la configuración de interfaces Ethernet redundantes en un dispositivo en modo de ruta de capa 3, con la siguiente diferencia: la interfaz Ethernet redundante en un dispositivo en modo transparente de capa 2 se configura como una interfaz lógica de capa 2.

La interfaz Ethernet redundante puede configurarse como una interfaz de acceso (con un único ID de VLAN asignado a los paquetes sin etiquetar recibidos en la interfaz) o como una interfaz troncal (con una lista de ID de VLAN aceptados en la interfaz y, opcionalmente, un id-VLAN nativo para los paquetes sin etiquetar recibidos en la interfaz). Las interfaces físicas (una de cada nodo del clúster de chasis) están enlazadas como interfaces secundarias a la interfaz Ethernet redundante principal.

En el modo transparente de capa 2, el aprendizaje de MAC se basa en la interfaz Ethernet redundante. La tabla MAC se sincroniza entre interfaces Ethernet redundantes y unidades de procesamiento de servicios (SPU) entre el par de dispositivos de clúster de chasis.

La interfaz IRB solo se utiliza para administrar el tráfico y no se puede asignar a ninguna interfaz Ethernet redundante ni a ningún grupo de redundancia.

Todas las opciones de pantalla de Junos OS disponibles para un único dispositivo no agrupado están disponibles para dispositivos en clústeres de chasis en modo transparente de capa 2.

Nota:

Los protocolos de árbol de expansión (STP) no son compatibles con el modo transparente de capa 2. Debe asegurarse de que no haya conexiones de bucle en la topología de implementación.

Configuración de la administración fuera de banda en firewalls de la serie SRX

Puede configurar la fxp0 interfaz de administración fuera de banda en el firewall de la serie SRX como una interfaz de capa 3, incluso si las interfaces de capa 2 están definidas en el dispositivo. Con la excepción de la fxp0 interfaz, puede definir interfaces de capa 2 y capa 3 en los puertos de red del dispositivo.

Nota:

No hay una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX550M . (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Conmutación Ethernet

La conmutación Ethernet reenvía las tramas Ethernet dentro o a través del segmento LAN (o VLAN) utilizando la información de la dirección MAC de Ethernet. La conmutación Ethernet en el dispositivo SRX1500 se realiza en el hardware mediante ASIC.

A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet. Después de cambiar el modo, debe reiniciar el dispositivo para que la configuración surta efecto. Tabla 2 describe el modo global predeterminado de capa 2 en Firewalls de la serie SRX.

Tabla 2: Modo global predeterminado de capa 2 en dispositivos de la serie SRX

Versión de Junos OS

Plataformas

Modo global predeterminado de capa 2

Detalles

Antes de Junos OS versión 15.1X49-D50

y

Junos OS versión 17.3R1 en adelante

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Ninguna

Junos OS versión 15.1X49-D50 a Junos OS versión 15.1X49-D90

SRX300, SRX320, SRX340 y SRX345

Modo de conmutación

Cuando se elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo está en modo de puente transparente.

Junos OS versión 15.1X49-D100 en adelante

SRX300, SRX320, SRX340, SRX345, SRX550 y SRX550M

Modo de conmutación

Cuando se elimina la configuración del modo global de capa 2 en un dispositivo, el dispositivo se encuentra en modo de conmutación. Configure el set protocols l2-learning global-mode transparent-bridge comando bajo el nivel de [edit] jerarquía para cambiar al modo de puente transparente. Reinicie el dispositivo para que la configuración surta efecto.

Junos OS versión 15.1X49-D50 en adelante

SRX1500

Modo de puente transparente

Ninguna

El protocolo de capa 2 admitido en el modo de conmutación es el Protocolo de control de agregación de vínculos (LACP).

Puede configurar el modo transparente de capa 2 en una interfaz Ethernet redundante. Utilice los siguientes comandos para definir una interfaz Ethernet redundante:

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

Excepciones de conmutación de capa 2 en dispositivos de la serie SRX

Las funciones de conmutación de los firewalls de la serie SRX son similares a las funciones de conmutación de los enrutadores de la serie MX de Juniper Networks. Sin embargo, las siguientes funciones de red de capa 2 en los enrutadores de la serie MX no son compatibles con los firewalls de la serie SRX:

  • Protocolos de control de capa 2: estos protocolos se utilizan en enrutadores de la serie MX para el protocolo de árbol de expansión rápida (RSTP) o el protocolo de árbol de expansión múltiple (MSTP) en interfaces perimetrales de clientes de una instancia de enrutamiento VPLS.

  • Instancia de enrutamiento de conmutación virtual: la instancia de enrutamiento de conmutación virtual se utiliza en los enrutadores de la serie MX para agrupar una o más VLAN.

  • Instancia de enrutamiento de servicios de LAN privada virtual (VPLS): la instancia de enrutamiento VPLS se utiliza en enrutadores de la serie MX para implementaciones LAN punto a multipunto entre un conjunto de sitios en una VPN.

Descripción de la unidifusión

La unidifusión es el acto de enviar datos de un nodo de la red a otro. Por el contrario, las transmisiones de multidifusión envían tráfico de un nodo de datos a otros nodos de datos.

El tráfico de unidifusión desconocido consiste en tramas de unidifusión con direcciones MAC de destino desconocido. De forma predeterminada, el conmutador inunda estas tramas de unidifusión que viajan en una VLAN a todas las interfaces que son miembros de la VLAN. El reenvío de este tipo de tráfico a las interfaces del conmutador puede desencadenar un problema de seguridad. La LAN se inunda repentinamente de paquetes, creando tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida completa del servicio de red. Esto se conoce como una tormenta de tráfico.

Para evitar una tormenta, puede deshabilitar la inundación de paquetes de unidifusión desconocidos en todas las interfaces configurando una VLAN o todas las VLAN para reenviar cualquier tráfico de unidifusión desconocido a una interfaz troncal específica. (Esto canaliza el tráfico de unidifusión desconocido a una sola interfaz).

Descripción de la difusión de capa 2 en conmutadores

En una red de capa 2, la difusión se refiere al envío de tráfico a todos los nodos de una red.

El tráfico de difusión de capa 2 permanece dentro de un límite de red de área local (LAN); conocido como el dominio de difusión. El tráfico de difusión de capa 2 se envía al dominio de difusión mediante una dirección MAC de FF:FF:FF:FF:FF:FF. Todos los dispositivos del dominio de difusión reconocen esta dirección MAC y pasan el tráfico de difusión a otros dispositivos del dominio de difusión, si procede. La difusión se puede comparar con la unidifusión (envío de tráfico a un solo nodo) o la multidifusión (entrega de tráfico a un grupo de nodos simultáneamente).

Sin embargo, el tráfico de difusión de capa 3 se envía a todos los dispositivos de una red mediante una dirección de red de difusión. Por ejemplo, si la dirección de red es 10.0.0.0, la dirección de red de difusión es 10.255.255.255. En este caso, solo los dispositivos que pertenecen a la red 10.0.0.0 reciben el tráfico de difusión de capa 3. Los dispositivos que no pertenecen a esta red dejan caer el tráfico.

La radiodifusión se utiliza en las siguientes situaciones:

  • El Protocolo de resolución de direcciones (ARP) utiliza la difusión para asignar direcciones MAC a direcciones IP. ARP enlaza dinámicamente la dirección IP (la dirección lógica) a la dirección MAC correcta. Antes de que se puedan enviar paquetes de unidifusión IP, ARP descubre la dirección MAC utilizada por la interfaz Ethernet donde está configurada la dirección IP.

  • El Protocolo de configuración dinámica de host (DHCP) utiliza la difusión para asignar dinámicamente direcciones IP a hosts de un segmento o subred de red.

  • Los protocolos de enrutamiento utilizan la difusión para anunciar rutas.

El tráfico de difusión excesivo a veces puede crear una tormenta de difusión. Una tormenta de difusión se produce cuando los mensajes se difunden en una red y cada mensaje solicita a un nodo receptor que responda difundiendo sus propios mensajes en la red. Esto, a su vez, provoca más respuestas que crean un efecto de bola de nieve. La LAN se inunda repentinamente de paquetes, creando tráfico innecesario que conduce a un rendimiento deficiente de la red o incluso a una pérdida completa del servicio de red.

Uso de la CLI del software mejorado de capa 2

El software mejorado de capa 2 (ELS) proporciona una CLI uniforme para configurar y monitorear funciones de capa 2 en conmutadores de la serie QFX, conmutadores de la serie EX y otros dispositivos de Juniper Networks, como los enrutadores de la serie MX. Con ELS, puede configurar las funciones de capa 2 de la misma manera en todos estos dispositivos de Juniper Networks.

En este tema se explica cómo saber si su plataforma está ejecutando ELS. También explica cómo realizar algunas tareas comunes utilizando el estilo de configuración ELS.

Descripción de qué dispositivos admiten ELS

ELS se admite automáticamente si su dispositivo ejecuta una versión de Junos OS que lo admita. No necesita realizar ninguna acción para habilitar ELS y no puede deshabilitar ELS. Consulte Explorador de características para obtener información sobre qué plataformas y versiones admiten ELS.

Descripción de cómo configurar entidades de capa 2 mediante ELS

Dado que ELS proporciona una CLI uniforme, ahora puede realizar las siguientes tareas en dispositivos compatibles de la misma manera:

Configuración de una VLAN

Puede configurar una o más VLAN para realizar puentes de capa 2. Las funciones de puente de capa 2 incluyen enrutamiento y puente integrados (IRB) para admitir puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. Los conmutadores de las series EX y QFX pueden funcionar como conmutadores de capa 2, cada uno con varios dominios de puente o difusión que participan en la misma red de capa 2. También puede configurar la compatibilidad con enrutamiento de capa 3 para una VLAN.

Para configurar una VLAN:

  1. Para crear la VLAN, establezca un nombre de VLAN único y configure el ID de VLAN:

    Si utiliza la opción de lista de ID de VLAN, puede especificar opcionalmente un rango de ID de VLAN.

  2. Asigne al menos una interfaz a la VLAN:

Configuración del identificador de VLAN nativo

Los conmutadores serie EX y QFX admiten la recepción y el reenvío de tramas Ethernet enrutadas o con puente con etiquetas VLAN 802.1Q. Normalmente, los puertos de troncalización, que conectan conmutadores entre sí, aceptan paquetes de control sin etiquetar, pero no aceptan paquetes de datos sin etiquetar. Puede habilitar un puerto de troncalización para que acepte paquetes de datos sin etiquetar configurando un ID de VLAN nativo en la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar.

Para configurar el ID de VLAN nativo:

  1. En la interfaz en la que desea que se reciban los paquetes de datos sin etiquetar, establezca el modo de interfaz en trunk, que especifica que la interfaz se encuentra en varias VLAN y puede multiplexar el tráfico entre VLAN diferentes.
  2. Configure el ID de VLAN nativo y asigne la interfaz al ID de VLAN nativo:
  3. Asigne la interfaz al ID de VLAN nativo:

Configuración de interfaces de capa 2

Para asegurarse de que su red de alto tráfico esté ajustada para un rendimiento óptimo, configure explícitamente algunas opciones en las interfaces de red del conmutador.

Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como trunk interfaz:

Para configurar una interfaz Gigabit Ethernet o una interfaz 10 Gigabit Ethernet como access interfaz:

Para asignar una interfaz a VLAN:

Configuración de interfaces de capa 3

Para configurar una interfaz de capa 3, debe asignar una dirección IP a la interfaz. Para asignar una dirección a una interfaz, especifique la dirección al configurar la familia de protocolos. Para la inet familia o inet6 , configure la dirección IP de la interfaz.

Puede configurar interfaces con una dirección IP versión 4 (IPv4) de 32 bits y, opcionalmente, con un prefijo de destino, a veces denominado máscara de subred. Una dirección IPv4 utiliza una sintaxis de dirección decimal con puntos de 4 octetos (por ejemplo, 192.168.1.1). Una dirección IPv4 con prefijo de destino utiliza una sintaxis de dirección decimal punteada de 4 octetos con un prefijo de destino agregado (por ejemplo, 192.168.1.1/16).

Para especificar una dirección IP4 para la unidad lógica:

Las direcciones IP versión 6 (IPv6) se representan en notación hexadecimal mediante una lista de valores de 16 bits separados por dos puntos. Asignar una dirección IPv6 de 128 bits a una interfaz.

Para especificar una dirección IP6 para la unidad lógica:

Configuración de una interfaz IRB

El enrutamiento y puente integrados (IRB) proporciona compatibilidad con puentes de capa 2 y enrutamiento IP de capa 3 en la misma interfaz. El IRB le permite enrutar paquetes a otra interfaz enrutada o a otra VLAN que tenga configurado un protocolo de capa 3. Las interfaces IRB permiten que el dispositivo reconozca los paquetes que se envían a direcciones locales para que estén conectados por puente (conmutados) siempre que sea posible y se enruten solo cuando sea necesario. Siempre que se puedan conmutar los paquetes en lugar de enrutarlos, se eliminan varios niveles de procesamiento. Una interfaz denominada IRB funciona como un enrutador lógico en el que puede configurar una interfaz lógica de capa 3 para VLAN. Para lograr redundancia, puede combinar una interfaz IRB con implementaciones del Protocolo de redundancia de enrutador virtual (VRRP) en entornos de puente y de servicios LAN privadas virtuales (VPLS).

Para configurar una interfaz IRB:

  1. Cree una VLAN de capa 2 asignándole un nombre y un ID de VLAN:
  2. Cree una interfaz lógica IRB:
  3. Asocie la interfaz IRB con la VLAN:

Configuración de una interfaz Ethernet agregada y configuración de LACP en esa interfaz

Use la función de agregación de vínculos para agregar uno o más vínculos para formar un vínculo virtual o un grupo de agregación de vínculos (LAG). El cliente MAC puede tratar este vínculo virtual como si fuera un único vínculo para aumentar el ancho de banda, proporcionar degradación elegante si ocurre un error y aumentar la disponibilidad.

Para configurar una interfaz Ethernet agregada:

  1. Especifique el número de interfaces de Ethernet agregadas que se van a crear:
  2. Especifique el nombre de la interfaz del grupo de agregación de vínculos:
  3. Especifique el número mínimo de vínculos para la interfaz Ethernet agregada (aex), es decir, el paquete definido, que se va a etiquetar:
  4. Especifique la velocidad de vínculo para el paquete de Ethernet agregado:
  5. Especifique los miembros que se incluirán en el paquete Ethernet agregado:
  6. Especifique una familia de interfaces para el paquete de Ethernet agregado:

Para las interfaces Ethernet agregadas en el dispositivo, puede configurar el Protocolo de control de agregación de vínculos (LACP). LACP agrupa varias interfaces físicas para formar una interfaz lógica. Puede configurar Ethernet agregada con o sin LACP habilitado.

Cuando LACP está habilitado, los lados local y remoto de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para transmitir PDU activamente, o puede configurar los vínculos para transmitirlos pasivamente, enviando PDU LACP solo cuando los reciben desde otro vínculo. Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.

Para configurar LACP:

  1. Habilite un lado del vínculo Ethernet agregado como activo:

  2. Especifique el intervalo en el que las interfaces envían paquetes LACP:

Descripción de la instrucción de configuración de ELS y los cambios de comando

ELS se introdujo en Junos OS versión 12.3R2 para conmutadores EX9200. ELS cambia la CLI para algunas de las funciones de capa 2 de los conmutadores serie EX y QFX compatibles.

En las siguientes secciones se proporciona una lista de los comandos existentes que se movieron a nuevos niveles de jerarquía o se cambiaron en los conmutadores de la serie EX como parte de este esfuerzo de mejora de la CLI. Estas secciones se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, utilice los vínculos a las instrucciones de configuración proporcionadas o consulte la documentación técnica.

Cambios en el nivel jerárquico de las opciones de conmutación Ethernet

En esta sección se describen los cambios en el nivel jerárquico ethernet-switching-options .

Nota:

El ethernet-switching-options nivel de jerarquía ha cambiado de nombre a switch-options.

Tabla 3: Cambio de nombre de la jerarquía de opciones de conmutación Ethernet

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
Tabla 4: Declaraciones de RTG

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
Tabla 5: Instrucciones eliminadas

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

Las instrucciones se han quitado de la switch-options jerarquía.

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

Las instrucciones se han quitado de la switch-options jerarquía.

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
Nota:

La port-error-disable instrucción ha sido reemplazada por una nueva instrucción.

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

Cambios en el nivel de jerarquía de creación de reflejo de puertos

Nota:

Las instrucciones se han movido del nivel jerárquico ethernet-switching-options al nivel jerárquico forwarding-options .

Tabla 6: Jerarquía de creación de reflejo de puertos

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

Cambios en el nivel de jerarquía del protocolo de control de capa 2

Las instrucciones del protocolo de control de capa 2 se han movido de la ethernet-switching-options jerarquía a la protocols jerarquía.

Tabla 7: Protocolo de control de capa 2

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Cambios en la instrucción dot1q-tunneling

La dot1q-tunneling instrucción se ha reemplazado por una nueva instrucción y se ha movido a un nivel jerárquico diferente.

Tabla 8: túnel dot1q

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

Cambios en el protocolo de aprendizaje L2

La mac-table-aging-time instrucción se ha reemplazado por una nueva instrucción y se ha movido a un nivel jerárquico diferente.

Tabla 9: Declaración mac-table-aging-time

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en el puente sin interrupciones

La nonstop-bridging instrucción se ha movido a un nivel jerárquico diferente.

Tabla 10: Declaración Nonstop Bridging

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

Cambios en la seguridad de puertos y espionaje DHCP

La seguridad de puertos y las instrucciones de espionaje DHCP se han movido a diferentes niveles de jerarquía.

Nota:

La instrucción examine-dhcp no existe en la jerarquía modificada. La supervisión de DHCP ahora se habilita automáticamente cuando se habilitan otras funciones de seguridad DHCP en una VLAN. Consulte Configuración de la seguridad de puertos (ELS) para obtener información adicional.

Tabla 11: Declaraciones de seguridad de puerto

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
Consejo:

Para la configuración MAC permitida, la instrucción set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 jerarquía original se sustituye por el comando ELS set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

Nota:

Las instrucciones de espionaje DHCP se han movido a un nivel de jerarquía diferente.

Tabla 12: Instrucciones de espionaje DHCP

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Cambios en la configuración de VLAN

Las instrucciones para configurar VLAN se han movido a un nivel de jerarquía diferente.

Nota:

A partir de Junos OS versión 14.1X53-D10 para conmutadores EX4300 y EX4600, al habilitar xSTP, puede habilitarlo en algunas o todas las interfaces incluidas en una VLAN. Por ejemplo, si configura VLAN 100 para incluir las interfaces ge-0/0/0, ge-0/0/1 y ge-0/0/2, y desea habilitar MSTP en las interfaces ge-0/0/0 y ge-0/0/2, puede especificar los set protocols mstp interface ge-0/0/0 comandos y set protocols mstp interface ge-0/0/2 . En este ejemplo, no habilitó explícitamente MSTP en la interfaz ge-0/0/1; por lo tanto, MSTP no está habilitado en esta interfaz.

Tabla 13: Jerarquía de VLAN

Jerarquía original

Jerarquía modificada

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
Nota:

La instrucción se reemplaza por una nueva instrucción y se ha movido a un nivel jerárquico diferente.

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

Estas declaraciones han sido eliminadas. Puede asignar interfaces a una VLAN mediante la [edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name] jerarquía.

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

Se han eliminado las instrucciones.

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se ha cambiado la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

Se quita la instrucción. El tráfico de entrada se rastrea automáticamente.

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

Se quita la instrucción.

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

La instrucción se ha movido a una jerarquía diferente.

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

Se ha eliminado la instrucción.

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

Se quita la instrucción.

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
Nota:

La instrucción ha sido reemplazada por una nueva instrucción.

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
Nota:

Se ha cambiado la sintaxis.

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
Tabla 14: Las instrucciones se movieron a una jerarquía diferente

Jerarquía original

Jerarquía modificada

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

Para dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

Para layer2-protocol-tunneling (reescritura de MAC habilitada en una interfaz):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

Cambios en los perfiles de control de tormentas

El control de tormentas se configura en dos pasos. El primer paso es crear un perfil de control de tormentas en el nivel de [edit forwarding-options] jerarquía y el segundo paso es enlazar el perfil a una interfaz lógica en el nivel de [edit interfaces] jerarquía. Consulte Ejemplo: Configuración del control de tormentas para evitar interrupciones de red en conmutadores de la serie EX para el procedimiento modificado.

Tabla 15: Cambios en el nivel jerárquico del perfil de control de tormentas

Jerarquía original

Jerarquía modificada

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

Cambios en la jerarquía de interfaces

Nota:

Las instrucciones se han movido a una jerarquía diferente.

Tabla 16: Cambios en la jerarquía de interfaces

Jerarquía original

Jerarquía modificada

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
Nota:

La instrucción ha sido reemplazada por una nueva instrucción.

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
Nota:

La instrucción ha sido reemplazada por una nueva instrucción.

interfaces irb

Cambios en IGMP Snooping

Tabla 17: Jerarquía de IGMP Snooping

Jerarquía original

Jerarquía modificada

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

Declaración de configuración de CLI de capa 2 mejorada y cambios de comando para dispositivos de seguridad

A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, algunas instrucciones de configuración de CLI de capa 2 se mejoran y algunos comandos se cambian. Tabla 18 y Tabla 19 proporcionar listas de comandos existentes que se han movido a nuevas jerarquías o cambiado en los firewalls de la serie SRX como parte de este esfuerzo de mejora de la CLI. Las tablas se proporcionan únicamente como referencia de alto nivel. Para obtener información detallada acerca de estos comandos, consulte Explorador de CLI.

Tabla 18: Cambios en la instrucción de configuración de capa 2 mejorada

Jerarquía original

Jerarquía modificada

Nivel jerárquico

Descripción del cambio

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[editar]

Se ha cambiado el nombre de la jerarquía.

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[editar VLAN ]vlans-name

Se ha cambiado el nombre de la instrucción.

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[editar VLAN ]vlans-name

Se ha cambiado el nombre de la instrucción.

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[editar flujo de seguridad]

Se ha cambiado el nombre de la instrucción.

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[editar interfaces interface-name ] unidad unit-number

Se ha cambiado el nombre de la jerarquía.

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[editar VLAN ]vlans-name

Se ha cambiado el nombre de la instrucción.

Tabla 19: Cambios en el comando operativo de capa 2 mejorados

Comando operativo original

Comando operativo modificado

Clear Bridge Mac-Table

Borrar tabla de conmutación Ethernet

Clear Bridge MAC-Table Persistent-Learning

Borrar la tabla de conmutación Ethernet Aprendizaje persistente

Mostrar dominio de puente

Mostrar VLAN

Mostrar Bridge Mac-Table

Mostrar tabla de conmutación Ethernet

Mostrar interfaz de aprendizaje L2

Mostrar interfaz de conmutación Ethernet

Nota:

No existe una interfaz de administración fuera de banda fxp0 en los dispositivos SRX300, SRX320 y SRX500HM. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).

Modo de próxima generación de capa 2 para la serie ACX

El modo de próxima generación de capa 2, también llamado software mejorado de capa 2 (ELS), es compatible con enrutadores ACX5048, ACX5096 y ACX5448 para configurar funciones de capa 2. Las configuraciones y comandos show de la CLI de capa 2 para los enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509 difieren de los de otros enrutadores de la serie ACX (enrutadores de la serie ACX1000, ACX1100, ACX2000, ACX2100, ACX2200 y ACX4000) y de la serie MX.

Tabla 20 muestra las diferencias en la jerarquía de CLI para configurar funciones de capa 2 en el modo de próxima generación de capa 2.

Tabla 20: Diferencias en la jerarquía de CLI para las funciones de capa 2 en el modo de próxima generación de capa 2

Característica

Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX

Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509

Dominio de puente

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

Familia bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

Opciones de capa 2

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

Opciones de Ethernet

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Enrutamiento y puente integrados (IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

Control de tormentas

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Monitoreo del protocolo de administración de grupos de Internet (IGMP)

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

Filtro de firewall de familia bridge

[edit firewall family bridge]

[edit firewall family ethernet-switching]

Tabla 21 muestra las diferencias de comandos para show las funciones de capa 2 en el modo de próxima generación de capa 2.

Tabla 21: Diferencias en los comandos show para entidades de capa 2 en el modo de próxima generación de capa 2

Característica

Enrutadores de las series ACX1000, ACX1100, ACX2000, ACX2100, ACX2200, ACX4000 y MX

Enrutadores ACX5048, ACX5096, ACX5448, ACX710, ACX7100, ACX7024 y ACX7509

VLAN

show bridge-domain

show vlans

Tabla MAC

show bridge mac-table

show ethernet-switching table

Opciones de tabla MAC

show bridge mac-table(Dirección MAC, nombre de dominio del puente, interfaz, ID de VLAN e instancia)

show ethernet-switching table

Lista de puertos de conmutador con asignaciones de VLAN

show l2-learning interface

show ethernet-switching interfaces

Estado del kernel de la base de datos flush

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
15.1X49-D40
A partir de Junos OS versión 15.1X49-D40, utilice el set protocols l2-learning global-mode(transparent-bridge | switching) comando para cambiar entre el modo de puente transparente de capa 2 y el modo de conmutación Ethernet.
15.1X49-D10
A partir de Junos OS versión 15.1X49-D10 y Junos OS versión 17.3R1, algunas instrucciones de configuración de CLI de capa 2 se mejoran y algunos comandos se cambian.