【ex/qfx】junos ハンズオントレーニング資料 ex/qfx シリーズ サービス...
TRANSCRIPT
JUNOS Hands On Training“EX/QFX” Course
Juniper Network, K.K.04/2017 rev.1.21
はじめに
• 本資料にあるロードマップの内容は、資料作成時点におけるジュニパーネットワークスの予定を示したものであり、事前の通告無しに内容が変更されることがあります。
• またロードマップに描かれている機能や構成は、購入時の条件になりませんので、ご注意ください。
Legal Disclaimer: This statement of product direction (formerly called“roadmap”) sets forth Juniper Networks' current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement.
JUNOS Basic
Juniper Network, K.K.
JUNOS Hands-on Training
Training Outline ”JUNOS Basic”
トレーニング内容(前半) 記載ページ
ジュニパーネットワークス会社紹介 P.6
JUNOSとは P.13
運用面からみたJUNOSのアドバンテージ P.25
トレーニング・デバイスへのアクセス方法 P.35
CLIモードと各モード間の移動 P.39
JUNOS CLI操作 ~Operationalモード~ P.46
JUNOS CLI操作 ~Configurationモード~ P.65
JUNOSシステム設定 P.82
JUNOSインタフェース設定 P.90
JUNOS経路設定 P.98
Firewall Filterの設定 P.102
Training Outline Ethernet Switching "EX/QFX" course
トレーニング内容(後半) 記載ページ
ジュニパーのイーサネット・スイッチポートフォリオ P.111
LAB.1 JUNOSの基本的な操作・設定 P.121
LAB.2 Interfaceの設定 P.135
LAB.3 Routingの設定 P.148
LAB.4 Firewall Filterの設定 P.155
Virtual Chassisとは P.161
Virtual Chassis Deep Dive P.176
LAB.5 Virtual Chassisの設定 P.195
Wrap up P.209
TIPs to be JUNOS Experts P.211
Appendix A: Virtual Chassis Fabric P.242
Appendix B: Multi-Chassis LAG P.253
Appendix C: Zero Touch Provisioning P.271
ジュニパーネットワークス会社紹介
ジュニパーネットワークス 会社概要
設立 :1996年
本社所在地 :カリフォルニア州サニーベール
Juniper Networks (NYSE: JNPR)
CEO :Rami Rahim
事業概要 :IP通信機器(ルータ・スイッチ)及びセキュリティー製品(ファイアウォール・IPS)の製造販売
従業員 :約9,000名
拠点 :46カ国 100拠点以上
年間売上規模 :約5600億円
Vision: ネットワークイノベーションにおけるリーダー
ジュニパーネットワークスの戦略
Go-To-Market: ハイパフォーマンスネットワーキングをビジネスの基盤と位置付けるお客様とパートナー様に価値を提供
ROUTING SECURITYSWITCHING
CENTRALIZED INTELLIGENCE AND
CONTROL
SILICON SYSTEMS SOFTWARE
パフォーマンスと自動化におけるバリュー
スケーラブル
信頼性
セキュリティ
高コスト効率
俊敏性
高効率
Grow Revenue Faster than the Market
ジュニパーネットワークスの戦略
PERFORMANCE
AU
TO
MATIO
N
SWITCHINGROUTING SECURITY
SWITCHING SECURITY
ISG Series
ISG2000
ISG1000
SSG Series
SSG550M
SSG520M
SSG350M
SSG320M
SSG140
QFX Series
QFX10000
QFX5200
QFX5110
QFX5100
QFX3600
QFX3500
QFabric(QFX3000-G/M)
EX Series
EX9200
EX4600
EX4550
EX4300
EX4200
EX3400
EX3300
EX2300
EX2200
EX2300-C
EX2200-C
SRX Series
SRX5800
SRX5600
SRX5400
SRX4200
SRX4100
SRX3600
SRX3400
SRX1400
SRX1500
SRX550
SRX345
SRX340
SRX320
SRX300
vSRX
ROUTING
PTX Series
PTX5000
PTX3000
PTX1000
ACX SeriesACX5000
ACX4000
ACX2100
ACX2000
ACX1100
ACX1000
ACX500
MX Series
MX2020
MX2010
MX960
MX480
MX240
MX104
MX80
MX40
MX10
MX5
vMX
NetScreen Series
NetScreen-5200
NetScreen-5400
プロダクト・ポートフォリオ(カテゴリ別)
Network Director
Security Director
Datacenter Fabric Switch
QFX seriesDatacenter Service Gateway
SRX seriesUniversal Edge Router
MX series
JUNOS: THE POWER OF ONEIntegrated Architecture
Campus Ethernet Switch
EX seriesBranch Service Gateway
SRX series
JUNOS: THE POWER OF ONEIntegrated Architecture
JUNOSとは
multiple operating systems vs. ONE approach
プラットフォーム毎に異なるOSと機能セットセキュリティもネットワークもカバーする
業界唯一のシングル・ネットワークOS
THE POWER OF ONE
LEARN ONCE, INTEGRATE ONCE, QUALIFY ONCE
プラットフォーム共通機能 Routing Layer 2 Switching Class of Service IPv4 and IPv6 Etc…
ベース・コンポーネント Kernel and µKernel Chassis Management (chassisd) IP Services (Telnet, SSH, NTP) Network Management
– (AAA, CLI/mgd, XML/DMI, syslogd)
BGP/MPLS Control Plane
End-to-end Security
In-network Automation
SDK and Licensing of Junos
Cross-Portfolio Commonality
プラットフォーム専用機能 Advanced Security(SRX) Virtual Chassis Fabric(QFX) MPLS/EVPN(MX) ISSU(MX&EX9k) Etc…
etc,etc…
コントロールプレーンとフォワーディングプレーンの分離
Data
Pla
ne
Scale and Performance
各Planeにおけるパフォーマンスを担保
より高いパフォーマンスをそれぞれの領域で独立して開発することが可能に
Resilient
独立したオペレーション
Routing Engine (RE)
Packet Forwarding Engine(PFE)
冗長化に対するさまざまなオプションをそれぞれに提供
Contr
ol Pla
ne
Routing Engine
Packet Forwarding
Engine
EVOLUTION OF ONE ARCHITECTURE
モジュラー型
拡張性とパフォーマンスを担保するコンポーネント
冗長性、安定性、サービス拡張を効率的に提供するための独立したオペレーション
Scalable Up: multi-core & 64-bit
Down: モジュラーごとのパッケージング
Open Hardware Abstraction Layer
Automation APIs & Junos SDK
KernelContr
ol Pla
ne
PFE Microkernel
Hardware Abstraction Layer
Data
Pla
ne
NETCONF/XML
DevelopmentAPI’S
Yang & DMI SDK
Routing
Security
Sw
itchin
g
…
Inte
rface
JUNOSのアプローチ・運用者/設計者にとって
ネットワーク停止の原因に対する調査
JUNOSのCLIは、業界標準型CLIと根本的に異なるアプローチを採用
業界標準型CLI JUNOS CLI
コマンドは1行毎に実行され、変更は即時反映される
コマンドは編集用ファイルのみ変更し、変更は意図したタイミングで反映させる
ミスや間違いも即時反映致命的な影響となることも…
ミスや間違いがあっても確認・修正してから適用
全体の70%は人為的なミスが原因でネットワークに悪影響
計画停止
障害やバグによる予期せぬ停止
人為的な要因
作業者の努力にたよるのではなく
ソフトウェアの仕組みでミスをなくすサポート
CLASSIC
一般的なネットワークOSの場合、管理者がコンソールなどで設定変更を行う際、投入した設定が即座に実稼働のネットワーク設定へと反映されてしまう
このことにより、– ヒューマンエラーが発生する余地がある
– 設定の復旧が困難
– 意図しない設定を行ってしまうと、機器への通信自体が不可能になってしまうケースがある
などの課題が存在する
Running ConfigRunning Config
これまでの一般的なNW-OSの不便さ
MODERN
• JUNOSの場合、管理者が設定変更を行うのは、あくまで設定ファイルこれを実ネットワークの設定へと投入するためにはJUNOSによるシステムチェックを行った後に、”commit“というコマンドを投入することにより反映させる
• この仕組みにより、• JUNOSのシステムチェックによるヒューマンエラーの予防
• 設定ファイルは過去50世代まで自動保存されるため、一瞬で過去の状態へと戻すことができる
• 作成した設定ファイルを、“ためしに”投入してみることも可能
• などのメリットを享受することができる。
JUNOSの場合
Active ConfigCandidate Config
check !
commit
有効なJUNOSツール
JUNOSのアプローチ :Human factors への対応
• “commit”• 設定変更を有効にするコマンド
• 有効時にconfigチェックをおこない,誤り(矛盾)がなければ投入した設定が有効となる
• “rollback”• 設定の履歴管理,設定・OSの切り戻しを容易に
• 既存configを含み最大50世代までの管理が可能
• “Load”コマンドにより外部から設定ファイルを更新することも可能
• “JUNOScript” & “Event Policy”• スクリプティングによる自動化ツール
• イベントをトリガーとした自動化機能
• Configミスによるダウンタイムの回避
• Config変更/ 切り戻し作業の時間短縮
Benefits
commitconfirmed
1 2 3
candidateconfiguration
load activeconfiguration
rollb
ack
commitvalidations
commit
commitscripts
validatedconfiguration
1
49
JUNOS: THE POWER OF ONE
EX4300 Series
EX3400 Series
EX2300 Series
EX4600
MX Series
PTX Series
SRX3000 Series
SRX5000 Series
SRX320
SRX550
SRX300
SRX340
SRX1400
QFX5100 Series
QFX10000 Series
One OS
branch core
One Release Track
Frequent Releases
14.1 14.2 15.1
One Architecture
–A
PI–Module
x
vSRX
運用面からみたJUNOSのアドバンテージ
導入,運用,トラブルシュートに有効なJUNOS UTILITY群
JUNOSは導入、運用、トラブルシュートに有効な様々なツールを提供
• Commit• 設定変更を有効にするコマンド
• check, confirmed, compareなど様々なOptionが使用可能
• Rollback• 設定の履歴管理,切り戻しを容易にする機能
• 自動化Tool :JUNOScript / Event Policy• 運用を自動化するユーティリティ
• Etc…
”Commit & Rollback”Configurationモードで行った設定変更は、Candidate Configurationとして保持され、
”Commit“するまで設定はActive Configurationとして反映されません。
万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。
commit
rollback n
Active
configuration
0 1 2 ...
稼動中のコンフィグファイル
Candidate
configuration
編集中のコンフィグファイル
”Commit & Rollback” (アニメ)
commit
rollback n
Active
configuration0
1 2 ...
稼動中のコンフィグファイル
Candidate
configuration
編集中のコンフィグファイル
Active Configuration
0
Candidate Configuration
Candidate Configuration
set xxxxxxxxxx
set xxxxxxxxxx
set xxxxxxxxxx
delete xxxxxxxxxx
delete xxxxxxxxxx
commit
1
commit
rollback n
Candidate Configuration
set xxxxxxxxxx
set xxxxxxxxxx
set xxxxxxxxxx
Candidate Configuration
delete xxxxxxxxxx
delete xxxxxxxxxx
set xxxxxxxxxx
set xxxxxxxxxx
set xxxxxxxxxx
Candidate Configuration
set xxxxxxxxxx
set xxxxxxxxxx
set xxxxxxxxxx
delete xxxxxxxxxx
delete xxxxxxxxxx
Configurationモードで行った設定変更は、Candidate Configurationとして保持され、
”Commit“するまで設定はActive Configurationとして反映されません。
万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。
Candidate Configを編集
Candidate ConfigをActive Configに反映
commit時に自動的に過去のconfigを保存・世代管理
編集したあとに気が変わったら…
いつでも編集を破棄してやり直しが可能
commitしたあとで切り戻しが必要になった場合には、
過去のconfigを呼び出しコマンド2つで切り戻しが完了!
呼び出したconfigを反映
”Commit & Rollback”Configurationモードで行った設定変更は、Candidate Configurationとして保持され、
”Commit“するまで設定はActive Configurationとして反映されません。
万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。
commit
rollback n
Active
configuration
0 1 2 ...
稼動中のコンフィグファイル
Candidate
configuration
編集中のコンフィグファイル
JUNOS:commit at time オプション• 設定反映の時間指定(メンテナンスタイムにおける設定反映)
• commit at xx:xx:xx (time) コマンドでcommitすると、指定した時間に設定ファイルをActivateすることが可能となります
[edit]
mike@jnpr1# commit at 02:00:00
commit check succeeds
commit will be executed at 2016-02-02 02:00:00 UTC
Exiting configuration mode
mike@jnpr1>
xxxxx
xxxxx
xxxxx
...
メンテナンスタイムにCommitが自動的に実施されるため、管理者が該当の時間に操作する必要はなし
JUNOS:commit confirmed オプション• 設定の自動復旧機能(ヒューマンエラーによるトラブル防止のため)
• commit confirmed コマンドでcommitすると、再度commitしない限りdefault10分で元のconfigにrollbackします
– 指定した時間あるいはdefaultの10分以内に2度目のcommitを入れることで、configは完全に格納されます
[edit]
root@lab# commit confirmed 5
commit confirmed will be automatically rolled back in 5 minutes unless
confirmed
commit complete
RemoteWAN
誤ったアクセスコントロール設定
xxxxx
xxxxx
xxxxx
...
[edit]
root@lab# commit confirmed 5
commit confirmed will be automatically rolled back in 5 minutes unless
confirmed
commit complete
設定間違いのままcommitしてしまいSSHなどが繋がらなくなってしまった後も、一定時間のあと1つ前のconfigに自動復旧するため、リモートデバイスのポリシー変更時などに便利
JUNOScriptの概要
• JUNOScript とはJuniperのネットワーク装置上で動作させることができるスクリプティング機能です。JUNOS自体に手を加える必要がないため、 JUNOSの安定性を損なうことなく、ユーザ個別の自動化に対する要望に対し柔軟かつ速やかに対応することができます。
• 大別すると、運用者が起動するスクリプトである“Commit Script”、“Op Script”とシステムが起動するスクリプトである“Event Policy”、“Event Script”が存在します。
システムが起動するスクリプト(ルーティングなどのイベント)
運用者が起動するスクリプト(CLIやProvisioning System)
Commit ScriptCommit時に起動するスクリプト
Event Policyシステムのイベントにより起動されるポリシー
Event ScriptEvent Policyにより起動されるスクリプト
Op Script運用者が起動するスクリプト
XSLT / SLAXベースのスクリプト
JUNOS:Event Policy/Script
• ネットワーク機器上のイベントやタイマーをトリガーとして、コマンドやスクリプトを実行することで、運用の自動化が可能となります。
• イベントをトリガーとしたアクションを実行(Self-monitor)• ルータ上の特定のイベントをトリガーとして、コマンドやスクリプトを実行
• タイマーをトリガーとしたアクションの実行• インターバル設定や日時指定に応じて、コマンドやスクリプトを実行
Routing(rpd)
Chassis(chassisd)
Management(mgd)
イベント監視プロセス
eventd
ifthenrules
ルータの各コンポーネントのイベントを監視
ユーザが設定したアクションに応じて運用コマンド、設定変更、スクリ
プトなどを実行
イベントに応じて自動的にトラブルシュート用のLogを取得
イベントに応じて動的なアクションをデバイスに取らせる
デバイスに発生したイベントに応じて、自動的に発動されるプログラムを事前に設定しておくことが可能
event eventprogram Actions!!
JUNOS: JUNOS Automation EXAMPLE – EVENT base AUTOMATION
イベントに対する自動的なレスポンスによりダウンタイムを削減したり必要なLog取得を自動的に実行することが可能!
Event Policyで取り得るアクション
イベントを無視
ファイルをアップロード
オペレーションコマンドの実行
コンフィグレーションコマンドの実行
SNMP Trapを送出
Event Script の実行
Etc…
トレーニング・デバイスへのアクセス方法
ge-0/0/1
管理用IP(me0)
: 192.168.1.x/24
Group1
• Tokyo-1: .1
• Nagoya-1: .2
• Osaka-1: .3
• Fukuoka-1: .4
Ethernet Switching "EX/QFX" courseTopology (Lab1) – グループ1
ge-0/0/0
ge-0/0/10
ge-0/0/1ge-0/0/1
ge-0/0/1
.1 .2
.3 .4
ge-0/0/0
ge-0/0/10 ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-1
Tokyo-1 Nagoya-1
EX3400
Tokyo-1 Nagoya-1
Fukuoka-1
MGMT Switch
me0
me0
me0
me0
管理用IP(me0)
: 192.168.1.x/24
Group1
• Tokyo-1: .5
• Nagoya-1: .6
• Osaka-1: .7
• Fukuoka-1: .8
Ethernet Switching "EX/QFX" courseTopology (Lab1) – グループ2
ge-0/0/0
ge-0/0/10
ge-0/0/1ge-0/0/1
ge-0/0/1
.5 .6
.7 .8ge-0/0/1
ge-0/0/0
ge-0/0/10 ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-2
Tokyo-1 Nagoya-1
EX3400
Tokyo-2 Nagoya-2
Fukuoka-2
MGMT Switch
me0
me0
me0
me0
--- JUNOS 15.1X49-D50.3 built 2016-05-28 20:02:37 UTC
root@SRX-1% cli
root@SRX-1>
JUNOSへのログイン
初期設定状態のEXにアカウント’root’でログインします。
cliコマンドでJUNOSのOperationalモードを起動します。
– rootアカウントはserial console、またはssh接続時のみ使用可能です。
– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。
• Root Password: Juniper
– Tera TermからSSHv2接続で接続してください。
CLIモードと各モード間の移動
FreeBSD
CLI概要• Junos CLIの3つのモード遷移について
Configuration mode #
Shell mode %
Operational mode >機器のステータス確認や基本操作
・show コマンドでの状態表示
・ping, traceroute, telnet, clear
・debug (monitor)
・OSアップグレード
・機器のリブート、シャットダウン
・set コマンドでの日時やTerminal表示方法の設定
機器のconfiguration設定
・システム設定
・インタフェース設定
・ルーティング設定
・パケットフィルタリング設定
・ポリシー設定
・SNMP …などその他すべての設定
> configure
% cli exit
exit
Operationalモード
•RootユーザでLoginするとShellモード(プロンプトが“%”)に入ります• “cli”と投入することでShellモードからOperational モードへと移行します
• Rootユーザ以外でLoginすると、Operationalモード(プロンプトが>)に入ります• “start shell”と投入することでOperationalモードからShellモードへと移行します
login: root
Password:
--- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC
root@%
root@% cli
root>
login: AAA
Password:
--- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC
AAA>
AAA> start shell
%
Operationalモード
• Operationalモードではステータスの確認やシステム操作などに用いるコマンドを提供しています。
clear Clear information in the system
configure Manipulate software configuration information
file Perform file operations
help Provide help information
monitor Show real-time debugging information
mtrace Trace multicast path from source to receiver
op Invoke an operation script
ping Ping remote target
quit Exit the management session
request Make system-level requests
restart Restart software process
set Set CLI properties, date/time, craft interface message
show Show system information
ssh Start secure shell on another host
start Start shell
telnet Telnet to another host
test Perform diagnostic debugging
traceroute Trace route to remote host
Operationalモード
• コマンドは階層構造になっています
• 例: 経路情報(簡易版)を確認
root> show route terse
inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
A V Destination P Prf Metric 1 Metric 2 Next hop AS path
* 0.0.0.0/0 S 5 >172.27.112.1
* 172.27.112.0/22 D 0 >ge-0/0/0.0
* 172.27.113.19/32 L 0 Local
clear configure monitor set show
brief exact protocol table terse
bgp chassis interfaces isis ospf route version
大項目
小項目
確認コマンド
経路情報
簡易版
Configurationモード
• Operationalモードにてconfigureと投入することでConfigurationモードへ移行します
root@lab> configureEntering configuration mode[edit]root@lab#
root@lab> configure Entering configuration modeCurrent configuration users:
fbrooks terminal d0 on since 1999-10-14 07:11:29 UTC,idle 00:00:49 [edit protocols ospf]
The configuration has been changed but not committed[edit]root@lab#
• 他のユーザがconfigurationモードに入っていれば、以下の様に表示されます
Configurationモード:オプション
mike@jnpr1> configure private
warning: uncommitted changes will be discarded on exit
Entering configuration modeActiveConfig
Candidate 1
Candidate 2
user 1
user 2
• configure private コマンドを使用すると、ログインユーザー専用のcandidate configurationが用意される
• configure exclusive コマンドを使用すると、ログインユーザーが設定変更を行っている最中に他のログインユーザーが設定変更を行うことを禁止することが可能
mike@jnpr1> configure exclusive
warning: uncommitted changes will be discarded on exit
Entering configuration mode user 1
user 2
X
Candidate
Commit 不可
ActiveConfig
JUNOS CLI操作~Operationalモード~
show コマンド
• showコマンド: システム、ステータスに関する情報を表示します
> show arp :ARPテーブルを確認する
> show chassis environment :温度、ファンなどの環境状態を確認する
> show chassis hardware :ハードウェア情報(シリアルナンバー等)を確認する
> show chassis routing-engine :ルーティングエンジン(CPUやMemory)の状態を確認する
> show configuration :稼働中の設定を確認する
> show interfaces :Interfaceの状態を確認する
> show route :経路情報を確認する
> show system uptime :稼働時間を確認する
> show system users :ユーザのログイン状況を確認する
> show system alarms :システムアラームの有無を確認する
> show version :JUNOSソフトウェアバージョンを確認する
show コマンド: オプション
• showコマンドではterse, brief, detail, もしくはextensiveオプションを使用することで確認できる情報量を選択することができます。
• terse, briefのオプションはオプションなしの出力結果と比べ、より簡易的な情報を表示させます。
• detail, extensiveのオプションはオプションなしの際と比べ、より詳細な情報を表示させます。
show コマンド: オプション
> show interfaces ge-0/0/0 terse
Interface Admin Link Proto Local Remote
ge-0/0/0 up up
> show interfaces ge-0/0/0 terse
> show interfaces ge-0/0/0 brief
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, Loopback: Disabled, Source filtering:
Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper,
IEEE 802.3az Energy Efficient Ethernet: Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
> show interfaces ge-0/0/0 brief
show コマンド: オプション
> show interfaces ge-0/0/2 (オプションなし)
> show interfaces ge-0/0/0
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 139, SNMP ifIndex: 504
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error:
None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:33 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled
show コマンド: オプション
> show interfaces ge-0/0/0 detail> show interfaces ge-0/0/0 detail
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 139, SNMP ifIndex: 504, Generation: 142
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow
control: Enabled, Auto-negotiation: Enabled,
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:37 ago)
Statistics last cleared: Never
Traffic statistics:
Input bytes : 995586 0 bps
Output bytes : 1473366 0 bps
Input packets: 10870 0 pps
Output packets: 15732 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Egress queues: 8 supported, 4 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 9262 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
7 network-cont 0 6470 0
Queue number: Mapped forwarding classes
0 best-effort
1 assured-forwarding
5 expedited-forwarding
7 network-control
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled
show コマンド: オプション
> show interfaces ge-0/0/0 extensive> show interfaces ge-0/0/0 extensive
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 139, SNMP ifIndex: 504, Generation: 142
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-
REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled,
Auto-negotiation: Enabled,
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet:
Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:40 ago)
Statistics last cleared: Never
Traffic statistics:
Input bytes : 995586 0 bps
Output bytes : 1473366 0 bps
Input packets: 10870 0 pps
Output packets: 15732 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Input errors:
Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes:
0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0
Output errors:
Carrier transitions: 3, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO
errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0
Egress queues: 8 supported, 4 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 9262 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
7 network-cont 0 6470 0
Queue number: Mapped forwarding classes
0 best-effort
1 assured-forwarding
5 expedited-forwarding
7 network-control
Active alarms : None
Active defects : None
MAC statistics: Receive Transmit
Total octets 995586 1473366
Total packets 10870 15732
Unicast packets 8989 9262
Broadcast packets 1876 1872
Multicast packets 5 4598
CRC/Align errors 0 0
FIFO errors 0 0
MAC control frames 0 0
MAC pause frames 0 0
Oversized frames 0
Jabber frames 0
Fragment frames 0
Code violations 0
Autonegotiation information:
Negotiation status: Complete
Link partner:
Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK,
Link partner Speed: 1000 Mbps
Local resolution:
Flow control: Symmetric, Remote fault: Link OK
Packet Forwarding Engine configuration:
Destination slot: 0 (0x00)
CoS information:
Direction : Output
CoS transmit queue Bandwidth Buffer Priority
Limit
% bps % usec
0 best-effort 95 950000000 95 NA low
none
7 network-control 5 50000000 5 NA low
none
Interface transmit statistics: Disabled
コンソール画面出力に関する操作
• 画面に ---(more)--- promptが表示されているときは以下のキーで操作します
Space: 次画面に進む
b: 前画面に戻る
d: ½画面進む
Enter: 1行進む
/string: 検索
n: 再検索
q: プロンプトに戻る(出力のAbort)
h: これらキーヘルプの表示
> show configuration
## Last commit: 2016-04-12 17:41:17 JST by lab
version 12.3X48-D20.4;
groups {
Japan_ENT_POC {
system {
host-name mino_srx240;
backup-router 172.27.112.1;
time-zone Asia/Tokyo;
dump-on-panic;
root-authentication {
encrypted-password
"$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
login {
user lab {
uid 2000;
class super-user;
authentication {
---(more)---
コンソール画面出力に関する操作 | no-more
• 通常、出力はCLIのスクリーンサイズを考慮して行われます。出力内容が多い場合、CLI画面に---(more)---を表示し、出力を一時停止します。ログ取得時などは“ | no-more” オプションを使用し、全て一度に表示することが可能です
[edit]
root@lab> show configuration | no-more
## Last commit: 2016-01-25 11:25:54 JST by root
version 10.4R7.5;
groups {
Japan_team {
system {
backup-router 172.16.1.1;
time-zone Asia/Tokyo;
dump-on-panic;
root-authentication {
encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/";
## SECRET-DATA
}
login {
user lab {
uid 2000;
"$1$4TDfGIs7$.wTBpcNviWRCebbvcSLzv."; ## SECRET-DATA
:
パイプ “|” オプションの利用
• Unix同様のパイプ ”|” をサポート。configやshowコマンド等で有効利用• root@lab> show configuration | display set
• root@lab> show log messages | no-more
• root@lab> show route | find 192.168.1.0
• root@lab# show interface | save interface_config.txt
root@lab> show configuration | ?
Possible completions:
compare Compare configuration changes with prior version
count Count occurrences
display Show additional kinds of information
except Show only text that does not match a pattern
find Search for first occurrence of pattern
hold Hold text without exiting the --More-- prompt
last Display end of output only
match Show only text that matches a pattern
no-more Don't paginate output
request Make system-level requests
resolve Resolve IP addresses
save Save output text to file
trim Trim specified number of columns from start of line
• Configurationの表示方法を変更する• 階層表記に加え、行単位での表示も可能
root@EX2200C> show configuration protocols dot1x
traceoptions {
file 1x;
flag all;
}
authenticator {
authentication-profile-name dot-1x;
interface {
ge-0/0/0.0 {
supplicant single-secure;
reauthentication 3600;
}
ge-0/0/3.0 {
supplicant single-secure;
root@EX2200C> show configuration protocols dot1x |display set
set protocols dot1x traceoptions file 1x
set protocols dot1x traceoptions flag all
set protocols dot1x authenticator authentication-profile-name
dot-1x
set protocols dot1x authenticator interface ge-0/0/0.0
supplicant single-secure
set protocols dot1x authenticator interface ge-0/0/0.0
reauthentication 3600
set protocols dot1x authenticator interface ge-0/0/3.0
supplicant single-secure
set protocols dot1x authenticator interface
状況に応じ、お好みの表記方法を選択可能
パイプ “|” 使用例
パイプ “|” 使用例
• Configurationの一部を保存する
• 稼働中のconfigurationの方法Operationalモードにてshow configuration | save <出力先+ファイル名>
• 編集中のconfigurationの出力方法Configurationモードにてsave <出力先+ファイル名>
> show configuration | save ftp://[email protected]/Ex_config
Password for [email protected]:
ftp://[email protected]/mx_config 100% of 7928 B 30 MBps
Wrote 352 lines of output to 'ftp://[email protected]/Ex_config'
# save /config/EDITING-CONFIG
Wrote 232 lines of configuration to '/config/EDITING-CONFIG'
※保存先を指定しない場合、userのhome directoryに出力されます
FTPサーバへ出力
/config/へ出力
JUNOSファイルシステムの構成について
• JUNOSでは各種構成ファイルやLogファイルなどをファイルシステム上のディレクトリに管理しています
/config使用中のコンフィグレーションと過去3世代までのコンフィグレーションを格納。
/var/db/config
4世代以降のコンフィグレーションを格納。gz形式に圧縮されて保存されているがfile showコマンドで表示可能。FreeBSDではzcatコマンドで表示可能。
/var/tmpJUNOSソフトウェアアップグレード時など、image格納するディレクトリ。また、各デーモンのコアダンプファイルを格納。
/var/log各種LogやTrace option機能にて取得したデバッグ情報ファイルを格納。
/var/home
各ユーザのホームディレクトリが作成される。
各ユーザがローカルに保存した情報は全て各ユーザのホームディレクトリに格納する。
例えば、現在使用中のコンフィグをsaveコマンドにて保存した場合など
root> file list /var/home/SAMPLE/
/var/home/SAMPLE/:
TEST_CONFIG
JUNOSファイルシステムの構成について
• ディレクトリ配下のファイル内容の確認方法> file show /<directory>/<file_name>
• 各ディレクトリに格納しているファイルの確認方法
> file list / <directory>/
root> file list /var/home/
/var/home/:
SAMPLE/
/var/home配下の情報を表示
ユーザ(SAMPLE)のホームディレクトリが作成されている
/var/home/SAMPLE配下の情報を表示
ユーザ(SAMPLE)が作成したTEST_CONFIGが保存されている
root> file show /var/home/SAMPLE/TEST_CONFIG
## Last changed: 2016-03-30 17:34:10 UTC
version 12.3X48-D25.3;
system {
root-authentication {
encrypted-password "$1$73UgjTsC$EznYXp/4DfJIRTI6KnFYE1"; ## SECRET-DATA
~~~~~~~~~~~~~~~~~~~~~~~~~以下省略~~~~~~~~~~~~~~~~~~~~~~~~~~
ユーザ(SAMPLE)が作成したTEST_CONFIGを確認
JUNOS運用管理コマンド
• JUNOSでは運用管理に必要な機能をサポートしています。• Ping
• Traceroute
• telnet / ssh
• Monitor
Ping : ネットワークの疎通確認をする
>ping アドレス + オプション
例: 172.27.112.1へ512 byteのpingを3回実施
root> ping 172.27.112.1 count 3 size 512
PING 172.27.112.1 (172.27.112.1): 512 data bytes
520 bytes from 172.27.112.1: icmp_seq=0 ttl=64 time=1.037 ms
520 bytes from 172.27.112.1: icmp_seq=1 ttl=64 time=0.704 ms
520 bytes from 172.27.112.1: icmp_seq=2 ttl=64 time=0.741 ms
--- 172.27.112.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.704/0.827/1.037/0.149 ms
JUNOS運用管理コマンド
Telnet / SSH : ネットワークに接続された機器を操作する
>telnet アドレス + オプション
例: 172.27.112.161: port 23へtelnetを実施
> traceroute 8.8.8.8 interface ge-0/0/0
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets
1 172.27.112.2 (172.27.112.2) 4.394 ms 1.814 ms 2.209 ms
(snip)
13 google-public-dns-a.google.com (8.8.8.8) 4.276 ms 4.286 ms 4.063 ms
Traceroute : ネットワークの経路確認をする
>traceroute アドレス + オプション
例: 8.8.8.8へge-0/0/0からtrace routeを実施
> telnet 172.27.112.161 port 23
Trying 172.27.112.161...
Connected to 172.27.112.161.
Escape character is '^]'.
srx300beta (ttyp0)
login:
monitor コマンド
• monitorコマンド: 現在のI/F別トラフィック状況を表示します• > monitor interface traffic
各Interfaceのトラフィックをリアルタイム表示する
Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D
Interface Link Input packets (pps) Output packets (pps)
ge-0/0/0 Down 0 (0) 0 (0)
gr-0/0/0 Up 0 (0) 0 (0)
ip-0/0/0 Up 0 (0) 0 (0)
lsq-0/0/0 Up 0 (0) 0 (0)
lt-0/0/0 Up 0 (0) 0 (0)
mt-0/0/0 Up 0 (0) 0 (0)
sp-0/0/0 Up 0 (0) 0 (0)
ge-0/0/1 Down 0 (0) 0 (0)
(snip)
requestコマンド
• requestコマンド: システムの挙動に関するコマンドを実行します
• システムを再起動する> request system reboot
• システムをシャットダウンする> request system power-off
• 初期化する> request system zeroize
• サポートに必要な情報を取得する> request support information
• 基本となるConfigurationファイルを保存する(rescue configの保存)
> request system configuration rescue save
• OSをアップグレードする> request system software add <ファイル名>
JUNOSのソフトウエアアップグレード
• ソフトウエアアップグレード手順1. 対象のJUNOS OSをダウンロードする。
https://www.juniper.net/support/downloads/group/?f=junos
2. CLIコマンドでJUNOSソフトウェアを
FTP/TFTPサーバからデバイス(/var/tmp)に保存
> file copy ftp://ログインID@アドレス/JUNOSパッケージ名/var/tmp
3. デバイスに保存したパッケージをロード
> request system software add /var/tmp/JUNOSパッケージ名
4. 再起動する
> request system reboot
root> file copy ftp://[email protected]/jinstall-ex-
4200-11.4R1.6-domestic-signed.tgz /var/tmp
Password for [email protected]:
/var/tmp//...transferring.file.........TfBx6L/100% of
381 MB 8099 kBps 00m00s
root> request system software add /var/tmp/ jinstall-
ex-4200-11.4R1.6-domestic-signed.tgz
NOTICE: Validating configuration against jinstall-ex-
4200-11.4R1.6-domestic-signed.tgz.
(snip)
root> request system reboot
JUNOS CLI操作~Configurationモード~
CandidateConfiguration
AAABBBCCC
commit コンセプト(アニメ)
• Configurationモードに入ると編集用configが用意されます
• 設定変更はすべて編集用のconfig上にのみ投入
• commit コマンドでactive configに反映されます
Active Configのコピー
ActiveConfiguration
AAABBBCCC
DDD
commit
DDD
CandidateConfiguration
AAABBBCCC
commit コンセプト
• Configurationモードに入ると編集用configが用意されます
• 設定変更はすべて編集用のconfig上にのみ投入
• commit コマンドでactive configに反映されます
Active Configのコピー
ActiveConfiguration
AAABBBCCC
DDD
commit
DDD
rollback 2Configuration
AAABBBCCC
rollback 1Configuration
AAABBBCCC
rollback 1ConfigurationAAABBBCCCDDD
ActiveConfiguration
AAABBBCCCDDD
rollback コンセプト(アニメ)
• commit実行時に、現在稼働中のconfigが履歴として自動的に保存されます
• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード
• 再度commit コマンドを実行して、active configに反映
CandidateConfiguration
AAABBBCCCDDD
commit
rollback 1
0世代
1~49世代
rollback コンセプト
• commit実行時に、現在稼働中のconfigが履歴として自動的に保存されます
• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード
• 再度commit コマンドを実行して、active configに反映
rollback 2Configuration
AAABBBCCC
rollback 1ConfigurationAAABBBCCCDDD
ActiveConfiguration
AAABBBCCCDDD
CandidateConfiguration
AAABBBCCCDDD
commit
rollback 1
1~49世代
0世代
1世代 2世代
設定の追加(set)
• set コマンド:設定の追加変更を行います• Commitするまでは設定は反映されません。
• Commitすることで初めて動作しているデバイスに設定追加の変更が反映されます。
user@lab# set interface ge-0/0/1 disable
user@lab# commit
configuration check succeeds
commit complete
設定の変更(delete)
• delete コマンド:設定の削除変更を行います• Commitするまでは設定は反映されません。
• やはりCommitすることで動作しているデバイスに設定削除の変更が反映されます。
user@lab# delete interface ge-0/0/1 disable
user@lab# commit
configuration check succeeds
commit complete
編集中の設定確認(show | compare)
• show | compare コマンド:編集中の設定と稼動中の設定を比較します
• 過去のconfigと編集中の設定を比較することも可能
user@lab# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24
user@lab# show | compare
[edit interfaces]
+ ge-0/0/0 {
+ unit 0 {
+ family inet {
+ address 192.168.1.1/24;
+ }
+ }
+ }
ActiveConfiguration
(rollback 0)
CandidateConfiguration
# show | compare
user@lab# show | compare rollback [1-49]
Active configと比較して、ge-0/0/0にIPアドレスが追加されている
+:追加
ー:削除
設定ファイルの復旧(rollback)
• rollback コマンド:設定ファイルの復旧を行います• 変更した設定ファイルを破棄したい場合は、Rollbackコマンドを投入します。(rollbackはrollback 0の略)
• rollback n(0-49)でファイル番号を指定すると、過去の設定をCandidate Configにコピーすることが可能で、容易に過去の状態に戻すことが可能です。(過去50世代分の設定ファイルを自動保存)
user@lab# rollback
user@lab# rollback ?
Possible completions: <[Enter]> Execute this command
0 2016-07-14 08:41:21 JST by root via cli
1 2016-07-13 16:01:54 JST by root via cli
2 2016-07-13 15:59:51 JST by root via cli
3 2016-07-13 15:57:33 JST by root via cli
4 2016-07-13 15:57:20 JST by root via cli commit confirmed, rollback in 2mins
5 2016-07-12 15:21:37 JST by lab via netconf
6 2016-07-08 16:35:39 JST by lab via cli
7 2016-06-22 19:30:53 JST by lab via cli
8 2016-06-22 19:28:39 JST by lab via cli
9 2016-06-22 19:28:18 JST by lab via cli
…(snip)
commit オプション(commit confirmed / at)
• commit confirmed コマンド:一時的に設定を反映します• 変更を確定する場合は、時間内にcommitを実行します
• デフォルトでは10分(指定可能)
• 時間までにcommitされなければ、自動的にcommit前の状態に戻る
• commit at コマンド:日時を指定してcommitの実行を予約します• hh:mm:[ss] または “yyyy-mm-dd hh:mm:[ss]”
user@lab# commit confirmed 5
configuration check succeeds
commit confirmed will be automatically rolled back in 5 minutes unless confirmed
commit complete
# commit confirmed will be rolled back in 5 minutes
user@lab# commit at "2016-04-20 00:00"
configuration check succeeds
commit at will be executed at 2016-04-20 00:00:00 JST
Exiting configuration mode
※予約をキャンセルしたいときは、Operationalモードからclear system commit コマンドを実行
Configurationのロード(load)
• load コマンド:configurationファイルをロードします• loadコマンドはいくつかのオプションがあります
• load factory-default 工場出荷時のconfigをロード
• load override <filename> ロードしたconfigによる置き換え
• load merge <filename> ロードしたconfigを追加
• configファイルは外部のFTPサーバや機器内ディレクトリからロードすることも可能
user@lab# load ?
Possible completions:
factory-default Override existing configuration with factory default
merge Merge contents with existing configuration
override Override existing configuration
patch Load patch file into configuration
replace Replace configuration data
set Execute set of commands on existing configuration
update Update existing configuration
user@lab# load merge /var/tmp/saved_config.txt
user@lab# load merge ftp://user:[email protected]/saved_config.txt
user@lab# load set terminal
[Type ^D at a new line to end input]
set services security-intelligence profile feeds-cc-p1 category CC
set services security-intelligence profile feeds-cc-p1 default-rule then action permit
set services security-intelligence profile feeds-cc-p1 default-rule then log
set services security-intelligence profile Inf-hosts category Infected-Hosts
set services security-intelligence profile Inf-hosts default-rule then action permit
set services security-intelligence profile Inf-hosts default-rule then log
set services security-intelligence policy pol-cc CC feeds-cc-p1
set services security-intelligence policy pol-cc Infected-Hosts Inf-hosts
set services advanced-anti-malware policy skyatp_test match application HTTP
set services advanced-anti-malware policy skyatp_test match verdict-threshold 3
set services advanced-anti-malware policy skyatp_test then action permit
set services advanced-anti-malware policy skyatp_test then notification log
set services advanced-anti-malware policy skyatp_test inspection-profile test
set services advanced-anti-malware policy skyatp_test fallback-options action permit
set services advanced-anti-malware policy skyatp_test fallback-options notification log
set services advanced-anti-malware policy skyatp_test whitelist-notification log
set services advanced-anti-malware policy skyatp_test blacklist-notification log
load complete
Configurationのロード(load set terminal)
• load set terminal コマンド:CLIで追加のsetコンフィグを貼り付けるときに使用• setコマンドの大量コピー&ペースト時にconfigのとりこぼしが防げます
CTRL+D
貼り付けたいconfigをterminal上でペーストし、最後に改行してからCTRL+Dを押して読み込む
キャンセルしたい場合はCTRL+Cで抜ける
[edit]
user@lab# load merge terminal
[Type ^D at a new line to end input]
protocols {
ospf {
export static-route;
area 0.0.0.0 {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface ge-0/0/2.0;
interface lo0.0 {
passive;
}
}
}
}
policy-options {
policy-statement static-route {
from {
protocol static;
route-filter 10.1.1.0/24 longer;
}
then accept;
}
}
load complete
• load merge terminal コマンド:CLIで追加のconfigを貼り付けるときに使用• 大量のコピー&ペースト時にもconfigのとりこぼしが防げます、最上位の階層から追加の
configを投入する階層までのパスが全部必要です
• relative オプションを付けると今いる階層に応じてconfigの階層もショートカットされます
Configurationのロード(load merge terminal)
interfaces, protocolsやpolicy-optionsなど最上位の構文から記述していく
[edit protocols ospf]
lab# load merge terminal relative
[Type ^D at a new line to end input]
area 0.0.0.0 {
interface xe-1/0/0.0;
}
area 0.0.0.1 {
stub default-metric 10 no-summaries;
area-range 192.168.16.0/20;
interface ge-0/0/3.0;
}
area 0.0.0.2 {
nssa {
default-lsa {
default-metric 20;
metric-type 1;
type-7;
}
no-summaries;
area-range 172.16.12.0/22;
}
area-range 192.168.48.0/20;
}
load completeCTRL+D
protocols ospfの階層に移動しareaのconfigだけ追加
protocols { ospf { の記述は不要
CTRL+D
Configurationモード:コマンドサマリー
• 設定&確認コマンド• set : パラメータを設定する際に使用します
• delete : パラメータを削除する際に使用します
• show : 設定した内容を確認します
• show | compare : 編集中のconfigと稼働中のconfigを比較します
• 設定反映コマンド• commit : 編集した設定をactive configに反映させます
• rollback : 過去のconfigをロードして編集内容を元に戻します
• load : 設定したファイルをロードする際に使用します
便利なショートカットキー• カーソルの移動
Ctrl-B 1文字戻る
Ctrl-F 1文字進む
Ctrl-A 行頭に移動
Ctrl-E 行末に移動
• 文字の削除Delete/Backspace カーソル前の1文字を削除
Ctrl-D カーソル後の1文字を削除
Ctrl-K カーソルから行末までを削除
Ctrl-U 行をすべて削除
Ctrl-W 現在入力途中の単語または、カーソルより左側の1単語を削除
• その他Ctrl-P or ↑ コマンド履歴の前を表示
Ctrl-N or ↓ コマンド履歴の次を表示
? 次に入力すべきコマンドやパラメータのヒント
コマンド補完と構文エラー
• コマンド補完機能• Spaceキー/ Tabキー:固定値を補完
• Tabキーはユーザが定義したpolicy名やFilter名の補完も可能
• 構文エラーの通知• 構文に誤りがあるとsyntax errorと表示される
• ^ マークはエラーとなる項目を示す
user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input ?
Possible completions:
TEST [firewall family inet filter]
user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input T[tab]
user@lab# load replase
^
syntax error, expecting <command>.
Configurationモード: Operationalモードのコマンドを実行
• runコマンドにより、Configurationモードにおいてshowコマンド等を実行し、status等確認することができます• Operationalモードで確認可能な全てのコマンドの実行が可能• Operationalモードに戻る必要なし
root@lab# run show interfaces
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 134, SNMP ifIndex: 508
Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed:
100mbps,
BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,
Source filtering: Disabled, Flow control: Disabled, Auto-
negotiation: Enabled,
Remote fault: Online
Device flags : Present Runnin
(snip)
root@lab# show interfaces
ge-0/0/0 {
unit 0;
}
ge-0/0/1 {
unit 0 {
family ethernet-
switching {
vlan {
members
vlan-trust;
(snip)
runコマンドを使用し、interfaceの状態を確認 interfaceの設定を確認
JUNOSシステム設定
システム設定
• JUNOSデバイスのシステムに関する主な設定• ユーザ設定
• ホスト名の設定
• 時刻設定
• DNS設定
• デバイスのサービス設定
• 管理インタフェース設定
• ログの設定
• SNMP設定
システム設定
• ユーザ設定• rootユーザのパスワードを設定
• rootユーザ以外のユーザアカウントを作成• デフォルトでは3つのユーザクラスを選択可能
• read-only :view(show コマンドなど)
• operator :clear, network, reset, trace, view(デーモンの停止, ping/telnet, etc)
• super-user:all(すべて)
root# set system root-authentication plain-text-password
New password:
Retype new password:
root# set system login user TEST class super-user authentication plain-text-password
New password:
Retype new password:
システム設定
• ホスト名の設定
• 時刻設定• Time zoneを指定する
• NTPサーバを指定する
• DNS設定
root# set system host-name LAB
root# set system time-zone Asia/Tokyo
root# set system name-server 192.168.1.100
root# set system ntp server 10.10.10.100
システム設定
• デバイスのサービス設定• telnet, sshによるアクセスを有効にする
• FTP, netconfのサービスを有効にする
root# set system services ftp
root# set system services netconf ssh
root# set system services telnet
root# set system services ssh
root# set system services ssh root-login allow RootユーザとしてSSHでログインしたい場合に設定
システム設定
• 管理インタフェース設定• 例1:EXの管理インタフェース(me0)を設定
• 例2:MX, SRXの管理インタフェース(fxp0)を設定
root# set interfaces me0 unit 0 family inet address 192.168.1.1/24
root# set interfaces fxp0 unit 0 family inet address 192.168.1.1/24
me0
EX3400 rear view SRX340 front view
fxp0
※管理ポートは、MX/SRXは”fxp0”、EXは”me0”、QFXは”em0”、 EX/QFXのVCでは”vme(virtual me)”と命名されています。Branch SRXのLow End(SRX300/320)など、Out of Bandの管理ポートが存在しないモデルもあります。
システム設定
• ログの設定• syslogサーバ、ファシリティ、ログレベルを指定
• 例:すべてのレベルのログを10.10.10.1へ送信する
■Syslogレベルについて
高 emergency: ソフトウェアコンポーネントの機能停止を招く状況のメッセージalert: データベースなどのデータ破損など、直ちに修復が必要な状況のメッセージcritical: 物理的なエラーなど重大な問題がある状況のメッセージerror: 上記よりも深刻度の低いエラー状況のメッセージwarning: モニタリングの必要性がある状況のメッセージnotice: エラーではないが、特別な処理が必要となる可能性がある状況のメッセージinfo: 対象のイベントまたは非エラー状況のメッセージ
低 any: すべてのレベルのメッセージ
root# set system syslog host 10.10.10.1 any any
システム設定
• SNMP設定• SNMPコミュニティを作成する
• 例:コミュニティ名をpublicに設定、読み込みのみ許可
• SNMPトラップを設定する• 例:トラップの送信元をLoopback 0に、宛先を10.10.10.1に設定
root# set snmp community public authorization read-only
root# set snmp trap-options source-address lo0
root# set snmp trap-group <group-name> targets 10.10.10.1
JUNOSインタフェース設定
インタフェースタイプの表記
• インタフェースタイプにより以下のように表記されます
ge-0/0/0
Type: fe-x/x/x: Fast Ethernet ports
ge-x/x/x: Gigabit Ethernet ports
xe-x/x/x: 10 Gigabit Ethernet ports
et-x/x/x: 40/100 Gigabit Ethernet ports
FPC slot: Flexible PIC Concentrator (line card) →筐体ナンバー
PIC slot: Physical Interface Card →アップリンクモジュール
Port number
• その他のインタフェース
• ae0~: LAGインタフェース
• lo0: Loopbackインタフェース
• me0: EXシリーズの管理インタフェース
• fxp0: SRX, MXシリーズの管理インタフェース
PICと FPC
FPCはBOX型の筐体番号、Chassis型のラインカード番号に相当します。
PICはFPCに接続されるアップリンクモジュールを指します。
Chassis 型BOX型
FPCPIC
Port
xx-X/X/X
※BOX型におけるOn-Board Portは、xx-0/0/Xと表現されます
インタフェース設定
• インタフェースの設定は物理プロパティの設定と論理プロパティの設定に分かれます
• 物理プロパティの設定• データリンクプロトコル• リンクスピード、半/全2重通信• MTU
• 論理プロパティの設定• プロトコルファミリー
• inet (IPv4の設定)• inet6 (IPv6の設定)• mpls• ethernet-switching
interfaces {
interface-name {
physical-properties;
[…]
unit unit-number {
logical-properties;
[…]
}
}
}
インタフェース名配下に物理プロパティを設定
Unit#配下に論理プロパティを設定
物理/論理インタフェース設定例
ge-0/0/0 {
description TEST;
speed 1g;
mtu 1400;
ether-options {
no-auto-negotiation;
link-mode full-duplex;
}
unit 0 {
description TEST2;
family inet {
address 10.10.10.1/24;
}
}
unit 100 {
description TEST3;
family inet6 {
address 1::1/64;
}
}
}
物理プロパティ
論理プロパティ
Unit ナンバーとは
• ロジカルプロパティを設定する際には”unit”とよばれる単位で設定します• 一般的なネットワークOSであるサブインタフェースに相当するもの
• unit 0がメインインタフェースに相当
• 1つの物理インタフェースに複数作成することも可能
• インタフェースを動作させるために最低1つは必須
• 物理インタフェースge-0/0/0 の unit 0 は、”ge-0/0/0.0”と表記
• showコマンド等でunitナンバーを指定しない場合はunit 0として認識されます
ge-0/0/0unit 0family inet
ge-0/0/0
unit 0family ethernet-switching
Data
L3設定
L2設定
IP
Data ETHIP
ETH
ge-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
複数unitの設定例
• 1つの物理インタフェースに複数のunitを使用するケース• unitごとにvlan-idを設定して振り分け
• IPアドレスやFirewall Filterもunitごとに個別に設定可能
ge-0/0/0Packet
unit 10vlan-id 10
unit 20vlan-id 20
unit 30vlan-id 30
ge-0/0/0 {
vlan-tagging;
unit 10 {
vlan-id 10;
family inet {
address 192.168.1.1/24;
}
}
unit 20 {
vlan-id 20;
family inet {
address 172.16.1.1/24;
}
}
unit 30 {
vlan-id 30;
family inet {
address 10.1.1.1/24;
}
}
}
Vlan 10
Vlan 20
Vlan 30Packet
Packet
L3インタフェースの作り方
• EX/QFX/SRXでは、L3の設定を二通りの方法で行うことができます• インタフェースに直接L3の設定を行う
(Routed Port)• ルーター寄りの設定
• “no switchport” のようなもの
• 1つのセグメントには1つのポートのみ
• VLANを受け、複数のセグメントを収容したい場合はunitを複数作成する(次ページ)
• VLANを作成し、VLANにL3の設定を行った上で、インターフェイスとVLANを紐付ける (Switch Port)• スイッチ寄りの設定
• 1つのセグメントに複数のポートが所属できる
• 1つのポートで複数のVLANを使いたい場合、trunkに設定し、所属するVLANを増やす
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24
set vlans v10 vlan-id 10
set vlans v10 l3-interface irb.10
set interfaces irb unit 10 family inet address 192.168.10.1/24
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v10
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v10
Routed Port
Switch Port
ge-0/0/0 ge-0/0/X
VLAN 10
ge-0/0/0
ge-0/0/1
VLAN xx
ge-0/0/x
ge-0/0/y
unit 0family inet192.168.1.1
unit 0family inet192.168.x.x
irb.10192.168.10.1
irb.x192.168.x.x
管理者側から強制的にインタフェースを落とす方法
• Disableコマンドを使用してインタフェースを落とすroot# set interfaces ge-0/0/2 disable
[edit]
root# commit
commit complete
Admin(オペレーター)モードの操作の確認root# show interfaces
ge-0/0/2 {
disable;
unit 0 {
family inet {
address 140.0.0.12/24;
• Disableコマンドを消去してインタフェースをあげるroot# delete interfaces ge-0/0/2 disable
[edit]
root# commit
commit complete
root# run show interfaces terse
Interface Admin Link Proto Local
Remote
ge-0/0/0 up up
ge-0/0/1 up down
ge-0/0/2 down down
root# run show interfaces terse
Interface Admin Link Proto Local
Remote
ge-0/0/0 up up
ge-0/0/1 up down
ge-0/0/2 up up
admin(オペレータ)の強制的なインタフェースのダウン
JUNOS経路設定
Static Routeの設定
設定例
[edit routing-options]
root# show
static {
route 0.0.0.0/0 next-hop 172.30.25.1;
route 172.28.102.0/24 {
next-hop 10.210.11.190;
no-readvertise;
}
}
IPv4デフォルトルートの設定
経路を広報させないための設定
マネージメント用の経路などに利用
# set routing-options static route <あて先アドレス>next-hop <ネクストホップアドレス># set routing-options static route <あて先アドレス>オプション設定
• Static route設定
• 同じあて先にstatic routeを設定する場合はqualified-next-hopのオプションを利用しpreference(優先)の設定を施します
[edit routing-options]
root# show
static {
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5 {
preference 7;
}
}
}
制限付きネクストホップの設定
Network A172.29.100.0/24 .1
.1.2
172.30.25.0/30ge-0/0/1
172.30.25.4/30
.5.6
ge-1/0/0
primary
secondaryInternet
Primary route
※Juniperのstatic routeのpreferenceは5
例: インターネット接続のためのデフォルトルートの設定
Secondary route
※preferenceを7に設定することで優先度を下げる
• showコマンドでstatic routeを確認する
root> show route protocol static
inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
0.0.0.0/0 *[Static/5] 00:41:59
> to 172.30.25.1 via ge-0/0/1.0
…デフォルトルート
プロトコルとpreference
ネクストホップのアドレスとインタフェース
Static Routeの確認
Firewall Filter (ACL) の設定
Firewall Filterの設定
term <second-term>
term <first-term>
thenfrom
match
match
test-filter
アクション:許可、不許可など
FW filter名
discard 各termに適合しなかった場合、discardします
※新しくtermを作成した際など、評価の順番を変更する際はinsertコマンドを利用して意図した順番にTermを入れ替えて下さい
適合条件:アドレスなど
thenfrom
• FWフィルタとは個々のパケットのフローを制御するためのステートレスなフィルタリングポリシーです(=ACL)
• FWフィルタではtermと呼ばれる条件付けのブロックを定義します
• フィルタ内のtermはtop→downの順番で精査されます
term名
no match
no match
Firewall Filterの設定
例1: 10.10.10.0/24からの通信を許可しないFWフィルタを作成
root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
root# set firewall family inet filter FW-FILTER term BLOCK then discard
root# set firewall family inet filter FW-FILTER term PERMIT then accept
root# show firewall family inet filter FW-FILTER
term BLOCK {
from {
source-address {
10.10.10.0/24;
}
}
then {
discard;
}
}
term PERMIT {
then accept;
}
FW filter名
term名
適合条件:10.10.10.0/24からの通信
アクション:不許可
他のIPからの通信を許可
root# set interfaces ge-0/0/0 unit 0 family inet filter input FW-FILTER
Firewall Filterの設定
例1: 作成したFWフィルタをインタフェースへ適用
root# show interfaces ge-0/0/0
unit 0 {
family inet {
filter {
input FW-FILTER;
}
}
}
ge-0/0/0に入ってくる通信に対してFW-FILTERを適用
※FWフィルタの設定を有効にする際(commitする際)にcommit confirmを利用すると万が一設定を誤ってしまった場合にも切り戻しが可能になります
Firewall Filterの設定
例2: Termの順序入れ替え
root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
root# set firewall family inet filter FW-FILTER term BLOCK then discard
root# set firewall family inet filter FW-FILTER term PERMIT then accept
root# set firewall family inet filter FW-FILTER term BLOCK2 from protocol udp
root# set firewall family inet filter FW-FILTER term BLOCK2 then discard
Termは設定した順番で設定ファイルに書き込みが行われます。一方で、意図したフィルターを掛けるためには適切な順序でTermを記載する必要があります(上記例では、all PERMIT termの後にBLOCK2が書かれているので、Lookupがされないことに注意)
• insert コマンド:Firewall FilterやFirewall Policyのterm順序を変更する
root# insert firewall family inet filter FW-FILTER term BLOCK2 before term PERMIT
root# insert firewall family inet filter FW-FILTER term PERMIT after term BLOCK2
OR
All permitのあとにtermがあるのでこの順序だとこのtermはLookupされない
Firewall Filterの設定
例2: Termの順序入れ替え
意図した順番でtermが記載されていることを確認した上で、commitを行います
root# show firewall family inet
filter FW-FILTER {
term BLOCK {
from {
source-address {
10.10.10.0/24;
}
}
then {
discard;
}
}
term BLOCK2 {
from {
protocol udp;
}
then {
discard;
}
}
term PERMIT {
then accept;
}
}
insertコマンドによりterm BLOCK2がPERMITの前に移動している
Packet Forwarding Engine
Routing Engine
CPU
lo0
Firewall Filterの設定
例3: JUNOS製品へのマネージメント通信を制限する1. FWフィルタを作成する
• 192.168.1.0/24のセグメントからSSHでの通信のみ許可
2. 作成したFWフィルタをlo0 (ループバックインタフェース)に適用する
root# show firewall family inet
filter MANAGEMENT {
term PERMIT {
from {
source-address {
192.168.1.0/24;
}
protocol tcp;
destination-port ssh;
}
then accept;
}
}
root# show interfaces
lo0 {
unit 0 {
family inet {
filter {
input MANAGEMENT;
}
address
10.10.10.1/24;
}
}
}
マネージメント通信はlo0を経由する
※EX, QFXシリーズ自身への通信を制御する場合、lo0および、me0(EX), em0(QFX)へFirewall Filterを適用する必要があります。※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)
Ethernet Switching“EX/QFX” course
Juniper Network, K.K.
JUNOS Hands-on Training
Training Outline Ethernet Switching "EX/QFX" course
トレーニング内容(後半) 記載ページ
ジュニパーのイーサネット・スイッチポートフォリオ P.111
LAB.1 JUNOSの基本的な操作・設定 P.121
LAB.2 Interfaceの設定 P.135
LAB.3 Routingの設定 P.148
LAB.4 Firewall Filterの設定 P.155
Virtual Chassisとは P.161
Virtual Chassis Deep Dive P.176
LAB.5 Virtual Chassisの設定 P.195
Wrap up P.209
TIPs to be JUNOS Experts P.211
Appendix A: Virtual Chassis Fabric P.242
Appendix B: Multi-Chassis LAG P.253
Appendix C: Zero Touch Provisioning P.271
ジュニパーのイーサネットスイッチ・ポートフォリオ
ジュニパーのイーサネットスイッチングプラットフォーム
Ethernet Switch
EX series
Datacenter Fabric Switch
QFX series
キャンパス・データセンターで利用されるオールマイティなL2/L3イーサネット・スイッチ (2008~)• 1G/10G/40G/100GbE• L2/L3 Switching• L2/L3 Protocols(STP, LACP, OSPF, BGP, …)• 802.1x, WebAuth• PoE, PoE+• Virtual Chassis (up to 10 members)• Junos Fusion Enterprise• MACsec
データセンタでの利用に特化したハイスペック・イーサネット・スイッチ (2011~)• 10G/25G/40G/50G/100GbE• L2/L3 Low-Latency Switching• L2/L3 Protocols(STP, LACP, OSPF, BGP, …)• Clos IP Fabric• L2 Overlay - VXLAN, EVPN-VXLAN• MPLS• Virtual Chassis (up to 10 members)• Virtual Chassis Fabric (up to 20 members)• Junos Fusion, QFabric (up to 128 members)
※ 128 member support for Junos Fusion is Roadmap. FRS supports up to 64 members.
基本的な操作方法は全く一緒!!
EX シリーズ 固定型スイッチ
12 port 10/100/1000BASE-T
固定の電源ユニット
ファンレス
2 SFPアップリンク
PoE/PoE+
最大4台までのVirtual Chassis lite
24/48 port 10/100/1000BASE-T
固定の電源ユニットとファン
静音
4 port SFPアップリンク
PoE/PoE+
最大4台までのVirtual Chassis lite
24/48 10/100/1000BASE-T
PoE/PoE+
データセンタエアフロー
最大10 メンバ Virtual Chassis
固定の電源ユニットとファントレイ
外付け冗長化電源
4 port SFP/SFP+ アップリンク
PoE/PoE+
データセンタエアフロー
モジュール型の電源ユニットとファントレイ
4 port GbE SFP アップリンクモジュール(オプション)
2 port 10GbE XFP アップリンクモジュール(オプション)
最大10 メンバ Virtual Chassis
128 GbpsVirtual Chassis backplane
32 x 1/10GBASE-SFP+/-T
全てのポートでワイヤーレートを実現するパフォーマンス
冗長電源・冷却
省スペース
拡張スロット×2
最大10メンバ Virtual Chassis
EX4200との混在Virtual Chassisが可能
MACsec
EX2200-C EX2200 EX3300 EX4200 EX4550
ALL L2/L3 Models(No L2 Dedicated)
※Legacy L2 Switching モデル
EX シリーズ 固定型スイッチ(ELS)
12 port 10/100/1000BASE-T
固定の電源ユニット
ファンレス
2 port 10Gアップリンク
PoE/PoE+
最大4台までのVirtual Chassis lite
24/48 port 10/100/1000BASE-T
固定の電源ユニットとファン
静音
4 port 10Gアップリンク
PoE/PoE+
最大4台までのVirtual Chassis lite
24/48 10/100/1000BASE-T
PoE/PoE+
データセンターエアフロー
40 10GbE fiber ports
筐体内モジュール型の冗長電源ユニットとファントレイ
最大10メンバ Virtual Chassis
MACsec
24/48 10/100/1000BASE-T32 port 1000BASE-X
PoE/PoE+
データセンターエアフロー
40 10GbE fiber ports
筐体内モジュール型の冗長電源ユニットとファントレイ
最大10メンバ Virtual Chassis
MACsec
24 10GbE ports
4x40GbEポート
拡張スロット×2
筐体内モジュール型の冗長電源ユニットとファントレイ
省スペース
最大10メンバ Virtual Chassis
EX4300との混在Virtual Chassisが可能
MACsecハードウェアサポート
EX2300-C EX2300 EX3400 EX4300 EX4600
ALL L2/L3 Models(No L2 Dedicated)
※ELS(Enhanced Layer2 Switching)モデル
EX シリーズ モジュラー型スイッチ
4/8/14 スロット(RE/Fabric含む)のシャーシモデル
2台のVirtual Chassisをサポート
冗長化されたファブリックとREモジュール
スロットあたり240Gbps のパフォーマンス
40 ポート 10/100/1000BASE-T ラインカード
40 ポート 1000BASE-X ラインカード
32ポート 10GBase-X ラインカード
4ポート 40GBase-Xラインカード
VPLS, Logical system
EX9200
40x1G
32x10G
4x40G
2x100G+ 8x10GEX9204 EX9208 EX9214
※ELS(Enhanced Layer2 Switching)モデル
EXシリーズ・ラインナップ
Ports
Modular
Hardware Resiliency
Logical Scale
Perf
orm
ance
EX2200-C EX2200
EX3300
EX4200
EX4300
EX4550
EX9200
Access
Aggre
gation
Core
10 G
bE
40 /
100 G
bE
1 G
bE
EX4600
EX3400
EX2300-C EX2300
Route Engine
Line Card
EXシリーズ・バーチャルシャーシ
2台以上、10台以下のEX/QFXシリーズをソフトウェアの力で1台のシャーシシステムとしてエミュレーションする仮想化スイッチング・テクノロジー
・ ハイパフォーマンス
・広帯域バックプレーン
・ シャーシ型スイッチと同等の信頼性
・ シャーシ型スイッチと同等のHA機能(GRES/NSR/NSB)
・シンプルなL2/L3ネットワークデザイン
・容易な管理性(Single Console/NSSU)
・物理的な制約からの解放 ~320Gbpsbackplane
Admin
Switch to Manage
= 1!
Virtual Chassis
10 Slots
シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
各種EXシリーズにおけるVC機能の比較EX2200-VC Lite EX2300-VC Lite EX3300-VC EX3400-VC EX4200/4550-VC EX4300/4600-VC
Target Market(Dominant)
Branch;small campus
access
Branch;small campus
accessCampus access Campus access
Campus access;data center TOR
Campus access; aggregation;
datacenter TOR
Marketing Name
Virtual Chassis-Lite Virtual Chassis-Lite Virtual Chassis Virtual Chassis Virtual Chassis Virtual Chassis
Uplinks Up to 4x1GbE Up to 4x10GbE Up to 4x10GbE2x40GbE or/and
4x10GbE128G or 2x10GbE
4x40GbE and/orNx10GbE
Backplane Speed
Up to 8 Gbps Up to 80 Gbps Up to 80 Gbps Up to 160 Gbps + 128 Gbps 320 Gbps +
HA Capability No Partial Yes Yes Yes Yes Yes
License for Virtual Chassis
Base(12.3以降) 要License Base Base Base Base
LCD No No Yes No Yes Yes
Virtual Chassis Members
Up to 4 Up to 4 Up to 10 Up to 10Up to 10 mixed
Virtual Chassis with EX4200/4500
Up to 10 mixed Virtual Chassis with
EX4300/4600
QFX-Series Multiple Fabric Architecturefor Datacenter ToR
Juniper Architectures
Open Architectures
MC-LAG
…
Virtual Chassis
Up to 10 members
Qfabric/JUNOS Fusion
Up to 128 members
IP Fabricw/ Overlay
L3 Fabric
Virtual Chassis Fabric
Up to 20 members
QFX5100
QFXシリーズ・ラインナップ
Datacenter Switching Portfolio
SPINE
MODULAR
LEAF
FIXED
QFX5100
QFX5100-24Q
HIGH DENSITY40GbE
HIGH DENSITY 10/25/40/50/100GbE
QFX10008 QFX10016
QFX10002-72
Up to 480 X 100 GE Ports
High Density 40/100GbE
QFX10002-36
HIGH DENSITY10GbE
QFX5200
QFX5110-48S
QFX5110-32Q
LAB.1 JUNOSの基本的な操作・設定
管理用IP(me0)
: 192.168.1.x/24
Group1
• Tokyo-1: .1
• Nagoya-1:.2
• Osaka-1: .3
• Fukuoka-1:.4
Ethernet Switching "EX/QFX" courseTopology (Lab.1:基本操作) – グループ1
ge-0/0/0
ge-0/0/10
ge-0/0/1ge-0/0/1
ge-0/0/1
.1 .2
.3 .4ge-0/0/1
ge-0/0/0
ge-0/0/10 ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-1
Tokyo-1 Nagoya-1
EX3400
Tokyo-1 Nagoya-1
Fukuoka-1
Ethernet Switching "EX/QFX" courseTopology (Lab.1:基本操作) – グループ2
ge-0/0/0
ge-0/0/10
ge-0/0/1
.5 .6
.7 .8ge-0/0/1
ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-2
Tokyo-1 Nagoya-1
EX3400
Tokyo-2 Nagoya-2
Fukuoka-2
管理用IP(me0)
: 192.168.1.x/24
Group1
• Tokyo-2: .5
• Nagoya-2:.6
• Osaka-2: .7
• Fukuoka-2:.8
ge-0/0/1
ge-0/0/1
ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
--- JUNOS 9.3S1.6 built 2009-05-28 13:53:44 UTC
root@Amenistic:RE:0% cli
root>
JUNOSへのログイン
初期設定状態のEXにアカウント’root’でログインします。
cliコマンドでJUNOSのOperationalモードを起動します。
– rootアカウントはserial console、またはssh接続時のみ使用可能です。
– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。
• Root Password: Juniper
– Tera TermからSSHv2接続で接続してください。
Operationalモードのshowコマンド実行
構成やバージョンなど基本情報の確認を実施します。– Active configurationを表示
– ハードウェア情報を表示
– ソフトウェアバージョンの確認
– インタフェースのステータス一覧の表示
– ルーティングテーブル表示
– MACアドレステーブル表示
– サポートを受ける際に必要な機器情報(RSI)を一括取得
※出力が一画面に入らない場合、 | no-more オプションを追加すると最後まで表示されます
root> show version
root> show configuration
root> show chassis hardware
root> show interface terse
root> show route
root> show ethernet-switching table
root> request support information
rootアカウントのパスワード設定 (設定済)
Configuration Modeに入り、設定変更の準備を行います。
下記の手順でrootアカウントにパスワードを設定します。
– root password: Juniper
※rootパスワード設定は必須です。設定が存在しないとcommitに失敗します。
root> configure
root# set system root-authentication plain-text-password(改行後パスワード入力)
root# commit
管理インタフェース(me0)に対して管理用アドレスを付与します。
– アドレス192.168.1.xx/24(xx = Topologyで指定された第4オクテット)を付与する
show interfacesコマンドで、設定したme0インタフェースのconfigを確認します。
管理インタフェース(me0)へのアドレス付与(設定済)
me0
EX3400 rear view
# set interface me0 unit 0 family inet address 192.168.1.xx/24
{master:0}[edit]
root# show interfaces
新規アカウント作成
管理用アカウント”lab”を以下の設定で作成します。
commit完了後、一度rootユーザのセッションをログアウトします。
telnetで、作成したアカウントを使って正常にログインできることを確認します。
root# set system login user lab class super-user
root# set system login user lab authentication plain-text-password(改行後パスワード入力)
root# commit and-quit
root> exit
root@% exit
Username Password Class
lab lab123 super-user
login: lab
Password:
--- JUNOS 14.1X53-D15.2 built 2014-12-20 23:22:48 UTC
{master:0}
lab@>
サービスの起動とホスト名の設定
サービスの起動
– デフォルトでは各種サービスが起動していないため、追加で設定します。(telnet, ssh のみ事前に設定済み)
– ftp, httpで機器にアクセスできるようにします。
ホスト名の作成
– Topologyを参照して、各自がログインしている機器のホスト名を設定します。
変更したconfigの差分を確認
– Active configと比較して、設定が正しく追加されたことを確認しcommitします。
lab# set system services ftp
lab# set system services web-management http
lab# set system host-name Tokyo-1
lab# show | compare
lab# commit
サービス起動の確認
FTPによるアクセス
– Windowsからコマンドプロンプトを立ち上げFTPでアクセスできることを確認します。
• ftp 192.168.1.xx
• Rootを使用してログイン
• Lsコマンドでユーザディレクトリを表示できることを確認
– 表示されない場合、Windows FirewallでFTP許可が必要
ブラウザからWeb GUI(J-Web)へのアクセス
– ブラウザからアクセスし、J-Webの画面が表示されることを確認します。
• http://192.168.1.xx/
– root、または作成したユーザ(lab)を使用してログイン
Configurationの確認
ここまでで設定したconfiguration全体を確認します。
① Operationalモードから確認
稼働中のActive configを表示します。
② Configurationモードから確認
編集中のcandidate configを表示します。commit後に設定変更をしていなければ、Active configと同じ内容が表示されます。
lab@Tokyo-1> show configuration
lab@Tokyo-1> show configuration | display set
lab@Tokyo-1> configure
Entering configuration mode
[edit]
lab@Tokyo-1# show
lab@Tokyo-1# show | display set
同じConfigを異なる形式で表示
同じConfigを異なる形式で表示
Operationalモードのコマンドを表示
Configurationモードから、Operationalモードのコマンドを実行します。
① Configurationモードに入ります
② show interfacesコマンドを実行以下の2つのコマンドを実行し、表示される内容を確認します。
Operational Mode Configuration Mode
show interfaces show interfaces
run
lab@Tokyo-1> configure
lab@Tokyo-1# show interfaces
lab@Tokyo-1# run show interfaces
Operationalモードのコマンドを表示
Configurationモードから、Operationalモードのコマンドを実行します。
① Configurationモードに入ります
② show interfacesコマンドを実行以下の2つのコマンドを実行し、表示される内容を確認します。
Operational Mode Configuration Mode
show interfaces show interfaces
run
lab@Tokyo-1> configure
lab@Tokyo-1# show interfaces
lab@Tokyo-1# run show interfaces
commit confirmed
誤った設定をしてしまった場合でも設定が自動で元に戻ることを確認します。
①コマンドプロンプトからping 192.168.1.xx -tを実行しておきます
②管理インタフェースの設定を削除
me0の設定を削除します。 ※commitはまだしないこと
③commit confirmed
commit confirmedオプションを使って、1分後に設定が戻るようにcommitします。
commit完了メッセージが表示された後、アクセス不能になりTera Termが切断されます。
④pingが応答が返ってきたら再度labでログインし、設定が戻っていることを確認
削除したme0の設定がもとに戻っていることを確認します。
lab@Tokyo-1# delete interfaces me0
lab@Tokyo-1# show | compare
lab@Tokyo-1# commit confirmed 1
lab@Tokyo-1> show configuration interfaces me0
Configurationをファイルに保存
次のLabを始める前に、saveコマンドでconfiguration fileをsaveします。
file listコマンドで正常にsaveできたことを確認します。
lab@Tokyo-1# save lab1-end_YYMMDD
Wrote 213 lines of configuration to 'lab1-end_YYMMDD'
{master:0}[edit]
lab@Tokyo-1# exit
Exiting configuration mode
lab@Tokyo-1> file list
/var/home/lab/:
.ssh/
lab1-end_YYMMDD
LAB.2 Interfaceの設定Link Aggregation/Vlan/IRB
Ethernet Switching "EX/QFX" courseTopology (Lab.2:インタフェースの設定)
ge-0/0/0
ge-0/0/10
ge-0/0/1
.1 .2
.3 .4ge-0/0/1
ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-X
Tokyo-1 Nagoya-1Tokyo-X Nagoya-X
Fukuoka-X
10.3.1.0/24(VLAN ID:30)
10.2.1.0/24 (VLAN ID:20)
10.4.1.0/24(VLAN ID:40)
10.1.1.0/24(VLAN ID:10) 172.16.2.0/24
(VLAN ID:200)172.16.1.0/24 (VLAN ID:100) ae0 ae0
irb.10
irb.10
irb.20 irb.20
irb.30 irb.30
irb.40
irb.40
irb.100
irb.100
irb.200
irb.200
ge-0/0/1
ge-0/0/1
ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
例:Tokyo-X の場合の IP アドレス設定
ge-0/0/0 (ae0)
ge-0/0/1 (irb.20) 10.2.1.1
ge-0/0/2 (irb.100) 172.16.1.1
ge-0/0/10 (ae0)
ae0 (irb.10) 10.1.1.1
各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定
各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定
LAG(Link Aggregation Group)の作成 ①
LAG(Link Aggregation Group)を作成します。
– LAGの設定準備
– LAGの作成(ae0)
– LAGに参加させるメンバーIFのdefault protocol-family (ethernet-switching)を削除
– LAGへのinterface追加
*LAGの場合、論理インタフェースプロパティはaeインタフェースに対して設定します。メンバーIFには設定しない(メンバーIFは論理IFを持たない)ことに留意してください。
# set chassis aggregated-devices ethernet device-count 1
# set interfaces ae0 unit 0 family ethernet-switching
# delete interfaces ge-0/0/0 unit 0
# delete interfaces ge-0/0/10 unit 0
# set interfaces ge-0/0/0 ether-options 802.3ad ae0
# set interfaces ge-0/0/10 ether-options 802.3ad ae0
LAG(Link Aggregation Group)の作成 ②LAGにLACPを設定します。
– LACPオプションの追加し、commitします。
LAGの正常性を確認します。
– LAGの状態を確認
• ae0がAdmin up, Link upのステータスであること
– LACPの状態を確認
• LACP protocolが以下の状態になっていること
– Receive State: Current
– Mux State: Collecting distributing
> show interfaces ae0
> show interface terse
# set interfaces ae0 aggregated-ether-options lacp active periodic fast
> show lacp interfaces ae0
VLANを作成し、アクセスポートを設定
VLANを作成し、インタフェースへの適用を行います。
– VLAN作成
• Topologyを参照し、機器が所属するVLAN を作成する
– インタフェースをaccess portに設定し、VLANに参加させる
lab@Tokyo# set vlans vlan10 vlan-id 10
lab@Tokyo# set vlans vlan20 vlan-id 20
lab@Tokyo# set vlans vlan100 vlan-id 100
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode access
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10
lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching interface-mode access
lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20
lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching interface-mode access
lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
Vlan & Interface : Sample Configuration
set vlans vlan10 vlan-id 10
set vlans vlan20 vlan-id 20
set vlans vlan100 vlan-id 100
set interfaces ae0 unit 0 family ethernet-switching interface-mode access
set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20
set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
set vlans vlan20 vlan-id 20
set vlans vlan40 vlan-id 40
set vlans vlan200 vlan-id 200
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20
set interfaces ae0 unit 0 family ethernet-switching interface-mode access
set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40
set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200
Tokyo
Nagoya
Vlan & Interface : Sample Configuration
set vlans vlan10 vlan-id 10
set vlans vlan30 vlan-id 30
set vlans vlan100 vlan-id 100
set interfaces ae0 unit 0 family ethernet-switching interface-mode access
set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30
set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
set vlans vlan30 vlan-id 30
set vlans vlan40 vlan-id 40
set vlans vlan200 vlan-id 200
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30
set interfaces ae0 unit 0 family ethernet-switching interface-mode access
set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40
set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200
Osaka
Fukuoka
VLANにIRBインタフェースを追加
VLANにIRB(Integrated Routing and Bridging=L3 vlan interface)を設定します。
VLANインタフェースにアドレスを追加
Topologyを参照し、該当するVLAN interfaceを作成してアドレスを設定する
VLANに対してL3インタフェースをひもづける
RSTPのdisable
デフォルトで動作しているRSTPは必要なくなったため、設定を削除する
lab@Tokyo# set interfaces irb unit 10 family inet address 10.1.1.x/24
lab@Tokyo# set interfaces irb unit 20 family inet address 10.2.1.x/24
lab@Tokyo# set interfaces irb unit 100 family inet address 172.16.1.x/24
lab@Tokyo# set vlans vlan10 l3-interface irb.10
lab@Tokyo# set vlans vlan20 l3-interface irb.20
lab@Tokyo# set vlans vlan100 l3-interface irb.100
lab@Tokyo# delete protocols rstp
IRB : Sample Configuration
set vlans vlan10 l3-interface irb.10
set vlans vlan20 l3-interface irb.20
set vlans vlan100 l3-interface irb.100
set interfaces irb unit 10 family inet address 10.1.1.1/24
set interfaces irb unit 20 family inet address 10.2.1.1/24
set interfaces irb unit 100 family inet address 172.16.1.1/24
delete protocols rstp
set vlans vlan20 l3-interface irb.20
set vlans vlan40 l3-interface irb.40
set vlans vlan200 l3-interface irb.200
set interfaces irb unit 20 family inet address 10.2.1.2/24
set interfaces irb unit 40 family inet address 10.4.1.2/24
set interfaces irb unit 200 family inet address 172.16.2.2/24
delete protocols rstp
Tokyo
Nagoya
IRB : Sample Configuration
set vlans vlan10 l3-interface irb.10
set vlans vlan30 l3-interface irb.30
set vlans vlan100 l3-interface irb.100
set interfaces irb unit 10 family inet address 10.1.1.3/24
set interfaces irb unit 30 family inet address 10.3.1.3/24
set interfaces irb unit 100 family inet address 172.16.1.3/24
delete protocols rstp
set vlans vlan30 l3-interface irb.30
set vlans vlan40 l3-interface irb.40
set vlans vlan200 l3-interface irb.200
set interfaces irb unit 30 family inet address 10.3.1.4/24
set interfaces irb unit 40 family inet address 10.4.1.4/24
set interfaces irb unit 200 family inet address 172.16.2.4/24
delete protocols rstp
Osaka
Fukuoka
インタフェース/VLAN/LACP動作確認
インタフェース, VLAN, LACPの確認コマンドで正常性を確認します。
隣接機器に対してpingを実施し、応答があることを確認します。
• ping [隣接機器のIRB IPアドレス]
– Ctrl+Cで停止
> show interfaces (terse)
> show ethernet-switching interfaces
> show vlans (detail)
> show lacp interfaces
※参考: VLANを作成し、トランクポートを設定する場合
VLANを作成し、インタフェースへの適用を行います。
– VLAN作成
• VLAN を作成する
– インタフェースをtrunk portに設定し、複数のVLANを参加させる
lab@Tokyo# set vlans vlan10 vlan-id 10
lab@Tokyo# set vlans vlan20 vlan-id 20
lab@Tokyo# set vlans vlan100 vlan-id 100
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode trunk
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan20
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan100
※本トレーニングコースのラボ構成にはTrunk Portの設定は出てきませんので、ここでは参考までに設定の方法を記載しています。実機には投入しないでください。
※参考: Legacy Layer2 Switchingモデルの場合
Legacy L2 Switchingモデル(SRX100~650、EX2200~EX4550など)の場合、一部、L2設定周りのCLIが異なり、以下のような設定方法となります。
set vlans vlan10 vlan-id 10
set vlans vlan20 vlan-id 20
set vlans vlan100 vlan-id 100
set interfaces ae0 unit 0 family ethernet-switching port-mode access
set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10
set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20
set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access
set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
set vlans vlan10 l3-interface vlan.10
set vlans vlan20 l3-interface vlan.20
set vlans vlan100 l3-interface vlan.100
set interfaces vlan unit 10 family inet address 10.1.1.1/24
set interfaces vlan unit 20 family inet address 10.2.1.1/24
set interfaces vlan unit 100 family inet address 172.16.1.1/24
delete protocols rstp
LAB.3 Routingの設定OSPF / Redistribute Static
Ethernet Switching "EX/QFX" courseTopology (Lab.3:ルーティングの設定)
ge-0/0/0
ge-0/0/10
ge-0/0/1
.1 .2
.3 .4ge-0/0/1
ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-X
Tokyo-1 Nagoya-1Tokyo-X Nagoya-X
Fukuoka-X
10.3.1.0/24(VLAN ID:30)
10.2.1.0/24 (VLAN ID:20)
10.4.1.0/24(VLAN ID:40)
10.1.1.0/24(VLAN ID:10) 172.16.2.0/24
(VLAN ID:200)172.16.1.0/24 (VLAN ID:100) ae0 ae0
irb.10
irb.10
irb.20 irb.20
irb.30 irb.30
irb.40
irb.40
irb.100
irb.100
irb.200
irb.200
OSPF Area 0.0.0.0
1.1.1.1/32 2.2.2.2/32
4.4.4.4/323.3.3.3/32
Passive
Passive
Passive
Passive
Loopback address(全グループ共通)
Tokyo: 1.1.1.1/32 Nagoya: 2.2.2.2/32
Osaka: 3.3.3.3/32 Fukuoka: 4.4.4.4/32
ge-0/0/1
ge-0/0/1
ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
OSPFでのルーティング
OSPFの設定を行います。
– Loopbackアドレス(lo0)を設定する
– Router-idを設定する
– OSPFに参加させたいインタフェースを追加する
–
– Passiveインタフェースを設定する
lab@Tokyo# set interfaces lo0 unit 0 family inet address 1.1.1.1/32
lab@Tokyo# set routing-options router-id 1.1.1.1
lab@Tokyo# set protocols ospf area 0 interface lo0.0
lab@Tokyo# set protocols ospf area 0 interface irb.10
lab@Tokyo# set protocols ospf area 0 interface irb.20
lab@Tokyo# set protocols ospf area 0 interface irb.100 passive
OSPF : Sample Configurationset interfaces lo0 unit 0 family inet address 1.1.1.1/32
set routing-options router-id 1.1.1.1
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.10
set protocols ospf area 0 interface irb.20
set protocols ospf area 0 interface irb.100 passive
Tokyo
set interfaces lo0 unit 0 family inet address 2.2.2.2/32
set routing-options router-id 2.2.2.2
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.20
set protocols ospf area 0 interface irb.40
set protocols ospf area 0 interface irb.200 passive
Nagoya
set interfaces lo0 unit 0 family inet address 3.3.3.3/32
set routing-options router-id 3.3.3.3
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.10
set protocols ospf area 0 interface irb.30
set protocols ospf area 0 interface irb.100 passive
Osaka
set interfaces lo0 unit 0 family inet address 4.4.4.4/32
set routing-options router-id 4.4.4.4
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.30
set protocols ospf area 0 interface irb.40
set protocols ospf area 0 interface irb.200 passive
Fukuoka
OSPFの動作確認①
OSPFのネイバーのステータスを確認
DR/BDRの確認
OSPF経由で学習した経路を表示
Loopbackアドレスを送信元にしてping, tracerouteを実行し全体に疎通できることを確認します
lab@Tokyo> show ospf neighbor
lab@Tokyo> show ospf interface
lab@Tokyo> show route
lab@Tokyo> ping <宛先address> source <自機のLo0 address>
lab@Tokyo> traceroute <宛先address>
OSPFの動作確認②
OSPF経由で学習した経路のみを表示
OSPFデータベース(AREAごと)
ルータがアドバタイズしているLSAを表示
lab@Tokyo> show route protocol ospf
Tokyo>show ospf database area 0
Tokyo>show ospf database router advertising-router <対向router-id> detail
OSPFでのルーティング
Static RouteのOSPFへのRedistributeを行います。
– DummyのStatic Routeを設定する
– Static RouteをExportするPolicyを作成する
– OSPFにExport Policyを適用する
lab@Tokyo# set routing-options static route 9.9.9.X discard
lab@Tokyo# set policy-options policy-statement EXPORT-OSPF from protocol static
lab@Tokyo# set policy-options policy-statement EXPORT-OSPF then accept
lab@Tokyo# set protocols ospf export EXPORT-OSPF
LAB.4 Firewall Filter (ACL) の設定
Ethernet Switching "EX/QFX" courseTopology (Lab.4:アクセスリストの設定)
ge-0/0/0
ge-0/0/10
ge-0/0/1
.1 .2
.3 .4ge-0/0/1
ge-0/0/0
ge-0/0/10
ge-0/0/2
ge-0/0/2
ge-0/0/2
ge-0/0/2
Osaka-X
Tokyo-1 Nagoya-1Tokyo-X Nagoya-X
Fukuoka-X
10.3.1.0/24(VLAN ID:30)
10.2.1.0/24 (VLAN ID:20)
10.4.1.0/24(VLAN ID:40)
10.1.1.0/24(VLAN ID:10) 172.16.2.0/24
(VLAN ID:200)172.16.1.0/24 (VLAN ID:100) ae0 ae0
irb.10
irb.10
irb.20 irb.20
irb.30 irb.30
irb.40
irb.40
irb.100
irb.100
irb.200
irb.200
①各EXで図のようにEXからEXへ、telnetアクセスを禁止してください
②me0にfilteringをかけて、FTPアクセスを禁止してください
ge-0/0/1
ge-0/0/1
ge-0/0/0
ge-0/0/10ge-0/0/0
ge-0/0/10
Firewall Filterチェック順序
• Firewall Filterのチェック順序 Port → VLAN → Routerの順序にてFFを実行し、Egressは逆の手順にてFFを実行する
• RouterのFFは、同一VLAN内のswitchパケットに適用できない
ge-1/0/0
ge-1/0/5
ge-1/0/1 ge-1/0/3 ge-1/0/4
VLAN FF
Router FF
Port FF
VLAN FF
Router FF
Switch
Rx Packet
Port FF
VLAN FF
Router FF
Input
Router FF
VLAN FF
Tx Packet
Output
Port FF
Firewall Filter設定
Port/VLAN-based FF Router-based FF
パケットは、termの上位からルックアップされるマッチしたtermのactionを実行してぬける最後に暗黙のdeny(implicit-rule)が隠れている
firewall {
family ethernet-switching {
filter <filter-name> {
term <term-name> {
from {
<match conditions>; }
}
then <actions defined>;
}
term implicit-rule {
then discard;
}
}
}
}
firewall {
family inet {
filter <filter-name> {
term <term-name> {
from {
<match conditions>; }
}
then <actions defined>;
}
term implicit-rule {
then discard;
}
}
}
}
①Firewall Filterを使用してtelnetを制御Firewall Filterを設定します。
Filterをae0インタフェースへ適用します。
Filterが有効なことを確認するため、telnetで隣接機器にアクセスします。
telnet以外の通信(ping, OSPF)は依然可能なことを確認します。
Filterでdiscardされたtelnetのカウンタを確認します。
set firewall family ethernet-switching filter deny_telnet term t10 from ip-protocol tcp
set firewall family ethernet-switching filter deny_telnet term t10 from destination-port telnet
set firewall family ethernet-switching filter deny_telnet term t10 then discard
set firewall family ethernet-switching filter deny_telnet term t10 then count telnet_count
set firewall family ethernet-switching filter deny_telnet term t20 then accept
set interfaces ae0 unit 0 family ethernet-switching filter input deny_telnet
lab@Tokyo> telnet 10.1.1.3
Trying 10.1.1.3...
[Ctrl+Cで停止]
> show firewall
②Firewall Filterを使用して管理インタフェースを制御
Firewall Filterを設定する
Filterをインタフェースへ適用する
コマンドプロンプトからFTPで管理IPアドレスにアクセスできなくなったことを確認します。Filterでdiscardされたtelnetのカウンタを確認します。
※EX, QFXシリーズ自身への通信を制御する場合、lo0およびme0(EX)・em0(QFX)へFFを適用する必要があります。
※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)
set firewall family inet filter deny_ftp term t10 from protocol tcp
set firewall family inet filter deny_ftp term t10 from destination-port ftp
set firewall family inet filter deny_ftp term t10 then discard
set firewall family inet filter deny_ftp term t10 then count ftp_count
set firewall family inet filter deny_ftp term t20 then accept
set interfaces lo0 unit 0 family inet filter input deny_ftp
set interfaces me0 unit 0 family inet filter input deny_ftp
> show firewall
Virtual Chassisとは、
ジュニパーのイーサネット・ファブリック
ジュニパーの解決策:ソフトウェアの力で仮想的にシャーシ型スイッチをエミュレート
レガシーなシャーシ型スイッチ
ネットワーク管理者
仮想シャーシ型スイッチ(イーサネット・ファブリック)
Devices to Manage
= 1 !!!L2/L3 Local Switching !!!
L2/L3 Protocol HA& ISSU !!!
シャーシ型スイッチをソフトウェアでエミュレートすることでボックス型スイッチにシャーシ型スイッチと同等のメリットを付与し、さらに物理的な制約を受けない仮想シャーシならではのメリットを提供
旧来のシャーシ型スイッチとVirtual Chassis技術
シャーシ型スイッチのメリット 高信頼性ハードウェア
– 冗長ルーティングエンジン– 冗長スイッチファブリック– 冗長電源ユニット– 冗長ファントレイ
管理の簡便性– シングルイメージ– 単一のコンフィグファイル– 単一のマネージメントIPアドレス
パフォーマンスとスケーリング– ハイパフォーマンス– 大容量のバックプレーン– モジュラー型構成
RE 1
RE 0
LAG 1
LAG 2
Max 10 RU
Virtual Chassisによる更なるメリット: 物理配置の柔軟性
低消費電力
最小構成からスタート可能
必要最低限のラックスペース確保
Virtual Chassis
10 Slots
Max 480Gbps BackplanePer line-card
Virtual Chassisのトポロジー最大10メンバーまでであれば、仮想バックプレーンによる接続を使用した自由なトポロジーでL2/L3ファブリックを構成することが可能
Braid Ring
Spine & Leaf
※接続方法は、筐体間の距離に応じてCopper (DAC/QSFP-DAC)かFiberから選択
Combination
Virtual Chassisの仮想バックプレーン
前面・背面のファイバー・イーサネット・ポートを自由に仮想バックプレーンに変換してVCを構成することが可能
EX3400シリーズ
EX4300シリーズ
QFX5100シリーズ
10G*N Gbps 仮想バックプレーン(VCポート)
40G*N Gbps 仮想バックプレーン(VCポート)
Virtual ChassisのHigh Availability機能
RE間で各種プロトコルのステータスをコピーし、フェイルオーバーに備えることで障害時におけるL2/L3プロトコルへの影響を最小化
Kernel、FowardingTable、interface infoL3 Protocol State & L2 Protocol State
OSPF・BGP neighbor(L3 Protocol)
Member0 :RE 1
Member1 :LC 2
Member2:RE 0
Member3 :LC 3
Master RE
Backup RE
Master REに障害が発生しても無停止でプロトコル継続運用が可能な
Non Stop Routing(NSR)およびNon Stop Bridging(NSB)
LACP・xSTP neighbor(L2 Protocol)
Virtual ChassisのOSバージョンアップ
管理者によるUpgradeコマンドの発呼後、各RE、Linecardと順に再起動して新OSを反映するため、ラインカード跨ぎのインタフェースの保護構成を取ることとNSR/NSBとの併用でOSアップグレード時の影響を最小化することが可能
※すべての環境で1秒以内のダウンタイムを保証するものではありません。環境に応じた事前の検証をお勧めします。
Member0 :RE 1
Member1 :LC 2
Member2:RE 0
Member3 :LC 3
Master RE
Backup RE
Non Stop Software Upgrade(NSSU)により管理者は、コマンド一行で
システムダウンタイムを約1秒以内の想定※でOSのバージョンアップを実行
ネットワーク管理者
request system softwarenon-stop-upgrade !!!
Reboot 1st
Reboot 2nd
Reboot 4th
Reboot 3rd
異なるメディアスピードのラインカードをVirtual Chassis内で収容可能なため1GbE から 10GbE サーバーへのシームレスな移行をサポート
EX4300 EX4300
1GbE servers
QFX5100
10GbE servers
Virtual Chassis Mixed Mode
ネットワーク管理者
Devices to Manage
= 1 !!!
QFX5100
40GbE storages
※EX3300,EX3400ではMixed Mode Virtual Chassisはサポートされません。
DC Interconnect
(MPLS)
The Internet
コアVCと10 member Braid Ring VCによる2階層構成(コスト重視構成)
Virtual Chassisの使用例@DCネットワーク :その1
ネットワーク管理者
Switches to Manage
= 3 !!!
DC Edge Router(MX)
Load-Balancer
Service Gateway(SRX)
Core Switch(QFX5100 VC)
Access Switch( EX4300 VC)
Access Switch( QFX5100 VC)
40GbE*N LAG
10 member Braid Ring VCPer Row
40GbE*N LAG
異なるLCへのNIC Teaming
異なるLCへのLAG
10G Server1G Server
10 member Braid Ring VCPer Row
10G POD1G POD
DC Interconnect
(MPLS)
The Internet
コアVCと2 member VCによる2階層構成(パフォーマンス重視構成)
Virtual Chassisの使用例@DCネットワーク :その2
DC Edge Router(MX)
Load-Balancer
Service Gateway(SRX)
Core Switch(QFX5100 VC)
Access Switch ( EX4300 VCs)
Access Switch( QFX5100 VCs)
2~10 member VCsper Rack
……
ネットワーク管理者
L2/L3冗長プロトコルの管理は必要なし!e.g. xSTP,MC-LAG,TRILL,VRRP,OSPF,,,
2~10 member VCsper Rack
10GbE*N LAG 40GbE*N LAG
異なるLCへのNIC Teaming
1G Server
異なるLCへのLAG
10G Server
10G POD1G POD
Core Switch(QFX5100 VC)
管理セグメントのシンプル化
Virtual Chassisの使用例@DCネットワーク :その3
ネットワーク管理者
ZTPやオーケストレーションなど、自動化の配備には管理セグメントの整備が重要!
Access Switch( QFX5100 VCs)
10G POD
…
…1GbB Management Network
Management Switch( EX3400 VC)
10 member Braid Ring VCPer Row
Building 2Building 1
Core
キャンパスNWを1台のスイッチで収容するソリューション
最大80kmまでをVirtual Chaissの10GbEバックプレーンで収容
STP を排除したネットワークデザイン
EX3300Virtual Chassis
中小エンタープライズ (450ユーザ位まで)におけるキャンパスを一つのEX3400 Virtual Chassisで収容する例
EX3400Virtual Chassisx2
Closet 1A Closet 2A Closet 3A Closet 4A
Building 3 Building 4
EX3400Virtual Chassisx2
EX3400Virtual Chassisx2
EX3400Virtual Chassisx2
Virtual Chassis を複数のワイヤリングクローゼット、ビル間で構築することで、
アップリンクポートの削減
必要管理デバイス数の削減
High Availability Virtual Chassis
VRRPや複雑なルーティング、VLANの管理が不要
10Gig10Gig 10Gig
EX3400 Virtual Chassis
Building 2
Closet 2A Closet 2B
Building 1
Core
10GbE LAGによるワイヤリングクローゼットからのアップリンク
多数の3400バーチャル・シャーシを冗長性を持って収容
EX4600Virtual Chassis
EX4600 Virtual Chassis をキャンパスにおけるAggregation/Coreスイッチとして使用する例
EX4300VirtualChassisx10
EX3400VirtualChassisx10
EX3400VirtualChassisx10
EX3400VirtualChassisx10
Closet 1A Closet 1B
既存のアグリゲーション/コア・スイッチと比較して圧倒的なコストパフォーマンス
コストは1/8 に
パフォーマンスは4倍に
STP を排除したネットワークデザイン
VRRPや複雑なルーティング、VLANの管理が不要
EX4600 Virtual Chassis
STP VRRP
距離が離れたキャンパスネットワークを1セットのVirtual Chassisで収容する例
Campus-ECampus-C Campus-D
EX4300
x2
Campus-F
Campus-A Campus-B
Virtual Chassis
EX4300
x2
EX4300
x2
EX4300
x2
EX4600 EX4600
〜x00km
Virtual Integrated Remote Campus
EX4600 & EX4300Mixed Virtual Chassis
距離が離れたキャンパスネットワークを一台の仮想シャーシで集約することが可能
最大で10台のスイッチまでを一つの仮想シャーシとして設定、管理運用が可能
物理的に離れたデバイスであっても論理的に統合可能
異なるプラットフォーム間でのバーチャルシャーシ接続(e.g. QFX5100 + EX4300)
コア、1G/10G/40Gアクセス、マネジメント規模やサービスレベルに応じた様々なVCを提供
まとめ:Virtual Chassisによるメリット
Industry-only
Industry-only
Industry-only
Industry-only
これにより拡張し続けるデータセンターのネットワークをシンプルに管理運用することが可能に!
Virtual Chassis Deep Dive
Virtual Chassis™ Backplane Cabling
• Longest Virtual Chassis cable spans the entire Virtual Chassis
– もっともシンプルな接続方法
– VCの高さ・幅はVCケーブルの最大長5m以内
Option 1 – Dedicated Virtual Chassis Daisy-Chained Ring
Option 2 – Dedicated Virtual Chassis Braided Ring
Longest Virtual Chassis cable spans three switches
• VCの高さ、幅を 約23mまで拡張する接続方法
5m 23 m
Virtual Chassis™ Backplane Cabling
• Extend height and/or width of Virtual Chassis by GbE or 10GbE uplinks
– オプティックスのサポートする距離まで拡張可能 (70km)
• Extend Virtual Chassis across:
– ワイヤリングクローゼットを越えた接続
– データセンター内ラックを越えた接続
– データセンターの列を越えた接続、など
Option 3 – Extended Virtual Chassis
10GbE or 40GbE Virtual Chassis Extension
10GbE or 40GbE Virtual Chassis Extension
Up to 80 km
Virtual Chassis Location #1
Dedicated Virtual Chassis Backplane
Virtual Chassis Location #2
Virtual Chassis™ Backplane Cabling
• Extend height and/or width of Virtual Chassis by GbE uplinks
– オプティックスのサポートする距離まで拡張可能 (80km)
• Extend Virtual Chassis across:
– データセンター内ラックを越えた接続
– データセンターの列を越えた接続
– データーセンターのWANを越えた接続、など
Option 4 –Virtual Chassis Mesh
10/40GbE Virtual Chassis Extension
Up to 80 km
Virtual Chassisの接続方法について -1
VCを構成する際には、VCの仮想バックプレーン(VCP)同士を接続する必要があります。プラットフォームによって工場出荷時の状態でVCPが設定されているものとそうでないものがあります。
ファイバーのイーサネットポートをVCPにコンバートするコマンドは以下で実行可能です。必要に応じてVCPの設定追加・削除をした上でVC接続を行ってください。
EX3300シリーズ EX4300シリーズ QFX5100シリーズ
デフォルトのVCP(xe-0/1/2~3) デフォルトのVCP
(et-0/2/2~3)
ファイバー・イーサネットポート
ファイバー・イーサネットポート
デフォルトのVCP(なし)
ファイバー・イーサネットポート
request virtual-chassis vc-port set pic-slot <pic-slot> port <port-number> member <member-id>
request virtual-chassis vc-port delete pic-slot <pic-slot> port <port-number> member <member-id>
Virtual Chassisのコンポーネント“Master”, “Backup” および “Linecard”
– Master switch (active RE)– 相互接続された VC switchの1つのスイッチがマスターになります。
JUNOSを起動しておりVirtual Chassisの管理を実施します。• すべてのvirtual chassisを管理するデーモンおよびコントロールプロトコルを動作させる
• すべてのインタフェースを管理する、ハードウェアフォワーディングの管理を実施
– Backup switch (backup RE)– 相互接続された VC switchの1つのスイッチがバックアップになります。
JUNOSを起動しておりバックアップとしてマスターと連携を実施します。• GRES使用時は、RE0とハードウェアフォワーディングテーブルの同期をとっている
• RE0が故障した場合にRE0に変わり、シャーシの管理やインタフェース管理を実施
– “Linecard” switch (Linecard)– その他のメンバーになっているスイッチはすべてラインカードになります。
JUNOSを起動しておりラインカードとして動作している。• Non Preprovisioned Modeの場合、マスターかバックアップが故障した場合,ラインカードのひとつが新しいバック
アップとして動作します
Virtual Chassisの構成方法について-1
VCを構成する際には、Plug-and-PlayでのVC構成を提供する“Non-Preprovisioned mode”と最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。
Non-preprovisoned Configuration‐ マスター・セレクション・アルゴリズムにより自動的にVCを構成することが可能
Master-ship priority値や起動順序により、master/backup/linecardを決定
Master/BackupREは, master-ship priority 255を推奨
‐ REの障害時には、Linecard役の中から1台がREに昇格する
Preprovisoned Configuration‐ 明示的にREやLinecardに指定したスイッチを作成することにより、より明示的な運用の実現とAdvanced Licenseの消費を抑えることが可能
※ NSSUはPreprovisioned Configurationでのみサポート
Virtual Chassisの構成方法について-2
より簡易性が求められるネットワークへのデプロイ時には“Non-Preprovisioned mode”でVCを構成します。“Non-Preprovisioned mode”では予め設定されたルールに基づき、どの筐体がRouting Engineの役割を担うか自動的に計算されてVCが構成されます。
• マスターRE(RE0)選定
起動するときにはすべてのスイッチで以下項目比較の元、マスターの選定が行われる
Master 選定の優先順位:
1.マスターシップの優先順位が最も高い (0-255までの優先順位、デフォルト値は 128)
2.以前動作していたときにマスターに選定されていた
3.起動している時間が長い (起動している時間が1分以上違う場合)
4.MAC アドレスの小さいほう
※マスターが選定された後、マスターREと同じ選定方式により、バックアップREスイッチの選定が実施される
• Linecard
バーチャル・シャーシを構成する残りのスイッチは、ラインカードとして動作
マスター、バックアップが何らかの理由によりフェイルした場合、マスターREと同じ選定方式によりラインカードからバックアップスイッチの選定を実施
> set virtual-chassis member <member-id> mastership-priority <priority 1-255>
set virtual-chassis preprovisioned
set virtual-chassis member 0 role routing-engine
set virtual-chassis member 0 serial-number 111111111111
set virtual-chassis member 1 role line-card
set virtual-chassis member 1 serial-number 222222222222
set virtual-chassis member 2 role line-card
set virtual-chassis member 2 serial-number 333333333333
set virtual-chassis member 3 role routing-engine
set virtual-chassis member 3 serial-number 444444444444
Virtual Chassisの構成方法について-3
より高いSLAが求められるネットワークへのデプロイ時には“Preprovisioned mode”でのVC構成を推奨されます。“Preprovisioned mode”では設定によりシリアルでのハードウェアとRole管理によるより安定した運用と、OSアップグレード時にミニマムなダウンタイムでの実施完了を期待できるNSSU(Non Stop Software Upgrade)サービスが提供されます。
Preprovisioned modeを宣言
各筐体毎のシリアルNo.を投入
任意の筐体2台でRouting-Engine Roleを宣言、その他の筐体のRoleはすべてLinecard
root@Juniper> show virtual-chassis ?
Possible completions:
<[Enter]> Execute this command
active-topology Virtual chassis active topology
device-topology PFE device topology
login
mode Virtual chassis mode information
protocol Show virtual chassis protocol information
status Virtual chassis information
vc-path Show virtual-chassis packet path
vc-port Virtual chassis port information
| Pipe through a command
{master:0}
Virtual Chassisの確認方法について-1
lab@lab> show virtual-chassis?
root> show virtual-chassis status
Virtual Chassis ID: 0019.e255.3740
Mastership Neighbor List
Member ID Status Serial No Model priority Role ID Interface
0 (FPC 0) Prsnt BM0208124253 ex4200-24t 128 Master* 1 vcp-0
2 vcp-1
1 (FPC 1) Prsnt BM0208124327 ex4200-24t 128 Backup 2 vcp-0
0 vcp-1
2 (FPC 2) Prsnt BM0208124235 ex4200-24t 128 Linecard 0 vcp-0
1 vcp-1
Member ID for next new member: 3 (FPC 3)
Virtual Chassisの確認方法について-2
“show virtual-chassis status”コマンドにて構成されたVCの状態を確認することが可能です。
root> show virtual-chassis status
Preprovisioned Virtual Chassis
Virtual Chassis ID: 0019.e255.3740
Mastership Neighbor List
Member ID Status Serial No Model priority Role ID Interface
0 (FPC 0) Prsnt BM0208124253 ex4200-24t 129 Master* 1 vcp-0
2 vcp-1
1 (FPC 1) Prsnt BM0208124327 ex4200-24t 129 Backup 2 vcp-0
0 vcp-1
2 (FPC 2) Prsnt BM0208124235 ex4200-24t 0 Linecard 0 vcp-0
1 vcp-1
Non-Preprovisioned Modeの場合、DefaultではすべてのメンバーのMastership Priorityは128となる(REはマニュアルで255に変更することを推奨)
Preprovisioned Modeの場合、REのMastership Priorityが129となり、LinecardのMastership Priorityは0となる
root@Juniper> show virtual-chassis vc-port
fpc0:
--------------------------------------------------------------------------
Interface Type Trunk Status Speed Neighbor
or ID (mbps) ID Interface
PIC / Port
vcp-0 Dedicated 2 Up 32000 1 vcp-1
vcp-1 Dedicated 1 Up 32000 9 vcp-0
1/0 Configured -1 Up 1000 1 vcp-255/1/1
1/1 Configured -1 Up 1000 3 vcp-255/1/0
fpc1:
--------------------------------------------------------------------------
Interface Type Trunk Status Speed Neighbor
or ID (mbps) ID Interface
PIC / Port
vcp-0 Dedicated 2 Up 32000 2 vcp-1
vcp-1 Dedicated 1 Up 32000 0 vcp-0
1/0 Configured -1 Up 1000
1/1 Configured -1 Up 1000 0 vcp-255/1/0
fpc2:
--------------------------------------------------------------------------
…
Virtual Chassisの確認方法について-3
“show virtual-chassis vc-port”コマンドにてVCバックプレーンの状態を確認することが可能です。
Virtual Chassis Mixed Mode
EX4300EX4600QFX5100
QFX5100,EX4600,EX4300などにおいては、異なるメディアのプラットフォームを1台のVCとして構成させることも可能です。
その場合はVCに組み込む前に以下のコマンドでVCのMixed Modeを宣言して機器をRebootする必要があります。Mixed Mode VCはVCを構成するメンバー全ての筐体で宣言する必要が有ります。
request virtual-chassis mode mixed
request system reboot
Virtual Chassisへのアクセスについて -1
Virtual Chassisを構成すると、複数台のスイッチが1台の仮想シャーシ型スイッチとして動作します。VCへのアクセスはConsole接続経由とネットワーク経由と二種類の選択肢がありますが、それぞれ以下の様な概念で動作しています。
・コンソールアクセスネットワーク管理者は任意のラインカード上のコンソールポートに接続すると、接続コネクションが内部的にMaster REにリダイレクトされる。つまり物理的な場所を気にする必要なくREにアクセスすることが可能です。
ネットワーク管理者
Member2 :LC 2
Member3 :LC 3
Member4 :LC 4
Console
Master RE
Backup RE
Virtual Chassisへのアクセスについて -2
・ネットワークアクセス仮想管理アドレスであるVME(Virtual Management Ethernet)にIPアドレスを付与することでMaster REがVMEアドレスへのアクセス要求に返答を行います。これによりひとつのIPアドレスで仮想シャーシへのネットワークアクセスが提供されます。
ケーブリングはMaster REになりうる2つの筐体でのみリンクアップさせておけば他は不要です。
ネットワーク管理者
Member2 :LC 2
Member3 :LC 3
Member4 :LC 4
SSH,Telnet,FTP,etc…Master RE
Backup RE
mgmt
mgmt
管理セグメント
set interface vme unit 0 family inet address <address/mask>
set chassis redundancy graceful-switchover
set routing-options nonstop-routing
set ethernet-switching-options nonstop-bridging
set system commit synchronize
set chassis redundancy graceful-switchover
set routing-options nonstop-routing
set protocols layer2-control nonstop-bridging
set system commit synchronize
Virtual ChassisのHA機能について
Routing Engine(RE)の障害時に出来る限り高速な切り替わりを提供するためには、以下の4行の設定投入をしておく必要があります。VCの初期構成時点で使用しているL2/L3プロトコルの種類に限らずこの4行の設定は無条件に投入しておくことをおすすめします。
EX3400/4300/EX4600/QFX5100シリーズ
EX3300シリーズ
KernelやInterface、L2/L3テーブルをRE間で同期
L3のプロトコルステータスをRE間で同期
L2のプロトコルステータスをRE間で同期
おまじない
Virtual Chassis バックプレーン増強について
同一VCメンバー間で複数の仮想バックプレーン(VCP)が接続されたことをVCが認識すると、その間は自動的にLAGが構成され、バックプレーン帯域がリンク数*Nへと増強されていきます。この際、設定は特に必要ありません。
Virtual Chassisに関するドキュメント
以下にVirtual Chassisを解説する各種資料がありますので、必要に応じてご参照ください。
・Linkshttps://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathway-pages/qfx-series/virtual-chassis.pdf
https://www.juniper.net/techpubs/en_US/junos14.1/topics/concept/virtual-chassis-ex-qfx-series-mixed-understanding.html
・Whitepaperhttp://www.juniper.net/us/en/local/pdf/whitepapers/2000427-en.pdf
・Day One Bookshttp://hydra.ck.polsl.pl/~helot/ipad/DayOne-Book/Configuring%20EX%20Series%20Switches.pdf
Virtual Chassisに関するドキュメント
• Virtual Chassis for Cloud Builders
http://www.slideshare.net/JuniperJapan/vc4-cb-201505
Virtual Chassisの使い方や内部動作詳細を日本語で解説!
LAB.5 Virtual Chassis の設定
Ethernet Switching "EX/QFX" courseTopology (Lab.5:Virtual Chassisを構成)
Tokyo
Nagoya
Osaka
Fukuoka
※EX3400シリーズは工場出荷状態では2つの40GbEインタフェースがVC Portとしてデフォルトで設定されています。本トレーニングではケーブルの都合上、4つの10GbEインターフェイスのうち老番の2ポートをVC Portとして事前設定してあります。
0 1 2 3
10GbE(xe-0/2/0-1)
VCP(xe-0/2/2-3 configured)
● ●VCP(Factory Default)
EX3400 Rear View
VC事前確認①
VCを構成する前に、単体のEXで以下のことを事前確認してください。
• Member-idが”0”であること
• Member ID for next new memberが”1” であること
• Mixed modeが”N”または”NA”となっていること
• Master priorityが”128”であること
• Config上にvirtual-chassisに関連する設定が何も入っていないこと
EXのJunos SWバージョンが他のメンバーと同一であること
> show virtual-chassis
Virtual Chassis ID: 2d90.26d8.22f2
Virtual Chassis Mode: Enabled
Mstr Mixed Neighbor List
Member ID Status Serial No Model prio Role Mode ID Interface
0 (FPC 0) Prsnt BR0208392392 ex4200-24t 128 Master* N
Member ID for next new member: 1 (FPC 1)
# show virtual-chassis
VC事前確認② EX3400
VCに使用するポートの設定を確認します。
• 2つのポート2/2, 2/3がVC Portに設定されていること
• TypeがConfiguredと表示されていること
• StatusがAbsent, またはDownであること
{master:0}
lab@EX3400> show virtual-chassis vc-port
fpc0:
--------------------------------------------------------------------------
Interface Type Trunk Status Speed Neighbor
or ID (mbps) ID Interface
PIC / Port
2/3 Configured Absent
2/2 Configured Absent
1/0 Configured Absent
1/1 Configured Absent
①VC Basic Setup (non pre-provisioned)
・Tokyo以外のスイッチで、電源をOFFにします。
・(Tokyoのみ)VC管理用インタフェースとしてme0の設定をvmeに移しておきます。
・TokyoとNagoyaのVC Portを接続し、Nagoyaの電源をONにします。TokyoがMasterに選定されますので、TokyoのIPアドレスに接続しなおします。
・同様に、Osaka、Fukuokaをそれぞれ順に接続し、電源を起動します。
root> request system halt at now
# rename interfaces me0 to vme
# commit
①VC基本構成確認
以下のコマンドでVCのステータスを確認します。
以下のコマンドでVCメンバーの機器にログインできます。
> show virtual-chassis status
> show virtual-chassis vc-port
> show virtual-chassis login
> request session member <member-id>
②mastership priorityの変更 (non pre-provisioned)
• Mastership Priorityを変更して、任意のEXをMaster RE、Backup REに指定します。
• 以下の設定はMasterとなっているスイッチで実行してください。
Master Priority =255
Master Priority =255
0
1
2
3
root# set virtual-chassis member 0 mastership-priority 255
root# set virtual-chassis member 2 mastership-priority 255
Root# commit synchronize
②mastership priorityの変更 (non pre-provisioned)
Mastership Priorityが変更され、ステータスが更新されたことを確認します。
TokyoとNagoya間のVCケーブルを抜去し、ステータスやVCポートの遷移を確認します。
Master Priority =255
Master Priority =255
0
1
2
3
root> show virtual-chassis
root> show virtual-chassis vc-port statistics
root> show virtual-chassis
③Virtual Chassisのリセット
• VCを解体して、4台の個別なスイッチに戻す
• VCPケーブルを抜き、各スイッチでステータスを確認
解体後、で以下コマンドを実行して各種VC情報を消去(以下はBackup-RE の例)
Pre-Master REmember-id 0
Pre-Backup REmember-id 2
Pre line-cardmember-id 1
Pre line-cardmember-id 3
0
1
2
3
root> request virtual-chassis reactivate
root> request virtual-chassis recycle member-id 0
root> request virtual-chassis recycle member-id 1
root> request virtual-chassis recycle member-id 3
root> request virtual-chassis renumber member-id 1 new-member-id 0
④Pre-provisioning configuration
• VCをPreprovision Configurationで構成する
• Master REに以下の設定を投入後、各メンバーのVCポートを接続
シリアル番号は適宜修正をしてください。
root# set virtual-chassis preprovisioned
root# set virtual-chassis member 0 role routing-engine
root# set virtual-chassis member 0 serial-number xxxxxxxxxxxx
root# set virtual-chassis member 1 role line-card
root# set virtual-chassis member 1 serial-number xxxxxxxxxxxx
root# set virtual-chassis member 2 role line-card
root# set virtual-chassis member 2 serial-number xxxxxxxxxxxx
root# set virtual-chassis member 3 role routing-engine
root# set virtual-chassis member 3 serial-number xxxxxxxxxxxx
Role = Routing Engine
Role = Routing Engine
0
1
2
3
⑤Virtual Chassis HA
• RE間のテーブルやプロトコルの同期設定を行うことで、RE障害のダウンタイムを軽減する
Role = Routing Engine
Role = Routing Engine
0
1
2
3
root# set chassis redundancy graceful-switchover
root# set routing-options nonstop-routing
root# set protocols layer2-control nonstop-bridging
root# set system commit synchronize
⑤Virtual Chassis HA
• OSPFの設定をVC-1・VC-2に投入した後に、Master REをHaltしてNSRの効果を確認する
Role = Routing Engine
Role = Routing Engine
0
1
2
3
Role = Routing Engine
Role = Routing Engine
0
1
2
3
VC-1 (192.168.1.1) VC-2 (192.168.1.5)
ae0(ge-1/0/23)
ae0(ge-2/0/23)
ae0(ge-1/0/23)
ae0(ge-2/0/23)
ae0 10.1.1.x/24
Lo0: 1.1.1.1/32 Lo0: 2.2.2.2/32
set chassis aggregated-devices ethernet device-count 1
set interfaces ge-1/0/23 ether-options 802.3ad ae0
set interfaces ge-2/0/23 ether-options 802.3ad ae0
set interfaces ae0 unit 0 family inet address 10.1.1.1/24
set interfaces lo0 unit 0 family inet address 1.1.1.1/32
set routing-options router-id 1.1.1.1
set protocols ospf area 0.0.0.0 interface ae0.0
set protocols ospf area 0.0.0.0 interface lo0.0
⑤Virtual Chassis HA
• 設定サンプル
set chassis aggregated-devices ethernet device-count 1
set interfaces ge-1/0/23 ether-options 802.3ad ae0
set interfaces ge-2/0/23 ether-options 802.3ad ae0
set interfaces ae0 unit 0 family inet address 10.1.1.2/24
set interfaces lo0 unit 0 family inet address 2.2.2.2/32
set routing-options router-id 2.2.2.2
set protocols ospf area 0.0.0.0 interface ae0.0
set protocols ospf area 0.0.0.0 interface lo0.0
VC-1 (192.168.1.1)
VC-2 (192.168.1.5)
{master:0}[edit]
root@Tokyo-1# run request system reboot member 0 at now
Reboot the system at now? [yes,no] (no) yes
⑤Virtual Chassis HA
• 確認方法(VC-1のMaster REをRebootしたときに、対向のVC-2側のOSPF neighborが切れないことを確認)
{master:0}[edit]
root@Tokyo-2# run show ospf neighbor detail
Address Interface State ID Pri Dead
10.1.1.1 ae0.0 Full 1.1.1.1 128 38
Area 0.0.0.0, opt 0x52, DR 10.1.1.2, BDR 10.1.1.1
Up 00:03:24, adjacent 00:03:24
VC-1 (192.168.1.1)
VC-2 (192.168.1.5)
⑥Virtual Chassis の目視での確認方法
• Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。
QFX5100の場合 SYS (System)
MST (Master)
• 消灯:システムがパワーオフ、もしくはHalt状態• 点灯:JUNOSがスイッチ上で動作している状態• 点滅:以下のうちどれかの状態
• Virtual Chassis(VC)のメンバースイッチ• Virtual Chassis Fabric(VCF)のメンバースイッチ
• 消灯:VC/VCFのLinecardとして動作• 点灯:以下のうちどれかの状態
• スタンドアローンスイッチ• VCのMaster REスイッチ• VCFのMaster REスイッチ
• 点滅:以下のうちどれかの状態• VCのBackup REスイッチ• VCFのBackup REスイッチ
⑥Virtual Chassis の目視での確認方法
• Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。
EX3400/EX4300の場合 SYS (System)
MST (Master)
• 点灯:JUNOSがスイッチ上で動作している状態• 点滅:スイッチが起動中の状態• 消灯:システムがパワーオフ、もしくはHalt状態
• Standaloneの場合• 消灯:システムがパワーオフ、もしくはHalt状態• 点灯:JUNOSがスイッチ上で動作している状態
• Virtual Chassisの場合• 点灯:VCのMaster REスイッチ• 点滅:VCのBackup REスイッチ• 消灯:VCのLinecardスイッチ、もしくはHalt状態
TIPs to be JUNOS Experts
俳句の表示
検証作業やトラブルシュートに疲れたときには、JUNOSに前向きな気持ちの言葉を表示させ、管理者の気持ちを和らげることが可能です
root> show version and haiku
※コマンドを打つ度、異なった前向きなポエムが表示される
root> show version and haiku
Model: ex2200-c-12p-2g
Junos: 14.1X53-D25.2
JUNOS EX Software Suite [14.1X53-D25.2]
JUNOS FIPS mode utilities [14.1X53-D25.2]
JUNOS Online Documentation [14.1X53-D25.2]
JUNOS EX 2200 Software Suite [14.1X53-D25.2]
JUNOS Web Management Platform Package
[14.1X53-D25.2]
Look, mama, no hands!
Only one finger typing.
Easy: commit scripts.
root> show version and haiku
Model: ex2200-c-12p-2g
Junos: 14.1X53-D25.2
JUNOS EX Software Suite [14.1X53-D25.2]
JUNOS FIPS mode utilities [14.1X53-D25.2]
JUNOS Online Documentation [14.1X53-D25.2]
JUNOS EX 2200 Software Suite [14.1X53-D25.2]
JUNOS Web Management Platform Package
[14.1X53-D25.2]
Juniper babies
The next generation starts
Gotta get more sleep
root> show version and haiku
Model: ex2200-c-12p-2g
Junos: 14.1X53-D25.2
JUNOS EX Software Suite [14.1X53-D25.2]
JUNOS FIPS mode utilities [14.1X53-D25.2]
JUNOS Online Documentation [14.1X53-D25.2]
JUNOS EX 2200 Software Suite [14.1X53-D25.2]
JUNOS Web Management Platform Package
[14.1X53-D25.2]
Weeks of studying,
Days of lab exercises:
JNCIE.
設定のコピー
• copy コマンドにより特定の設定をコピーすることが可能
root# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/26;
root# copy interfaces ge-0/0/1 to ge-0/0/0
root# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address
192.168.1.1/26;
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/26;
ge-0/0/1の設定をge-0/0/0へコピー
設定の書き換え
• rename コマンドにより設定したvariable やエレメントを書き換えることも可能
ge-0/0/0のaddressを192.168.2.1/26へ変更
root# rename interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/26 to address 192.168.2.1/26
root# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address
192.168.1.1/26;
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/26;
root# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address
192.168.2.1/26;
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/26;
設定の項目の置換
• replace コマンドにより設定内の文字列を置換することも可能
ge-0/0/0のaddressを192.168.2.1/26へ変更
root# replace pattern /26 with /24
root# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address
192.168.2.1/26;
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/26;
root# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address
192.168.2.1/24;
ge-0/0/1 {
unit 0 {
family inet {
address
192.168.1.1/24;
activate/deactivate
• deactivateコマンドを使うことで、設定の一部を削除することなく無効にすることが可能なので、障害時の切り分けなどに便利
192.168.1.2/24を無効化
root# deactivate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24
root# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
address 192.168.1.2/24;
root# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
inactive: address 192.168.1.2/24;
192.168.1.2/24の無効化を解除(有効化)
root# activate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24
wildcard range set/delete -1
• wildcard rangeコマンドを使用することで、インタフェースなど複数の対象に対して同じ設定内容を適用することが簡単に可能
root# show interfaces
root#
root# wildcard range set interfaces ge-0/0/[0-3,5,!2] mtu 9000
root# show interfaces
ge-0/0/0 { mtu 9000; }
ge-0/0/1 { mtu 9000; }
ge-0/0/3 { mtu 9000; }
ge-0/0/5 { mtu 9000; }
ge-0/0/0-1,3,5のMTU設定が一括で投入されている
[0-3, 5, !2] ⇒ 0~3と5、ただし2は除く
wildcard range set/delete -2
• 同様にDeleteも可能
root# wildcard range delete interfaces ge-0/0/[0-1] mtu
root# show interfaces
ge-0/0/0 { mtu 9000; }
ge-0/0/1 { mtu 9000; }
ge-0/0/3 { mtu 9000; }
ge-0/0/5 { mtu 9000; }
root# show interfaces
ge-0/0/3 { mtu 9000; }
ge-0/0/5 { mtu 9000; }
interface-range -1
• interface-rangeを使用することで、複数のインタフェースをグループ化して共通の設定を行う事が可能。この設定はwildcardと異なりコンフィグ内に保持される為、一度作成してしまえば様々な設定に対する繰り返しの利用が可能
root# show interfaces
root#
root# set interfaces interface-range CLIENTS member-range ge-0/0/0 to ge-0/0/1
root# set interfaces interface-range CLIENTS member ge-0/0/3
root# set interfaces interface-range CLIENTS mtu 9000
root# show interfaces
interface-range CLIENTS {
member ge-0/0/3;
member-range ge-0/0/0 to ge-0/0/1;
mtu 9000;
}
CLIENTSというメンバーに入っている、ge-0/0/0-1,3のMTUを一括設定
interface-range -2
• Range内の個別インタフェース毎に特有の設定を追加することも可能
root# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/24
root# show interfaces
interface-range CLIENTS {
member ge-0/0/3;
member-range ge-0/0/0 to ge-0/0/1;
mtu 9000;
}
CLIENTSというメンバー共通でない設定をIF単体に設定設定
root# show interfaces
interface-range clients {
member ge-0/0/3;
member-range ge-0/0/0 to ge-0/0/1;
mtu 9000;
}
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.1/24;
}
}
}
階層間の移動 -1
同じ階層の設定を複数作成する際は階層を移動することで作成する構文を省略することが可能です
例1: FWフィルタの設定(topの階層から設定)
[edit]
set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
set firewall family inet filter FW-FILTER term BLOCK from destination-address 192.168.1.0/24
set firewall family inet filter FW-FILTER term BLOCK from dscp cs5
set firewall family inet filter FW-FILTER term BLOCK from port https
set firewall family inet filter FW-FILTER term BLOCK from port http
# show firewall
family inet{
filter FW-FILTER{
term BLOCK{
from{
source-address{
10.10.10.0/24;
}
destination-address{
192.168.1.0/24;
}
dscp cs5;
port[ https http ];
}
}
}
}
※設定を投入する際は繰り返しset firewall family…fromと入力する必要がある
# show firewall
family inet {
filter FW-FILTER {
term BLOCK {
from {
source-address {
10.10.10.0/24;
}
destination-address {
192.168.1.0/24;
}
dscp cs5;
port [ https http ];
}
}
}
}
[edit firewall family inet filter FW-FILTER term BLOCK from]
set source-address 10.10.10.0/24
set destination-address 192.168.1.0/24
set dscp cs5
set port https
set from port http
階層間の移動 -2
例2: FWフィルタの設定(firewall filter FW-FILTER term BLOCK fromの階層から設定)
※設定を投入する際はfirewall family…fromまでを省略して入力することができる
※コマンド入力時、set や delete、show の前に top や up <階層数> を入れると今いる階層から移動せずに今いる階層を無視して入力・表示することができる
階層間の移動 -3
• 階層間は、editコマンドで移動することができます
• exit:直前にいたレベルに戻ります• TOPでEXITを実行すると、Operationalモードに戻ります
• OperationalモードでEXITを実行すると、システムからLogoutします• Shellモードから`cli`でOperationalモードに移動した場合は、Shellモードに戻ります
• up:一つ上のレベルに移動します
• top:最上位のレベルに移動します
# show firewall
family inet{
filter FW-FILTER{
term BLOCK{
from{
source-address{
10.10.10.0/24;
}
destination-address{
192.168.1.0/24;
}
dscp cs5;
port[ https http ];
}
}
}
}
Top
Down
Editで
階層
を指
定
Topで
最上
位へ
upで
一つ
上へ
※top edit や up <階層数> edit と入れると1回の入力で今いる階層から任意の階層に移動することができる
Automatic Configuration Archival
• Automatic Configuration Archival機能を使用することで、自動的に最新のコンフィグをリモートのFTP/SCPサーバにバックアップすることが可能
• アップロードのタイミングは、コミットの度もしくは一定時間毎のいずれか、あるいは両方を選択可能
1. コミットの度にリモートのサーバにコンフィグをバックアップする設定:
user@Junos# set system archival configuration transfer-on-commit
user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP-
server-ip/directory
2. 一定時間おきにリモートのサーバにコンフィグをバックアップする設定:
(例: 1440分 = 24時間おき)
[
user@Junos# set system archival configuration transfer-interval 1440
user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP-
server-ip/directory
annotate
• annotateコマンドを使うと、自由に注釈をつけることが可能、テスト時・運用時などに便利
今いる階層の直下にあるコンフィグアイテムが対象、注釈内容はコンフィグアイテムの上部に/* XXXX */と書かれる
root# annotate interfaces ge-0/0/0 “borrowed the cable directory from Yoshida-san”
[edit]
lab# edit routing-instances
[edit routing-instances]
lab# annotate cust-1 "L3VPN test"
[edit routing-instances]
lab# edit cust-1
[edit routing-instances cust-1]
lab# annotate protocols
Don'tForgetInjectDirectRoute
[edit routing-instances cust-1]
lab# up
[edit routing-instances]
lab# show
/* L3VPN test */
cust-1 {
instance-type vrf;
interface ge-0/0/0.101;
interface ge-0/0/1.101;
route-distinguisher 192.168.1.1:1001;
vrf-target target:64512:1001;
vrf-table-label;
/* Don'tForgetInjectDirectRoute */
protocols {
bgp {
group cust-1 {
description "Receive-Routes 1000"
(snip)
※コメント内容にスペース(空白)が含まれるときはコメント両端を引用符(" ")でくくる※コメントを消すときは annotate xxxx "" というように引用符("")で上書きする※show configuration | display set では表示されない※コンフィグを張り付けるときに直接 /* xxxx */ 構文を挿入できる
機器の初期化
Junos機器を初期化する手法は主に以下の3つ
• Configuration modeで load factory-default
• 実行すると、Candidate Configurationにデフォルトの設定がロードされる
• 実際に初期設定に戻すには、rootパスワードの設定とCommitが必要となる
• 設定のみを戻したいときに有効で、ログや過去のConfig(rollback)などは削除されない
• Operation modeで request system zeroize
• 実行すると、全ての設定やログ、ユーザの作成したファイルが削除され、再起動する
• システムファイルは削除されない
• USBメモリやCFからのFormat install
• USBメモリやCFにJunosイメージを書き込み、ブートローダーからJunosを再インストールする
• システムファイルを含むディスク上の全てのデータが削除され、新たにJunosがインストールされる
• 実行方法は機種によって異なり、JTACから指示された場合を除き、一般的に使用する必要はない
コントロールパケットのキャプチャ
以下のコマンドを使用することにより、コントロールパケット(REが受信するパケット)をキャプチャする事が可能
• このコマンドでキャプチャできるパケットは、PFEで処理されずREで処理されるパケットに限られる
• ICMP Echo(ping)等、PFEによってオフロード処理されるパケットは表示されないので注意
• パケット内容の詳細まで確認したい場合は extensive オプションなどを使用する
root> monitor traffic interface xe-1/2/0.0
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on xe-1/2/0.0, capture size 96 bytes
11:39:06.772930 Out IP truncated-ip - 11 bytes missing! 192.168.1.1.bgp > 192.168.1.2.32794: P
635171747:635171766(19) ack 995070346 win 16384 <nop,nop,timestamp 3971359530 2610569>: BGP,
length: 19
11:39:06.803191 In IP 192.168.1.2.32794 > 192.168.1.1.bgp: . ack 19 win 5360 <nop,nop,timestamp
2637232 3971359530>
…
…
groups/apply-groups
設定の一部をgroupという形で切り出し、apply-groupsで任意の階層に適用する事が可能
• 例: 全てのOSPFインタフェースのHello-IntervalとDead-Intervalを変更
root# show groups
OSPF_COMMON {
protocols {
ospf {
area <*> {
interface <st*> {
hello-interval 5;
dead-interval 20;
}
}
}
}
}
root# show protocols ospf
apply-groups OSPF_COMMON;
area 0.0.0.0 {
interface st0.1;
interface st0.2;
interface lo0.0 {
passive;
}
}
# show protocols ospf | display inheritance
area 0.0.0.0 {
interface st0.1 {
##
## '5' was inherited from group 'OSPF_COMMON'
##
hello-interval 5;
##
## '20' was inherited from group 'OSPF_COMMON'
##
dead-interval 20;
}
interface st0.2 {
##
## '5' was inherited from group 'OSPF_COMMON'
##
hello-interval 5;
##
## '20' was inherited from group 'OSPF_COMMON'
##
dead-interval 20;
}
interface lo0.0 {
passive;
}
}
自動的に共通設定が適用される
※CommitしてもConfigはきちんとグループ化されたままとなる実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する
インタフェース名やエリア名、IPアドレス等のユーザが自由入力する値は<*>とすると全てに適用される
特定のインタフェースのみに適用したい場合などは、<st*> といったように一部の文字列を指定することも可能
prefix-list / apply-path
設定に含まれるIPアドレスから自動的にリストを生成し、Firewall Filterに適用することが可能
root# show protocols bgp
group GROUP-A {
neighbor 1.1.1.1;
neighbor 2.2.2.2;
}
root# show interfaces
ge-0/0/0 { unit 0 { family inet {
address 1.1.1.0/30;
} } }
ge-0/0/1 { unit 0 { family inet {
address 2.2.2.0/30;
} } }
fxp0 { unit 0 { family inet {
address 192.168.1.10/24;
} } }
root# show policy-options
prefix-list BGP-PEERS {
apply-path "protocols bgp group <*> neighbor <*>";
}
prefix-list LOCALNETS {
apply-path "interfaces <ge-*> unit <*> family inet
address <*>";
}
root# show policy-options | display inheritance
prefix-list BGP-PEERS {
##
## apply-path was expanded to:
## 1.1.1.1/32;
## 2.2.2.2/32;
##
apply-path "protocols bgp group <*> neighbor
<*>";
}
prefix-list LOCALNETS {
##
## apply-path was expanded to:
## 1.1.1.0/30;
## 2.2.2.0/30;
##
apply-path "interfaces <ge-*> unit <*>
family inet address <*>";
}
※実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する
IPアドレスが自動的コピーされる
show configuration groups junos-defaults
暗黙の初期コンフィグを確認することが可能
user@host> show configuration groups junos-defaults## Defines the default for dynamic-profiles#dynamic-profiles {
<*> {variables {
junos-interface-unit {internal;valid-path "interface_unit_number|unit-number unit interface interface-set";
}junos-interface-ifd-name {
internal;valid-path "interface_name|interface-name interface interface-set|underlying-
interface";}junos-underlying-interface-unit {
internal;valid-path "interface_unit_number|unit-number unit interface interface-set";
}junos-underlying-interface {
internal;valid-path underlying-interface;
}junos-subscriber-ip-address {
internal;valid-path "source address inet|address demux-source inet|address source-address
from term fast-update-filter inet|address destination-address from term fast-update-filter inet|destination route";
}
(snip)
mike@juniper1> help topic interfaces address
Configuring the Interface Address
You assign an address to an interface by specifying the address when configuring the
protocol family. For the inet family, you configure the interface's IP address. For the
iso family, you configure one or more addresses for the loopback interface. For the ccc,
tcc, mpls, tnp, and vpls families, you never configure an address.
オンライン・マニュアル
• 豊富な機能の help コマンド
• help topic : プロトコルや機能の一般的な説明を表示
• help reference : プロトコルや機能の設定方法を表示(コマンド・レファレンス)
• help syslog : syslog メッセージの説明
JUNOS : help topic
コマンドの概要を確認することが可能
user@host> help topic ospf dead-interval
Modifying the Router Dead Interval
If a router does not receive a hello packet from a neighbor within a fixed
amount of time, the router modifies its topological database to indicate
that the neighbor is nonoperational. The time that the router waits is
called the router dead interval. By default, this interval is 40 seconds
(four times the default hello interval).
To modify the router dead interval, include the dead-interval statement.
This interval must be the same for all routers on a shared network.
dead-interval seconds;
For a list of hierarchy levels at which you can include this statement,
see the statement summary section for this statement.
JUNOS : help reference
• コマンドのオンラインマニュアルを参照することが可能
user@host> help reference oam action
action (OAM)
Syntax
action {
syslog (OAM Action);
link-down;
send-critical-event;
}
Hierarchy Level
[edit protocols oam ethernet link-fault-management action-profile]
Release Information
Statement introduced in JUNOS Release 8.5.
…
Description
Define the action or actions to be taken when the OAM fault event occurs.
Usage Guidelines
See Specifying the Actions to Be Taken for Link-Fault Management Events.
JUNOS : help apropos
• 確実に覚えていないコマンド(うろ覚えの場合など)を文字列で検索することが可能
user@host# help apropos vstp
set logical-systems <name> protocols vstp
VLAN Spanning Tree Protocol options
set logical-systems <name> protocols vstp disable
Disable VSTP
set protocols vstp
VLAN Spanning Tree Protocol options
set protocols vstp disable
Disable VSTP
user@host# > help apropos vstp
help topic stp vstp
VLAN Spanning Tree Protocol instance configuration
help topic stp vstp-requirements
Requirements, limitations for VLAN Spanning Tree Protocol
help reference stp vstp
VLAN Spanning Tree Protocol configuration
help reference stp vlan-vstp
VLAN configuration for VLAN Spanning Tree Protocol
Configuration mode
Operation mode
lab@Router# set protocols ospf traceoptions flag ?
Possible completions:
all Trace everything
database-description Trace database description packets
error Trace errored packets
event Trace OSPF state machine events
flooding Trace LSA flooding
general Trace general events
hello Trace hello packets
lsa-ack Trace LSA acknowledgement packets
lsa-request Trace LSA request packets
lsa-update Trace LSA update packets
normal Trace normal events
packet-dump Dump the contents of selected packet types
packets Trace all OSPF packets
policy Trace policy processing
route Trace routing information
spf Trace SPF calculations
state Trace state transitions
task Trace routing protocol task processing
timer Trace routing protocol timer processing
例: OSPF Trace-option注目したいパケットタイプを細かく指定することが可能
CLI:Trace/充実したdebug機能
• JUNOSでは,プロトコル別にTrace-optionsを非常に細かく設定可能です。
• このTraceの出力先はファイル出力、あるいはmonitorコマンドでReal-timeに画面にてモニタ表示
• トラブルシューティングに役立つ情報を的確に抜き出すことができます
10.0b2 Seconds: 13 Time: 14:50:48
Interface Link Input packets (pps) Output packets (pps)
ge-0/0/0 Up 54175 (4) 4126 (0)
ge-0/0/1 Down 399 (0) 37 (0)
ge-0/0/2 Up 5110 (1) 4224 (0)
ge-0/0/3 Down 0 (0) 0 (0)
ge-0/0/4 Down 0 (0) 0 (0)
ge-0/0/5 Down 0 (0) 0 (0)
ge-0/0/6 Down 0 (0) 0 (0)
Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D
CLI:monitor/リアルタイムにトラフィックを監視
• monitorコマンドで現在のI/F別トラフィック状況を見ることが出来ます
• 表示はAUTOリフレッシュされるため、継続的なモニタリングが可能
• トラフィックの傾向や障害箇所の特定に役立ちます
rescue configuration
• 基本となるconfigurationを予め定義(保存)することが可能保存方法: > request system configuration rescue save
削除方法: > request system configuration rescue delete
• Rescue configurationの反映方法
• Rollbackコマンドからのロード
# rollback rescue
• ハードウェアからのロード
• SRXシリーズはRESET CONFIGボタンを押すことでハードウェアからロードすることができます。
※15秒以上押し続けるとfactory defaultがロードされます
例: SRX300
root# rollback rescue
load complete
root# commit
• 一部のEXシリーズはLCDパネルでメンテナンスモードを操作することでハードウェアからロードすることができます。
例: EX3300
vSRX on your laptop ~PCで始めるvSRX~
• 仮想Router/FirewallであるvSRXをLaptop PC上で動作させるための指南書
http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505
実際のデバイスと同様の設定作成や仕様確認をPC上で実施することが可能!
Appendix
Appendix AVirtual Chassis Fabric
Routing Engine
Line Card
Virtual Chassis Fabricとは
2台以上20台以下のQFX5100シリーズ/EX4300 スイッチを接続することで仮想的に1台のシャーシ型システムとして動作させるL2/L3 イーサネットファブリックテクノロジー
シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
ネットワーク管理者
Devices to Manage
= 1 !!!
Routing Engine
Line Card
旧来のシャーシ型スイッチとVirtual Chassis技術
シャーシ型スイッチのメリット 高信頼性ハードウェア
– 冗長ルーティングエンジン– 冗長スイッチファブリック– 冗長電源ユニット– 冗長ファントレイ
管理の簡便性– シングルイメージ– 単一のコンフィグファイル– 単一のマネージメントIPアドレス
パフォーマンスとスケーリング– ハイパフォーマンス– 大容量のバックプレーン– モジュラー型構成
LAG 2
LAG 1
Virtual Chassis による更なるメリット: 物理配置の柔軟性
低消費電力
最小構成からスタート可能
必要最低限のラックスペース
Virtual Chassis Fabricによる更なるメリット: 10 Member ⇒ 20 Memberまでのサポート
Intelligent Bandwidth Allocation
Bi-directional Multicast Distribution Trees
FCoE Transit (DCBX Support, QFX Only)
Virtual Chassis FabricVirtual Chassis
Architectural Choice – Virtual Chassis Fabric vs. Virtual Chassis
Spine & Leaf
Braid Ring
High-Performance MeshFat Tree
• Spine & Leafトポロジー構成
• SpineにはQFX5100が必要
• LeafはQFX5100,EX4300などから選択が可能
• 最大で20メンバーまで(Max 4 Spine & 28 Leafs)
• バージョンアップ時にはNSSUをサポート
• Ring、Tree、Mesh、Spine & Leafなど自由なトポロジーで構成が可能
• EX3300~MXまで様々なHWでサポート
• 最大で10メンバーまで
• バージョンアップ時にはNSSUをサポート
Virtual Chassis Fabricの構成オプション2 or 4 Spine Node Deployments
2 Spine Nodes
10GbE 10GbE10GbE
QFX5100-24Q
1 2 30
10GbE 10GbE
3 4
QFX5100-48S
1 2
2 X uplinks
• 30 x 10GbE racks
• 1440 x 10GbE ports 6:1 OS
10GbE 10GbE10GbE
QFX5100-24Q
1 2 28
10GbE 10GbE
3 4
1 2 3 4
QFX5100-24Q QFX5100-96S8 X uplinks
• 28 x 10GbE racks
• 2688 x 10GbE ports 3:1 OS
4 Spine Nodes
40GbE 40GbE1 X Switch to Manage 1 X Switch to Manage
Virtual Chassis Fabricをサポートするプラットフォーム
QFX5100-24Q (40GbE)
QFX5100-48S (10GbE)
10/40GbE Spine Nodes
EX4300 (1GbE)
QFX5100-48S (10GbE)
QFX3500 (10GbE) QFX3600 (40GbE)
1/10/40GbE Leaf Nodes
QFX5100-24Q (40GbE)QFX5100-96S (10GbE)
QFX5100-48T (10G-T)
最大 20 Members(2x Spine + 18x Leaf or 4x Spine + 16x Leaf)
異なるメディアスピードのスイッチをVirtual Chassis Fabric内で収容可能なため1GbE から 10GbE, 40GbE 環境へのシームレスな移行をサポート
EX4300 EX4300
1GbE Servers
QFX5100-48S/48T
10GbE Servers
Mixed Speed Fabric(1G to 40G)
ネットワーク管理者
Devices to Manage
= 1 !!!
QFX5100-24Q
40GbE Storages
DC Interconnect
(MPLS)
The Internet
4x spine, 16x leaf による1G & 10G Mixed VCF構成 (Max 16 racks per VCF)
Virtual Chassis Fabricの使用例(1)@DCネットワーク
ネットワーク管理者
Switches to Manage
= 1 !!! For ~28 Racks
DC Edge Router(MX)
Load-Balancer
Service Gateway(SRX)
Spine Switch(QFX5100-24Q x4)
Access Switch( EX4300-48T x8) Access Switch
( QFX5100-48T x8)
異なるLCへのNIC Teaming
異なるLCへのLAG
10G Server1G Server
10G POD1G POD
DC Interconnect
(MPLS)
The Internet
奇数ラック、偶数ラックでのVCF分割による高可用設計 (Max 60 racks per 2x VCFs)
Virtual Chassis Fabricの使用例(2)@DCネットワーク
ネットワーク管理者
Switches to Manage
= 3 !!! For ~60 racks
DC Edge Router(MX)
Load-Balancer
Service Gateway(SRX)
Spine Switch for Even VCF(QFX5100-24Q x2)
Access Switch( EX4300-48T x10) Access Switch
( QFX5100-48T x10)
異なるVCFへのTeaming
Important Server
Cluster Server
VCFまたぎのClustering
Spine Switch for Odd VCF(QFX5100-24Q x2)
`
Core VC Switch(QFX5100-24Q x2)
Virtual Chassis Fabricの構成方法について -1
QFX5100/EX4300の出荷時の状態では、スイッチの動作モードはVCモードとなっており、そのままではVCFを構成することができません。VCFを構成するにあたっては、VCFのライセンスを投入後、以下のコマンドを使用して、スイッチをVirtual Chassis Fabricモードに変更する必要があります。
> request virtual-chassis mode fabric
# set virtual-chassis preprovisioned
# set virtual-chassis member 0 role routing-engine
# set virtual-chassis member 0 serial-number 111111111111
# set virtual-chassis member 1 role routing-engine
# set virtual-chassis member 1 serial-number 222222222222
# set virtual-chassis member 2 role line-card
# set virtual-chassis member 2 serial-number 333333333333
# set virtual-chassis member 3 role line-card
# set virtual-chassis member 3 serial-number 444444444444
…
Virtual Chassis Fabricの構成方法について -2VCFを構成する際には、Plug-and-PlayでのVCF構成を提供する“Non-Preprovisioned mode”と、Spineについての設定のみを投入する”Auto-Provisioned mode”、最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。
一般的により高いSLAが求められるデータセンターへのデプロイ時には“Preprovisioned mode”でのVCF構成を推奨します。これによりシリアルでのハードウェア管理による、より安定した運用と、OSアップグレード時におけるNSSUサービスが提供されます。
Preprovisioned modeを宣言
Spineとして動作させる2~4台の筐体をRouting-Engineとするその他の筐体のRoleはすべてLine-card
各筐体毎のシリアルNo.を投入
Appendix BMulti-Chassis LAG
Juniperの提供する冗長化技術
筐体を跨いだLink Aggregation(LAG)が組める技術として、主に以下のアーキテクチャを提供しています。
MC-LAG Virtual Chassis Virtual Chassis Fabric
管理負荷を下げつつ、ハイパフォーマンスな転送を実現するSpine-Leaf型のファブリックトポロジーを構成したい方に
管理の負荷を下げつつ、柔軟なデザインを実現したい方
スパニングツリーなどを使用せずに標準化プロトコルでL2冗長を構成したい方
20台までを、仮想的な1台のシャー型スイッチとして管理
10台までを、仮想的な1台のシャー型スイッチとして管理
アーキテクチャ選択MC-LAG vs Virtual Chassis
MC-LAG Virtual Chassis
1 2 1 10
MC-LAG Virtual Chassis
コントロールプレーン Active-Active Active-Standby
データプレーン Active-Active Active-Active
管理 2台別々 10台まで1台として管理
設定同期 手動(※Roadmap) 自動
対向デバイスから見たL2ネイバー 1台に見える 1台に見える
対向デバイスから見たL3ネイバー 2台に見える 1台に見える
バージョンアップ 1台ずつ(ISSU) NSSU/ISSU(※Roadmap)
Active Active
それぞれが独立して動き、MAC、I/Fの状態を交換
REはHot-stanbyConfigも常に同期
スイッチ台数が増えてくると、管理面で差が出てきます。
MC-LAG対応プラットフォーム
MXシリーズ QFXシリーズ EX9200 EX4600シリーズ EX4300シリーズ その他のEXシリーズ
MC-LAG
Active/Active構成
Active/Standby構成
VRRPとの組合せ
L2VPN(MPLS)との組合せ
VPLSとの組合せ
MC-LAG基本構成
• MC-LAGを構成する上での基本
• Node1・2の間はMACアドレスやLinkのステータスを同期しています。(ICCP)
• MC-LAGにつながるLAG機器とはLACPでステータスを交換します。
Node1 Node2
LACP
ICCP
MC-LAGを構成するスイッチはどちらもActive (Master/Backup等の関係では無い)ので、ここではNode1、Node2と呼びます。
LACP info: Role System System Port Port Port
priority identifier priority number key
et-0/0/48.0 Actor 127 54:1e:56:69:4e:00 127 1 3
et-0/0/48.0 Partner 127 00:00:ae:00:00:02 127 2 1002
et-0/0/49.0 Actor 127 54:1e:56:69:4e:00 127 2 3
et-0/0/49.0 Partner 127 00:00:ae:00:00:02 127 32770 1002
MC-LAG基本構成
• スイッチTOR1から見るとMC-LAGは単なるLAGにしか見えません。
• LACPで見ても、どちらのMACも同じMACが見えます。
Node1 Node2
TOR1
et-0/0/49.0 et-0/0/48.0
TOR1でのLACPのステータス出力例
(Node1)
(Node2)
LACP
用語の整理
• MC-LAGは各ベンダーで用語が異なりますが、ジュニパーでは以下の用語を使用します。
• ICCP(Inter-chassis control protocol):MACやLinkの状態をNode間で共有する為の制御通信用途で、TCPセッションにより確立されます。
• ICL(Inter-Chassis Link):スイッチ間の物理Link。ICL-PLとも言います。出来る限りここをLAGで構成するデザインが推奨です。
• MC-AE(またはMC-links):スイッチまたぎのLAGを指します。AEはAggregated Ethernetの略です。
• S-LINK(Single-homed Link):冗長されてないLinkです。既存の収容、NW移行やメンテ等で一時的にこの構成になりえます。
MC-AEMC-links
S-Link
Node1 Node2
ICL
ICCP
用語の整理(つづき)
• 出来る限り、ICCPの接続用途で管理セグメントも使いましょう。
• ICCPが切れてしまう状況は、Sprit Brainという絶対に避けたい状況です。
• ICLのバックアップとして、管理セグメントを使った
ICCPのやりとりができます。(backup-liveness-detection)
• ただし、ユーザパケットは転送しません。あくまでSprit状態を避ける為のラストリゾートです。
MC-AEMC-links
S-Link
Node1 Node2
ICL
ICCP
管理用セグメント
ICL故障発生時の動作の詳細は以下で確認できます。https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/lag-multichassis-feature-summary.html#jd0e106
L3の冗長構成は?
デフォルトGWの冗長について
• 方式は2つあります。
– VRRP over IRB方式
• Node同士でVRRPを構成
– MAC Sync方式
• Node同士で同じIP、MACを構成
• Juniperでは以下の理由からVRRP方式を推奨しています。
1. TOR1からみると結局UplinkはLAGなので、トラフィックは分散できる。
2. VRRP Backup側でも受け取ったユーザトラフィックは転送できる実装の為、ICLを通ったり、Uplinkが偏ったりしない。
3. MAC Sync方式では、Routing Protocolが話せない。(あくまでNode間で同期しているのはMC-LAG関連情報だけなのです)
TOR1
別セグメント 別セグメント
実IP 192.168.1.253/24仮想IP 192.168.1.254 実IP 192.168.1.252/24
Default GW192.168.1.254
VRRP方式の構成例
(1)LAGのハッシュにより分散
(2)VRRP Backup側でもパケットをフォワーディング
Irb.1Irb.1
Irb.2 Irb.2
設定方法;
• 基礎となる設定設定項目 Node1 Node2 備考
Device-count 10 10 必要なMC-LAG数+1を設定
switch-options service-id
16384 16384 2台とも同じ値にする
ICCP用I/F irb.4000 irb.4000 irb + unit 番号(とりあえずVlan-idと一緒がおすすめ)
ICCP用Vlan 4000 4000 渡りのLAGにこのVlanを所属させる
ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 ICCPだけで使いますので/30とかでも可et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ICCP
例はNode1の設定例ですが、IRBのアドレス値を変えれば、Node2用の設定となります。どちらか一方にだけ投入する設定はありません。
Node1設定コマンドset chassis aggregated-devices ethernet device-count 10
set switch-options service-id 16384
set interfaces irb unit 4000 family inet address 192.168.254.26/24
set vlans VLAN4000 vlan-id 4000
set vlans VLAN4000 l3-interface irb.4000
※Node1の設定例
設定方法;
• 基礎設定その2設定項目 Node1 Node2 備考
ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので/30とかでも可
ICL InterceのID ae0 ae0 aeはaggregated-ethernetの略で、LAG用仮想I/F名
ae0に所属させる物理I/F
et-0/0/22et-0/0/23
et-0/0/22et-0/0/23
その他 LACP FastモードVlan4000
LACP FastモードVlan4000
LACPとVlan4000をae0に設定
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
ae0
Node1 Node2
ICCP
Node1設定コマンドset multi-chassis multi-chassis-protection 192.168.254.27 interface ae0
Node2のアドレスを設定
set interfaces et-0/0/22 ether-options 802.3ad ae0
set interfaces et-0/0/23 ether-options 802.3ad ae0
set interfaces ae0 aggregated-ether-options lacp active periodic fast
set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk
set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN4000
※Node1の設定例
設定方法;
• 基礎設定その3設定項目 Node1 Node2 備考
ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので/30とかでも可
session-establishment-hold-time
100 100 ICCPセッション確立までの時間(秒)
BFD minimum-interval
1000 1000 お互いのICCP間で行うBFD死活監視の間隔(msec) 1000以上にしてください
BFD multiplier 3 3 回数minimum-interval x multiplier = ダウンまでの時間
backup-liveness-detection
172.27.113.26 172.27.113.27 管理I/Fに付与したIPアドレスを指定
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
ae0
Node1 Node2ICCP
管理用セグメント
set protocols iccp local-ip-addr 192.168.254.26
set protocols iccp peer 192.168.254.27 session-establishment-hold-time 100
set protocols iccp peer 192.168.254.27 liveness-detection minimum-interval 1000
set protocols iccp peer 192.168.254.27 liveness-detection multiplier 3
set protocols iccp peer 192.168.254.27 backup-liveness-detection backup-peer-ip 172.27.113.27
※Node1の設定例
設定方法;• 接続が間違えていなければ次のようにみえるはずです。
• よくあるうっかりミス:そもそもLAG(ae0)がUpしていない。▶最初に使用するLAGの数を登録する必要があります。
10とするとae0~ae9までI/Fが作られます。
• 基本設定の確認
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
ae0
Node1 Node2ICCP
lab@node1# run show iccp
Redundancy Group Information for peer 192.168.254.27
TCP Connection : Established
Liveliness Detection : Up
Backup liveness peer status: Up
Client Application: MCSNOOPD
Client Application: l2ald_iccpd_client
Client Application: lacpd
set chassis aggregated-devices ethernet device-count 10
設定方法;
• 次にTORスイッチを収容するLAGを設定します。
• MC-Linksの設定
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ae1
設定項目 Node1 Node2 備考
LAG I/F名 ae1 ae1
LACP system-id 00:00:ae:00:00:01 00:00:ae:00:00:01 同じ値を設定します。LAG毎に変更します。
LACP admin-key 1001 1001 同じ値を設定します。LAG毎に変更します。
mc-ae mc-ae-id 1001 1001 同じ値を設定します。LAG毎に変更します。
mc-ae chassis-id 0 1 Node毎に変えます。
mc-ae status-control Active standby
mc-ae init-delay-time 60 60 I/FがUpとなってからLACPがdistributingになるまでの時間です。電源投入時など、ProtocolがUpするまでの時間待たせることができます。
set interfaces et-0/0/0 ether-options 802.3ad ae1
set interfaces ae1 aggregated-ether-options lacp active periodic fast
set interfaces ae1 aggregated-ether-options lacp system-id 00:00:ae:00:00:01
set interfaces ae1 aggregated-ether-options lacp admin-key 1001
set interfaces ae1 aggregated-ether-options mc-ae mc-ae-id 1001
set interfaces ae1 aggregated-ether-options mc-ae chassis-id 0
set interfaces ae1 aggregated-ether-options mc-ae mode active-active
set interfaces ae1 aggregated-ether-options mc-ae status-control active
set interfaces ae1 aggregated-ether-options mc-ae init-delay-time 60
※Node1の設定例
設定方法;
• MC-Linksの確認
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ae1
対向との設定が合っていて、正しく接続されていれば、次の様に表示されます。
lab@node1# run show interfaces mc-ae id 1001
Member Link : ae1
Current State Machine's State: mcae active state
Local Status : active
Local State : up
Peer Status : active
Peer State : up
Logical Interface : ae1.0
Topology Type : bridge
Local State : up
Peer State : up
Peer Ip/MCP/State : 192.168.254.27 ae0.0 up
設定方法;
• VLAN1001をae1に追加します。ICL(ae0)にも追加するのを忘れないでください。
• Mc-linksへのVlanの組み込み
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ae1
設定項目 Node1 Node2 備考
Vlan名 V1001 V1001
Vlan-id 1001 1001ae0
set vlans v1001 vlan-id 1001
set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk
set interfaces ae1 unit 0 family ethernet-switching vlan members v1001
set interfaces ae1 unit 0 family ethernet-switching storm-control default
set interfaces ae0 unit 0 family ethernet-switching vlan members v1001
※Node1の設定例
設定方法;
• Vlan1001にサーバのデフォルトゲートウェイとなるアドレスを設定します。
• [Option]L3 Routing(Default Gateway)の設定
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ae1
実IP 192.168.1.253/24仮想IP 192.168.1.254
実IP 192.168.1.252/24
設定項目 Node1 Node2 備考
I/F名 irb unit 1001 irb unit 1001
実IP 192.168.1.253/24 192.168.1.252/24
仮想IP 192.168.1.254 192.168.1.254
Priority 200 100
Accept-data 設定する 設定する
set vlans v1001 l3-interface irb.1001
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 priority 100
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 accept-data
※Node1の設定例
設定方法;
• Default Gatewayアドレスが冗長されているか確認します。
• 下記の様になっていない場合
– ICL(ae0)にVLAN1001が設定されているか確認して下さい。
• L3 Routing(Default Gateway)の確認
et-0/0/0 et-0/0/0
et-0/0/22
et-0/0/23
Node1 Node2
ae1
実IP 192.168.1.253/24仮想IP 192.168.1.254
実IP 192.168.1.252/24
Node1
Node2
ae0
{master:0}[edit]
lab@node1# run show vrrp
Interface State Group VR state VR Mode Timer Type Address
irb.1001 up 1 master Active A 0.359 lcl 192.168.1.253
vip 192.168.1.254
lab@node2# run show vrrp
Interface State Group VR state VR Mode Timer Type Address
irb.1001 up 1 backup Active D 2.718 lcl 192.168.1.252
vip 192.168.1.254
mas 192.168.1.253
Appendix CZero Touch Provisioning
ZTP(Zero-touch Provisioning)とは
• DCにToRスイッチを新設するオペレーションは簡単だが、大量のスイッチを展開することを考慮すると手間は膨大
• ZTPとは、スイッチの初期導入時においてJUNOSのバージョンとコンフィグを自動でプロビジョニングする機能 (Junos 12.2よりサポート)
• 主に海外のOTT, DC事業者などにおいて広く使われている
ZTPと従来のオペレーションとの比較
Legacy
Ops
ZTP
開梱
開梱ネットワークに接続して起動
ZTP サービスイン
起動してコンソールからセッ
トアップ
ネットワークに接続
OSバージョンアップ・ダウン
初期設定 サービスイン
膨大な数のToRを設置しなくてはいけないDC等の場合には、ZTPによるOPEXの削減効果は絶大!
ZTPのコンポーネント
ゼロタッチ:装置にコンソールなどでのログインが不要
電源を入れるだけ!
用意するのはDHCPサーバとファイルサーバの2つ
ネットワーク経由で自動的にOSや設定情報を装置に転送し反映
工場出荷状態で動作するため特別な設定は不要
DHCPサーバ
ファイルサーバ
EX/QFXスイッチ
- 装置にIPアドレスを付与- TFTPサーバのアドレスを通知- 取得すべきConfigファイル名を通知
-Configファイル-OSファイル
動作シーケンス
スイッチはシリアルとMACアドレスを含むDHCPリクエストを送信
DHCP OptionでTFTPサーバのIPアドレスとOS/Configのファイル名を通知
DHCPサーバ
ファイルサーバ(TFTP/FTP/HTTP)
EX/QFXスイッチ
2. DHCP Discover/Request
4. File Request(指定されたファイル名)
5. Download files
1. デフォルト設定で起動ZTPスタート!
3. DHCP Offer/ACK(ファイルサーバ+ファイル名)
6. ダウンロードしたファイルでOSとConfigを書き換えcommit
- 装置にIPアドレスを付与- TFTPサーバのアドレスを通知- 取得すべきConfigファイル名を通知
-Configファイル-OSファイル
JUNOS ZTP の流れ
スイッチはDHCPサーバからIPアドレス、DGW、FTP/TFTP Server、Junos Image とConfigのファイル名を受け取る
スイッチが Auto image installation (AIU) プロセスを開始する
新しいOSイメージをインストール
NO
新しい設定をCommit
START
YES
スイッチをネットワークに接続して、電源を投入する (工場出荷状態のスイッチ)
ブートアップ完了後、スイッチがDHCPリクエストをアクティブリンクから送信する
END
指定されたバージョンのOSが既に入っている
か?
AIUプロセスがJunos ImageとConfig fileをダウンロード
新しい設定をCommit
再起動
筐体の識別
筐体のMACアドレス
ddns-update-style none;option option-66 code 66 = string;option space NEW_OP;option NEW_OP.config-file-name code 1 = text;option NEW_OP-encapsulation code 43 = encapsulate NEW_OP;
subnet 192.168.1.0 netmask 255.255.255.0 {range 192.168.1.1 192.168.1.200;default-lease-time 6000;max-lease-time 7200;option routers 192.168.1.1;option subnet-mask 255.255.255.0;
host switch1 {hardware ethernet 2c:6b:f5:3a:6e:41;fixed-address 192.168.1.11;option NEW_OP.config-file-name "switch1.cfg";option option-66 "192.168.1.100";
}
host switch2 {hardware ethernet 64:87:88:B7:45:81;fixed-address 192.168.1.12;option NEW_OP.config-file-name "switch2.cfg";option option-66 "192.168.1.100";
}}
DHCPサーバの設定 筐体背面又は底面のシールに筐体のMACが記載
筐体のMACアドレスに+1したものを設定に記述
option space NEW_OP;
option NEW_OP.image-file-name code 0 = text;
option NEW_OP.config-file-name code 1 = text;
option NEW_OP-encapsulation code 43 = encapsulate NEW_OP;
group {
option tftp-server-name "17.176.31.71";
option log-servers 17.176.31.72;
option ntp-servers 17.176.31.73;
option NEW_OP.image-file-name "/images/jinstall-qfx.tgz";
option NEW_OP.transfer-mode "ftp";
host tor-qfx5100-1 {
hardware ethernet 88:e0:f3:71:a0:82;
fixed-address 172.16.31.19;
option host-name "tor-qfx5100-1";
option NEW_OP.config-file-name “tor-qfx5100-1.config";
}
host tor-qfx5100-1 {
hardware ethernet f8:c0:01:c6:96:81;
fixed-address 172.16.31.20;
option host-name “tor-qfx5100-2";
option NEW_OP.config-file-name “tor-qfx5100-2.config";
}
}
Vendor Specific options (Auto image upgradeに必要)
Auto configurationで指定される設定ファイル
MACアドレスから IPアドレスおよびシステムのホストネームへのマッピング
Syslog and NTP servers
JUNOS ZTP – DHCP Server Configuration(サンプル)
投入されるOSイメージシンボリックリンクを指定することも可能
可用性一貫性効率
ZTPが提供するもの
導入にかかる時間を削減
機器故障時の交換にかかる時間を削減設定ミスの削減
Any EX & QFX Switches Any EX & QFX Switches Any EX & QFX Switches
ZTP + Script
ConfigServer
ZTP Clients
MACアドレス/Serialベースではなく、ネットワークの情報を元にConfigを投入
②LLDP等
Simple Sample: https://github.com/jeremyschulman/jctyztp
Port Y
Switch X
スイッチXのポートYと繋がっているポートにはXXXを追加!
Thank you