srxシリーズのイーサネットスイッチング設定ガイド...はじめに...

Jシリーズおよびブランチ向け SRXシリーズのイーサネットスイッチング設定ガイド

APPLICATION NOTE

Copyright © 2014, Juniper Networks, Inc.

目次

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

ソフトウェアスコープ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

イーサネットスイッチング実装の制限事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

イーサネットスイッチングでのパケットのながれ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

Junos OSリリース11.2のイーサネットスイッチング設定のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

Jシリーズでのイーサネットスイッチングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

ブランチ向けSRXシリーズでのイーサネットスイッチングの有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

レイヤー2スイッチングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

VLANの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

VLANへのスイッチポートの接続 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

ブロードキャストドメインの拡張とタグ付きインタフェースの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

RVI（Routed VLAN Interface）の設定（統合型のルーティングおよびブリッジング） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

リンクアグリゲーションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

STP（Spanning Tree Protocol）の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

STP（Spanning Tree Protocol）（IEEE 802.1D） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

RSP（Rapid Spanning Protocol）（IEEE 802.1w） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

MSTP（Multiple Spanning Tree Protocol） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

IEEE 802.1X認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

IGMPスヌーピングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

802.1Qトンネリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

LLDP（Link Layer Discover Protocol）およびLLDP-MEDの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチング設定の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

シンプルなイーサネットスイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

VLANの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

VLAN間でのトラフィックのルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

タグ付きインタフェースの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

リンクアグリゲーションによる処理容量の増加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

RSTPによるループ回避 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

IEEE 802.1X認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

IGMPスヌーピングプロトコルによるマルチキャストスヌーピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

802.1Qトンネリング（Q-in-Qトンネリング） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2 Copyright © 2014, Juniper Networks, Inc.

APPLICATION NOTE - Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチング設定ガイド

図目次

図1：イーサネットスイッチングでのパケットのながれ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

図2：VLANタギング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

図3：トランクポートとアクセスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

図4：VLAN内およびVLAN間のパケット転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

図5：リンクアグリゲーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

図6：STP（Spanning Tree Protocol） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

図7：RSTP（Rapid Spanning Tree Protocol） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

図8：MSTP（Multiple Spanning Tree Protocol） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

図9：IEEE 802.1X認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

図10：IGMPスヌーピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

図11：Q-in-Qトンネリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

図12：LLDPおよびLLDP-MED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

図13：シンプルなイーサネットスイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

図14：複数VLANによるイーサネットスイッチング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

図15：VLAN間転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

図16：トランクポート（タグ付きインタフェースの追加） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

図17：リンクアグリゲーション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

図18：RSTPによるループ回避 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

図19：IEEE 802.1X認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

図20：IGMPスヌーピングによるマルチキャストスヌーピング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

図21：802.1Qトンネリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35

Copyright © 2014, Juniper Networks, Inc. 3


はじめに

ブランチ向けジュニパーネットワークスSRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターは、境界のないサービスをエンタープライズ環境で実現します。SRXシリーズ製品は、包括的な一連のイーサネットスイッチング機能を提供します。イーサネットスイッチング機能は、小規模な拠点/支店ではレイヤー2スイッチを不要にし、中規模な拠点/支店ではアグリゲーションスイッチとして機能します。

ジュニパーネットワークスJunos® OSリリース9.2では、ルーティングとブリッジングを統合し、複数のレイヤー2プロトコルをサポートするイーサネットスイッチング機能がJシリーズルーターに導入されました。この一連の機能は、ブランチ向けジュニパーネットワークスSRXシリーズサービス・ゲートウェイにも、そのリリース当初から導入されています。

本書の目的

本書では、Jシリーズおよびブランチ向けSRXシリーズサービス・ゲートウェイのJunos OSレイヤー2機能の概要について説明します。詳細な設定とともに、一般的な導入シナリオを取り上げます。SRXシリーズデータセンター製品（SRX1400、SRX3000シリーズ、およびSRX5000シリーズ）は、イーサネットスイッチング機能をサポートしていません。本書で取り上げている機能はすべて、ブランチ向けSRXシリーズサービス・ゲートウェイ（ジュニパーネットワークスSRX100シリーズサービス・ゲートウェイ、SRX200シリーズサービス・ゲートウェイ、およびSRX650

サービス・ゲートウェイ）のものです。本書で取り上げている機能および設定はすべて、Jシリーズおよびブランチ向けSRXシリーズサービス・ゲートウェイのスタンドアロン導入に基づいています。SRXシャーシクラスタ環境のイーサネットスイッチング機能の詳細については、SRXシリーズのテクニカルドキュメントを参照してください。

イーサネットスイッチング機能は、ハードウェアとソフトウェアの両方で制約があります。このスコープについては、次のセクションで定義します。

表1：ハードウェアスコーププラットフォームオンボード UPIM MPIM XPIM

J2320 6 3 6 6

J2350 6 3 6 6

J4350 6 3 6 6

J6350 6 3 6 6

SRX100 3 6 6 6

SRX110 3 6 6 6

SRX210 3 6 6* 6

SRX220 3 6 6* 6

SRX240 3 6 6* 6

SRX650 6 6 6 3**

*イーサネットスイッチングは、今後リリースされるSRX210およびSRX240の1ギガビットイーサネットSFP MPIMでサポートされる予定です。

**Junos OSリリース10.2の時点では、イーサネットスイッチングは10GbE XPIMでサポートされていません。

ソフトウェアスコープ

Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチングは、ジュニパーネットワークスEXシリーズイーサネットスイッチの機能に基づいています。Junos OSリリース11.2の時点では、Jシリーズおよびブランチ向けSRXシリーズは、以下の機能をサポートしています。

• トランクとアクセスポートの両方のサポートを含む、トラフィックのレイヤー2スイッチング

• RVI（Routed VLAN Interface）（または統合型のルーティングおよびブリッジング）

• STP（Spanning Tree Protocol）

• RSTP（Rapid Spanning Tree Protocol）

• MSTP（Multiple Spanning Tree Protocol）

• リンクアグリゲーション、スタティックとLACP（Link Aggregation Control Protocol）使用の両方

• GVRP（GARP VLAN Registration Protocol）

• IEEE 802.1X認証



- シングル/シングルセキュア/マルチサプリカントモード

- 動的なVLAN割り当て

- ゲストVLANおよびserver-reject VLAN

- RADIUSサーバーの障害状況

- MAC認証

- 認証迂回

- VoIP VLAN

• IGMPスヌーピング

• IEEE 802.1ad dot1qトンネリング（Q-in-Q）

• LLDP（Link Layer Discovery Protocol）

イーサネットスイッチング実装の制限事項

• Junos OSリリース11.2の時点では、以下のEXシリーズの機能はJシリーズおよびブランチ向けSRXシリーズでサポートされていません。さらに、EXシリーズプラットフォームに今後、追加される機能も、Jシリーズおよびブランチ向けSRXシリーズにそのまま移植されることはない見込みです。

- レイヤー2のACL（Access Control List）

- スイッチングポートのQoS（Quality of Service）

- SNMP MIBのサポート（新しいレイヤー2機能向け）

- バーチャルシャーシ

- ポートセキュリティ

- L2 CoS機能

• Jシリーズプラットフォームでは、イーサネットスイッチングのサポートは、Jシリーズのシャーシごとに1つのuPIM（universal PIM）に限定されます。

• MSTPは、SRX210ではサポートされていません。

• IGMPスヌーピングおよびQ-in-Q機能は、SRX100では利用できません。

• JシリーズおよびSRX100は、動的なVLAN、ゲストVLAN、server-

• reject VLAN、サーバー障害時の動作、VoIP VLANなど、高度な802.1X機能をサポートしていません。ただし、RADIUSアカウンティングとMAC認証は、SRX100で利用できます。

• プッシュや顧客バンドルといった高度なQ-in-Q機能をサポートしているのは、SRX650に限定されます。

シャーシクラスタ環境では、イーサネットスイッチング機能をサポートしているのは、ブランチ向けSRXシリーズサービス・ゲートウェイに限定されます。本書では、スタンドアロン導入でのイーサネットスイッチング機能を取り上げます。シャーシクラスタ環境でのイーサネットスイッチング機能については、SRXシリーズのテクニカルドキュメントを参照してください。

このセクションで取り上げた制限事項のほとんどは、今後のJunos OSリリースで修正される見込みです。詳細については、Future Support

Referenceを参照してください。



イーサネットスイッチングでのパケットのながれ

図1：イーサネットスイッチングでのパケットのながれ

1. VLAN内トラフィック̶CLI/ジュニパーネットワークスJ-Webソフトウェアから、インタフェースを同じVLAN内に設定すると、その設定に従って「イーサネットスイッチチップ」がプログラミングされ、このチップ上でMACの学習内容やSTPの状態が保持されます。同じVLAN内のパケットは、イーサネットスイッチチップで内部的にスイッチングされます。このトラフィックは、フローアーキテクチャを介して転送されません。また、セキュリティ機能は、このトラフィックに適用されません。

2. VLAN間トラフィック̶異なるVLANのパケットがフローアーキテクチャを介してルーティング/転送されます。

2A. 入力トラフィックは、ポートベースのVLANに従って分類されます。

2B. VLAN間トラフィックの宛先MACアドレスは、イーサネットスイッチチップでRVIとマッチングされ、すべてのパケットがフローモジュールに送信されて処理されます。

2C. フローモジュールでは、VLAN間トラフィックは各セキュリティチェックを経て、異なるVLANにルーティングされます。

2D. ルーティングされたトラフィックは、イーサネットスイッチチップに返送され、さらに、イーサネットスイッチチップから宛先VLANのインタフェースを介してパケットが送出されます。

Junos OSリリース11.2のイーサネットスイッチング設定のシナリオこのセクションでは、いくつかの導入シナリオとその関連する設定を取り上げます。

Jシリーズでのイーサネットスイッチングの有効化

Jシリーズプラットフォームは、2種類の異なるスイッチングモードをサポートしています。単純な「スイッチング」は従来のブリッジモードの動作であり、uPIMがブリッジとして扱われ、そのすべてのイーサネットポートがブリッジの構成要素になります。本書で取り上げている機能はいずれも、このモードではサポートされていません。また、このモードの詳細については、本書の目的から外れています。「拡張スイッチング」モードは、Jシリーズ上のuPIMを最新のL2スイッチに変換します。本書で取り上げているプロトコルと機能はすべて、このモードで利用できます。拡張スイッチングは、設定階層の[chassis fpc pic ethernet]レベルで設定します。たとえば、以下の設定では、スロット6のPIMが有効になります。

フォワーディングルックアップ

イーサネットスイッチチップ

一致いいえ

静的NAT

宛先NAT

ルートゾーンポリシーリバース静的NAT

ソースNAT

サービスALG

VLAN間トラフィック（2つの異なるVLAN間のトラフィック）

セッションScreens

ScreensPer

Packet Policer

Per Packet

Filter

Per Packet

Filter

Per Packet Shaper

TCP NATサービス

ALGセッションと一致？

一致

2C

2A 1 2D

2B

VLAN内トラフィック（2つの同じVLAN間のトラフィック）

fpc 6 { pic 0 { ethernet { pic-mode enhanced-switching; } }}

注：現在の実装では、拡張スイッチング用に設定できるのは、シャーシごとに1つのuPIM（universal PIM）に限定されます。



ブランチ向けSRXシリーズでのイーサネットスイッチングの有効化

ブランチ向けSRXシリーズプラットフォームでは、イーサネットスイッチング機能はデフォルトで有効になっています。この機能を有効にするために、明示的な設定は不要です。

レイヤー2スイッチングの設定

物理インタフェースは、いくつかのモードで動作できます。レイヤー3アドレス（IPv4、IPv6、ISOアドレスなど）で設定されているインタフェースは、各パケットの宛先アドレスに基づいてトラフィックをルーティングします。レイヤー3アドレスが割り当てられずに、イーサネットスイッチングプロトコルファミリーの一部として設定されているインタフェースは、リンクレイヤーの宛先アドレスに基づいてトラフィックを転送します。以下の設定では、インタフェースをスイッチングポートとして定義しています（レイヤー2設定の範囲は、インタフェースのunit 0に限定されることに注意してください）。

interface { ge-<slot number>/0/<port number> { unit 0 { family ethernet-switching; } }}

VLANの設定

最新のスイッチでは、ほとんどの場合、ブロードキャストドメインはVLAN（Virtual LAN）によるセグメント化が可能であり、ポートを異なるブロードキャストドメインに割り当てることで、デバイスのセグメント化を可能にするアプローチが採用されています。同じVLANのメンバーインタフェース間ではトラフィックを転送できるので（異なるVLANに属しているインタフェース間では転送不可）、事実上、接続していない異なるネットワーク間で同じ物理デバイスを共有できます（異なるVLAN間でトラフィックを転送する方法については、本書の後のセクションで説明します）。

デフォルトでは、スイッチングが有効な全ポートによって、同じブロードキャストドメインが構成されます。レイヤー2スイッチングが有効になっていて、VLANに関連付けられていないインタフェースは、デフォルトVLAN（JシリーズおよびSRXシリーズでは、VLAN ID 1）の構成要素になります。新しいドメインを設定するには、[vlans]階層下にVLANを定義して、固有の識別子（VLAN ID）を指定する必要があります。

vlans { <vlan name> { vlan-id <id>; }}

Jシリーズおよびブランチ向けSRXシリーズのデバイスでVLAN IDを使用する場合、以下の制限事項に注意してください。

表2：Jシリーズおよびブランチ向けSRXシリーズでサポートされているVLAN範囲プラットフォームサポートされているVLAN範囲

Jシリーズ 1-4094

SRX100 1-4094SRX110 1-4094

SRX210 1-4094*

SRX220 1-4094*

SRX240 1-3967

SRX650 1-3967

*VLAN 4093は、SRX200シリーズの内部用に予約されています。



VLANへのスイッチポートの接続

さらに、新しく作成したVLANの構成要素として、インタフェースを指定できます。インタフェースを割り当てるには、2つの方法があります（機能的には、この2つの方法は同じです。好きな方法を選択してください）。最初の方法では、[interface <name> unit 0 family ethernet-switching]階層下で、VLANをインタフェース設定の要素として宣言します。

interface { ge-<slot number>/0/<port number> { unit 0 { family ethernet-switching { vlan members <vlan name or id> } } }}

2番目の方法では、[vlan <vlan name> interface]階層下で、VLANメンバーインタフェースを定義します。

vlans { <name> { interfaces { <interface name>; <interface name>; … } }}

ブロードキャストドメインの拡張とタグ付きインタフェースの設定

最新のスイッチングネットワークは、複数のスイッチの使用が必要になるほど大規模になることがあります（事例によっては、複数のスイッチングレイヤーを含む、階層型のアプローチが必要です）。マルチブリッジングドメインが複数のスイッチングデバイスにまたがる場合、複数のドメインからのトラフィックを同じリンクを介して転送しながら、トラフィックをそれぞれのドメインから分離できると便利です。VLANタギング（IEEE

802.1Q）では、VLAN識別子（12ビット値）によってイーサネットヘッダーを拡張することで、この機能を実現しています。VLAN識別子は、異なるVLANのトラフィックを識別する目的で使用されます。VLANタギングによって、単一のインタフェースで複数のドメインからのトラフィックを搬送できるようになるので、デバイスを接続するために必要なインタフェースの数は減少します。タグ付きトラフィックを搬送するスイッチングインタフェースは、トランクポートと呼ばれます。単一VLANのタグなしトラフィックを搬送するインタフェースは、アクセスポートと呼ばれます。アクセスポートは、複数VLANの構成要素に設定できません。

interface { ge-*/*/* { unit 0 { family ethernet-switching { port-mode trunk; vlan { members [<vlan name or id> <vlan name or id> …] } } } }}



図2：VLANタギング

デフォルトでは、スイッチングインタフェースはすべて、アクセスポートです。インタフェースは、[family ethernet-switching]でport-

mode値をそのままtrunkに設定することで、トランクポートとして設定できます。図1に示すように、トランクポートは、複数VLANの構成要素として定義できます。そうすることで、トランクポートとして定義されたスイッチングポートを複数のVLANに関連付けることが可能になります。トランクポートから転送されたトラフィックは、転送元のVLANのVLAN IDでタグ付けされ、受信トラフィックは適切なVLANに転送されて配信されます。

図3：トランクポートとアクセスポート

RVI（Routed VLAN Interface）の設定（統合型のルーティングおよびブリッジング）

前述のように、トラフィックは同じVLANのメンバーインタフェース間で転送できますが、異なるVLANに属しているインタフェース間では転送できません。同じVLAN内のトラフィックはスイッチングされ、異なるVLANにまたがるトラフィックはルーティングされます。したがって、レイヤー3デバイス/インタフェースは、VLANから別のVLANへトラフィックを転送する必要があります。このため、JシリーズおよびSRXシリーズは、RVI（Routed VLAN Interface。または統合型のルーティングおよびブリッジング）と呼ばれる論理レイヤー3インタフェースを提供します。各VLANドメインは、いずれかの論理RVIに関連付けられます。このシナリオは、ルーターの前にスイッチを配置することと同じです。ルーター以外を宛先とするトラフィックはレイヤー2情報に基づいてスイッチングされ、ルーターに到達したトラフィックはレイヤー3情報に基づいて転送されます。VLANドメインごとに固有のレイヤー3アドレスを設定できるので、VLANドメイン間のトラフィックは、セキュリティポリシーで許可されているという条件で、Junos OSソフトウェアによるルーティングが可能になります。

Jシリーズ/ブランチ向けSRXシリーズ




VLANオレンジ VLANブルー






uPIMでローカルにスイッチングされるVLAN内トラフィック

ge-4/0/0トランク

ge-4/0/1アクセス

VLANオレンジ

レイヤー2

VLANブルー

VLANレッド





図4：VLAN内およびVLAN間のパケット転送

論理レイヤー3インタフェース（RVI）は、[interfaces vlan]階層下に作成できます。論理インタフェースを作成したら、l3-interfaceキーワードを使用して、特定のVLANと関連付ける必要があります。

Intra-VLANtra�c locallyswitched inthe uPIM

fwddに送信されるVLAN間ルーティングトラフィック

ge-4/0/0トランク


レイヤー2

レイヤー3

VLANレッド



インタフェースvlan.0 インタフェースvlan.1

Junos OS fwdd

インタフェースvlan.2

VLANオレンジ

VLANブルー

interfaces { vlan { unit <unit number> { family { inet { address <ip address>/<netmask>; } } } }}vlans { <vlan name> { l3-interfacevlan.<unitofnewlycreatedvlanifl>; }}

Junos OSでは、RVIは他のレイヤー3インタフェースとの違いはなく、同じ設定を必要とします。ただし、RVIはセキュリティゾーンに割り当てる必要があります。また、トラフィックをRVIと他の設定済みレイヤー3インタフェースの間で転送できるよう、セキュリティポリシーで明示的に設定する必要があります。



リンクアグリゲーションの設定

2台のスイッチを相互接続する場合、2系統以上の並列接続を使用すると、通常は冗長性が実現するというメリットがあります。スイッチ間の帯域幅を増やすことも望ましいと言えます。課題は、並列接続の冗長性の問題を解決すると同時に、帯域幅の制約をなくすということです。具体的には、レイヤー2ネットワークをループフリーにするとともに、STP（Spanning Tree Protocol）やその派生/拡張プロトコル（RSTPやMSTP）といったループ回避プロトコルを並列接続のいずれか1系統以外のすべてで非アクティブにする必要があります。

この問題の解決策として、リンクアグリゲーションを使用することが挙げられます。リンクアグリゲーションでは、（特定のフローからのパケットの並べ替えが発生しないようにしながら）負荷分散トラフィックを複数のリンクに分散する方法を定義します。リンクアグリゲーショングループを構成する物理インタフェースは、静的に設定することも、LACP（IEEE 802.3adで規定）によってエンドポイント間でネゴシエーションを実行することも可能です。通常、エンドポイントに該当するのはスイッチですが、複数のNIC（Network Interface Card）を搭載したサーバーもエンドポイントとして使用できます。

図5：リンクアグリゲーション

リンクアグリゲーションを設定するには、システムのアグリゲーションインタフェースの数を定義して、アグリゲーションインタフェースをまず作成してから、新しく作成したアグリゲーションインタフェースのいずれかに、アグリゲーションバンドルに含める物理インタフェースを関連付けます。



トランクポート AE0.0



chassis {aggregated-devices { ethernet { device-count <number of aggregated interfaces to create>; }}}

アグリゲーションデバイスカウントは、アグリゲーションバンドルごとの物理インタフェースの数ではなく、システム内のアグリゲーションインタフェースの合計数を示しています。

この設定では、ae0からae<device-count -1>までの名前で複数のアグリゲーションスイッチインタフェースを作成します。この一連のインタフェースを作成したら、gigabit-ethernet-options階層下で、物理インタフェースと関連付けます。



interface { <interface name> { gigabit-ethernet-options { 802.3ad { <bndle interface name>; } } }}

LACPは接続で必須ではありませんが、設定した場合、1つ以上のリンクで障害が発生しても、トラフィックの自動スイッチオーバーが可能になります。また、両方のデバイスでリンクアグリゲーションがセットアップされているか検証することで、一般的な設定ミスによるエラーを防ぐ役割も果たします。LACPは、アグリゲーションインタフェースのaggregated-ethernet-optionsセクションで有効にできます（パッシブなエンドポイントではLACP PDU交換が開始されないので、少なくとも1つのエンドポイントをアクティブに設定する必要があります）。aggregated-

ethernet-optionsのlink-speedでは、バンドルに含める各メンバーインタフェースのリンク速度を指定します。また、minimum-linksキーワードでは、バンドルで"up"状態として認識する必要があるアクティブリンクの最小数を指定します。Jシリーズおよびブランチ向けSRXシリーズのデバイスでは、minimum-linksのデフォルト値は1です。単一のAE（LAG）インタフェースでは、最大8つのリンクをバンドルに含めることが可能です。

interface { <aggregate interface name> { aggregated-ether-options { link-speed [100m|1g]; minimum-links <number from 1 to 8>; lacp { active|passive; } } }}

バンドルインタフェースを作成したら、他のインタフェースと同様に設定できます。たとえば、スイッチングの有効化、VLAN（VLANグループ）へのインタフェースの追加、VLANタギングの有効化といった設定が可能です。



STP（Spanning Tree Protocol）の設定

レイヤー2スイッチングネットワークでは、ソースと宛先の間で冗長パスが利用可能な場合に、ネットワーク内にループが形成される傾向があります。このようなループが形成されると、単一のパケットが原因で大量のトラフィックが発生して、レイヤー2ネットワーク全体がダウンしてしまうこともあります。JシリーズサービスルーターおよびSRXシリーズサービス・ゲートウェイでは、STP、RSTP、およびMSTPを使用して、レイヤー2スイッチングネットワークでのループ防止機能を提供します。スパニングツリーのトポロジーによるループフリーネットワークは、BPDU

（Bridge Protocol Data Unit）と呼ばれる特殊なタイプのフレーム交換に基づいて作成されます。スイッチインタフェース上で動作するピアSTPアプリケーションは、BPDUを使用して通信します。最終的に、BPDUの交換によって、トラフィックをブロックするインタフェース（ループ防止）と、トラフィックを転送するインタフェースが決定されます。

STPでは、BPDUから提供された情報に基づいて、ルートブリッジ/スイッチの決定、各スイッチのルートポートの識別、各物理LANセグメントの宛先ポートの識別、および特定の冗長リンクのプルーニングによるループフリーなツリー型トポロジーの作成を実行します。各リーフデバイスは、ルートデバイスへの最適なパスを計算し、このルートデバイスへの最適なパスに基づいて、ポートをブロックまたは転送状態に移行します。最終的なツリー型トポロジーでは、任意の2つのエンドステーション間で単一のアクティブなレイヤー2データパスが実現します。

STP（Spanning Tree Protocol）（IEEE 802.1D）

STPは、IEEE 802.1D標準で定義されたレガシーなプロトコルです。STPは、[edit protocol]階層下で設定します。

図6：STP（Spanning Tree Protocol）

宛先転送

宛先転送宛先転送

ルートポート転送


代替ブロック

protocols { stp { bridge-priority <bridge priority>; interface <interface name> { cost <interface cost>; } }}

Junos OSには、STP（Spanning Tree Protocol）をコントロールするためのさまざまなオプションが用意されています。L2スイッチのブリッジ優先順位によって、ネットワークのルートとして機能するスイッチが決定されます（優先順位が最も低いスイッチがトポロジーのルートに選ばれます）。このパラメータは、ルートポート（トポロジーのルートに接続するインタフェース）を決定する場合にも重要な意味を持ちます。Junos OS

では、ブリッジ優先順位は、[protocols stp]でキーワードbridge priorityに4kの倍数の値（0～60k）を指定して設定できます。bridge priority

のデフォルト値は32kです。もう1つ、STPをコントロールする場合に重要なパラメータとして、リンクコストが上げられます。リンクコストは、インタフェース速度に依存します。ただし、リンクコストは、[protocols stp interface <interface name]の設定で変更できます。Junos OSには、これ以外にも、プロトコル状態マシンのタイマーメカニズムをコントロールするため、hello-time、forward-delay、max-ageといった設定オプションが用意されています。



RSP（Rapid Spanning Protocol）（IEEE 802.1w）

ループフリートポロジーを収束する場合、レガシーなSTPでは速度に問題があります。収束してデータパケットが転送を開始するまでに、30～50秒程度の時間がかかります。また、トポロジー変更の伝達は、ルートブリッジ/スイッチの大きく依存します。RSTP（Rapid Spanning Tree

Protocol）は、この制約を克服するため、IEEEによって定義された新しい標準です。RSTPでは、STPのタイマーメカニズムとは異なるメッセージングメカニズムを採用しており、ネットワーク内でのトポロジー変更の伝達時にルートブリッジ/スイッチに依存しません。新しいポートルールも採用されており、代替/バックアップポートがそれぞれルート/宛先ポートの冗長リンクとして使用されます。リンク障害が発生した場合には、この代替/バックアップポートが即座に処理を引き継ぎます。RSTPは、以下のように設定できます。

protocols { rstp { bridge-priority <bridge priority>; interface <interface name> { cost <interface cost>; } interface <interface name> { edge; } }}

図7：RSTP（Rapid Spanning Tree Protocol）

設定に関しては、STPとRSTPの間で違いはありません。RSTPには、ツリートポロジーをコントロールするため、ブリッジプライオリティとインタフェースコストが設定オプションとして用意されています。RSTPで利用できる重要な機能として、エッジポート機能が挙げられます。エッジポートとして設定されているインタフェースは、データを即座に転送します。ネットワークのトポロジーが変化しても、エッジポートには影響しません。この設定は、エンドホストがインタフェースに接続している場合に役立ちます。誤った設定を避けるため、エッジポートはBPDUを受信した時点で、スパニングツリー状態マシンに参加します。エッジポートは、[protocols stp interface <interface name]階層下で設定します。

宛先転送

宛先転送宛先転送



代替ブロックエッジポートエッジポートエッジポートエッジポート

エッジポートエッジポート



MSTP（Multiple Spanning Tree Protocol）

RSTPでは、収束に要する時間はSTPの場合よりも短縮されますが、LAN内のすべてのVLANで同じSTPを共有する必要があるという、STP特有の問題が解決されるわけではありません。この問題を解決するため、JシリーズサービスルーターおよびSRXシリーズサービス・ゲートウェイでは、MSTPを使用して、複数のスパニングツリー領域を含むループフリートポロジーをネットワークに作成します。

MSTP領域では、スイッチのグループを単一のブリッジとしてモデル化できます。MSTP領域には、MSTI（Multiple Spanning-Tree

Instance）が含まれています。MSTIは、VLANごとに異なるパスを提供します。この機能により、冗長リンクにまたがる負荷分散が向上します。

図8：MSTP（Multiple Spanning Tree Protocol）

MSTP領域では、最大64のMSTIをサポートできます。MSTIの各インスタンスでは、1～4094の範囲で任意のVLANをサポートできます。

VLANブルーの転送（MSTI 101）VLANレッドのブロック（MSTI 102）

VLANレッドの転送（MSTI 102）VLANブルーのブロック（MSTI 101）

protocols { mstp {configuration-name<regionname); bridge-priority <bridge priority>; interface <interface name> { cost <interface cost>; } interface <interface name> { edge; } msti <msti id> { bridge-priority <bridge priority>; vlan <vlan id or vlan name list>; interface <interface name> { cost <interface cost>; } } }}

MSTPの設定は、STPやRSTPの設定とは若干、異なります。OSPF領域と同様に、MSTPネットワークは複数の領域に区分されます。各領域内では、さまざまなスパニングツリーインスタンス（MSTI）がVLANのグループごとに動作しています。これとは別に、グローバルレベル、つまり領域間でスパニングツリーインスタンス（CIST）が動作しています。Junos OSには、CISTおよびMSTIのパラメータをコントロールするため、設定オプションが用意されています。前の設定の例でわかるように、MSTP領域の名前とCISTブリッジのパラメータは[protocol mstp]で設定します。MSTIのパラメータと、MSTIとVLANのアソシエーションリストは、[protocols mstp msti <msti id>]で設定します。

これ以外にも、ネットワークを領域に区分して、MSTIを個別に実行するメリットとして、あるMSTIでトポロジーの変更が発生しても、他のMSTI

やCISTには影響せず、影響範囲はローカルのスパニングツリーインスタンスに限定されることが挙げられます。



IEEE 802.1X認証の設定

IEEE 802.1Xは、無線ネットワークでの認証および認証メカニズムを規定し、無線ネットワークで広く採用されています。また、ネットワークエッジのセキュリティを規定し、イーサネットLANを不正アクセスから保護します。802.1X対応のスイッチ（オーセンティケータ）は、ユーザーの資格情報が認証サーバー（RADIUSサーバー）で検証されるまで、スイッチに接続したユーザー（サプリカント）からのトラフィックをすべてブロックします。

JシリーズおよびSRXシリーズは、サプリカントに対する3つの802.1Xモードをサポートしています。

• シングル̶最初のユーザーだけが認証され、残りのユーザーはそのまま認証を受けずに許可されます。

• シングルセキュア̶単一のユーザーだけが許可されます。

• マルチ̶複数のユーザーが許可され、すべてのユーザーが認証を受ける必要があります。

前述のように、802.1Xを含むイーサネットスイッチング機能は、EXシリーズ製品から継承されています。ただし、EXシリーズの802.1X機能の一部は、Jシリーズおよびブランチ向けSRXシリーズでは利用できません。この両プラットフォームでは、以下の機能をサポートしています。

• 動的なVLAN割り当て̶認証の成功後、サプリカントを特定のVLANのメンバーとして動的に有効にします。RADIUSサーバーで、そのユーザーのVLAN IDを設定する必要があることに注意してください。

• ゲストVLAN̶802.1Xサポート外のサプリカント（802.1Xを認識しないサプリカント）に対して、LANへの制限付きのアクセスを許可します。

• Server-reject VLAN （̶資格情報が正しくないことが原因で）802.1X準拠のサプリカントが認証に失敗した場合、そのサプリカントは設定済みのserver-reject VLANに割り当てられます。

• RADIUSアカウンティング̶アカウンティング情報がRADIUSアカウンティングサーバーに送信されます。この情報は、ユーザー（サプリカント）がログインまたはログアウトするたびに、サーバーに送信されます。アカウンティング情報の例として、トラフィック量、ログインおよびログアウトの時刻などが挙げられます。

• MAC RADIUSまたはMAC認証̶802.1Xサポート外のサプリカントは、MAC RADIUS機能による認証が可能です。ゲストVLANとMAC

RADIUSの両機能は相互排他の関係（同時利用不可）であることに注意してください。

• VoIPのサポート̶IP電話がサポートされます。電話機が802.1X対応の場合は、他のサプリカントと同様に認証されます。電話機が802.1X

非対応で、別の802.1X互換デバイスが電話機のデータポートに接続されている場合、そのデバイスの認証後に、VoIPトラフィックが電話機で送受信可能になります（インタフェースがシングルセキュアモードではなく、シングルモードに設定されているという前提）。認証の成功後、RADIUSサーバーはVLAN IDをデバイスに送信します。音声トラフィックはすべて、このVLAN（VoIP VLAN）に従って分類されます。

• サーバー障害時̶RADIUSサーバーに到達できなくなった場合、JシリーズおよびSRXシリーズでは、以下の処理が実行されます。

- 許可̶RADIUSサーバーに到達できるようになるまで、認証を行わずに、認証要求をすべて許可します。

- 拒否̶RADIUSサーバーに到達できるようになるまで、認証要求をすべてブロックします。

- VLAN̶認証要求元のユーザーをVLANのメンバーとして有効にします。

- キャッシュ̶認証要求元のユーザーに対して、前の認証結果を再現します。

• スタティックMAC迂回̶Jシリーズおよびブランチ向けSRXシリーズでは、802.1X認証を迂回する条件として、MACアドレスのリストを設定できます。

表3：Jシリーズおよびブランチ向けSRXシリーズプラットフォームでサポートされている802.1X機能機能 SRX100 SRX110 SRX210 SRX220 SRX240 SRX650 Jシリーズ

動的なVLAN割り当て 6 6 3 3 3 3 6

認証迂回 3 3 3 3 3 3 3

VLAN割り当てによる迂回 6 6 3 3 3 3 6

ゲストVLAN 6 6 3 3 3 3 6

Server-reject VLAN 6 6 3 3 3 3 6

サーバー障害時のフォールバック 6 6 3 3 3 3 6

VoIP VLAN 6 6 3 3 3 3 6

RADIUSアカウンティング 3 3 3 3 3 3 6

MAC RADIUSまたはMAC認証 3 3 3 3 3 3 6



図9：IEEE 802.1X認証

RADIUSサーバー

ネットワークリソース


（オーセンティケータ）

サプリカント

protocols { dot1x { authenticator { authentication-profile-nameabc; static { <mac radius>/mask; } interface { <interface name> {supplicant(single|single-secure|multiple); guest-vlan <vlan name>; server-reject-vlan <vlan name>;server-fail(permit|deny|vlan-name<vlanname>|cache); } } } }}access { radius-server { <RADIUS server IP> secret <RADIUS share secret> }profile<profilename>{ authentication-order radius; radius { authentication-server <RADIUS sever IP>; } }}



802.1Xは、 [protocols dot1x authenticator]のインタフェースで有効になります。サポートされるサプリカントタイプは[protocols dot1x authenticator interface <interface name> supplicant mode]で設定されますが、single、single-secure、multiple

という3つのモードから任意のモードを指定できます。ゲストVLAN、server-reject VLAN、サーバーの障害状況、およびMAC認証のオプションは、[protocols dot1x authenticator interface <interface name>]で設定します。認証迂回リストは、[protocols dot1x authenticator static]で設定します。

802.1Xプロトコルが適切に機能するには、RADIUSサーバー設定が必須です。RADIUSサーバーは、[edit access profile]で定義する必要があります。RADIUSサーバー用にアクセスプロファイルを作成する必要もあります。このアクセスプロファイルは、[protocols dot1x

authenticator authentication-profile-name]で設定します。

IGMPスヌーピングの設定

レイヤー2では、すべてのマルチキャストトラフィックがブロードキャストとして扱われ、同じブロードキャストドメインまたはVLANドメインの全ポートにフラッディングします。この結果、ごく小数のマルチキャストレシーバがスイッチに接続しただけで、大量の帯域幅が無駄に消費されます。Jシリーズおよびブランチ向けSRXシリーズのプラットフォームで、この制約を克服するため、Junos OSには、IGMPスヌーピングと呼ばれる機能が用意されています。IGMP（Internet Group Management Protocol）スヌーピングは、スイッチネットワークでマルチキャストトラフィックを調整します。IGMPスヌーピングを有効にすると、LANスイッチはホスト（ネットワークデバイス）とマルチキャストルーターの間のIGMP伝送を監視して、マルチキャストグループとその関連するメンバーインタフェースを追跡します。LANスイッチは、この情報に基づいて適切なマルチキャスト転送を決定して、目的の宛先インタフェースにトラフィックを転送します。

図10：IGMPスヌーピング


（IGMPスヌーピング機能）

PIM/IGMPルーター

ソース

マルチキャストルーター

インタフェース

マルチキャストレシーバ

protocols { igmp-snooping { vlan vlan10; }}

IGMPスヌーピングは、[protocols]でVLANごとに設定します。設定後、スイッチは、マルチキャストレシーバ（ホスト）とIGMPまたはPIMルーターの間でIGMP通信のスヌーピングを開始します。IGMPクエリの受信インタフェースは、マルチキャストルーターインタフェースとして識別されます。マルチキャストグループとインタフェースの間でバインドが作成されるのは、そのインタフェースでjoin/reportメッセージが受信された時点です。ルーターに接続しているインタフェースで実際に受信された特定のグループのマルチキャストデータトラフィックは、そのマルチキャストグループとのバインドが存在するインタフェースに限定して転送されます。さらに、この転送は、IGMPv1ホストのIGMP leaveまたはtime-

outメカニズムからの応答が受信されるまで続きます。この一連の処理はすべて、IGMP/PIMルーターおよびマルチキャストレシーバに対して透過的です。Junos OSには、マルチキャストルーターインタフェースや、マルチキャストグループとインタフェース間のスタティックバインドを手動で設定するためのオプションも用意されています。この機能は、SRX100では利用できないことに注意してください。



802.1Qトンネリングの設定

Q-in-Qトンネリングを導入すると、サービスプロバイダはイーサネットアクセスネットワーク上で2つの顧客サイト間のレイヤー2イーサネット接続を拡張できるようになります。この機能は、JシリーズおよびSRXシリーズのデバイスをサービスプロバイダネットワークにPE（Provider

Edge）デバイスとして導入する場合に特に役立ちます。PEデバイスは、顧客からの入力VLANタグ付きパケットをプロバイダVLANにカプセル化して送信します。受信側のPEデバイスはプロバイダVLANをカプセル化解除して、パケットを受信側の顧客に転送します。この方法では、顧客のレイヤー2情報（VLAN、優先順位）は相手側でそのまま受信されます。

図11：Q-in-Qトンネリング

Q-in-Qトンネリングでは、パケットは顧客のVLAN（C-VLAN）からサービスプロバイダのVLANに転送され、顧客固有の802.1Qタグがパケットに付加されます。この追加タグは、サービスプロバイダによる定義のS-VLAN（Service VLAN）にトラフィックを分離する場合に使用します。パケットの元の顧客802.1Qタグはそのまま保持され、透過的に伝送されてサービスプロバイダのネットワークを通過します。パケットがS-VLANからダウンストリーム方向に送信されるときに、余分な802.1Qタグは削除されます。

Q-in-Qの導入環境では、ダウンストリームインタフェースからのパケットはそのままソースおよび宛先のMACアドレスに転送されます。MACアドレスの学習は、インタフェースレベルとVLANレベルの両方で無効にできます。インタフェースでMACアドレスの学習を無効にすると、そのインタフェースをメンバーとして含む、すべてのVLANで学習が無効になります。

C-VLANタグ付き

C-VLANタグ付き

顧客

サービスプロバイダ

S-VLAN + C-VLANタグ付き



vlans { <vlan name> { vlan-id <vlan id>; dot1q-tunneling {customer-vlans(native|<vlanidrange>); } interface { <interface name> { mapping {(native|<vlanid>){ push; } } }



} no-mac-learning; }}ethernet-switching-options { interfaces { <interface name> { no-mac-learning; } }}

Q-in-QトンネリングがJシリーズおよびブランチ向けSRXシリーズのプラットフォームで有効になっている場合、トランクインタフェースはサービスプロバイダネットワークの構成要素であり、アクセスインタフェースは顧客に対応しています。この場合、アクセスインタフェースは、タグ付きフレームとタグなしフレームの両方を受信できます。C-VLANをS-VLANにマッピングするには、3つの方法があります。

• オールインワン型のバンドル̶dot1q-tunnelingステートメントを[vlan <vlan name>]階層で使用して、顧客VLANを指定せずにマッピングします。特定のアクセスインタフェースからのパケットはすべて、S-VLANにマッピングされます。

• 多対1型のバンドル̶customer-vlansステートメントを[vlan <vlan name>]階層で使用して、S-VLANにマッピングするC-VLANを指定します。

• 特定のインタフェースでのC-VLANのマッピング̶mappingステートメントを[vlan <vlan name>]階層で使用して、指定したアクセスインタフェース上の特定のC-VLANをS-VLANにマッピングします。

• すべてのタイプ（オールインワン、多対1、およびC-VLANマッピング）をサポートしているのは、SRX650だけであることに注意してください。その他のSRXシリーズプラットフォーム（SRX100を除く）およびJシリーズでサポートしているのは、オールインワン型のバンドルに限定されます。VLANでMACの学習を無効にするには、[vlan <vlan name>]でno-mac-learningを設定します。また、インタフェースレベルで無効にするには、同じキーワードを[ethernet-switching-options interface <interface name>]に追加します。この機能は、SRX100では利用できないことに注意してください。

LLDP（Link Layer Discover Protocol）およびLLDP-MEDの設定

ネットワークリンク上のデバイス情報を学習して配信するLLDP-MED（Link Layer Discover Protocol–Media Endpoint Discovery）。この情報によって、スイッチはさまざまなデバイスを迅速に識別できるようになり、LANが円滑かつ効率的に相互運用されるという効果があります。

LLDP対応デバイスは、隣接するデバイスにTLV（Type, Length, and Value）メッセージ形式で情報を伝送します。デバイス情報には、シャーシやポートのID、システム名、システム機能といった項目が含まれます。TLVは、Junos OSですでに設定済みのパラメータから、この情報を流用します。

LLDP-MEDはさらに一歩踏み込んで、IPテレフォニーメッセージをスイッチとIP電話機の間で交換します。この一連のTLVメッセージは、PoE

（Power over Ethernet）ポリシーについての詳細な情報を提供します。PoE管理TLVでは、必要な出力のレベルや優先順位をスイッチポートからアドバタイズできるようにします。たとえば、スイッチは、PoEインタフェース上で動作しているIP電話機で必要な出力を利用可能なリソースと比較できます。IP電話機から要求されたリソースをスイッチが提供できない場合、出力について妥協が成立するまで、スイッチは電話機とのネゴシエーションを実行します。

図12：LLDPおよびLLDP-MED

ネットワーク周辺機器

Jシリーズ/ブランチ向けSRXシリーズ（LLDP/LLDP-MED）



スイッチは、この一連のプロトコルを使用して、ソース自体の適切な値で音声トラフィックのタグ付けと優先順位付けが確実に行われるようにします。たとえば、802.1p CoSおよび802.1Qのタグ情報は、IP電話機に送信できます。

Protocols { lldp { interface <interface name>; } lldp-med { interface <interface name>; }}

LLDPおよびLLDP-MEDは、それぞれ[protocols lldp]および[protocols lldp-med]で設定することで、インタフェースで有効になります。

以下の基本的なLLDP TLVがサポートされています。

• シャーシID̶ローカルシステムに関連付けられているMACアドレスです。

• ポートID̶ローカルシステムの特定のポートに割り当てられているポートIDです。

• ポート説明̶ユーザー設定によるポートの説明です。ポート説明には、最大256文字まで入力できます。

• システム名̶ユーザー設定によるローカルシステムの名前です。システム名には、最大256文字まで入力できます。

• システム説明̶システムの説明には、システムで動作中のソフトウェアや現在のイメージファイルについての情報が含まれています。この情報は設定不可であり、ソフトウェアから取得されます。

• システム機能̶システムによって実行される主な機能に関連します。システムでサポートしているのは、ブリッジまたはルーターの機能です。この情報は設定不可であり、製品モデルに基づいています。

• 管理アドレス̶ローカルシステムのIP管理アドレスです。

以下のLLDP-MED TLVがサポートされています。

• LLDP-MED機能̶ポートの主な機能をアドバタイズします。機能の値は、0から15までの範囲です。

- 0 – 機能

- 1 – ネットワークポリシー

- 2 – ロケーションID

- 3 – MDI-PSE（Medium-Dependent Interface Power-Sourcing Equipment）による拡張出力

- 4 – インベントリ

- 5 – 15 – 予約済み

• LLDP-MEDデバイスクラス値：

- 0 – 未定義のクラス

- 1 – クラス1デバイス



- 4 – ネットワーク接続デバイス

- 5 – 255 – 予約済み

• ネットワークポリシー̶ポートVLAN設定と、関連するレイヤー2およびレイヤー3属性をアドバタイズします。属性には、ポリシーID、音声やストリーミングビデオなどのアプリケーションタイプ、802.1Q VLANタギング、802.1p優先順位ビットおよびDiffServコードポイントが含まれています。

• エンドポイントロケーション̶エンドポイントの物理的な位置をアドバタイズします。

• MDIによる拡張出力̶出力タイプ、出力ソース、出力優先順位、およびポートの出力値をアドバタイズします。ポートの出力優先順位をアドバタイズするのは、PSEデバイス（ネットワーク接続デバイス）の役割です。



Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチング設定の例

シンプルなイーサネットスイッチング

この例では、Jシリーズデバイスおよびブランチ向けSRXシリーズデバイスをシンプルなレイヤー2スイッチとして使用する場合に必要な設定の詳細を紹介します。トポロジーを図13に示します。

図13：シンプルなイーサネットスイッチング

関連する設定は、以下のとおりです。

ge-0/0/5 ge-0/0/9

set interfaces ge-0/0/5 unit 0 family ethernet-switchingset interfaces ge-0/0/9 unit 0 family ethernet-switching

トラブルシューティング

ge-0/0/5およびge-0/0/9の両インタフェースは、デフォルトVLANの構成要素である必要があります。

regress@SRX-1> show vlansName Tag Interfacesdefault 1 ge-0/0/5.0*, ge-0/0/9.0*

VLANの追加

今回は、この小規模な拠点/支店に、SALESとOPERATIONSという2つの部門があるという想定です。この部門を切り離して、ドメイン間でのトラフィックの漏えいを防ぐため、設計にVLANSを追加します。その結果、図14に示すように、新しいトポロジーになります。

図14：複数VLANによるイーサネットスイッチング

ge-0/0/11ge-0/0/7

ge-0/0/9ge-0/0/5

OPERATIONS

SALES

set vlans OPERATIONS vlan-id 20set vlans SALES vlan-id 10set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONS




以下のコマンドは、インタフェースとVLANのアソシエーションを表示します。

regress@SRX-1> show vlansName Tag InterfacesOPERATIONS 20 ge-0/0/7.0*, ge-0/0/11.0*SALES 10 ge-0/0/5.0*, ge-0/0/9.0*default 1 None

VLAN間でのトラフィックのルーティング

今度は、この小規模な拠点/支店で、異なる事業部門間の接続を可能にするとともに、各事業部門に専用のレイヤー3セグメントを割り当てることで、この接続をコントロールする必要があるという想定です。その結果、事業部門間のトラフィックは、図15に示すように、トラフィックポリシーを適用可能なファイアウォールモジュールによってルーティングおよび検査されます。以下の設定では、VLANごとに1つ、合計2つのレイヤー3インタフェースを追加しています。このインタフェースは、それぞれのネットワークセグメントでデフォルトゲートウェイとして機能します。この新しいVLANインタフェースはセキュリティゾーンに追加され、セキュリティポリシーを定義して、ゾーン間のトラフィックを許可しています。この例では、SALESとOPERATIONSという2つのセキュリティゾーンを作成しており、HTTPトラフィックはこの両方のゾーン（双方向）で許可されます。

図15：VLAN間転送

ge-0/0/11

ネットワーク10.1.2.0/24

ネットワーク10.1.2.0/24

ge-0/0/7

ge-0/0/9ge-0/0/5

OPERATIONS

SALES

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address any



set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit


VLANアソシエーションに加えて、ルーティングされたVLANインタフェースをリンクアップして、VLAN間のトラフィックを転送する必要があります。

regress@SRX-1> show vlansName Tag InterfacesOPERATIONS 20 ge-0/0/7.0*, ge-0/0/11.0*SALES 10 ge-0/0/5.0*, ge-0/0/9.0*default 1 Noneregress@SRX-1> show interfaces vlan terseInterface Admin Link Proto Local Remotevlan up upvlan.10 up up inet 10.1.1.1/24vlan.20 up up inet 10.1.2.1/24

タグ付きインタフェースの追加

図16：トランクポート（タグ付きインタフェースの追加）

今度は、JシリーズおよびSRXシリーズが別のSRXシリーズデバイスに接続されるという想定です。図16に示すように、VLANドメインを切り離したまま、あるスイッチに属しているSALESおよびOPERATIONSのユーザーが別のスイッチのそれぞれのサーバーにアクセスする必要があります。図を見ればわかるように、両方のデバイスのインタフェースge-0/0/3は相互に接続され、SALESおよびOPERATIONSのVLANトラフィックを搬送するトランクポートとして設定されています。

ge-0/0/11

ge-0/0/7

ge-0/0/3

ge-0/0/3

ge-0/0/9

ge-0/0/5

SRX-2

SRX-1

トランクポート



SRX-1の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode trunkset interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit

SRX-2の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode trunkset interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address any



set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit


アクセスポートはVLANのタグなしメンバーである必要があり、トランクポートはVLANのタグ付きメンバーです。トランクポートは、複数VLAN

の構成要素です。

regress@SRX-1> show ethernet-switching interfacesInterface State VLAN members Tag Tagging Blockingge-0/0/3.0 up OPERATIONS 20 tagged unblocked SALES 10 tagged unblockedge-0/0/5.0 up SALES 10 untagged unblockedge-0/0/7.0 up OPERATIONS 20 untagged unblockedregress@SRX-2> show ethernet-switching interfacesInterface State VLAN members Tag Tagging Blockingge-0/0/3.0 up OPERATIONS 20 tagged unblocked SALES 10 tagged unblockedge-0/0/9.0 up SALES 10 untagged unblockedge-0/0/11.0 up OPERATIONS 20 untagged unblocked

リンクアグリゲーションによる処理容量の増加

小規模な拠点/支店の拡張に伴い、追加の帯域幅を要求するアプリケーションの数が増加して、ルーターとスイッチの間にボトルネックが形成されています。この問題を軽減するため、リンクアグリゲーションを設定して、新しいリンクをデバイス間に追加します。

図17：リンクアグリゲーション

インタフェースge-0/0/1およびge-0/0/3は、両方のスイッチのアグリゲーションイーサネットインタフェースae0に対するバンドルです。また、このae0.0は、SALESおよびOPERATIONSのVLANトラフィックを搬送するトランクポートとして設定されています。

ge-0/0/11

ge-0/0/7

ae0.0

ae0.0

ge-0/0/9

ge-0/0/5

SRX-2

SRX-1

トランクポート



SRX-1の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set chassis aggregated-devices thernet device-count 2set interfaces ge-0/0/1 gigether-options 802.3ad ae0set interfaces ge-0/0/3 gigether-options 802.3ad ae0set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae0 aggregated-ether-options lacp activeset interfaces ae0 unit 0 family ethernet-switching port-mode trunkset interfaces ae0 unit 0 family ethernet-switching vlan members SALESset interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit

SRX-2の設定

setvlansOPERATIONSvlan-id20setvlansOPERATIONSl3-interfacevlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set chassis aggregated-devices ethernet device-count 2set interfaces ge-0/0/1 gigether-options 802.3ad ae0set interfaces ge-0/0/3 gigether-options 802.3ad ae0set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae0 aggregated-ether-options lacp activeset interfaces ae0 unit 0 family ethernet-switching port-mode trunkset interfaces ae0 unit 0 family ethernet-switching vlan members SALESset interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-http



set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit


LAGのメンバーインタフェースのマルチプレクサの状態は、collectingおよびdistributingである必要があります。L2スイッチング機能はアグリゲーションインタフェースで設定します（この例では、ae0をトランクポートに設定）。

regress@SRX-1> show lacp interfacesAggregated interface: ae0 LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity ge-0/0/5 Actor No No Yes Yes Yes Yes Fast Active ge-0/0/5 Partner No No Yes Yes Yes Yes Fast Active ge-0/0/7 Actor No No Yes Yes Yes Yes Fast Active ge-0/0/7 Partner No No Yes Yes Yes Yes Fast Active LACP protocol: Receive State Transmit State Mux State ge-0/0/5 Current Fast periodic Collecting distributing ge-0/0/7 Current Fast periodic Collecting distributing

regress@SRX-1> show ethernet-switching interfacesInterface State VLAN members Tag Tagging Blockingae0.0 up OPERATIONS 20 tagged unblocked SALES 10 tagged unblockedge-0/0/5.0 up SALES 10 untagged unblockedge-0/0/7.0 up OPERATIONS 20 untagged unblocked

RSTPによるループ回避

図18に示すように、JシリーズおよびSRXシリーズの別のデバイスSRX-3がSRX-1およびSRX-2の両方に接続しています。ネットワークでループを回避するため、RSTPを設定します。

図18：RSTPによるループ回避

RSTP（Rapid Spanning Tree Protocol）がすべてのデバイスで有効になっており、SRX-2がルートスイッチとして設定されています。ユーザーワークステーションやサーバーなど、エンドホストに接続しているインタフェースは、エッジポートとして設定されています。

ge-0/0/11

ge-0/0/7

ge-0/0/9

ge-0/0/5

ge-0/0/8ge-0/0/6

ae0.0

ae0.0

ae0.0

ae1.0

ae1.0ae1.0

SRX-2

SRX-1

SRX-3



SRX-1の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set chassis aggregated-devices ethernet device-count 2set interfaces ge-0/0/1 gigether-options 802.3ad ae0set interfaces ge-0/0/3 gigether-options 802.3ad ae0set interfaces ge-0/0/15 gigether-options 802.3ad ae1set interfaces ge-0/0/13 gigether-options 802.3ad ae1set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae0 unit 0 family ethernet-switching port-mode trunkset interfaces ae0 unit 0 family ethernet-switching vlan members SALESset interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae1 unit 0 family ethernet-switching port-mode trunkset interfaces ae1 unit 0 family ethernet-switching vlan members SALESset interfaces ae1 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.1/24set interfaces vlan unit 20 family inet address 10.1.2.1/24set protocols rstpset protocols rstp interface ge-0/0/5.0 edgeset protocols rstp interface ge-0/0/7.0 edgeset security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit



SRX-2の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set chassis aggregated-devices ethernet device-count 2set interfaces ge-0/0/1 gigether-options 802.3ad ae0set interfaces ge-0/0/3 gigether-options 802.3ad ae0set interfaces ge-0/0/15 gigether-options 802.3ad ae1set interfaces ge-0/0/13 gigether-options 802.3ad ae1set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae0 unit 0 family ethernet-switching port-mode trunkset interfaces ae0 unit 0 family ethernet-switching vlan members SALESset interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae1 unit 0 family ethernet-switching port-mode trunkset interfaces ae1 unit 0 family ethernet-switching vlan members SALESset interfaces ae1 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.2/24set interfaces vlan unit 20 family inet address 10.1.2.2/24set protocols rstp bridge-priority 4kset protocols rstp interface ge-0/0/9.0 edgeset protocols rstp interface ge-0/0/11.0 edgeset security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit



SRX-3の設定

set vlans OPERATIONS vlan-id 20set vlans OPERATIONS l3-interface vlan.20set vlans SALES vlan-id 10set vlans SALES l3-interface vlan.10set chassis aggregated-devices ethernet device-count 2set interfaces ge-0/0/13 gigether-options 802.3ad ae0set interfaces ge-0/0/15 gigether-options 802.3ad ae0set interfaces ge-0/0/0 gigether-options 802.3ad ae1set interfaces ge-0/0/2 gigether-options 802.3ad ae1set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae0 unit 0 family ethernet-switching port-mode trunkset interfaces ae0 unit 0 family ethernet-switching vlan members SALESset interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces ae1 unit 0 family ethernet-switching port-mode trunkset interfaces ae1 unit 0 family ethernet-switching vlan members SALESset interfaces ae1 unit 0 family ethernet-switching vlan members OPERATIONSset interfaces vlan unit 10 family inet address 10.1.1.3/24set interfaces vlan unit 20 family inet address 10.1.2.3/24set protocols rstpset protocols rstp interface ge-0/0/6.0 edgeset protocols rstp interface ge-0/0/8.0 edgeset security zones security-zone SALES interfaces vlan.10set security zones security-zone OPERATIONS interfaces vlan.20set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match source-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match destination-address anyset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match application junos-httpset security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then permitset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match source-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match destination-address anyset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match application junos-httpset security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then permit




SRX-2はルートスイッチです。ルートスイッチのインタフェースはすべて、転送中の状態です。

regress@SRX-2> show spanning-tree bridgeSTP bridge parametersContext ID :0Enabled protocol :RSTP Root ID :4096.00:22:83:99:b0:50 Hello time :2 seconds Maximum age :20 seconds Forward delay :15 seconds Message age :0 Number of topology changes :2 Time since last topology change :458 seconds Topology change initiator : ae1.0 Topology change last recvd.From :80:71:1f:a4:2b:01 Local parameters Bridge ID :4096.00:22:83:99:b0:50 Extended system ID :0 Internal instance ID :0

regress@elanta> show spanning-tree interfaceSpanning tree interface parameters for instance 0Interface Port ID Designated Designated Port State Role port ID bridge ID Costae0.0 128:1 128:1 4096.00228399b050 20000 FWD DESGae1.0 128:2 128:2 4096.00228399b050 10000 FWD DESGge-0/0/9.0 128:522 128:522 4096.00228399b050 20000 FWD DESGge-0/0/11.0 128:524 128:524 4096.00228399b050 20000 FWD DESG

ルート以外の全スイッチにルートブリッジIDが設定されることに注意してください。ルートポートがルートスイッチに接続していることにも注意してください。

regress@SRX-1> show spanning-tree bridgeSTP bridge parametersContext ID :0Enabled protocol :RSTP Root ID :4096.00:22:83:99:b0:50 Root cost :10000 Root port : ae0.0 Hello time :2 seconds Maximum age :20 seconds Forward delay :15 seconds Message age :1 Number of topology changes :4 Time since last topology change :95 seconds Topology change initiator : ae1.0 Topology change last recvd.From :00:22:83:99:b0:c0 Local parameters Bridge ID :32768.00:1b:c0:53:69:88 Extended system ID :0 Internal instance ID :0



ルートスイッチに対して2つの冗長リンクがある場合、どちらか一方がルートポート、もう一方が代替ポートです。

regress@SRX-3> show spanning-tree interface

Spanning tree interface parameters for instance 0Interface Port ID Designated Designated Port State Role port ID bridge ID Costae0.0 128:1 128:2 32768.001bc0536988 10000 BLK ALTae1.0 128:2 128:2 4096.00228399b050 10000 FWD ROOTge-0/0/6.0 128:519 128:519 32768.80711fa42a90 20000 FWD DESGge-0/0/8.0 128:521 128:521 32768.80711fa42a90 20000 FWD DESG

IEEE 802.1X認証

この例では、802.1Xがインタフェースge-0/0/5で有効になっています。インタフェースに接続したユーザーの資格情報が検証されるまで、そのユーザーは、デバイスに接続されたすべてのネットワークリソースにアクセスできません。

図19：IEEE 802.1X認証

RADIUSサーバーは、スイッチから到達できる必要があります。また、サプリカントのユーザー名とパスワードの設定が必要です。[edit

protocols dot1x static]で設定されているスタティックMACアドレスに対しては、認証は実行されません。

ge-0/0/11ge-0/0/0

ge-0/0/5

RADIUSサーバー

ネットワークリソース

サプリカント

181.181.16.2

set interfaces ge-0/0/0 unit 0 family inet address 181.181.16.1/24set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members SALESsetprotocolsdot1xauthenticatorauthentication-profile-nametestset protocols dot1x authenticator static 00:11:22:33:55:66/48set protocols dot1x authenticator interface ge-0/0/12.0 supplicant multipleset access radius-server 181.181.16.2 secret “$9$K76WX-YgJHqfVwqfTzCAvWL”setaccessprofiletestauthentication-orderradius




regress@SRX-1# run show dot1x interface802.1X Information:Interface Role State MAC address Userge-0/0/12.0 Authenticator Connectingregress@SRX-1# run show dot1x interface802.1X Information:Interface Role State MAC address Userge-0/0/12.0 Authenticator Authenticated 00:00:00:80:00:01 user1regress@SRX-1# run show dot1x authentication-bypassed-usersMAC address Interface VLAN00:11:22:33:55:66ge-0/0/12.0configured/default

IGMPスヌーピングプロトコルによるマルチキャストスヌーピング

この例では、JシリーズおよびSRXシリーズのデバイス上にIGMPスヌーピングを設定して、デバイスのマルチキャストトラフィックを調整します。マルチキャストレシーバは、インタフェースge-0/0/9に接続します。インタフェースge-0/0/2は、PIM/IGMPルーターに接続します。このPIM/

IGMPルーターから、マルチキャストデータパケットが送信されます。

set vlans SALES vlan-id 10set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members SALESset interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALESset protocols igmp-snooping vlan SALES

図20：IGMPスヌーピングによるマルチキャストスヌーピング


アップリンクインタフェース（ge-0/0/2）がマルチキャストルーターインタフェースとして識別されていることを確認します。そうでない場合、受信されたjoinメッセージはPIM/IGMPルーターに転送できません。

PIM IGMPルーター

ソース

ge-0/0/2

ge-0/0/9

マルチキャストレシーバ

regress@SRX-1# run show igmp-snooping membership detailVLAN:SALESTag:10(Index:2) Router interfaces: ge-0/0/2.0 dynamic Uptime:00:04:48 timeout:219 Group:230.5.5.5 ge-0/0/9.0 timeout:233 Last reporter:23.23.23.2 Receiver count:1, Flags:<V2-hosts>



802.1Qトンネリング（Q-in-Qトンネリング）

この例では、Jシリーズおよびブランチ向けSRXシリーズのデバイスの802.1Qトンネリング機能をサービスプロバイダネットワークでPE

（Provider Edge）機能として使用できるということを紹介します。

図21：802.1Qトンネリング

SRX-1およびSRX-2のインタフェースge-0/0/4およびge-0/0/12は、それぞれ顧客のエンドデバイスに接続しています。さらに、両方のデバイスのge-0/0/8は、サービスプロバイダネットワークに接続しています。

SRX-1の設定

顧客

サービスプロバイダ

ge-0/0/8

ge-0/0/8

ge-0/0/12

ge-0/0/4

SRX-1

SRX-2

set vlans SERVICE_PROVIDER vlan-id 100set vlans SERVICE_PROVIDER dot1q-tunnelingset interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members SERVICE_PROVIDERset interfaces ge-0/0/8 unit 0 family ethernet-switching port-mode trunkset interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members SERVICE_PROVIDER

SRX-2の設定

set vlans SERVICE_PROVIDER vlan-id 100set vlans SERVICE_PROVIDER dot1q-tunnelingset interfaces ge-0/0/8 unit 0 family ethernet-switching port-mode trunkset interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members SERVICE_PROVIDERset interfaces ge-0/0/12 unit 0 family ethernet-switching vlan members SERVICE_PROVIDER




regress@SRX-1# run show vlans detailVLAN:SERVICE_PROVIDER, 802.1Q Tag:100, Admin State:EnabledDot1q Tunneling status:EnabledNumberofinterfaces:2(Active=2) Untagged interfaces: ge-0/0/4.0* Tagged interfaces: ge-0/0/8.0*VLAN: default, 802.1Q Tag:1, Admin State:Enabled

ジュニパーネットワークスについてジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウド事業者にいたるまで、ジュニパーネットワークスは、ネットワークの利便性と経済性を変え、ビジネスを変革するソフトウェア、シリコン、システムを提供しています。ジュニパーネットワークスに関する詳細な情報は、以下をご覧ください。

http://www.juniper.net/jp/ 、 Twitter 、 Facebook



Copyright© 2014, Juniper Networks, Inc. All rights reserved. Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

アジアパシフィック、ヨーロッパ、中東、アフリカJuniper Networks International B.V.

Boeing Avenue 240 1119 PZ Schiphol-Rijk Amsterdam, The Netherlands

電話 31-0-207-125-700 FAX 31-0-207-125-701

米国本社Juniper Networks, Inc.

1194 North Mathilda Ave Sunnyvale, CA 94089 USA

電話 888-JUNIPER (888-586-4737) または 408-745-2000 FAX 408-745-2100

URL http://www.juniper.net

日本ジュニパーネットワークス株式会社

東京本社〒163-1445 東京都新宿区西新宿3-20-2 東京オペラシティタワー45F

電話 03-5333-7400 FAX 03-5333-7401

西日本事務所〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜

URL http://www.juniper.net/jp/

3500196-002 JP Apr 2014

http://www.juniper.net/jp/jp/

https://twitter.com/Juniper_Japan

http://www.facebook.com/JuniperJapan

http://www.juniper.net

http://www.juniper.net/jp/

srxシリーズのイーサネット スイッチング設定ガイド...はじめに...

Documents

srxシリーズのイーサネットスイッチング設定ガイド...はじめに...