セキュリティデバイスでのイーサネットポートスイッチングモード
セキュリティ デバイスのスイッチング モードについて
スイッチング モードには 2 種類あります。
スイッチング モード - uPIM は、uPIM の最初のインターフェイスである単一のインターフェイスとしてインターフェイスのリストに表示されます。たとえば、ge-2/0/0 のようになります。オプションで、各 uPIM ポートを自動ネゴシエイション、速度、および二重モード用にのみ設定できます。スイッチング モードの uPIM は、以下の機能を実行できます。
レイヤー 3 転送 - シャーシ上に存在する WAN インターフェイスおよびその他の PIM 宛てのトラフィックをルーティングします。
レイヤー 2 転送 - LAN 上の 1 つのホストから別の LAN ホスト(uPIM の 1 ポートから同じ uPIM の別のポート)に LAN 内トラフィックを切り替えます。
拡張スイッチング モード - 各ポートをスイッチング モードまたはルーティング モードに設定できます。この使用法は、すべてのポートがスイッチング モードまたはルーティング モードのいずれかになっている必要があるルーティング モードおよびスイッチング モードとは異なります。拡張スイッチング モードの uPIM には、次の利点があります。
強化されたスイッチモードの利点:
異なるタイプのVLANの設定とVLAN間ルーティングをサポートします。
リンクアグリゲーション制御プロトコル(LACP)などのレイヤー2コントロールプレーンプロトコルをサポートします。
認証サーバーによるポートベースのネットワークアクセス制御(PNAC)をサポートします。
注:SRX300およびSRX320デバイスは、拡張スイッチングモードのみをサポートします。マルチポート uPIM を拡張スイッチング モードに設定すると、すべてのレイヤ 2 スイッチング機能が uPIM でサポートされます。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
デバイス上のマルチポート ギガビット イーサネット uPIM は、スイッチング モードまたは拡張スイッチング モードのいずれかに設定できます。
マルチポート uPIM をスイッチング モードに設定すると、uPIM は監視用の単一エンティティとして表示されます。設定できる物理ポート設定は、各 uPIM ポートでの自動ネゴシエーション、速度、および二重モードのみで、これらの設定はオプションです。
セキュリティデバイスのイーサネットポートスイッチングの概要
ジュニパーネットワークス デバイスの特定のポートは、レイヤー 2 でトラフィックをスイッチングし、レイヤー 3 でトラフィックをルーティングする イーサネット アクセス スイッチとして機能できます。
ルーティング機能が統合されたアクセススイッチまたはデスクトップスイッチとして、支社/拠点のオフィスに導入できるため、ネットワークトポロジーから中間アクセススイッチデバイスを排除できます。イーサネットポートはスイッチングを提供し、ルーティングエンジンはルーティング機能を提供し、単一のデバイスを使用してルーティング、アクセススイッチング、WANインターフェイスを提供できます。
このトピックには、以下のセクションが含まれています。
- サポートされているデバイスとポート
- 統合型ブリッジングおよびルーティング
- Link Layer Discovery ProtocolとLLDP-Media Endpoint Discovery
- スイッチポートのタイプ
- デイジーチェーンのuPIM
- Q-in-Q VLANタギング
サポートされているデバイスとポート
ジュニパーネットワークスは、さまざまなイーサネットポートやデバイスでのスイッチング機能をサポートしています( 表 1を参照)。プラットフォームのサポートは、インストールされた Junos OS のリリースによって異なります。次のポートとデバイスが含まれています。
SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550MおよびSRX1500デバイスのオンボードイーサネットポート(ギガビットおよびファストイーサネット内蔵ポート)。
SRX650デバイス上のマルチポートギガビットイーサネットXPIM。
デバイス |
ポート |
|---|---|
SRX100デバイス |
オンボード ファスト イーサネット ポート(fe-0/0/0 および fe-0/0/7) |
SRX210デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0 および ge-0/0/1)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 オンボード ファスト イーサネット ポート(fe-0/0/2 および fe-0/0/7) |
SRX220デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/7)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
SRX240デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/15)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
SRX300デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/7) |
SRX320デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/7) |
SRX340デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/15) |
SRX345デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/15) |
SRX550デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/9、マルチポート ギガビット イーサネット XPIM モジュール、1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
デバイスSRX550M |
オンボード ギガビット イーサネット ポート(ge-0/0/0からge-0/0/9およびマルチポート ギガビット イーサネット XPIM モジュール。 |
SRX650デバイス |
マルチポート ギガビット イーサネット XPIM モジュール 注:
SRX650デバイスでは、イーサネットスイッチングはギガビットイーサネットインターフェイス(ge-0/0/0からge-0/0/3ポート)ではサポートされていません。 |
デバイスSRX1500 |
オンボード ギガビット イーサネット ポート(ge-0/0/0〜ge-0/0/19) |
SRX100に搭載されています。SRX220、SRX240、SRX300、SRX320、SRX340、およびSRX345デバイスでは、オンボードギガビットイーサネットポートをスイッチポートまたはルーティングポートとして動作するように設定できます。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
統合型ブリッジングおよびルーティング
IRB(統合型ブリッジングおよびルーティング)は、同一VLAN内でのレイヤー2スイッチとレイヤー3ルーティングの同時サポートを提供します。VLANのインターフェイスに到着するパケットは、パケットの宛先MACアドレスに基づいて切り替えまたはルーティングされます。ルーターの MAC アドレスを宛先とするパケットは、他のレイヤー 3 インターフェイスにルーティングされます。
Link Layer Discovery ProtocolとLLDP-Media Endpoint Discovery
デバイスは、LLDP(Link Layer Discovery Protocol)と LLDP-Media Endpoint Discovery(MED)を使用して、ネットワーク リンクに関するデバイス情報を学習および配信します。この情報により、デバイスはさまざまなシステムを迅速に識別し、スムーズかつ効率的に相互運用するLANを実現します。
LLDP対応デバイスは、タイプ長さ値(TLV)メッセージ内の情報をネイバーデバイスに送信します。デバイス情報には、シャーシとポートの識別、システム名とシステム機能などの詳細を含めることができます。TLVは、Junos OSですでに設定されているパラメーターからこの情報を利用します。
LLDP-MEDはさらに一歩進んで、デバイスとIP電話の間でIP電話メッセージを交換します。これらの TLV メッセージは、PoE(Power over Ethernet)ポリシーに関する詳細情報を提供します。PoE 管理 TLV によって、デバイス ポートは必要な電力レベルと電力優先度をアドバタイズできます。たとえば、デバイスは、PoEインターフェイス上で動作するIP電話に必要な電力と利用可能なリソースを比較できます。デバイスが IP 電話に必要なリソースを満たせない場合、デバイスは電力侵害に達するまで電話とネゴシエートできます。
次の基本 TLV がサポートされています。
シャーシ識別子—ローカル システムに関連付けられた MAC アドレス。
ポート識別子—ローカルシステム内の指定されたポートのポートID。
ポートの説明—ユーザーが設定したポートの説明。ポート記述は最大 256 文字です。
システム名:ローカルシステムのユーザー設定名。システム名は最大 256 文字です。
スイッチング機能の概要:この情報は設定できず、ソフトウェアから取得されます。
システム機能 - システムが実行する主要な機能。システムがサポートする機能。たとえば、イーサネットスイッチングやルーターなどです。この情報は構成できませんが、製品のモデルに基づいています。
管理アドレス—ローカルシステムのIP管理アドレス。
以下のLLDP-MED TLVがサポートされています。
LLDP-MED機能:ポートの主要な機能をアドバタイズするTLV。値の範囲は 0 から 15 です。
0 - 機能
1 - ネットワーク ポリシー
2 - ロケーション識別
3—媒体依存インターフェイス給電機器(MDI-PSE)を介した拡張電力
4 - インベントリ
5–15 - 予約済み
LLDP-MEDデバイスクラス値:
0:クラス未定義
1 - クラス 1 デバイス
2 - クラス 2 デバイス
3 - クラス 3 デバイス
4 - ネットワーク接続デバイス
5–255— 予約済み
注:Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、リンク層ディスカバリープロトコル(LLDP)とLLDPメディアエンドポイントディスカバリー(MFD)が、SRX300、SRX320、SRX340、SRX345、SRX550MおよびSRX1500デバイスで有効になっています。
ネットワーク ポリシー:ポート VLAN 設定と、関連するレイヤー 2 およびレイヤー 3 属性をアドバタイズする TLV。属性には、ポリシー識別子、音声やストリーミングビデオなどのアプリケーションタイプ、802.1Q VLANタギング、802.1pプライオリティビットとDiffservコードポイントが含まれます。
エンドポイントの場所:エンドポイントの物理的な場所をアドバタイズする TLV。
MDI 経由の拡張電力 - ポートの電源タイプ、電源、電力優先度、および電力値をアドバタイズする TLV。ポートで電力優先度をアドバタイズするのは、PSEデバイス(ネットワーク接続デバイス)の役割です。
LLDP および LLDP-MED は、SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 デバイスのベース ポート、および SRX650 デバイスのギガビット バックプレーン物理インターフェイス モジュール(GPIM)の uPIM(拡張スイッチング モード)で明示的に設定する必要があります。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。すべてのインターフェイスまたは特定のインターフェイスでLLDPを設定するには、[set protocols]階層レベルで lldpステートメントを使用します。すべてのインターフェイスまたは特定のインターフェイスでLLDP-MEDを設定するには、[set protocols]階層レベルで lldp-medステートメントを使用します。
スイッチポートのタイプ
スイッチのポート(またはインターフェイス)は、アクセス モードまたはトランク モードで動作します。
アクセス モードのインターフェイスは、デスクトップ コンピュータ、IP 電話、プリンター、ファイル サーバー、セキュリティ カメラなどのネットワーク デバイスに接続します。インターフェイス自体は 1 つの VLAN に属しています。アクセス インターフェイスを介して送信されるフレームは、通常のイーサネット フレームです。
トランク インターフェイスは、複数の VLAN のトラフィックを処理し、同一の物理接続を介してこれらすべての VLAN のトラフィックを多重化します。トランク インターフェイスは通常、スイッチを相互に相互接続するために使用します。
デイジーチェーンのuPIM
複数の uPIM を組み合わせて、1 つの統合スイッチとして動作させることはできません。ただし、ある uPIM のポートを別の uPIM のポートにデイジーチェーン接続することで、同じシャーシ上の uPIM を外部から接続できます。
2 つ以上の uPIM をデイジーチェーン接続すると、個々の uPIM よりもポート数の多い単一のスイッチが作成されます。各 uPIM の 1 つのポートは、接続にのみ使用されます。たとえば、6 ポート uPIM と 8 ポート uPIM をデイジーチェーン接続すると、結果は 12 ポート uPIM として動作します。uPIM のどのポートもデイジー チェーン接続に使用できます。
デイジーチェーン接続された uPIM の 1 つのみの IP アドレスを設定し、プライマリ uPIM にします。セカンダリ uPIM はトラフィックをプライマリ uPIM にルーティングし、プライマリ uPIM はルーティング エンジンに転送します。これにより、外部リンクのオーバーサブスクリプションにより、レイテンシとパケットドロップがいくらか増加します。
2 つの uPIM 間のリンクは 1 つだけサポートされます。uPIM 間に複数のリンクを接続すると、ループ トポロジーが作成されますが、これはサポートされていません。
Q-in-Q VLANタギング
IEEE 802.1ad 規格で定義されている Q-in-Q トンネリングを使用すると、イーサネット アクセス ネットワーク上のサービス プロバイダは、2 つの顧客サイト間でレイヤー 2 イーサネット接続を拡張できます。
Q-in-Qトンネリングでは、パケットがC-VLAN(顧客VLAN)からサービスプロバイダのVLANへ転送される際に、サービスプロバイダ固有の802.1Qタグがパケットに追加されます。この追加タグを使用して、トラフィックをサービスプロバイダ定義のS-VLAN(サービス VLAN)に分離します。パケットの元の顧客802.1Qタグは残され、サービスプロバイダのネットワークを通過して透過的に送信されます。パケットがS-VLANを下流方向に流れるうちに、余分な802.1Qタグが削除されます。
サービスプロバイダのVLANにQ-in-Qトンネリングが設定されている場合、 ルーティングVLANインターフェイスからのパケットを含め、そのVLANの顧客向けアクセスポートから送信されるすべてのルーティングエンジンパケットには常にタグが付けられます。
C-VLANをS-VLAN にマッピングするには、次の 3 つの方法があります。
オールインワンバンドリング - [
edit vlans] 階層レベルでdot1q-tunnelingステートメントを使用して、顧客の VLAN を指定せずにマッピングします。特定のアクセスインターフェイスからのすべてのパケットは、S-VLANにマッピングされます。多対1バンドリング - [
edit vlans] 階層レベルでcustomer-vlansステートメントを使用して、S-VLAN にマッピングするC-VLANを指定します。特定のインターフェイスでの C-VLAN のマッピング - [
edit vlans] 階層レベルでmappingステートメントを使用して、指定されたアクセスインターフェイス上の特定の C-VLAN を S-VLAN にマッピングします。
表 2 は、 SRXシリーズファイアウォールでサポートされているC-VLANからS-VLANへのマッピングを示しています。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
マッピング |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
|---|---|---|---|---|---|---|---|---|
オールインワンのバンドル |
◯ |
◯ |
なし |
なし |
◯ |
◯ |
◯ |
◯ |
多対1のバンドル |
なし |
なし |
なし |
なし |
◯ |
◯ |
◯ |
◯ |
特定のインターフェイスでのC-VLANのマッピング |
なし |
なし |
なし |
なし |
◯ |
◯ |
◯ |
◯ |
VLAN 変換は SRX300 および SRX320 デバイスでサポートされていますが、これらのデバイスでは Q-in-Q トンネリングはサポートされていません。
SRX650デバイスでは、dot1q-トンネリング設定オプションにおいて、設定をコミットしたとしても、同じS-VLANに対して顧客のVLAN範囲とVLANプッシュが連携しません。両方が設定されている場合、VLANプッシュが顧客のVLAN範囲よりも優先されます。
IRB インターフェイスは、SRX210、SRX240、SRX340、SRX345、SRX650 デバイスの Q-in-Q VLAN でサポートされています。Q-in-Q VLAN の IRB インターフェイスに到着するパケットは、パケットが単一タグ付きか、二重タグ付きかに関係なくルーティングされます。トランクインターフェイスから出る場合に限り、発信するルーテッドパケットにはS-VLANタグが含まれます。アクセスインターフェイスから出る場合は、パケットはタグなしの状態です。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
Q-in-Qの導入では、ダウンストリームインターフェイスから送信された顧客のパケットは、送信元および宛先のMACアドレスを変更することなく転送されます。インターフェイス レベルと VLAN レベルの両方で MAC アドレス学習を無効にすることができます。インターフェイスのMACアドレス学習を無効にすることで、インターフェイスがメンバーになっているすべてのVLANの学習を無効にします。VLANでのMACアドレス学習を無効にすると、すでに学習したMACアドレスがフラッシュされます。
SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、SRX650デバイス(インストールされたJunos OSリリースによってはプラットフォームサポートあり)では、レイヤー3アグリゲートイーサネットでは、次の機能はサポートされていません。
カプセル化(CCC、VLAN CCC、VPLS、PPPoE など)
J-Web
Junos OSリリース19.4R2以降、冗長イーサネット(reth)インターフェイスでLLDPを設定できます。
set protocol lldp interface <reth-interface>コマンドを使用して、rethインターフェイスでLLDPを設定します。
SRX550Mデバイスでは、XEメンバーインターフェイスを持つ集合型イーサネット(ae)インターフェイスをイーサネットスイッチングファミリーで設定することはできません。
SRX300、SRX320、SRX340、SRX345、および SRX550M デバイスでは、レイヤー 3 インターフェイスでの Q-in-Q サポートには以下の制限があります。
二重タギングは、reth および ae インターフェイスではサポートされていません。
マルチポロジールーティングは、フローモードおよびシャーシクラスタではサポートされていません。
デュアルタグ付きフレームは、カプセル化(CCC、TCC、VPLS、PPPoEなど)ではサポートされていません
レイヤー 3 論理インターフェイスでは、
input-vlan-map、output-vlan-map、inner-range、およびinner-listは適用されません0x8100を持つTPIDのみサポートされ、タグの最大数は2です。
デュアルタグ付きフレームは、IPV4およびIPv6ファミリーの論理インターフェイスでのみ受け入れられます。
SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、SRX650デバイス(インストールされたJunos OSリリースに応じてプラットフォームサポートあり)では、 RVI(ルーテッドVLANインターフェイス )では、次の機能はサポートされていません。
IS-IS(ファミリー ISO)
VLAN インターフェイスでのカプセル化(Ether CCC、VLAN CCC、VPLS、PPPoE など)
CLNS
DVMRP
VLAN インターフェイスの MAC の変更
G-ARP
VLAN インターフェイス用 VLAN ID の変更
例:セキュリティ デバイスでのスイッチング モードの設定
要件
開始する前に、 セキュリティデバイス向けイーサネットポートスイッチングの概要を参照してください。
概要
この例では、 chassis を設定し、l2-learning プロトコルをグローバル モード スイッチングに設定します。次に、l2学習プロトコルに物理ポートパラメータを設定します。
トポロジー
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
ステップバイステップでの手順
スイッチング モードを設定するには:
l2学習プロトコルをグローバルモードスイッチングに設定します。
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
L2学習プロトコルの物理ポートパラメータを設定します。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
設定モードから、show protocols および show interfaces コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show protocols
l2-learning {
global-mode switching;
}
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
スイッチング モードの確認
目的
スイッチング モードが想定どおりに設定されていることを確認します。
アクション
動作モードからshow ethernet-switching global-informationコマンドを入力します。
user@host> show ethernet-switching global-information
Global Configuration:
MAC aging interval : 300
MAC learning : Enabled
MAC statistics : Disabled
MAC limit Count : 16383
MAC limit hit : Disabled
MAC packet action drop: Disabled
MAC+IP aging interval : IPv4 - 1200 seconds
IPv6 - 1200 seconds
MAC+IP limit Count : 393215
MAC+IP limit reached : No
LE aging time : 1200
LE VLAN aging time : 1200
Global Mode : Switching
RE state : Master意味
サンプル出力では、グローバル モードの切り替えが想定どおりに設定されていることがわかります。
インターフェイスge-0/0/1でのイーサネットスイッチの検証
目的
イーサネットスイッチングがインターフェイスge-0/0/1で想定どおりに設定されていることを確認します。
アクション
動作モードからshow interfaces ge-0/0/1 briefコマンドを入力します。
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
Logical interface ge-0/0/1.0
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
Security: Zone: Null
eth-switch意味
サンプル出力では、イーサネット スイッチングがインターフェイス ge-0/0/1 で予想通りに設定されていることがわかります。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。