Jシリーズおよび拠点/支社向けSRXシリーズのイーサネットスイッチング設定ガイド

J

シリーズおよびブランチ向け

SRX

シリーズのイーサネット

目次

はじめに . . . .4 本書の目的 . . . .4 ソフトウェアスコープ . . . .4 イーサネットスイッチング実装の制限事項 . . . .5 イーサネットスイッチングでのパケットのながれ . . . .6 Junos OSリリース11.2のイーサネットスイッチング設定のシナリオ . . . .6 Jシリーズでのイーサネットスイッチングの有効化 . . . .6 ブランチ向けSRXシリーズでのイーサネットスイッチングの有効化 . . . 7 レイヤー2スイッチングの設定 . . . 7 VLANの設定 . . . 7 VLANへのスイッチポートの接続 . . . .8 ブロードキャストドメインの拡張とタグ付きインタフェースの設定 . . . .8

RVI（Routed VLAN Interface）の設定（統合型のルーティングおよびブリッジング） . . . .9

リンクアグリゲーションの設定 . . . .11

STP（Spanning Tree Protocol）の設定 . . . 13

STP（Spanning Tree Protocol）（IEEE 802.1D） . . . 13

RSP（Rapid Spanning Protocol）（IEEE 802.1w） . . . 14

MSTP（Multiple Spanning Tree Protocol） .. . . 15

IEEE 802.1X認証の設定 . . . 16

IGMPスヌーピングの設定 . . . 18

802.1Qトンネリングの設定 . . . 19

LLDP（Link Layer Discover Protocol）およびLLDP-MEDの設定 . . . 20

Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチング設定の例 . . . .22 シンプルなイーサネットスイッチング . . . .22 トラブルシューティング . . . .22 VLANの追加 . . . .22 トラブルシューティング . . . .23 VLAN間でのトラフィックのルーティング . . . .23 トラブルシューティング . . . 24 タグ付きインタフェースの追加 . . . 24 トラブルシューティング . . . 26 リンクアグリゲーションによる処理容量の増加 . . . 26 トラブルシューティング . . . 28 RSTPによるループ回避 . . . 28 トラブルシューティング . . . .32 IEEE 802.1X認証 . . . .33 トラブルシューティング . . . 34 IGMPスヌーピングプロトコルによるマルチキャストスヌーピング . . . 34 トラブルシューティング . . . 34 802.1Qトンネリング（Q-in-Qトンネリング） .. . . .35 トラブルシューティング . . . 36 ジュニパーネットワークスについて . . . 36

図目次

図1：イーサネットスイッチングでのパケットのながれ . . . .6 図2：VLANタギング . . . .9 図3：トランクポートとアクセスポート . . . .9 図4：VLAN内およびVLAN間のパケット転送 . . . 10 図5：リンクアグリゲーション . . . .11

図6：STP（Spanning Tree Protocol） . . . 13

図7：RSTP（Rapid Spanning Tree Protocol） . . . 14

図8：MSTP（Multiple Spanning Tree Protocol） . . . 15

図9：IEEE 802.1X認証 . . . 17 図10：IGMPスヌーピング . . . 18 図11：Q-in-Qトンネリング . . . 19 図12：LLDPおよびLLDP-MED . . . 20 図13：シンプルなイーサネットスイッチング . . . .22 図14：複数VLANによるイーサネットスイッチング . . . .22 図15：VLAN間転送 . . . .23 図16：トランクポート（タグ付きインタフェースの追加） . . . 24 図17：リンクアグリゲーション . . . 26 図18：RSTPによるループ回避 . . . 28 図19：IEEE 802.1X認証 . . . .33 図20：IGMPスヌーピングによるマルチキャストスヌーピング . . . 34 図21：802.1Qトンネリング . . . .35

はじめに

ブランチ向けジュニパーネットワークスSRXシリーズ サービス・ゲートウェイおよびJシリーズ サービスルーターは、境界のないサービスをエン タープライズ環境で実現します。SRXシリーズ製品は、包括的な一連のイーサネットスイッチング機能を提供します。イーサネットスイッチング 機能は、小規模な拠点/支店ではレイヤー2スイッチを不要にし、中規模な拠点/支店ではアグリゲーションスイッチとして機能します。 ジュニパーネットワークスJunos® _{OSリリース9.2では、ルーティングとブリッジングを統合し、複数のレイヤー2プロトコルをサポートするイーサ} ネットスイッチング機能がJシリーズ ルーターに導入されました。この一連の機能は、ブランチ向けジュニパーネットワークスSRXシリーズ サー ビス・ゲートウェイにも、そのリリース当初から導入されています。

本書の目的

本書では、Jシリーズおよびブランチ向けSRXシリーズ サービス・ゲートウェイのJunos OSレイヤー2機能の概要について説明します。詳細な 設定とともに、一般的な導入シナリオを取り上げます。SRXシリーズ データセンター製品（SRX1400、SRX3000シリーズ、およびSRX5000シ リーズ）は、イーサネットスイッチング機能をサポートしていません。本書で取り上げている機能はすべて、ブランチ向けSRXシリーズ サービス・ ゲートウェイ（ジュニパーネットワークスSRX100シリーズ サービス・ゲートウェイ、SRX200シリーズ サービス・ゲートウェイ、およびSRX650 サービス・ゲートウェイ）のものです。本書で取り上げている機能および設定はすべて、Jシリーズおよびブランチ向けSRXシリーズ サービス・ ゲートウェイのスタンドアロン導入に基づいています。SRXシャーシクラスタ環境のイーサネットスイッチング機能の詳細については、SRXシ リーズのテクニカルドキュメントを参照してください。 イーサネットスイッチング機能は、ハードウェアとソフトウェアの両方で制約があります。このスコープについては、次のセクションで定義します。 表1：ハードウェアスコープ

プラットフォーム オンボード UPIM MPIM XPIM

J2320 6 3 6 6 J2350 6 3 6 6 J4350 6 3 6 6 J6350 6 3 6 6 SRX100 3 6 6 6 SRX110 3 6 6 6 SRX210 3 6 6* 6 SRX220 3 6 6* 6 SRX240 3 6 6* 6 SRX650 6 6 6 3** *イーサネットスイッチングは、今後リリースされるSRX210およびSRX240の1ギガビットイーサネットSFP MPIMでサポートされる予定です。 **Junos OSリリース10.2の時点では、イーサネットスイッチングは10GbE XPIMでサポートされていません。

ソフトウェアスコープ

Jシリーズおよびブランチ向けSRXシリーズのイーサネットスイッチングは、ジュニパーネットワークスEXシリーズ イーサネットスイッチの機能 に基づいています。Junos OSリリース11.2の時点では、Jシリーズおよびブランチ向けSRXシリーズは、以下の機能をサポートしています。 • トランクとアクセスポートの両方のサポートを含む、トラフィックのレイヤー2スイッチング

• RVI（Routed VLAN Interface）（または統合型のルーティングおよびブリッジング） • STP（Spanning Tree Protocol）

• RSTP（Rapid Spanning Tree Protocol） • MSTP（Multiple Spanning Tree Protocol）

• リンクアグリゲーション、スタティックとLACP（Link Aggregation Control Protocol）使用の両方 • GVRP（GARP VLAN Registration Protocol）

• IEEE 802.1X認証

- シングル/シングルセキュア/マルチサプリカントモード - 動的なVLAN割り当て - ゲストVLANおよびserver-reject VLAN - RADIUSサーバーの障害状況 - MAC認証 - 認証迂回 - VoIP VLAN • IGMPスヌーピング

• IEEE 802.1ad dot1qトンネリング（Q-in-Q） • LLDP（Link Layer Discovery Protocol） イーサネットスイッチング実装の制限事項

• Junos OSリリース11.2の時点では、以下のEXシリーズの機能はJシリーズおよびブランチ向けSRXシリーズでサポートされていません。さら に、EXシリーズ プラットフォームに今後、追加される機能も、Jシリーズおよびブランチ向けSRXシリーズにそのまま移植されることはない見 込みです。

- レイヤー2のACL（Access Control List） - スイッチングポートのQoS（Quality of Service） - SNMP MIBのサポート（新しいレイヤー2機能向け） - バーチャルシャーシ - ポートセキュリティ - L2 CoS機能 • Jシリーズ プラットフォームでは、イーサネットスイッチングのサポートは、Jシリーズのシャーシごとに1つのuPIM（universal PIM）に限定され ます。 • MSTPは、SRX210ではサポートされていません。 • IGMPスヌーピングおよびQ-in-Q機能は、SRX100では利用できません。 • JシリーズおよびSRX100は、動的なVLAN、ゲストVLAN、server-

• reject VLAN、サーバー障害時の動作、VoIP VLANなど、高度な802.1X機能をサポートしていません。ただし、RADIUSアカウンティングと MAC認証は、SRX100で利用できます。

• プッシュや顧客バンドルといった高度なQ-in-Q機能をサポートしているのは、SRX650に限定されます。

シャーシクラスタ環境では、イーサネットスイッチング機能をサポートしているのは、ブランチ向けSRXシリーズ サービス・ゲートウェイに限定さ れます。本書では、スタンドアロン導入でのイーサネットスイッチング機能を取り上げます。シャーシクラスタ環境でのイーサネットスイッチング 機能については、SRXシリーズのテクニカルドキュメントを参照してください。

このセクションで取り上げた制限事項のほとんどは、今後のJunos OSリリースで修正される見込みです。詳細については、Future Support Referenceを参照してください。

イーサネットスイッチングでのパケットのながれ

図1：イーサネットスイッチングでのパケットのながれ 1. VLAN内トラフィック̶CLI/ジュニパーネットワークスJ-Webソフトウェアから、インタフェースを同じVLAN内に設定すると、その設定に 従って「イーサネットスイッチチップ」がプログラミングされ、このチップ上でMACの学習内容やSTPの状態が保持されます。同じVLAN内 のパケットは、イーサネットスイッチチップで内部的にスイッチングされます。このトラフィックは、フローアーキテクチャを介して転送され ません。また、セキュリティ機能は、このトラフィックに適用されません。 2. VLAN間トラフィック̶異なるVLANのパケットがフローアーキテクチャを介してルーティング/転送されます。 2A. 入力トラフィックは、ポートベースのVLANに従って分類されます。 2B. VLAN間トラフィックの宛先MACアドレスは、イーサネットスイッチチップでRVIとマッチングされ、すべてのパケットがフローモジュール に送信されて処理されます。 2C. フローモジュールでは、VLAN間トラフィックは各セキュリティチェックを経て、異なるVLANにルーティングされます。 2D. ルーティングされたトラフィックは、イーサネットスイッチチップに返送され、さらに、イーサネットスイッチチップから宛先VLANのインタ フェースを介してパケットが送出されます。

Junos OS

リリース11.2のイーサネットスイッチング設定のシナリオ

このセクションでは、いくつかの導入シナリオとその関連する設定を取り上げます。 Jシリーズでのイーサネットスイッチングの有効化 Jシリーズ プラットフォームは、2種類の異なるスイッチングモードをサポートしています。単純な「スイッチング」は従来のブリッジモードの動作 であり、uPIMがブリッジとして扱われ、そのすべてのイーサネットポートがブリッジの構成要素になります。本書で取り上げている機能はいずれ も、このモードではサポートされていません。また、このモードの詳細については、本書の目的から外れています。「拡張スイッチング」モードは、J シリーズ上のuPIMを最新のL2スイッチに変換します。本書で取り上げているプロトコルと機能はすべて、このモードで利用できます。拡張スイッ チングは、設定階層の[chassis fpc pic ethernet]レベルで設定します。たとえば、以下の設定では、スロット6のPIMが有効になります。

フォワーディング ルックアップ イーサネットスイッチチップ 一致 いいえ 静的 NAT NAT宛先 ルート ゾーン ポリシー リバース 静的 NAT ソース NAT サービスALG VLAN間トラフィック（2つの異なるVLAN間のトラフィック） セッション Screens Screens Per Packet Policer Per Packet Filter Per Packet Filter Per Packet Shaper TCP NAT サービス_ALG セッション と一致？ 一致 2C 2A 1 2D 2B VLAN内トラフィック（2つの同じVLAN間のトラフィック）

fpc 6 {

pic 0 {

ethernet {

pic-mode enhanced-switching;

}

}

}

注：現在の実装では、拡張スイッチング用に設定できるのは、シャーシごとに1つのuPIM（universal PIM）に限定されます。

ブランチ向けSRXシリーズでのイーサネットスイッチングの有効化 ブランチ向けSRXシリーズ プラットフォームでは、イーサネットスイッチング機能はデフォルトで有効になっています。この機能を有効にするた めに、明示的な設定は不要です。 レイヤー2スイッチングの設定 物理インタフェースは、いくつかのモードで動作できます。レイヤー3アドレス（IPv4、IPv6、ISOアドレスなど）で設定されているインタフェース は、各パケットの宛先アドレスに基づいてトラフィックをルーティングします。レイヤー3アドレスが割り当てられずに、イーサネットスイッチング プロトコルファミリーの一部として設定されているインタフェースは、リンクレイヤーの宛先アドレスに基づいてトラフィックを転送します。以下 の設定では、インタフェースをスイッチングポートとして定義しています（レイヤー2設定の範囲は、インタフェースのunit 0に限定されることに 注意してください）。

interface {

ge-<slot number>/0/<port number> {

unit 0 {

family

ethernet-switching;

}

}

}

VLANの設定 最新のスイッチでは、ほとんどの場合、ブロードキャストドメインはVLAN（Virtual LAN）によるセグメント化が可能であり、ポートを異なるブ ロードキャストドメインに割り当てることで、デバイスのセグメント化を可能にするアプローチが採用されています。同じVLANのメンバーインタ フェース間ではトラフィックを転送できるので（異なるVLANに属しているインタフェース間では転送不可）、事実上、接続していない異なるネット ワーク間で同じ物理デバイスを共有できます（異なるVLAN間でトラフィックを転送する方法については、本書の後のセクションで説明します）。 デフォルトでは、スイッチングが有効な全ポートによって、同じブロードキャストドメインが構成されます。レイヤー2スイッチングが有効になって いて、VLANに関連付けられていないインタフェースは、デフォルトVLAN（JシリーズおよびSRXシリーズでは、VLAN ID 1）の構成要素になりま す。新しいドメインを設定するには、[vlans]階層下にVLANを定義して、固有の識別子（VLAN ID）を指定する必要があります。

vlans {

<vlan name> {

vlan-id <id>;

}

}

Jシリーズおよびブランチ向けSRXシリーズのデバイスでVLAN IDを使用する場合、以下の制限事項に注意してください。 表2：Jシリーズおよびブランチ向けSRXシリーズでサポートされているVLAN範囲 プラットフォーム サポートされているVLAN範囲 Jシリーズ 1-4094 SRX100 1-4094 SRX110 1-4094 SRX210 1-4094* SRX220 1-4094* SRX240 1-3967 SRX650 1-3967 *VLAN 4093は、SRX200シリーズの内部用に予約されています。

VLAN_{へのスイッチポートの接続}

さらに、新しく作成したVLANの構成要素として、インタフェースを指定できます。インタフェースを割り当てるには、2つの方法があります （機能的には、この2つの方法は同じです。好きな方法を選択してください）。最初の方法では、[interface <name> unit 0 family

ethernet-switching]階層下で、VLANをインタフェース設定の要素として宣言します。

interface {

ge-<slot number>/0/<port number> {

unit 0 {

family ethernet-switching {

vlan members <vlan name or id>

}

}

}

}

2番目の方法では、[vlan <vlan name> interface]階層下で、VLANメンバーインタフェースを定義します。

vlans {

<name> {

interfaces {

<interface

name>;

<interface

name>;

…

}

}

}

ブロードキャストドメインの拡張とタグ付きインタフェースの設定 最新のスイッチングネットワークは、複数のスイッチの使用が必要になるほど大規模になることがあります（事例によっては、複数のスイッチン グレイヤーを含む、階層型のアプローチが必要です）。マルチブリッジングドメインが複数のスイッチングデバイスにまたがる場合、複数のドメ インからのトラフィックを同じリンクを介して転送しながら、トラフィックをそれぞれのドメインから分離できると便利です。VLANタギング（IEEE 802.1Q）では、VLAN識別子（12ビット値）によってイーサネットヘッダーを拡張することで、この機能を実現しています。VLAN識別子は、異なる VLANのトラフィックを識別する目的で使用されます。VLANタギングによって、単一のインタフェースで複数のドメインからのトラフィックを搬送 できるようになるので、デバイスを接続するために必要なインタフェースの数は減少します。タグ付きトラフィックを搬送するスイッチングインタ フェースは、トランクポートと呼ばれます。単一VLANのタグなしトラフィックを搬送するインタフェースは、アクセスポートと呼ばれます。アクセス ポートは、複数VLANの構成要素に設定できません。

interface {

ge-*/*/* {

unit 0 {

family ethernet-switching {

port-mode

trunk;

vlan

{

members [<vlan name or id> <vlan name or id> …]

}

}

}

}

}

図2：VLANタギング デフォルトでは、スイッチングインタフェースはすべて、アクセスポートです。インタフェースは、[family ethernet-switching]でport-mode値をそのままtrunkに設定することで、トランクポートとして設定できます。図1に示すように、トランクポートは、複数VLANの構成要素とし て定義できます。そうすることで、トランクポートとして定義されたスイッチングポートを複数のVLANに関連付けることが可能になります。トラン クポートから転送されたトラフィックは、転送元のVLANのVLAN IDでタグ付けされ、受信トラフィックは適切なVLANに転送されて配信されま す。 図3：トランクポートとアクセスポート RVI_{（Routed VLAN Interface）の設定（統合型のルーティングおよびブリッジング）}

前述のように、トラフィックは同じVLANのメンバーインタフェース間で転送できますが、異なるVLANに属しているインタフェース間では転送 できません。同じVLAN内のトラフィックはスイッチングされ、異なるVLANにまたがるトラフィックはルーティングされます。したがって、レイ ヤー3デバイス/インタフェースは、VLANから別のVLANへトラフィックを転送する必要があります。このため、JシリーズおよびSRXシリーズは、 RVI（Routed VLAN Interface。または統合型のルーティングおよびブリッジング）と呼ばれる論理レイヤー3インタフェースを提供します。各 VLANドメインは、いずれかの論理RVIに関連付けられます。このシナリオは、ルーターの前にスイッチを配置することと同じです。ルーター以外 を宛先とするトラフィックはレイヤー2情報に基づいてスイッチングされ、ルーターに到達したトラフィックはレイヤー3情報に基づいて転送され ます。VLANドメインごとに固有のレイヤー3アドレスを設定できるので、VLANドメイン間のトラフィックは、セキュリティポリシーで許可されて いるという条件で、Junos OSソフトウェアによるルーティングが可能になります。 Jシリーズ/ブランチ 向けSRXシリーズ Jシリーズ/ブランチ向けSRXシリーズ Jシリーズ/ブランチ 向けSRXシリーズ J向けSRXシリーズシリーズ/ブランチ VLANオレンジ VLANブルー VLANオレンジ VLANブルー VLANオレンジ VLANブルー VLANオレンジ VLANブルー VLANオレンジ VLANブルー VLANオレンジ VLANブルー uPIMでローカル にスイッチング されるVLAN内 トラフィック ge-4/0/0 トランク ge-4/0/1アクセス VLAN オレンジ レイヤー2 VLAN ブルー VLANレッド ge-4/0/2 アクセス ge-4/0/3アクセス

図4：VLAN内およびVLAN間のパケット転送 論理レイヤー3インタフェース（RVI）は、[interfaces vlan]階層下に作成できます。論理インタフェースを作成したら、l3-interfaceキーワードを 使用して、特定のVLANと関連付ける必要があります。 Intra-VLAN traffic locally switched in the uPIM fwddに送信 されるVLAN間 ルーティング トラフィック ge-4/0/0 トランク ge-4/0/1アクセス レイヤー2 レイヤー3 VLAN レッド ge-4/0/2 アクセス ge-4/0/3アクセス インタフェースvlan.0 インタフェースvlan.1 Junos OS fwdd インタフェースvlan.2 VLAN オレンジ VLANブルー

interfaces {

vlan {

unit <unit number> {

family

{

inet

{

address

<ip

address>/<netmask>;

}

}

}

}

}

vlans {

<vlan name> {

l3-interface vlan.<unit of newly created vlan ifl>;

}

}

Junos OSでは、RVIは他のレイヤー3インタフェースとの違いはなく、同じ設定を必要とします。ただし、RVIはセキュリティゾーンに割り当てる必 要があります。また、トラフィックをRVIと他の設定済みレイヤー3インタフェースの間で転送できるよう、セキュリティポリシーで明示的に設定す る必要があります。

リンクアグリゲーションの設定

2台のスイッチを相互接続する場合、2系統以上の並列接続を使用すると、通常は冗長性が実現するというメリットがあります。スイッチ間の帯域 幅を増やすことも望ましいと言えます。課題は、並列接続の冗長性の問題を解決すると同時に、帯域幅の制約をなくすということです。具体的に は、レイヤー2ネットワークをループフリーにするとともに、STP（Spanning Tree Protocol）やその派生/拡張プロトコル（RSTPやMSTP）と いったループ回避プロトコルを並列接続のいずれか1系統以外のすべてで非アクティブにする必要があります。

この問題の解決策として、リンクアグリゲーションを使用することが挙げられます。リンクアグリゲーションでは、（特定のフローからのパケットの 並べ替えが発生しないようにしながら）負荷分散トラフィックを複数のリンクに分散する方法を定義します。リンクアグリゲーショングループを構 成する物理インタフェースは、静的に設定することも、LACP（IEEE 802.3adで規定）によってエンドポイント間でネゴシエーションを実行するこ とも可能です。通常、エンドポイントに該当するのはスイッチですが、複数のNIC（Network Interface Card）を搭載したサーバーもエンドポイ ントとして使用できます。 図5：リンクアグリゲーション リンクアグリゲーションを設定するには、システムのアグリゲーションインタフェースの数を定義して、アグリゲーションインタフェースをまず作 成してから、新しく作成したアグリゲーションインタフェースのいずれかに、アグリゲーションバンドルに含める物理インタフェースを関連付けま す。 Jシリーズ/ブランチ 向けSRXシリーズ Jシリーズ/ブランチ 向けSRXシリーズ トランクポート AE0.0 VLANオレンジ VLANブルー VLANオレンジ VLANブルー

chassis {

aggregated-devices {

ethernet {

device-count <number of aggregated interfaces to create>;

}

}

}

アグリゲーションデバイスカウントは、アグリゲーションバンドルごとの物理インタフェースの数ではなく、システム内のアグリゲーションインタ フェースの合計数を示しています。 この設定では、ae0からae<device-count -1>までの名前で複数のアグリゲーションスイッチインタフェースを作成します。この一連のインタ フェースを作成したら、gigabit-ethernet-options階層下で、物理インタフェースと関連付けます。

interface {

<interface name> {

gigabit-ethernet-options {

802.3ad

{

<bndle

interface

name>;

}

}

}

}

LACPは接続で必須ではありませんが、設定した場合、1つ以上のリンクで障害が発生しても、トラフィックの自動スイッチオーバーが可能にな ります。また、両方のデバイスでリンクアグリゲーションがセットアップされているか検証することで、一般的な設定ミスによるエラーを防ぐ役 割も果たします。LACPは、アグリゲーションインタフェースのaggregated-ethernet-optionsセクションで有効にできます（パッシブなエン ドポイントではLACP PDU交換が開始されないので、少なくとも1つのエンドポイントをアクティブに設定する必要があります）。aggregated-ethernet-optionsのlink-speedでは、バンドルに含める各メンバーインタフェースのリンク速度を指定します。また、minimum-linksキーワー ドでは、バンドルで"up"状態として認識する必要があるアクティブリンクの最小数を指定します。Jシリーズおよびブランチ向けSRXシリーズの デバイスでは、minimum-linksのデフォルト値は1です。単一のAE（LAG）インタフェースでは、最大8つのリンクをバンドルに含めることが可能 です。

interface {

<aggregate interface name> {

aggregated-ether-options {

link-speed [100m|1g];

minimum-links <number from 1 to 8>;

lacp {

active|passive;

}

}

}

}

バンドルインタフェースを作成したら、他のインタフェースと同様に設定できます。たとえば、スイッチングの有効化、VLAN（VLANグループ）へ のインタフェースの追加、VLANタギングの有効化といった設定が可能です。

STP_{（Spanning Tree Protocol）の設定}

レイヤー2スイッチングネットワークでは、ソースと宛先の間で冗長パスが利用可能な場合に、ネットワーク内にループが形成される傾向があ ります。このようなループが形成されると、単一のパケットが原因で大量のトラフィックが発生して、レイヤー2ネットワーク全体がダウンしてし まうこともあります。Jシリーズ サービスルーターおよびSRXシリーズ サービス・ゲートウェイでは、STP、RSTP、およびMSTPを使用して、レ イヤー2スイッチングネットワークでのループ防止機能を提供します。スパニングツリーのトポロジーによるループフリーネットワークは、BPDU （Bridge Protocol Data Unit）と呼ばれる特殊なタイプのフレーム交換に基づいて作成されます。スイッチインタフェース上で動作するピア STPアプリケーションは、BPDUを使用して通信します。最終的に、BPDUの交換によって、トラフィックをブロックするインタフェース（ループ防 止）と、トラフィックを転送するインタフェースが決定されます。 STPでは、BPDUから提供された情報に基づいて、ルートブリッジ/スイッチの決定、各スイッチのルートポートの識別、各物理LANセグメント の宛先ポートの識別、および特定の冗長リンクのプルーニングによるループフリーなツリー型トポロジーの作成を実行します。各リーフデバイス は、ルートデバイスへの最適なパスを計算し、このルートデバイスへの最適なパスに基づいて、ポートをブロックまたは転送状態に移行します。 最終的なツリー型トポロジーでは、任意の2つのエンドステーション間で単一のアクティブなレイヤー2データパスが実現します。

STP_{（Spanning Tree Protocol）（IEEE 802.1D）}

STPは、IEEE 802.1D標準で定義されたレガシーなプロトコルです。STPは、[edit protocol]階層下で設定します。

図6：STP（Spanning Tree Protocol） 宛先転送 宛先転送 宛先転送 ルートポート 転送 ルートポート転送 代替ブロック

protocols {

stp {

bridge-priority <bridge priority>;

interface <interface name> {

cost <interface cost>;

}

}

}

Junos OSには、STP（Spanning Tree Protocol）をコントロールするためのさまざまなオプションが用意されています。L2スイッチのブリッジ 優先順位によって、ネットワークのルートとして機能するスイッチが決定されます（優先順位が最も低いスイッチがトポロジーのルートに選ばれ ます）。このパラメータは、ルートポート（トポロジーのルートに接続するインタフェース）を決定する場合にも重要な意味を持ちます。Junos OS では、ブリッジ優先順位は、[protocols stp]でキーワードbridge priorityに4kの倍数の値（0∼60k）を指定して設定できます。bridge priority のデフォルト値は32kです。もう1つ、STPをコントロールする場合に重要なパラメータとして、リンクコストが上げられます。リンクコストは、イン タフェース速度に依存します。ただし、リンクコストは、[protocols stp interface <interface name]の設定で変更できます。Junos OSには、 これ以外にも、プロトコル状態マシンのタイマーメカニズムをコントロールするため、hello-time、forward-delay、max-ageといった設定オ プションが用意されています。

RSP_{（Rapid Spanning Protocol）（IEEE 802.1w）}

ループフリートポロジーを収束する場合、レガシーなSTPでは速度に問題があります。収束してデータパケットが転送を開始するまでに、30∼ 50秒程度の時間がかかります。また、トポロジー変更の伝達は、ルートブリッジ/スイッチの大きく依存します。RSTP（Rapid Spanning Tree Protocol）は、この制約を克服するため、IEEEによって定義された新しい標準です。RSTPでは、STPのタイマーメカニズムとは異なるメッセー ジングメカニズムを採用しており、ネットワーク内でのトポロジー変更の伝達時にルートブリッジ/スイッチに依存しません。新しいポートルール も採用されており、代替/バックアップポートがそれぞれルート/宛先ポートの冗長リンクとして使用されます。リンク障害が発生した場合には、こ の代替/バックアップポートが即座に処理を引き継ぎます。RSTPは、以下のように設定できます。

protocols {

rstp {

bridge-priority <bridge priority>;

interface <interface name> {

cost <interface cost>;

}

interface <interface name> {

edge;

}

}

}

図7：RSTP（Rapid Spanning Tree Protocol）

設定に関しては、STPとRSTPの間で違いはありません。RSTPには、ツリートポロジーをコントロールするため、ブリッジプライオリティとインタ フェースコストが設定オプションとして用意されています。RSTPで利用できる重要な機能として、エッジポート機能が挙げられます。エッジポー トとして設定されているインタフェースは、データを即座に転送します。ネットワークのトポロジーが変化しても、エッジポートには影響しません。 この設定は、エンドホストがインタフェースに接続している場合に役立ちます。誤った設定を避けるため、エッジポートはBPDUを受信した時点 で、スパニングツリー状態マシンに参加します。エッジポートは、[protocols stp interface <interface name]階層下で設定します。

宛先転送 宛先転送 宛先転送 ルートポート 転送 ルートポート転送 代替ブロック エッジポート エッジポート エッジポート エッジポート エッジポート エッジポート

MSTP_{（Multiple Spanning Tree Protocol）} RSTPでは、収束に要する時間はSTPの場合よりも短縮されますが、LAN内のすべてのVLANで同じSTPを共有する必要があるという、STP特 有の問題が解決されるわけではありません。この問題を解決するため、Jシリーズ サービスルーターおよびSRXシリーズ サービス・ゲートウェイ では、MSTPを使用して、複数のスパニングツリー領域を含むループフリートポロジーをネットワークに作成します。 MSTP領域では、スイッチのグループを単一のブリッジとしてモデル化できます。MSTP領域には、MSTI（Multiple Spanning-Tree Instance）が含まれています。MSTIは、VLANごとに異なるパスを提供します。この機能により、冗長リンクにまたがる負荷分散が向上します。

図8：MSTP（Multiple Spanning Tree Protocol）

MSTP領域では、最大64のMSTIをサポートできます。MSTIの各インスタンスでは、1∼4094の範囲で任意のVLANをサポートできます。 VLANブルーの転送（MSTI 101） VLANレッドのブロック（MSTI 102） VLANレッドの転送（MSTI 102） VLANブルーのブロック（MSTI 101）

protocols {

mstp {

configuration-name <region name);

bridge-priority <bridge priority>;

interface <interface name> {

cost <interface cost>;

}

interface <interface name> {

edge;

}

msti <msti id> {

bridge-priority <bridge priority>;

vlan <vlan id or vlan name list>;

interface <interface name> {

cost <interface cost>;

}

}

}

}

MSTPの設定は、STPやRSTPの設定とは若干、異なります。OSPF領域と同様に、MSTPネットワークは複数の領域に区分されます。各領域内 では、さまざまなスパニングツリーインスタンス（MSTI）がVLANのグループごとに動作しています。これとは別に、グローバルレベル、つまり領 域間でスパニングツリーインスタンス（CIST）が動作しています。Junos OSには、CISTおよびMSTIのパラメータをコントロールするため、設定 オプションが用意されています。前の設定の例でわかるように、MSTP領域の名前とCISTブリッジのパラメータは[protocol mstp]で設定し ます。MSTIのパラメータと、MSTIとVLANのアソシエーションリストは、[protocols mstp msti <msti id>]で設定します。

これ以外にも、ネットワークを領域に区分して、MSTIを個別に実行するメリットとして、あるMSTIでトポロジーの変更が発生しても、他のMSTI やCISTには影響せず、影響範囲はローカルのスパニングツリーインスタンスに限定されることが挙げられます。

IEEE 802.1X_{認証の設定} IEEE 802.1Xは、無線ネットワークでの認証および認証メカニズムを規定し、無線ネットワークで広く採用されています。また、ネットワークエッ ジのセキュリティを規定し、イーサネットLANを不正アクセスから保護します。802.1X対応のスイッチ（オーセンティケータ）は、ユーザーの資格 情報が認証サーバー（RADIUSサーバー）で検証されるまで、スイッチに接続したユーザー（サプリカント）からのトラフィックをすべてブロックし ます。 JシリーズおよびSRXシリーズは、サプリカントに対する3つの802.1Xモードをサポートしています。 • シングル̶最初のユーザーだけが認証され、残りのユーザーはそのまま認証を受けずに許可されます。 • シングルセキュア̶単一のユーザーだけが許可されます。 • マルチ̶複数のユーザーが許可され、すべてのユーザーが認証を受ける必要があります。 前述のように、802.1Xを含むイーサネットスイッチング機能は、EXシリーズ製品から継承されています。ただし、EXシリーズの802.1X機能の一 部は、Jシリーズおよびブランチ向けSRXシリーズでは利用できません。この両プラットフォームでは、以下の機能をサポートしています。 • 動的なVLAN割り当て̶認証の成功後、サプリカントを特定のVLANのメンバーとして動的に有効にします。RADIUSサーバーで、そのユー ザーのVLAN IDを設定する必要があることに注意してください。 • ゲストVLAN̶802.1Xサポート外のサプリカント（802.1Xを認識しないサプリカント）に対して、LANへの制限付きのアクセスを許可します。 • Server-reject VLAN̶（資格情報が正しくないことが原因で）802.1X準拠のサプリカントが認証に失敗した場合、そのサプリカントは設定 済みのserver-reject VLANに割り当てられます。 • RADIUSアカウンティング̶アカウンティング情報がRADIUSアカウンティングサーバーに送信されます。この情報は、ユーザー（サプリカン ト）がログインまたはログアウトするたびに、サーバーに送信されます。アカウンティング情報の例として、トラフィック量、ログインおよびログ アウトの時刻などが挙げられます。

• MAC RADIUSまたはMAC認証̶802.1Xサポート外のサプリカントは、MAC RADIUS機能による認証が可能です。ゲストVLANとMAC RADIUSの両機能は相互排他の関係（同時利用不可）であることに注意してください。

• VoIPのサポート̶IP電話がサポートされます。電話機が802.1X対応の場合は、他のサプリカントと同様に認証されます。電話機が802.1X 非対応で、別の802.1X互換デバイスが電話機のデータポートに接続されている場合、そのデバイスの認証後に、VoIPトラフィックが電話機 で送受信可能になります（インタフェースがシングルセキュアモードではなく、シングルモードに設定されているという前提）。認証の成功後、 RADIUSサーバーはVLAN IDをデバイスに送信します。音声トラフィックはすべて、このVLAN（VoIP VLAN）に従って分類されます。 • サーバー障害時̶RADIUSサーバーに到達できなくなった場合、JシリーズおよびSRXシリーズでは、以下の処理が実行されます。 - 許可̶RADIUSサーバーに到達できるようになるまで、認証を行わずに、認証要求をすべて許可します。 - 拒否̶RADIUSサーバーに到達できるようになるまで、認証要求をすべてブロックします。 - VLAN̶認証要求元のユーザーをVLANのメンバーとして有効にします。 - キャッシュ̶認証要求元のユーザーに対して、前の認証結果を再現します。 • スタティックMAC迂回̶Jシリーズおよびブランチ向けSRXシリーズでは、802.1X認証を迂回する条件として、MACアドレスのリストを設定 できます。 表3：Jシリーズおよびブランチ向けSRXシリーズ プラットフォームでサポートされている802.1X機能 機能 SRX100 SRX110 SRX210 SRX220 SRX240 SRX650 Jシリーズ 動的なVLAN割り当て 6 6 3 3 3 3 6 認証迂回 3 3 3 3 3 3 3 VLAN割り当てによる迂回 6 6 3 3 3 3 6 ゲストVLAN 6 6 3 3 3 3 6 Server-reject VLAN 6 6 3 3 3 3 6 サーバー障害時のフォールバック 6 6 3 3 3 3 6 VoIP VLAN 6 6 3 3 3 3 6 RADIUSアカウンティング 3 3 3 3 3 3 6 MAC RADIUSまたはMAC認証 3 3 3 3 3 3 6

図9：IEEE 802.1X認証 RADIUSサーバー ネットワーク リソース Jシリーズ/ ブランチ向け SRXシリーズ （オーセンティケータ） サプリカント

protocols {

dot1x {

authenticator {

authentication-profile-name abc;

static {

<mac radius>/mask;

}

interface {

<interface name> {

supplicant (single | single-secure| multiple);

guest-vlan <vlan name>;

server-reject-vlan <vlan name>;

server-fail (permit| deny| vlan-name <vlan name> |cache);

}

}

}

}

}

access {

radius-server {

<RADIUS server IP> secret <RADIUS share secret>

}

profile <profile name> {

authentication-order radius;

radius {

authentication-server <RADIUS sever IP>;

}

}

}

802.1Xは、 [protocols dot1x authenticator]のインタフェースで有効になります。サポートされるサプリカントタイプは[protocols dot1x authenticator interface <interface name> supplicant mode]で設定されますが、single、single-secure、multiple という3つのモードから任意のモードを指定できます。ゲストVLAN、server-reject VLAN、サーバーの障害状況、およびMAC認証のオプション は、[protocols dot1x authenticator interface <interface name>]で設定します。認証迂回リストは、[protocols dot1x authenticator static]で設定します。

802.1Xプロトコルが適切に機能するには、RADIUSサーバー設定が必須です。RADIUSサーバーは、[edit access profile]で定義する 必要があります。RADIUSサーバー用にアクセスプロファイルを作成する必要もあります。このアクセスプロファイルは、[protocols dot1x authenticator authentication-profile-name]で設定します。 IGMPスヌーピングの設定 レイヤー2では、すべてのマルチキャストトラフィックがブロードキャストとして扱われ、同じブロードキャストドメインまたはVLANドメインの全 ポートにフラッディングします。この結果、ごく小数のマルチキャストレシーバがスイッチに接続しただけで、大量の帯域幅が無駄に消費されま す。Jシリーズおよびブランチ向けSRXシリーズのプラットフォームで、この制約を克服するため、Junos OSには、IGMPスヌーピングと呼ばれる 機能が用意されています。IGMP（Internet Group Management Protocol）スヌーピングは、スイッチネットワークでマルチキャストトラフィッ クを調整します。IGMPスヌーピングを有効にすると、LANスイッチはホスト（ネットワークデバイス）とマルチキャストルーターの間のIGMP伝送 を監視して、マルチキャストグループとその関連するメンバーインタフェースを追跡します。LANスイッチは、この情報に基づいて適切なマルチ キャスト転送を決定して、目的の宛先インタフェースにトラフィックを転送します。 図10：IGMPスヌーピング Jシリーズ/ブランチ 向けSRXシリーズ （IGMPスヌーピング機能） PIM/IGMP ルーター ソース マルチキャスト ルーター インタフェース マルチキャストレシーバ

protocols {

igmp-snooping {

vlan vlan10;

}

}

IGMPスヌーピングは、[protocols]でVLANごとに設定します。設定後、スイッチは、マルチキャストレシーバ（ホスト）とIGMPまたはPIMルー ターの間でIGMP通信のスヌーピングを開始します。IGMPクエリの受信インタフェースは、マルチキャストルーターインタフェースとして識別さ れます。マルチキャストグループとインタフェースの間でバインドが作成されるのは、そのインタフェースでjoin/reportメッセージが受信された 時点です。ルーターに接続しているインタフェースで実際に受信された特定のグループのマルチキャストデータトラフィックは、そのマルチキャ ストグループとのバインドが存在するインタフェースに限定して転送されます。さらに、この転送は、IGMPv1ホストのIGMP leaveまたはtime-outメカニズムからの応答が受信されるまで続きます。この一連の処理はすべて、IGMP/PIMルーターおよびマルチキャストレシーバに対して 透過的です。Junos OSには、マルチキャストルーターインタフェースや、マルチキャストグループとインタフェース間のスタティックバインドを手 動で設定するためのオプションも用意されています。この機能は、SRX100では利用できないことに注意してください。

802.1Q_{トンネリングの設定} Q-in-Qトンネリングを導入すると、サービスプロバイダはイーサネットアクセスネットワーク上で2つの顧客サイト間のレイヤー2イーサネット 接続を拡張できるようになります。この機能は、JシリーズおよびSRXシリーズのデバイスをサービスプロバイダネットワークにPE（Provider Edge）デバイスとして導入する場合に特に役立ちます。PEデバイスは、顧客からの入力VLANタグ付きパケットをプロバイダVLANにカプセル 化して送信します。受信側のPEデバイスはプロバイダVLANをカプセル化解除して、パケットを受信側の顧客に転送します。この方法では、顧客 のレイヤー2情報（VLAN、優先順位）は相手側でそのまま受信されます。 図11：Q-in-Qトンネリング Q-in-Qトンネリングでは、パケットは顧客のVLAN（C-VLAN）からサービスプロバイダのVLANに転送され、顧客固有の802.1Qタグがパ ケットに付加されます。この追加タグは、サービスプロバイダによる定義のS-VLAN（Service VLAN）にトラフィックを分離する場合に使用し ます。パケットの元の顧客802.1Qタグはそのまま保持され、透過的に伝送されてサービスプロバイダのネットワークを通過します。パケットが S-VLANからダウンストリーム方向に送信されるときに、余分な802.1Qタグは削除されます。 Q-in-Qの導入環境では、ダウンストリームインタフェースからのパケットはそのままソースおよび宛先のMACアドレスに転送されます。MACア ドレスの学習は、インタフェースレベルとVLANレベルの両方で無効にできます。インタフェースでMACアドレスの学習を無効にすると、そのイ ンタフェースをメンバーとして含む、すべてのVLANで学習が無効になります。 C-VLANタグ付き C-VLANタグ付き 顧客 サービス プロバイダ S-VLAN + C-VLANタグ付き Jシリーズ/ブランチ向けSRXシリーズ Jシリーズ/ブランチ向けSRXシリーズ

vlans {

<vlan name> {

vlan-id <vlan id>;

dot1q-tunneling {

customer-vlans (native | <vlan id range>);

}

interface {

<interface name> {

mapping {

}

no-mac-learning;

}

}

ethernet-switching-options {

interfaces {

<interface name> {

no-mac-learning;

}

}

}

Q-in-QトンネリングがJシリーズおよびブランチ向けSRXシリーズのプラットフォームで有効になっている場合、トランクインタフェースはサービ スプロバイダネットワークの構成要素であり、アクセスインタフェースは顧客に対応しています。この場合、アクセスインタフェースは、タグ付きフ レームとタグなしフレームの両方を受信できます。C-VLANをS-VLANにマッピングするには、3つの方法があります。

• オールインワン型のバンドル̶dot1q-tunnelingステートメントを[vlan <vlan name>]階層で使用して、顧客VLANを指定せずにマッ ピングします。特定のアクセスインタフェースからのパケットはすべて、S-VLANにマッピングされます。

• 多対1型のバンドル̶customer-vlansステートメントを[vlan <vlan name>]階層で使用して、S-VLANにマッピングするC-VLANを指 定します。

• 特定のインタフェースでのC-VLANのマッピング̶mappingステートメントを[vlan <vlan name>]階層で使用して、指定したアクセスイ ンタフェース上の特定のC-VLANをS-VLANにマッピングします。

• すべてのタイプ（オールインワン、多対1、およびC-VLANマッピング）をサポートしているのは、SRX650だけであることに注意してください。 その他のSRXシリーズ プラットフォーム（SRX100を除く）およびJシリーズでサポートしているのは、オールインワン型のバンドルに限定され ます。VLANでMACの学習を無効にするには、[vlan <vlan name>]でno-mac-learningを設定します。また、インタフェースレベルで 無効にするには、同じキーワードを[ethernet-switching-options interface <interface name>]に追加します。この機能は、 SRX100では利用できないことに注意してください。

LLDP_{（Link Layer Discover Protocol）およびLLDP-MEDの設定}

ネットワークリンク上のデバイス情報を学習して配信するLLDP-MED（Link Layer Discover Protocol–Media Endpoint Discovery）。この情 報によって、スイッチはさまざまなデバイスを迅速に識別できるようになり、LANが円滑かつ効率的に相互運用されるという効果があります。 LLDP対応デバイスは、隣接するデバイスにTLV（Type, Length, and Value）メッセージ形式で情報を伝送します。デバイス情報には、シャー シやポートのID、システム名、システム機能といった項目が含まれます。TLVは、Junos OSですでに設定済みのパラメータから、この情報を流用 します。

LLDP-MEDはさらに一歩踏み込んで、IPテレフォニーメッセージをスイッチとIP電話機の間で交換します。この一連のTLVメッセージは、PoE （Power over Ethernet）ポリシーについての詳細な情報を提供します。PoE管理TLVでは、必要な出力のレベルや優先順位をスイッチポート からアドバタイズできるようにします。たとえば、スイッチは、PoEインタフェース上で動作しているIP電話機で必要な出力を利用可能なリソース と比較できます。IP電話機から要求されたリソースをスイッチが提供できない場合、出力について妥協が成立するまで、スイッチは電話機とのネ ゴシエーションを実行します。 図12：LLDPおよびLLDP-MED ネットワーク周辺機器 Jシリーズ/ブランチ向けSRXシリーズ（LLDP/LLDP-MED）

スイッチは、この一連のプロトコルを使用して、ソース自体の適切な値で音声トラフィックのタグ付けと優先順位付けが確実に行われるようにし ます。たとえば、802.1p CoSおよび802.1Qのタグ情報は、IP電話機に送信できます。

Protocols {

lldp {

interface <interface name>;

}

lldp-med {

interface <interface name>;

}

}

LLDPおよびLLDP-MEDは、それぞれ[protocols lldp]および[protocols lldp-med]で設定することで、インタフェースで有効になりま す。 以下の基本的なLLDP TLVがサポートされています。 • シャーシID̶ローカルシステムに関連付けられているMACアドレスです。 • ポートID̶ローカルシステムの特定のポートに割り当てられているポートIDです。 • ポート説明̶ユーザー設定によるポートの説明です。ポート説明には、最大256文字まで入力できます。 • システム名̶ユーザー設定によるローカルシステムの名前です。システム名には、最大256文字まで入力できます。 • システム説明̶システムの説明には、システムで動作中のソフトウェアや現在のイメージファイルについての情報が含まれています。この情 報は設定不可であり、ソフトウェアから取得されます。 • システム機能̶システムによって実行される主な機能に関連します。システムでサポートしているのは、ブリッジまたはルーターの機能です。 この情報は設定不可であり、製品モデルに基づいています。 • 管理アドレス̶ローカルシステムのIP管理アドレスです。 以下のLLDP-MED TLVがサポートされています。 • LLDP-MED機能̶ポートの主な機能をアドバタイズします。機能の値は、0から15までの範囲です。 - 0 – 機能 - 1 – ネットワークポリシー - 2 – ロケーションID

- 3 – MDI-PSE（Medium-Dependent Interface Power-Sourcing Equipment）による拡張出力 - 4 – インベントリ - 5 – 15 – 予約済み • LLDP-MEDデバイスクラス値： - 0 – 未定義のクラス - 1 – クラス1デバイス - 2 – クラス2デバイス - 3 – クラス3デバイス - 4 – ネットワーク接続デバイス - 5 – 255 – 予約済み • ネットワークポリシー̶ポートVLAN設定と、関連するレイヤー2およびレイヤー3属性をアドバタイズします。属性には、ポリシーID、音声やス トリーミングビデオなどのアプリケーションタイプ、802.1Q VLANタギング、802.1p優先順位ビットおよびDiffServコードポイントが含まれ ています。 • エンドポイントロケーション̶エンドポイントの物理的な位置をアドバタイズします。 • MDIによる拡張出力̶出力タイプ、出力ソース、出力優先順位、およびポートの出力値をアドバタイズします。ポートの出力優先順位をアドバ

J

シリーズおよびブランチ向けSRXシリーズのイーサネットスイッチング設定の例

シンプルなイーサネットスイッチング この例では、Jシリーズ デバイスおよびブランチ向けSRXシリーズ デバイスをシンプルなレイヤー2スイッチとして使用する場合に必要な設定 の詳細を紹介します。トポロジーを図13に示します。 図13：シンプルなイーサネットスイッチング 関連する設定は、以下のとおりです。 ge-0/0/5 ge-0/0/9

set interfaces ge-0/0/5 unit 0 family ethernet-switching

set interfaces ge-0/0/9 unit 0 family ethernet-switching

トラブルシューティング

ge-0/0/5およびge-0/0/9の両インタフェースは、デフォルトVLANの構成要素である必要があります。

regress@SRX-1> show vlans

Name Tag Interfaces

default 1

ge-0/0/5.0*, ge-0/0/9.0*

VLANの追加 今回は、この小規模な拠点/支店に、SALESとOPERATIONSという2つの部門があるという想定です。この部門を切り離して、ドメイン間でのト ラフィックの漏えいを防ぐため、設計にVLANSを追加します。その結果、図14に示すように、新しいトポロジーになります。 図14：複数VLANによるイーサネットスイッチング ge-0/0/11 ge-0/0/7 ge-0/0/9 ge-0/0/5 OPERATIONS SALES

set vlans OPERATIONS vlan-id 20

set vlans SALES vlan-id 10

set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONS

トラブルシューティング

以下のコマンドは、インタフェースとVLANのアソシエーションを表示します。

regress@SRX-1> show vlans

Name Tag Interfaces

OPERATIONS 20

ge-0/0/7.0*, ge-0/0/11.0*

SALES 10

ge-0/0/5.0*, ge-0/0/9.0*

default 1

None

VLAN間でのトラフィックのルーティング 今度は、この小規模な拠点/支店で、異なる事業部門間の接続を可能にするとともに、各事業部門に専用のレイヤー3セグメントを割り当てるこ とで、この接続をコントロールする必要があるという想定です。その結果、事業部門間のトラフィックは、図15に示すように、トラフィックポリシー を適用可能なファイアウォールモジュールによってルーティングおよび検査されます。以下の設定では、VLANごとに1つ、合計2つのレイヤー3イ ンタフェースを追加しています。このインタフェースは、それぞれのネットワークセグメントでデフォルトゲートウェイとして機能します。この新し いVLANインタフェースはセキュリティゾーンに追加され、セキュリティポリシーを定義して、ゾーン間のトラフィックを許可しています。この例で は、SALESとOPERATIONSという2つのセキュリティゾーンを作成しており、HTTPトラフィックはこの両方のゾーン（双方向）で許可されます。 図15：VLAN間転送 ge-0/0/11 ネットワーク 10.1.2.0/24 ネットワーク 10.1.2.0/24 ge-0/0/7 ge-0/0/9 ge-0/0/5 OPERATIONS SALES

set vlans OPERATIONS vlan-id 20

set vlans OPERATIONS l3-interface vlan.20

set vlans SALES vlan-id 10

set vlans SALES l3-interface vlan.10

set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces vlan unit 10 family inet address 10.1.1.1/24

set interfaces vlan unit 20 family inet address 10.1.2.1/24

set security zones security-zone SALES interfaces vlan.10

set security zones security-zone OPERATIONS interfaces vlan.20

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

application junos-http

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then

permit

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

source-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

destination-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

application junos-http

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then

permit

トラブルシューティング

VLANアソシエーションに加えて、ルーティングされたVLANインタフェースをリンクアップして、VLAN間のトラフィックを転送する必要がありま す。

regress@SRX-1> show vlans

Name Tag Interfaces

OPERATIONS 20

ge-0/0/7.0*, ge-0/0/11.0*

SALES 10

ge-0/0/5.0*, ge-0/0/9.0*

default 1

None

regress@SRX-1> show interfaces vlan terse

Interface Admin Link Proto Local Remote

vlan up up

vlan.10 up up inet 10.1.1.1/24

vlan.20 up up inet 10.1.2.1/24

タグ付きインタフェースの追加 図16：トランクポート（タグ付きインタフェースの追加） 今度は、JシリーズおよびSRXシリーズが別のSRXシリーズ デバイスに接続されるという想定です。図16に示すように、VLANドメインを切り離 したまま、あるスイッチに属しているSALESおよびOPERATIONSのユーザーが別のスイッチのそれぞれのサーバーにアクセスする必要があ ります。図を見ればわかるように、両方のデバイスのインタフェースge-0/0/3は相互に接続され、SALESおよびOPERATIONSのVLANトラ フィックを搬送するトランクポートとして設定されています。 ge-0/0/11 ge-0/0/7 ge-0/0/3 ge-0/0/3 ge-0/0/9 ge-0/0/5 SRX-2 SRX-1 トランクポート

SRX-1の設定

set vlans OPERATIONS vlan-id 20

set vlans OPERATIONS l3-interface vlan.20

set vlans SALES vlan-id 10

set vlans SALES l3-interface vlan.10

set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode trunk

set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces vlan unit 10 family inet address 10.1.1.1/24

set interfaces vlan unit 20 family inet address 10.1.2.1/24

set security zones security-zone SALES interfaces vlan.10

set security zones security-zone OPERATIONS interfaces vlan.20

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

source-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

destination-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

application junos-http

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then

permit

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

source-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

destination-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

application junos-http

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then

permit

SRX-2の設定

set vlans OPERATIONS vlan-id 20

set vlans OPERATIONS l3-interface vlan.20

set vlans SALES vlan-id 10

set vlans SALES l3-interface vlan.10

set interfaces ge-0/0/3 unit 0 family ethernet-switching port-mode trunk

set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces vlan unit 10 family inet address 10.1.1.1/24

set interfaces vlan unit 20 family inet address 10.1.2.1/24

set security zones security-zone SALES interfaces vlan.10

set security zones security-zone OPERATIONS interfaces vlan.20

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

source-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

destination-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

application junos-http

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

destination-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

application junos-http

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then

permit

トラブルシューティング

アクセスポートはVLANのタグなしメンバーである必要があり、トランクポートはVLANのタグ付きメンバーです。トランクポートは、複数VLAN の構成要素です。

regress@SRX-1> show ethernet-switching interfaces

Interface State VLAN members Tag Tagging Blocking

ge-0/0/3.0 up OPERATIONS 20 tagged unblocked

SALES 10 tagged unblocked

ge-0/0/5.0 up SALES 10 untagged unblocked

ge-0/0/7.0 up OPERATIONS 20 untagged unblocked

regress@SRX-2> show ethernet-switching interfaces

Interface State VLAN members Tag Tagging Blocking

ge-0/0/3.0 up OPERATIONS 20 tagged unblocked

SALES 10 tagged unblocked

ge-0/0/9.0 up SALES 10 untagged unblocked

ge-0/0/11.0 up OPERATIONS 20 untagged unblocked

リンクアグリゲーションによる処理容量の増加 小規模な拠点/支店の拡張に伴い、追加の帯域幅を要求するアプリケーションの数が増加して、ルーターとスイッチの間にボトルネックが形成さ れています。この問題を軽減するため、リンクアグリゲーションを設定して、新しいリンクをデバイス間に追加します。 図17：リンクアグリゲーション インタフェースge-0/0/1およびge-0/0/3は、両方のスイッチのアグリゲーションイーサネットインタフェースae0に対するバンドルです。また、 このae0.0は、SALESおよびOPERATIONSのVLANトラフィックを搬送するトランクポートとして設定されています。 ge-0/0/11 ge-0/0/7 ae0.0 ae0.0 ge-0/0/9 ge-0/0/5 SRX-2 SRX-1 トランクポート

SRX-1の設定

set vlans OPERATIONS vlan-id 20

set vlans OPERATIONS l3-interface vlan.20

set vlans SALES vlan-id 10

set vlans SALES l3-interface vlan.10

set chassis aggregated-devices thernet device-count 2

set interfaces ge-0/0/1 gigether-options 802.3ad ae0

set interfaces ge-0/0/3 gigether-options 802.3ad ae0

set interfaces ge-0/0/5 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/7 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ae0 aggregated-ether-options lacp active

set interfaces ae0 unit 0 family ethernet-switching port-mode trunk

set interfaces ae0 unit 0 family ethernet-switching vlan members SALES

set interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces vlan unit 10 family inet address 10.1.1.1/24

set interfaces vlan unit 20 family inet address 10.1.2.1/24

set security zones security-zone SALES interfaces vlan.10

set security zones security-zone OPERATIONS interfaces vlan.20

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

source-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

destination-address any

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP match

application junos-http

set security policies from-zone SALES to-zone OPERATIONS policy Allow_HTTP then

permit

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

source-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

destination-address any

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP match

application junos-http

set security policies from-zone OPERATIONS to-zone SALES policy Allow_HTTP then

permit

SRX-2の設定

set vlans OPERATIONS vlan-id 20
set vlans OPERATIONS l3-interface vlan.20

set vlans SALES vlan-id 10

set vlans SALES l3-interface vlan.10

set chassis aggregated-devices ethernet device-count 2

set interfaces ge-0/0/1 gigether-options 802.3ad ae0

set interfaces ge-0/0/3 gigether-options 802.3ad ae0

set interfaces ge-0/0/9 unit 0 family ethernet-switching vlan members SALES

set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces ae0 aggregated-ether-options lacp active

set interfaces ae0 unit 0 family ethernet-switching port-mode trunk

set interfaces ae0 unit 0 family ethernet-switching vlan members SALES

set interfaces ae0 unit 0 family ethernet-switching vlan members OPERATIONS

set interfaces vlan unit 10 family inet address 10.1.1.1/24

set interfaces vlan unit 20 family inet address 10.1.2.1/24

set security zones security-zone SALES interfaces vlan.10

set security zones security-zone OPERATIONS interfaces vlan.20