Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

テナント サイト上の LAN セグメントの管理

テナント サイト上のネットワークは、複数の LAN セグメントに分割され、トラフィック管理とセキュリティを向上させます。LAN セグメントは、作業グループが使用する LAN の小さな部分です。複数の LAN セグメントのグループ化が部門を形成します。LANセグメントは、ブリッジまたはルーターで分離されています。

リリース6.1.0以降、CSOは、NFXやSRXシリーズファイアウォールなどの加入者宅内機器(CPE)に接続されたLANルーターの背後にあるサブネットの自動検出をサポートしています。管理者は、静的ルーティングと動的ルーティングを使用して、LAN セグメント上の追加のサブネットをアナウンスできます。

さらに、CSOではLANセグメントごとのルートアドバタイズメントを制御できます。

ページの [LAN] タブ Site Name から LAN セグメントを表示および管理できます。

これらのトピックでは、サイト上の LAN セグメントを管理する方法について説明します。

LAN セグメントの追加

ページから LAN セグメントを Site Name 追加します。

LAN セグメントを追加するには、以下の手順にいます。

  1. [ サイト管理>リソース] をクリックします。

    [Sites]ページが表示されます。

  2. LAN セグメントを追加するサイトをクリックします。

    ページが Site-Name 表示されます。

  3. [LAN] タブの [追加] アイコン (+) をクリックします。

    [LAN セグメントの追加] ページが表示されます。

  4. 表 1 に示すガイドラインに従って、構成設定を完了します。
    メモ:

    アスタリスク(*)が付いたフィールドは必須です。
  5. [ OK] をクリックします

    ページに Site-Name 戻り、追加した LAN セグメントが表示されます。

表 1:LAN セグメント設定の追加

フィールド

説明

オーバーレイ VPN の使用

[ オーバーレイ VPN の使用 ] フィールドを有効にして、LAN セグメントを選択した部門(VRF + ゾーン)に関連付けて、他のサイトへのオーバーレイ トラフィックを行います。

アンダーレイ ブレークアウトのセキュリティ ゾーンに LAN セグメントを関連付けるには、 [オーバーレイ VPN の使用 ] フィールドを無効にします。ゾーンベースのセキュリティ ポリシーを定義する必要があります。

メモ:

新しいサイトを追加する場合、このフィールドはデフォルトで有効になっており、変更できません。ただし、[サイト] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。

名前

LAN セグメントの名前を入力します。

LAN セグメントの名前は、英数字と一部の特殊文字(..)の一意の文字列にする必要があります。スペースは使用できません。最大長は 15 文字です。

CPE ポート
メモ:

SRX シリーズ ファイアウォールに適用可能。

LAN セグメントに追加する CPE ポートを選択します。

ページの[LAN]タブ Site-Name からプロビジョニングされたサイトに新しいLANセグメントを追加する場合、LAGインターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアルCPEクラスターの場合)を選択(または作成)して、SRXシリーズCPEデバイスをEXシリーズスイッチに接続できます。

SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。

SRX4600 デュアル CPE クラスターでは、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして設定されている場合、et インターフェイスを使用できます。

LAGインターフェイスの追加
メモ:

このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。

リンクをクリックして、SRX シリーズ CPE を EX シリーズ スイッチに接続するために LAG インターフェイス(ae インターフェイス)を作成します。詳細については、 LAGインターフェイスの作成 を参照してください。

RETHインターフェイスの作成
メモ:

このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。

リンクをクリックして、デュアル CPE クラスタを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、 RETHインターフェイスの作成 を参照してください。

メモ:

このフィールドは、エンタープライズ ハブ サイトに関連付けられた LAN セグメントに対してのみ表示されます。

LAN セグメントのタイプを選択します。

  • 直接接続(デフォルト)—LANセグメントがサイトに直接接続されていることを示します。

  • 動的ルーテッド—LANセグメントがサイトに直接接続されず、動的ルートを使用して到達可能であることを示します。このオプションを選択した場合、動的ルーティング情報を指定する必要があります。

VLAN ID

LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、タグなしトラフィックに対してネイティブVLANが有効になっています。

以下の範囲でVLAN IDを使用してLANセグメントを設定できます。

  • SRXシリーズファイアウォール(シングルおよびデュアルCPE)およびvSRX仮想ファイアウォール:1~4094(CSOリリース6.2.0以前のリリースでは、範囲は1~4049)

  • NFX250(シングルおよびデュアル CPE)および NFX150 デバイス:1~4049

ネイティブ VLAN の使用

このオプションを有効にして、タグなしトラフィックに上記で指定したVLAN IDを使用します。CPE インターフェイスは、VLAN ID と同じ値を持つ native-vlan-id で設定されています。

部門
メモ:

このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが有効になっている場合にのみ使用できます。

LAN セグメントが割り当てられている部門を選択します。

または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については、「 部門の追加 」を参照してください。

管理を容易にし、部門レベルでポリシーを適用するために、LANセグメントを部門としてグループ化できます。動的にルーティングされる LAN セグメントの場合、データ センター部門のみを割り当てることができます。

ゲートウェイ アドレス/マスク

LANセグメントに有効なゲートウェイIPアドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。

例えば、192.0.2.8/24。

ゾーン
メモ:

このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが無効になっている場合にのみ使用できます。

この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成 ] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細については、「 セキュリティ ゾーンの追加 」を参照してください。

Dhcp

直接接続された LAN セグメントについては、DHCP を有効にするには、切り替えボタンをクリックします。

DHCP サーバーを使用して IP アドレスを割り当てたい場合は DHCP を有効にするか、静的 IP アドレスを LAN セグメントに割り当てる場合は DHCP を無効にできます。

メモ:

DHCP を有効にすると、ページに追加のフィールドが表示されます。

DHCP に関連するその他のフィールド

アドレス範囲(低)

DHCP サーバーによって LAN セグメントに割り当てられる IP アドレスの範囲で、開始 IP アドレスを入力します。

アドレス範囲(高)

DHCP サーバーによって LAN セグメントに割り当て可能な IP アドレスの範囲で、終了 IP アドレスを入力します。

最大リース時間

クライアントが DHCP サーバーのリースを要求して保持できる最大時間(秒単位)を指定します。

デフォルト:1440

範囲:0~4,294,967,295秒。

ネームサーバー

DNSサーバーの1つ以上のIPv4アドレスを指定します。

複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。

メモ:

DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。

CPE ポート
メモ:

NFX150 および NFX250 デバイスに適用可能。

SD-WAN 機能を搭載したサイトでは、[CPE ポート] フィールドが無効になっており、LAN セグメントに含めることができる CPE ポートが一覧表示されます。

[ 使用可能] 列からポートを選択し、右矢印をクリックしてポートを 選択 した列に移動します。

スタティック ルーティング

このセクションを使用して、LAN セグメント上の静的ルーティングを設定します。CPEデバイスに接続されたすべてのLANルーターのIPアドレスと、これらのルーターの背後にある静的サブネットを提供します。

LAN ルーター IP プレフィックスの追加

LAN ルーター IP

CPE デバイスに接続された LAN ルーターの IP アドレスを入力します。

プレフィックス

LAN ルーターに接続されたサブネットを入力します。

Bfd

BFD(Bidirectional Forwarding Detection)を有効にして、静的ルート上の障害を検出します。

動的ルーティング

ルーティング プロトコル

BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。

Bfd

BFD(Bidirectional Forwarding Detection)を有効にして、LANセグメント内の障害を検出します。

プロトコル

BGP または OSPF のいずれかを選択します。

BGP 設定

メモ:

リリース6.1.0以降、CSOは、プロバイダエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションに対して、長期にわたるグレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しません。

CSO リリース 6.1.0 以前は、IP VPN 導入の PE ルーターに向けた BGP ピアリングと、データ センター導入のデータ センターまたは LAN ルーター向けの CPE で、LLGR ヘルパー モードがデフォルトで有効になっています(Junos OS の暗黙的な動作)。

認証

使用する BGP ルート認証方法を選択します。

  • なし — 認証を使用してはならないことを示します。これはデフォルトです。

  • MD5 を使用 — MD5 が認証に使用されることを示します。このオプションを選択した場合、認証キーを指定する必要があります。

認証キー

認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。

BGP オプション

要件に基づいて以下のオプションを選択できます。

  • AS-OVERRIDE:ピアへのルートをアドバタイズする前に、ASパス内のピアAS番号のすべての出現回数を独自のAS番号に置き換えます。

  • AS-PATH-PREPEND:ASパスの先頭に1つ以上の自律システム(AS)番号を先頭に付加します。ASパスを前に追加すると、短いASパスが長く見えるため、BGPの方が望ましくなくなります。

  • AS-LOOP:受信したASパスにローカルデバイスのAS番号を追加できます。ローカルASの検出がASパスで許可される回数を指定できます。

ループカウント

このフィールドは、AS-LOOPを選択した場合にのみ表示されます。

ASパスでローカルASの検出が許可される最大回数を入力します。

ピア IP アドレス

LAN BGP ピアの IP アドレスを入力します。

ピアAS番号

LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力できます。

ローカルAS番号

ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。

OSPF 設定

OSPF エリア ID

動的ルートに使用するOSPFエリア識別子を指定します。

認証

使用する OSPF ルート認証方法を選択します。

  • パスワード — パスワードベースの認証を使用することを示します。このオプションを選択した場合、パスワードを指定する必要があります。(これはデフォルトです)。

  • MD5 を使用 — MD5 が認証に使用されることを示します。このオプションを選択した場合、認証キーを指定する必要があります。

  • なし — 認証を使用してはならないことを示します。

パスワード

OSPF パケットの信頼性を検証するために使用するパスワードを入力します。

パスワードの確認

確認のためにパスワードを再入力します。

MD5 認証キー ID

認証に MD5 を使用することを指定した場合は、OSPF MD5 認証キー ID を入力します。

範囲:1~255。

認証キー

認証に MD5 を使用することを指定した場合、OSPF パケットの真正性を検証するために使用される MD5 認証キーを入力します。

ルートアドバタイズ制御

オーバーレイへの LAN ルート

このオプションが有効な場合、LAN ルートはリモート CPE にアドバタイズされます。デフォルトでは、このオプションは有効になっています。

LAN へのオーバーレイ ルート

このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。デフォルトでは、このオプションは無効になっています。

部門で受信したリモート CPE ルートを LAN ルーターにアドバタイズするには、このオプションを有効にします。

メモ:

CSOリリース6.0.0以前のリリースでは、このオプションはLANプレフィックスのアドバタイズと呼ばれ、データセンター部門にのみ適用されます。

オーバーレイへの Aggr/スタティック ルート

オーバーレイ ネットワークへの静的ルートまたは集約ルートとして集約ルートのアドバタイズを許可するには、このオプションを有効にします。

  • 多数のLANルートが存在する場合、 オーバーレイへのLANルートオプションを無効に し、このオプションを使用して集約ルートをアドバタイズできます。

  • 追加のルートをアドバタイズしたい場合は、 LANルートからオーバーレイオプションを有効に し、このオプションを使用して追加の静的ルートをアドバタイズできます。

LAN セグメントの編集

サイト管理ページの [LAN] タブから、サイトに関連付けられた LAN セグメントを編集できます。

LAN セグメントを編集するには、以下の手順にいます。

  1. [ リソース > サイト管理] をクリックします。

    [サイト管理] ページが表示されます。

  2. 関連する Site-Name LAN セグメントを編集するリンクをクリックします。

    ページが Site-Name 表示されます。

  3. [LAN] タブを選択します。

    関連する LAN セグメントが表示されます。

  4. 編集する LAN セグメントを選択し、編集(鉛筆)アイコンをクリックします。

    [LAN セグメントの編集] ページが表示されます。

  5. LAN セグメントの追加に関するガイドラインに従って、構成設定を完了します。
    メモ:

    [ 名前 ] フィールドと [ オーバーレイ VPN に使用] フィールドは 編集できません。
  6. [ OK] をクリックします

    LAN セグメントの編集ジョブがトリガーされ、サイト管理ページの [LAN] タブに戻ります。

    ページの上部に、ジョブが作成されたことを示す確認メッセージが表示されます(ジョブ・リンク付き)。ジョブのリンクをクリックすると、ジョブの詳細(ジョブの状態、開始日時、終了日時を含む)が表示されます。または、[ジョブ (ジョブの監視] ページでジョブのステータス>表示できます。

    [LAN セグメントの編集] ジョブが正常に完了すると、ステータスが [変更済 み] の編集済み LAN セグメントが [サイト管理] ページの [LAN] タブに一覧表示されます。

  7. 変更された LAN セグメントを展開して、サイトに変更を適用します。 LANセグメントの導入を参照してください。

LAN セグメントの導入

LAN セグメントを作成して部門に割り当てた後、LAN セグメントを導入する必要があります。ページからLANセグメントを Site Name 展開できます。

1 つ以上の LAN セグメントを導入するには、以下の手順にいます。

  1. [LAN] タブをクリックします。
  2. 導入する 1 つ以上の LAN セグメントを選択し、 [ 展開] をクリックします。

    LAN セグメントの展開ジョブが作成されます。

    メモ:

    サイトで LAN セグメントの導入ジョブが進行中の場合は、ジョブが完了するまで待ってから、別の LAN セグメントの導入ジョブをトリガーします。

    他の LAN セグメントの実行中に Deploy LAN セグメント ジョブをトリガーしようとすると、以前の LAN セグメント導入ジョブが進行中であることを示すメッセージが表示されてジョブが失敗します。
  3. [ 詳細] > [展開履歴 ] をクリックして、LAN セグメントのジョブ ステータスと導入履歴を表示します。

    [LAN セグメント履歴の展開] ページが表示されます。

    または、[ジョブの監視] ページでジョブのステータス>確認できます。

LAN セグメントの削除

ページから Site Name LANセグメントを削除できます。

LAN セグメントを削除するには、以下の手順にいます。

  1. LAN セグメントを選択し、LAN タブの削除アイコン(X)アイコンをクリックします。

    [LAN セグメントの削除] ページが表示されます。

  2. [OK] をクリックして削除を確認します。

    LAN セグメントが削除されます。