テナント サイト上の LAN セグメントの管理
テナント サイト上のネットワークは、複数の LAN セグメントに分割され、トラフィック管理とセキュリティを向上させます。LAN セグメントは、作業グループが使用する LAN の小さな部分です。複数の LAN セグメントのグループ化が部門を形成します。LANセグメントは、ブリッジまたはルーターで分離されています。
リリース6.1.0以降、CSOは、NFXやSRXシリーズファイアウォールなどの加入者宅内機器(CPE)に接続されたLANルーターの背後にあるサブネットの自動検出をサポートしています。管理者は、静的ルーティングと動的ルーティングを使用して、LAN セグメント上の追加のサブネットをアナウンスできます。
さらに、CSOではLANセグメントごとのルートアドバタイズメントを制御できます。
ページの [LAN] タブ Site Name から LAN セグメントを表示および管理できます。
これらのトピックでは、サイト上の LAN セグメントを管理する方法について説明します。
LAN セグメントの追加
ページから LAN セグメントを Site Name 追加します。
LAN セグメントを追加するには、以下の手順にいます。
フィールド |
説明 |
---|---|
オーバーレイ VPN の使用 |
[ オーバーレイ VPN の使用 ] フィールドを有効にして、LAN セグメントを選択した部門(VRF + ゾーン)に関連付けて、他のサイトへのオーバーレイ トラフィックを行います。 アンダーレイ ブレークアウトのセキュリティ ゾーンに LAN セグメントを関連付けるには、 [オーバーレイ VPN の使用 ] フィールドを無効にします。ゾーンベースのセキュリティ ポリシーを定義する必要があります。
メモ:
新しいサイトを追加する場合、このフィールドはデフォルトで有効になっており、変更できません。ただし、[サイト名] ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合は、このオプションを有効または無効にできます。 |
名前 |
LAN セグメントの名前を入力します。 LAN セグメントの名前は、英数字と一部の特殊文字(..)の一意の文字列にする必要があります。スペースは使用できません。最大長は 15 文字です。 |
CPE ポート |
メモ:
SRX シリーズ ファイアウォールに適用可能。 LAN セグメントに追加する CPE ポートを選択します。 ページの[LAN]タブ Site-Name からプロビジョニングされたサイトに新しいLANセグメントを追加する場合、LAGインターフェイスまたは冗長イーサネット(reth)インターフェイス(デュアルCPEクラスターの場合)を選択(または作成)して、SRXシリーズCPEデバイスをEXシリーズスイッチに接続できます。 SRX4600デバイスでetインターフェイスを使用するには、LAGインターフェイスを作成し、etインターフェイスをLAG(集合型イーサネットまたはae)インターフェイスのメンバーとして設定する必要があります。 LAGインターフェイスの作成を参照してください。 SRX4600 デュアル CPE クラスターでは、et インターフェイスが冗長イーサネット(reth)インターフェイスのメンバーとして設定されている場合、et インターフェイスを使用できます。 |
LAGインターフェイスの追加 |
メモ:
このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。 リンクをクリックして、SRX シリーズ CPE を EX シリーズ スイッチに接続するために LAG インターフェイス(ae インターフェイス)を作成します。詳細については、 LAGインターフェイスの作成 を参照してください。 |
RETHインターフェイスの作成 |
メモ:
このオプションは、ページの [LAN] タブからプロビジョニングされたサイトに新しい LAN セグメントを追加する場合に Site-Name 使用できます。 リンクをクリックして、デュアル CPE クラスタを持つ SD-WAN サイトの reth インターフェイスを作成します。詳細については 、 RETHインターフェイスの作成 を参照してください。 |
型
メモ:
このフィールドは、エンタープライズ ハブ サイトに関連付けられた LAN セグメントに対してのみ表示されます。 |
LAN セグメントのタイプを選択します。
|
VLAN ID |
LAN セグメントの VLAN ID を入力します。デフォルトでは、VLAN IDは1に設定され、タグなしトラフィックに対してネイティブVLANが有効になっています。 以下の範囲でVLAN IDを使用してLANセグメントを設定できます。
|
ネイティブ VLAN の使用 |
このオプションを有効にして、タグなしトラフィックに上記で指定したVLAN IDを使用します。CPE インターフェイスは、VLAN ID と同じ値を持つ native-vlan-id で設定されています。 |
部門 |
メモ:
このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが有効になっている場合にのみ使用できます。 LAN セグメントが割り当てられている部門を選択します。 または、[ 部門の作成 ] リンクをクリックして新しい部門を作成し、それに LAN セグメントを割り当てます。詳細については、「 部門の追加 」を参照してください。 管理を容易にし、部門レベルでポリシーを適用するために、LANセグメントを部門としてグループ化できます。動的にルーティングされる LAN セグメントの場合、データ センター部門のみを割り当てることができます。 |
ゲートウェイ アドレス/マスク |
LANセグメントに有効なゲートウェイIPアドレスとマスクを入力します。このアドレスは、この LAN セグメント内のエンドポイントのデフォルト ゲートウェイになります。 例えば、192.0.2.8/24。 |
ゾーン |
メモ:
このフィールドは、[ オーバーレイ VPN の使用 ] フィールドが無効になっている場合にのみ使用できます。 この LAN セグメントに関連付けるセキュリティ ゾーンを選択します。または、[ ゾーンの作成 ] をクリックして新しいセキュリティ ゾーンを作成し、それをこの LAN セグメントに割り当てます。詳細については、「 セキュリティ ゾーンの追加 」を参照してください。 |
Dhcp |
直接接続された LAN セグメントについては、DHCP を有効にするには、切り替えボタンをクリックします。 DHCP サーバーを使用して IP アドレスを割り当てたい場合は DHCP を有効にするか、静的 IP アドレスを LAN セグメントに割り当てる場合は DHCP を無効にできます。
メモ:
DHCP を有効にすると、ページに追加のフィールドが表示されます。 |
DHCP に関連するその他のフィールド |
|
アドレス範囲(低) |
DHCP サーバーによって LAN セグメントに割り当てられる IP アドレスの範囲で、開始 IP アドレスを入力します。 |
アドレス範囲(高) |
DHCP サーバーによって LAN セグメントに割り当て可能な IP アドレスの範囲で、終了 IP アドレスを入力します。 |
最大リース時間 |
クライアントが DHCP サーバーのリースを要求して保持できる最大時間(秒単位)を指定します。 デフォルト:1440 範囲:0~4,294,967,295秒。 |
ネームサーバー |
DNSサーバーの1つ以上のIPv4アドレスを指定します。 複数の DNS サーバー アドレスを入力するには、アドレスを入力し、Enter キーを押してから、次のアドレスを入力します。
メモ:
DNSサーバーは、ホスト名をIPアドレスに解決するために使用されます。 |
CPE ポート |
メモ:
NFX150 および NFX250 デバイスに適用可能。 SD-WAN 機能を搭載したサイトでは、[CPE ポート] フィールドが無効になっており、LAN セグメントに含めることができる CPE ポートが一覧表示されます。 [ 使用可能] 列からポートを選択し、右矢印をクリックしてポートを 選択 した列に移動します。 |
スタティック ルーティング このセクションを使用して、LAN セグメント上の静的ルーティングを設定します。CPEデバイスに接続されたすべてのLANルーターのIPアドレスと、これらのルーターの背後にある静的サブネットを提供します。 |
|
LAN ルーター IP プレフィックスの追加 |
|
LAN ルーター IP |
CPE デバイスに接続された LAN ルーターの IP アドレスを入力します。 |
プレフィックス |
LAN ルーターに接続されたサブネットを入力します。 |
Bfd |
BFD(Bidirectional Forwarding Detection)を有効にして、静的ルート上の障害を検出します。 |
動的ルーティング |
|
ルーティング プロトコル |
BGP または OSPF プロトコルを使用して動的ルーティングを設定するには、この切り替えボタンを有効にします。 |
Bfd |
BFD(Bidirectional Forwarding Detection)を有効にして、LANセグメント内の障害を検出します。 |
プロトコル |
BGP または OSPF のいずれかを選択します。 |
BGP 設定
メモ:
リリース6.1.0以降、CSOは、プロバイダエッジ(PE)およびデータセンターまたはLANルーターとのBGPピアリングセッションに対して、長期にわたるグレースフルリスタート(LLGR)機能を明示的に無効にします。LLGRを無効にすると、ピアリングルーターのLLGR機能に関係なく、CPEがピアリングルーターへのルートアドバタイズメントを区別しません。 CSO リリース 6.1.0 以前は、IP VPN 導入の PE ルーターに向けた BGP ピアリングと、データ センター導入のデータ センターまたは LAN ルーター向けの CPE で、LLGR ヘルパー モードがデフォルトで有効になっています(Junos OS の暗黙的な動作)。 |
|
認証 |
使用する BGP ルート認証方法を選択します。
|
認証キー |
認証に MD5 を使用することを指定した場合は、BGP パケットの真正性を検証するために使用される MD5 認証キー(パスワード)を指定します。 |
BGP オプション |
要件に基づいて以下のオプションを選択できます。
|
ループカウント |
このフィールドは、AS-LOOPを選択した場合にのみ表示されます。 ASパスでローカルASの検出が許可される最大回数を入力します。 |
ピア IP アドレス |
LAN BGP ピアの IP アドレスを入力します。 |
ピアAS番号 |
LAN BGPピアの自律システム(AS)番号を入力します。デフォルトでは、CSOはAS番号64512を使用します。別のAS番号を入力できます。 |
ローカルAS番号 |
ローカルAS番号を入力します。このパラメータを設定すると、CPEに設定されたグローバルAS番号ではなく、BGPピアリングにローカルAS番号が使用されます。 |
OSPF 設定 |
|
OSPF エリア ID |
動的ルートに使用するOSPFエリア識別子を指定します。 |
認証 |
使用する OSPF ルート認証方法を選択します。
|
パスワード |
OSPF パケットの信頼性を検証するために使用するパスワードを入力します。 |
パスワードの確認 |
確認のためにパスワードを再入力します。 |
MD5 認証キー ID |
認証に MD5 を使用することを指定した場合は、OSPF MD5 認証キー ID を入力します。 範囲:1~255。 |
認証キー |
認証に MD5 を使用することを指定した場合、OSPF パケットの真正性を検証するために使用される MD5 認証キーを入力します。 |
ルートアドバタイズ制御 |
|
オーバーレイへの LAN ルート |
このオプションが有効な場合、LAN ルートはリモート CPE にアドバタイズされます。デフォルトでは、このオプションは有効になっています。 |
LAN へのオーバーレイ ルート |
このオプションは、[ルーティング プロトコル] 切り替えボタンを有効にした場合にのみ表示されます。デフォルトでは、このオプションは無効になっています。 部門で受信したリモート CPE ルートを LAN ルーターにアドバタイズするには、このオプションを有効にします。
メモ:
CSOリリース6.0.0以前のリリースでは、このオプションはLANプレフィックスのアドバタイズと呼ばれ、データセンター部門にのみ適用されます。 |
オーバーレイへの Aggr/スタティック ルート |
オーバーレイ ネットワークへの静的ルートまたは集約ルートとして集約ルートのアドバタイズを許可するには、このオプションを有効にします。
|
LAN セグメントの編集
サイト管理ページの [LAN] タブから、サイトに関連付けられた LAN セグメントを編集できます。
LAN セグメントを編集するには、以下の手順にいます。
LAN セグメントの導入
LAN セグメントを作成して部門に割り当てた後、LAN セグメントを導入する必要があります。ページからLANセグメントを Site Name 展開できます。
1 つ以上の LAN セグメントを導入するには、以下の手順にいます。
LAN セグメントの削除
ページから Site Name LANセグメントを削除できます。
LAN セグメントを削除するには、以下の手順にいます。