論理システムを使用した仮想化されたデータ センター
論理システムにより、VDC の設計では、VLAN(仮想 LAN)、仮想ルーター、仮想ルート フォワーダー、仮想ルート転送などの仮想化技術を使用して、柔軟なトラフィック分離を実現できます。詳細については、次のトピックを参照してください。
大規模エンタープライズ ネットワーク向けの 2 階層の仮想化データ センター ソリューション
以下に、ジュニパーネットワークスの 2 階層の高速マルチサービス仮想化データ センター(VDC)について説明します。2 層アーキテクチャは、仮想サーバー環境の低遅延要件を満たし、さまざまな事業部門間で制御されたセグメント化を維持する上でセキュリティ要件をサポートします。
ネットワーク トラフィックのセグメント化
ジュニパーネットワークス VDC の設計では、VLAN(仮想 LAN)、仮想ルーター、仮想ルート フォワーダー、仮想ルート転送、論理システムなどの仮想化技術を使用して、柔軟なトラフィック分離を実現します。
完全冗長化された 2 階層データ センター設計は、サーバー接続用のアクセス レイヤーのジュニパーネットワークス EX シリーズ イーサネット スイッチ、集約型 LAN アグリゲーション/コア レイヤーとしての MX シリーズ 5G ユニバーサル ルーティング プラットフォーム、およびクラスター化された SRX シリーズ サービス ゲートウェイで構成され、データ センターの信頼境界を越えてファイアウォール セキュリティー サービスを提供します。
柔軟性
ジュニパーネットワークス VDC の設計では、802.1Q VLAN、MPLS、BGP、VRRP(Virtual Router Redundancy Protocol)、トラフィック エンジニアリング、Fast Reroute を使用して、標準ベースのアプローチを維持しながら設計の柔軟性を提供します。この設計では、VPLS(仮想プライベート LAN サービス)もサポートできます。
セキュリティ
ジュニパーネットワークス VDC の設計では、セキュリティ ゾーンを使用してポリシー適用ポイントを実装します。SRX クラスタは、ビジネス ユニットの信頼境界を越えるトラフィックに対するすべてのステートフル パケット インスペクションと、データ センターのすべてのイングレス/エグレス トラフィックを処理します。
ジュニパーネットワークス Junos オペレーティング システムは、ネットワーク リソースへの限定アクセスをサポートする論理システムごとに異なる管理者アカウントで構成されており、個々の事業部門に合わせてカスタマイズできます。
アクセスと可用性
「 例: 大規模エンタープライズ ネットワーク向けの 2 層仮想化データ センターの構成」で説明されているジュニパーネットワークス VDC 設計では、トップオブラック(TOR)EX シリーズ スイッチがサーバーへのアクセスを提供し、冗長性を提供します。
TOR スイッチからのすべてのアップリンクは 802.1Q トランク リンクで、アグリゲーション/コア レイヤーで POD(Point of Delivery)を構成する各 MX シリーズ デバイスに直接終端されます。
VRRP インスタンスは、特定の VLAN 内のすべてのサーバー ホストのデフォルト ルーターとして機能するように、MX シリーズ デバイス内の各 VLAN で定義されます。VRRP が適切に機能するように、各ブリッジ ドメインは相互接続リンクを介して各 MX シリーズ デバイス間で拡張されます。MX シリーズ デバイスは、各ブリッジ ドメインのレイヤー 3 インターフェイスとして IRB(統合型ルーティングおよびブリッジング)インターフェイスを使用し、冗長性を確保するために VRRP を設定します。
MX シリーズ デバイス間では、802.3ad アグリゲート イーサネット バンドルのペアが使用されます。各 MX シリーズ デバイスは、多数の論理システムに分割されています。MX シリーズ デバイスの論理システムを使用して、データ センター自体と各事業部門間の論理信頼境界を定義します。
ファイアウォールとして機能する SRX シリーズ デバイスのクラスター化ペアは、データ センターの信頼の境界を越えてセキュリティ サービスを提供します。SRX シリーズ デバイス上の仮想ルーターは、各事業部門の顧客エッジ(CE)ルーターとして機能します。
データ プレーンの単一の冗長グループは、メンバー インターフェイスとして 2 つの冗長イーサネット インターフェイスを備えた SRX シリーズ サービス ゲートウェイで定義されています。この冗長グループは、SRX シリーズ ファイアウォールのデータ プレーン フェイルオーバーを処理し、ノースバウンドまたはサウスバウンド SRX シリーズ インターフェイスの損失が発生しても、セカンダリ ノードへの完全なフェイルオーバーを強制するように設定されています。このフェイルオーバーは基本的にレイヤー 1 フェイルオーバーです。つまり、迅速に発生し、その上のルーティング トポロジを中断しません。
費用対効果に優れた段階的な拡張
ジュニパーネットワークス VDC 設計は、ネットワークの段階的な拡張をサポートします。これにより、現在のニーズを満たすために最小コストで VDC を作成できます。
ラックの上部に EX シリーズ スイッチを追加することで、アクセス レイヤーを拡張できます。
アグリゲーション/コアレイヤーは、特定のPOD内にMXシリーズデバイスを追加することで拡張できます。
セキュリティ サービスは、SRX シリーズ デバイスに 4 ポート 10 ギガビット イーサネット I/O カード(IOC)とサービス処理カード(SPC)を追加することで拡張できます。IOC を追加すると、10 ギガビット イーサネット ポート密度が高くなります。各 SPC カードをシャーシに追加すると、さらに 10 Gbps(5 Gbps インターネット ミックス(IMIX))、200 万セッション、 150 Gbps(47.5 Gbps IMIX)、1,000 万セッション、350,000 CPS(Junos OS リリース 10.2 で測定)の最大定格容量まで、100,000 回の接続数/秒(CPS)を実現します。
オーケストレーションと自動化
ジュニパーネットワークス VDC 設計では、ジュニパーネットワークス Junos Space 管理プラットフォームを使用します。Junos Spaceには、サービス拡張、ネットワーク運用の簡素化、複雑なネットワーク環境のサポートの自動化に対応するアプリケーションのポートフォリオが含まれています。
さらに、ネットワーク デバイスは、バックグラウンドの SCP(セキュア コピー プロトコル)ファイル転送、コミット スクリプト、ファイル アーカイブ サイトをサポートするように設定されています。
「」も参照
大規模エンタープライズ ネットワーク向け 2 階層仮想化データ センターの要件
大企業には、データ センターの設計で満たす必要があるホスティング環境に対する特定のニーズがあります。このセクションでは、個々のビジネス ユニット(BUs)に対してサービス プロバイダとして機能する企業の要件について説明します。
大企業の仮想化データ センター(VDC)の主な要件の 1 つは、事業部門別にネットワークをセグメント化できることです。これには、トラフィックのセグメント化と管理制御のセグメント化が含まれます。
その他の要件には、事業部門間のセキュリティ制御、会社と社外との間のセキュリティ制御、ネットワークを柔軟に拡張して適応させる柔軟性、ネットワーク全体を管理するための堅牢で費用対効果の高い方法などがあります。
ネットワーク トラフィックのセグメント化
ここで説明する要件は、ネットワーク リソースを複数の方法で分離することです。トラフィックは事業部門別にセグメント化する必要があります。特に許可されている場合を除き、ネットワーク セグメント間のトラフィック フローを禁止する必要があります。トラフィック分離は、指定されたポリシー適用ポイントで制御する必要があります。ネットワーク リソースはセグメント専用である必要がありますが、ネットワークには柔軟にリソースの割り当てを変更できる必要があります。
セグメント化されたリソースは、ポリシーに従って論理的にグループ化する必要があります。たとえば、テスト トラフィックは実稼働トラフィックから分離する必要があります。また、事業体、契約上の要件、法的要件または規制要件、リスク評価、および企業基準に従って、トラフィックを分離する必要があります。
ネットワークセグメント化の設計は、ビジネスに混乱を与えるものではなく、大規模なデータセンターやクラウドネットワーク設計と統合し、事業部門がグローバルにネットワークリソースにアクセスできるようにする必要があり、新しいビジネス機能をサポートする必要があります。
柔軟性
ネットワーク設計は、最小限の設計と再エンジニアリング作業で、ビジネスや環境の変化に対応できる十分な柔軟性を備えている必要があります。VDC の設計では、ビジネス ユニットのワークロードを他の事業部門や一般的なデータ センター のサービスやアプリケーションから分離するという点で柔軟性が必要です。ネットワーク ソリューションでは、ネットワークとセグメンテーションの変更が発生した場合に、ビジネスへの影響を最小限に抑える必要があります。
VDC は、実装に十分な柔軟性が必要です。
単一のデータ センター内
データ ホール内
2 つ以上のデータ センターにまたがって
データ センター内またはデータ センター間の 2 つ以上のデータ ホール間
データ センターと外部クラウド サービス プロバイダ間
セキュリティ
ネットワーク設計では、事業部門をホスティング環境内で分離できるようにする必要があります。ネットワーク セキュリティ インシデントが発生した場合、事業部門はホスティング環境やその他の事業部門から分離する必要があります。
事業部門セグメント間のトラフィック フローは、デフォルトで拒否する必要があり、データ センター サービス プロバイダが所有および制御するポリシー適用ポイントでのみ明示的に許可する必要があります。
ポリシー適用ポイントにはアクセス コントロール機能が含まれる必要があり、脅威防御機能が含まれる場合があります。
アクセスと可用性
VDC は、計算、ストレージ、セキュリティ、トラフィック管理、運用、アプリケーションなどの一般的なデータ センター サービスへのアクセスを提供する必要があります。ネットワークは、複数のグローバル サービス プロバイダ間で動作し、ネットワーク全体で最適で予測可能で一貫したパフォーマンスを提供する必要があります。VDC は、データ センターの事業部門全体に実装する必要があります。
ネットワーク ソリューションは、サービス レベル契約で定義されているビジネス ユニットの可用性要件を満たす必要があります。
費用対効果に優れた段階的な拡張
VDC 設計は、ビジネスを実行するために費用対効果が高く、新しいビジネス機能を実現する必要があります。ビジネスへの影響を最小限に抑えながら、ネットワーク ソリューションを段階的に実装することが可能でなければなりません。
オーケストレーションと自動化
VDC 設計には、プロビジョニング、可用性、ワークロード監視、レポート作成の自動化をサポートする管理システムが含まれる必要があります。ワークロードレポートと可用性レポートは、事業部門別に提供する必要があります。
「」も参照
例:大規模エンタープライズ ネットワーク向けの 2 階層仮想データ センターの構成
この例では、大規模なエンタープライズ ネットワーク向けに 2 階層の仮想化データ センターを構成するための手順を示します。
- 要件
- 2 階層仮想化データ センターの構成の概要
- アクセス レイヤーの設定
- 信頼された論理システムでのアグリゲーション レイヤーの設定
- 信頼できない論理システムでのコア レイヤーの設定
- セキュリティ デバイスの設定
要件
この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。
Junos OS リリース 10.2 以降を実行する 2 つの MX シリーズ 5G ユニバーサル ルーティング プラットフォーム
Junos OS リリース 10.2 以降を実行する 6 台の EX シリーズ イーサネット スイッチ
Junos OS リリース 10.4 以降を実行する 2 つの SRX シリーズ サービス ゲートウェイ
2 階層仮想化データ センターの構成の概要
この例では、大企業向けの 2 階層の仮想化データ センターを構成するための手順を示します。この例の手順は、VLAN 17 を使用して BU2 内のサーバーに接続されたインターフェイスから論理システム Trust1、仮想ルーター MX-VR2、仮想ルーター SRX-VR2、論理システム Untrust の VRF2 を通り、コア ネットワークへのデータ パスに従います。
この例のコア ネットワークは、IP ベースのルーティングと MPLS ベースのラベル スイッチングを同時にサポートしています。SRX シリーズ デバイス上の仮想ルーターは、カスタマー エッジ(CE)ルーターの機能を実行します。MX シリーズ デバイスの VPN ルーティングおよび転送(VRF)ルーティング インスタンスは、サービス プロバイダ エッジ(PE)ルーターの機能を実行します。OSPF プロトコルは、この例でサポートされている IP ベースおよび MPLS ベースのネットワークの BGP ネクスト ホップ アドレスとして使用される PE ルーター ループバック アドレスにルートを伝送する内部ゲートウェイ プロトコルとして機能します。
この例の手順は、ネットワーク設定全体を表しています。この例では、すべての仮想デバイスのすべてのステップを示しているわけではありません。
この例で使用する物理接続を 図 1 に示します。
この例で使用する論理接続を 図 2 に示します。
論理トポロジーの図では、以下を実行します。
ユーザーは、上部に示すエンタープライズ コア ネットワーク全体のデータ センターにアクセスします。
MX シリーズ デバイスで論理システム Untrust に設定された仮想ルーターは、SRX シリーズ デバイスの Untrusted セキュリティ ゾーンに設定された個別の仮想ルーターにトラフィックを転送します。これらの仮想ルーターは、さまざまな事業部門のエッジ ルーターとして機能します。
アクティブな SRX シリーズ デバイス上に設定された仮想ルーターは、トラフィックを信頼できるセキュリティ ゾーンに転送します。
MX シリーズ デバイス上の個別の論理システムに設定された仮想ルーターは、EX シリーズ デバイス上で設定された VLAN のブリッジ ドメインにトラフィックを転送します。
事業部門 1 には、追加の分離が必要です。この場合、SRXシリーズ デバイスで設定された仮想ルーター(VR)は、トラフィックをEXシリーズ デバイスのブリッジドメインに直接転送します。
EX シリーズ デバイスは、トラフィックをデータ センター サーバーに切り替えます。
SRX シリーズ デバイスは、信頼できない境界を通過するすべてのトラフィックと論理システム間で転送されるすべてのトラフィックにセキュリティ ポリシーを適用します。
SRX シリーズ デバイスはアクティブ/パッシブ クラスタに設定されているため、クラスタ内の 1 つのノードのみが一度にデータ転送プレーンでアクティブになります。
SRX シリーズ デバイスは、データ プレーン用に単一の冗長グループで設定されています。冗長グループは、2 つのイーサネット インターフェイス(
reth1およびreth2図 1)をメンバー インターフェイスとして使用します。
アクセス レイヤーの設定
次の手順に従ってアクセス レイヤーを設定します。
インターフェイスの設定
手順
この手順では、アクセス レイヤー デバイスの物理インターフェイス、論理インターフェイス、ネットワーク管理インターフェイスを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
アクセス レイヤー のサーバー側の 10 ギガビット イーサネット インターフェイスを設定します。
この例では、VLAN ID
17を使用してge-0/0/17インターフェイスを設定します。ステートメントを
member含め、階層レベルでVLAN ID17を[edit interfaces ge-0/0/17 unit 0 family ethernet-switching vlan]指定します。[edit interfaces ge-0/0/17 unit 0] user@ex# set family ethernet-switching vlan members 17
適切なインターフェイス名と VLAN 番号を使用して、サーバー側のすべてのインターフェイスに対してこの手順を繰り返します。
EX シリーズ デバイスから 2 台の MX シリーズ デバイスへの 10 ギガビット イーサネット トランク インターフェイスを設定します。
この例では、and
xe-0/1/0インターフェイスをxe-0/1/2設定します。ステートメントを
port-mode含め、オプションをtrunk階層レベルと[edit interfaces xe-0/1/0 unit 0 family ethernet-switching]階層レベルで[edit interfaces xe-0/1/2 unit 0 family ethernet-switching]指定します。ステートメントを
members含め、オプションをall階層レベルと[edit interfaces xe-0/1/0 unit 0 family ethernet-switching]階層レベルで[edit interfaces xe-0/1/2 unit 0 family ethernet-switching vlan]指定します。[edit interfaces xe-0/1/2 unit 0] user@ex# set family ethernet-switching port-mode trunk user@ex# set family ethernet-switching vlan members all
[edit interfaces xe-0/1/0 unit 0] user@ex# set family ethernet-switching port-mode trunk user@ex# set family ethernet-switching vlan members all
適切なインターフェイス名を使用して、10 ギガビット イーサネット トランク インターフェイスごとにこの手順を繰り返します。
ループバック論理インターフェイスの IPv4 アドレス ファミリーを有効にします。
ステートメントを
family含め、階層レベルで IPv4 を有効にするオプションを[edit interfaces lo0 unit 0]指定inetします。[edit interfaces lo0 unit 0] user@ex# set family inet
そのデバイスに適切なアドレスを使用して、すべての EX シリーズ デバイスに対してこの手順を繰り返します。
EX シリーズ デバイス管理イーサネット インターフェイスを設定します。
この例では、論理インターフェイスを
unit 0設定します。ステートメントを
family含め、階層レベルでオプションを[edit me0 unit 0]指定inetします。ステートメントを
address含め、階層レベルで[edit interfaces me0 unit 0 family inet]IPv4 アドレスとして指定10.8.108.19/24します。[edit interfaces me0 unit 0] user@ex# set family inet address 10.8.108.19/24
そのデバイスに適切な管理インターフェイス アドレスを使用して、すべての EX シリーズ デバイスに対してこの手順を繰り返します。
アクセス レイヤーでの VLAN の設定
手順
この手順では、VLAN 名とタグ ID を設定し、トランク インターフェイスをアクセス レイヤー デバイスのいずれかに関連付ける方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべての VLAN の設定は表示されません。
EX シリーズ デバイス上の各 VLAN の VLAN 名とタグ ID(番号)を設定します。
この例では、名前
vlan17とタグ ID を使用して VLAN を17設定します。ステートメントを
vlan-id含め、階層レベルで[edit vlans vlan17]VLANタグIDとして指定17します。[edit vlans vlan17] user@ex# set vlan-id 17
適切な VLAN 名とタグ ID を使用して、各 EX シリーズ デバイス上のすべての VLAN に対してこの手順を繰り返します。
論理トランク インターフェイスを EX シリーズ デバイス上の各 VLAN に関連付けます。
この例では、論理インターフェイス
xe-0/1/0.0とxe-0/1/2.0vlan17.ステートメントを
interface含め、階層レベルで指定xe-0/1/0.0します[edit vlans vlan17]。ステートメントを
interface含め、階層レベルで指定xe-0/1/2.0します[edit vlans vlan17]。[edit vlans vlan17] user@ex# set interface xe-0/1/0.0 user@ex# set interface xe-0/1/2.0
適切なトランク インターフェイス名を使用して、各 EX シリーズ デバイス上のすべての VLAN に対してこの手順を繰り返します。
冗長トランク グループの設定とトランク インターフェイスのスパニング ツリー プロトコルの無効化
手順
この手順では、冗長トランク グループを設定し、トランク インターフェイス上でRapid Spanning Tree Protocol(RSTP)を無効にする方法について説明します。
トランク インターフェイスを冗長トランク グループとして設定します。
この例では、という名前
rtgroup1のxe-0/1/0.0冗長トランク グループで、およびxe-0/1/2.0トランク インターフェイスを設定します。ステートメントを
interface階層レベルに[edit ethernet-switching-options redundant-trunk-group group rtgroup1]含め、各トランク インターフェイス名を指定します。階層レベルで
primaryステートメントを[edit ethernet-switching-options redundant-trunk-group group rtgroup1 xe-0/1/2.0]含めます。[edit ethernet-switching-options redundant-trunk-group group rtgroup1] user@ex# set interface xe-0/1/0.0 user@ex# set interface xe-0/1/2.0 primary
適切なインターフェイス名を使用して、すべての冗長トランク グループに対してこの手順を繰り返します。
トランク インターフェイスで RSTP を無効にします。
EX シリーズ デバイスでは、RSTP はデフォルトで有効になっています。RSTP はルーティングと同じインターフェイスで有効にできません。
この例では、インターフェイスと
xe-0/1/2.0トランク インターフェイスで RSTP をxe-0/1/0.0無効にします。ステートメントを
disable階層レベルと[edit protocols rstp interface xe-0/1/2.0]階層レベルに[edit protocols rstp interface xe-0/1/0.0]含めます。[edit protocols rstp] user@ex# set interface xe-0/1/0.0 disable user@ex# set interface xe-0/1/2.0 disable
適切なインターフェイス名を使用して、コア側のすべてのトランク インターフェイスに対してこの手順を繰り返します。
管理の自動化の構成
手順
この手順では、管理ネットワークへの静的ルート、バックグラウンドのセキュア コピー プロトコル(SCP)ファイル転送をサポートする既知のホスト、コミット スクリプト、イベント アーカイブ サイトを構成する方法について説明します。
イーサネット管理インターフェイスが管理ネットワークに到達できるように、静的ルートを設定します。
ステートメントを
route含め、階層レベルで[edit routing-options static]管理ネットワークの IPv4 サブネット アドレスとして指定10.8.0.0/16します。ステートメントを
next-hop含め、階層レベルでネクスト ホップ ルーターの IPv4 ホスト アドレスを[edit routing-options static route 10.8.0.0/16]指定します。[edit routing-options static] user@ex# set route 10.8.0.0/16 next-hop 10.8.108.254
EX シリーズ デバイス上のすべてのイーサネット管理インターフェイスに対して、この手順を繰り返します。
SSH 既知のホストを設定します。
ステートメントを
host含め、階層レベルで信頼されたサーバーの IPv4 アドレスと RSA ホスト キー オプションを[edit security ssh-known-hosts]指定します。この例では、読みやすくするために RSA ホスト キーが切り捨てられます。[edit security ssh-known-hosts] user@ex# set host 127.0.0.1 rsa-key AAAAB3NzaC1yc2
すべての EX シリーズ デバイスでこの手順を繰り返します。
Juniper Message Bundle(JMB)をサポートするようにアウトバウンドSSHを設定し、ジュニパーサポートシステム(JSS)に転送します。
この例では、クライアント ID は .
00187D0B670Dステートメントを
client含め、クライアント ID として指定00187D0B670Dし、階層レベルで[edit system services outbound-ssh]IPv4 アドレスとして指定10.8.7.32します。ステートメントを
port含め、階層レベルで[edit system services outbound-ssh client 00187D0B670D 10.8.7.32]TCP ポートとして指定7804します。ステートメントを
device-id含め、階層レベルで[edit system services outbound-ssh client 00187D0B670D]デバイス ID として指定FA022Dします。階層レベルで
secretステートメントを[edit system services outbound-ssh client 00187D0B670D ]含めます。ステートメントを
services含め、階層レベルで[edit system services outbound-ssh client 00187D0B670D ]使用可能なサービスとして指定netconfします。[edit system services outbound-ssh client 00187D0B670D] user@ex# set 10.8.7.32 port 7804 user@ex# set device-id FA022D user@ex# set secret "$ABC123" user@ex# set services netconf
すべての EX シリーズ デバイスでこの手順を繰り返します。
コミット スクリプトを設定します。
この例では、スクリプト ファイル名は
jais-activate-scripts.slax.階層レベルで
allow-transientsステートメントを[edit system scripts commit]含めます。階層レベルで
optionalステートメントを[edit system scripts commit file jais-activate-scripts.slax]含めます。[edit system scripts commit] user@ex# set allow-transients user@ex# set file jais-activate-scripts.slax optional
すべての EX シリーズ デバイスでこの手順を繰り返します。
イベント アーカイブ サイトを構成します。
この例では、アーカイブ URL はローカル
/var/tmp/ディレクトリで、宛先に指定された名前はjuniper-aim.ステートメントを
archive-sites含め、階層レベルでアーカイブ URL を[edit event-options destinations juniper-aim]指定します。[edit event-options destinations juniper-aim] user@ex# set archive-sites "scp://admin@127.0.0.1://var/tmp" password “12345”
すべての EX シリーズ デバイスでこの手順を繰り返します。
信頼された論理システムでのアグリゲーション レイヤーの設定
次の手順に従ってアグリゲーション レイヤーを構成します。
- 信頼された論理システムでのインターフェイスの設定
- アグリゲーション レイヤーでの VLAN の設定
- 仮想ルーター ルーティング インスタンスの設定
- 管理インターフェイスの設定
- 論理システム管理者アカウントの設定
- 管理の自動化の構成
信頼された論理システムでのインターフェイスの設定
手順
この手順では、アグリゲーション レイヤーの信頼できるセキュリティ ゾーン内の論理システムに対して、物理、論理、レイヤー 3 のルーティング インターフェイスを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
物理インターフェイスで柔軟なVLANタギングを有効にします。
この例では、物理インターフェイスを設定します
xe-1/0/0。ステートメントを
encapsulation含め、階層レベルでオプションを[edit interfaces xe-1/0/0]指定flexible-ethernet-servicesします。階層レベルで
flexible-vlan-taggingステートメントを[edit interfaces xe-1/0/0]含めます。[edit interfaces xe-1/0/0] user@mx# set encapsulation flexible-ethernet-services user@mx# set flexible-vlan-tagging
適切なインターフェイス名を使用して、EX シリーズ、SRX シリーズ、MX シリーズ デバイスに接続されたすべての物理インターフェイスについて、この手順を繰り返します。
EX シリーズ アクセス レイヤー デバイスに接続された 10 ギガビット イーサネット インターフェイスを設定します。
この例では、という名前
Trust1の論理17システムの下のxe-1/0/0インターフェイスで論理インターフェイスを設定します。ステートメントを
encapsulation含め、階層レベルでオプションを[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17]指定vlan-bridgeします。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17]VLAN IDとして指定17します。[edit logical-systems Trust1 interfaces xe-1/0/0 unit 17] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 17
適切なインターフェイス名、論理インターフェイス番号、VLAN ID、論理システム名を使用して、アクセス レイヤー デバイスに接続されたすべてのインターフェイスに対してこの手順を繰り返します。
図 1 に示す他の MX シリーズ デバイスに接続された 10 ギガビット イーサネット インターフェイスを設定します。
この例では、インターフェイス上で論理インターフェイス
17をxe-0/1/0設定します。ステートメントを
encapsulation含め、階層レベルでオプションを[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17]指定vlan-bridgeします。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17]VLANタグIDとして指定17します。[edit logical-systems Trust1 interfaces xe-0/1/0 unit 17] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 17
適切なインターフェイス名、論理インターフェイス番号、VLAN ID、論理システム名を使用して、 図 1 に示す他の MX シリーズ デバイスに接続されたすべてのインターフェイスについて、この手順を繰り返します。
SRX シリーズ デバイスに接続された 10 ギガビット イーサネット インターフェイスを設定します。
この例では、インターフェイス上で論理インターフェイス
15をxe-1/1/0設定します。ステートメントをencapsulation含め、階層レベルでオプションを[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15]指定vlan-bridgeします。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15]VLANタグIDとして指定15します。[edit logical-systems Trust1 interfaces xe-1/1/0 unit 15] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 15
適切なインターフェイス名、論理インターフェイス番号、VLAN ID、論理システム名を使用して、SRXシリーズ デバイスに接続されたすべてのインターフェイスに対してこの手順を繰り返します。
レイヤー 3 統合型ルーティングおよびブリッジング(IRB)インターフェイス アドレスを設定します。
この例では、という名前
Trust1のunit 17論理システムの下で IPv4 アドレスとして論理インターフェイス10.17.2.2/24を設定します。ステートメントをaddress含め、階層レベルで[edit logical-systems Trust1 interfaces irb unit 17 family inet]IPv4 アドレスとして指定10.17.2.2/24します。[edit logical-systems Trust1 interfaces irb unit 17 family inet] user@mx# set address 10.17.2.2/24
適切な論理インターフェイス名と IPv4 アドレスを使用して、すべてのレイヤー 3 IBR に対してこの手順を繰り返します。
仮想ルーター冗長プロトコル(VRRP)に参加するように IRB インターフェイスを設定します。
この例では、論理インターフェイス
17をunit 17VRRP グループ名として設定します。ステートメントを
virtual-address含め、階層レベルで[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]仮想ルーターの IPv4 アドレスとして指定10.17.2.1します。インターフェイスが
accept-data仮想 IP アドレス宛てのパケットを[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]受け入れるよう、ステートメントを階層レベルに含めます。ステートメントを
priority含め、階層レベルでルーターの優先度として指定200します[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]。ステートメントを
fast-interval含め、階層レベルでの VRRP アドバタイズメント間の[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]間隔として指定200します。階層レベルで
preemptステートメントを[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17]含めます。[edit logical-systems Trust1 interfaces irb unit 17 family inet address 10.17.2.2/24 vrrp-group 17] user@mx# set virtual-address 10.17.2.1 user@mx# set accept-data user@mx# set priority 200 user@mx# set fast-interval 200 user@mx# set preempt
適切な論理インターフェイス名、IPv4 アドレス、VRRP グループ名、優先度を使用して、すべてのレイヤー 3 IBR インターフェイスに対してこの手順を繰り返します。
アグリゲーション レイヤーでの VLAN の設定
手順
この手順では、VLAN 名とタグ ID を設定し、トランク インターフェイスとレイヤー 3 ルーティング インターフェイスを各 VLAN に関連付ける方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべての VLAN の設定は表示されません。
MX シリーズ デバイス上の各 VLAN の VLAN 名とタグ ID(番号)を設定します。
この例では、論理システムの名前
vlan17とタグ ID を17使用して VLAN を設定しますTrust1。ステートメントをvlan-id含め、階層レベルで[edit logical-systems Trust1 bridge-domains vlan17]VLAN IDとして指定17します。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set vlan-id 17
適切な VLAN 名とタグ ID を使用して、各 MX シリーズ デバイス上のすべての VLAN に対してこの手順を繰り返します。
論理トランク インターフェイスを MX シリーズ デバイス上の各 VLAN に関連付けます。
この例では、EX シリーズ デバイスに接続されている論理インターフェイス
xe-1/0/0.17と、他の MX シリーズ デバイスに接続されている論理インターフェイスxe-0/1/0.17を.vlan17ステートメントを
interface含め、階層レベルで指定xe-1/0/0.17します[edit logical-systems Trust1 bridge-domains vlan17]。ステートメントを
interface含め、階層レベルで指定xe-0/1/0.17します[edit logical-systems Trust1 bridge-domains vlan17]。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set interface xe-1/0/0.17 user@mx# set interface xe-0/1/0.17
適切なトランク インターフェイス名を使用して、各 MX シリーズ デバイス上のすべてのサーバー側 VLAN に対してこの手順を繰り返します。
レイヤー 3 インターフェイスを MX シリーズ デバイスの各 VLAN に関連付けます。
この例では、インターフェイス
vlan17をirb.17.ステートメントを
routing-interface含め、階層レベルで指定irb.17します[edit logical-systems Trust1 bridge-domains vlan17]。[edit logical-systems Trust1 bridge-domains vlan17] user@mx# set routing-interface irb.17
適切なレイヤー 3 インターフェイス名を使用して、各 MX シリーズ デバイス上のすべてのサーバー側 VLAN に対してこの手順を繰り返します。
論理インターフェイスを MX シリーズ デバイス上の各相互接続 VLAN に関連付けます。
この例では、SRX シリーズ デバイスに接続されている論理インターフェイス
xe-1/1/0.15と、他の MX シリーズ デバイスに接続されている論理インターフェイスxe-0/1/0.15を.vlan15ステートメントを
interface含め、階層レベルで指定xe-1/1/0.15します[edit logical-systems Trust1 bridge-domains vlan15]。ステートメントを
interface含め、階層レベルで指定xe-0/1/0.15します[edit logical-systems Trust1 bridge-domains vlan15]。[edit logical-systems Trust1 bridge-domains vlan15] user@mx# set interface xe-1/1/0.15 user@mx# set interface xe-0/1/0.15
適切な相互接続インターフェイス名を使用して、各 MX シリーズ デバイス上のすべての相互接続 VLAN に対してこの手順を繰り返します。
レイヤー 3 インターフェイスを MX シリーズ デバイス上の各相互接続 VLAN に関連付けて、OSPF プロトコルへのアクティブな参加をサポートします。
この例では、インターフェイス
vlan15をirb.15.ステートメントを
routing-interface含め、階層レベルで指定irb.15します[edit logical-systems Trust1 bridge-domains vlan15]。[edit logical-systems Trust1 bridge-domains vlan15] user@mx# set routing-interface irb.15
適切なレイヤー 3 インターフェイス名を使用して、各 MX シリーズ デバイス上のすべてのサーバー側 VLAN に対してこの手順を繰り返します。
仮想ルーター ルーティング インスタンスの設定
手順
この手順では、単一の仮想ルーター ルーティング インスタンスを設定する方法について説明します。この手順は、設定例の代表的なサンプルを示しています。この例では、すべてのデバイスの設定を示すわけではありません。
ルーティング インスタンス タイプを設定します。
この例では、名前でルーティング インスタンスを設定します
MX-VR2。ステートメントをinstance-type含め、階層レベルで[edit logical-systems Trust1 routing-instances MX-VR2]型として指定virtual-routerします。[edit logical-systems Trust1 routing-instances MX-VR2] user@mx# set instance-type virtual-router
適切な仮想ルーター名を使用して、各 MX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
仮想ルーター ルーティング インスタンスで使用される IRB インターフェイスを追加します。
ステートメントを
interface含め、各 IRB インターフェイスの名前を[edit routing-instances MX-VR2]階層レベルで指定します。[edit logical-systems Trust1 routing-instances MX-VR2] user@mx# set interface irb.15 user@mx# set interface irb.16 user@mx# set interface irb.17 user@mx# set interface irb.18 user@mx# set interface irb.1002
適切なインターフェイス名を使用して、各 MX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
ルーティング テーブルにサーバーへのルートを設定できるように、仮想ルーター ルーティング インスタンスで使用される IGP プロトコル アクティブ インターフェイスを設定します。
この例では、OSPF プロトコル エリアにアクティブに参加するように、1 つの IRB インターフェイスを設定します
0.0.0.0。ステートメントを
interface含め、階層レベルで IRB インターフェイスの名前を[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0]指定します。[edit routing-instances MX-VR2 protocols ospf area 0.0.0.0] user@mx# set interface irb.15
適切な仮想ルーター名を使用して、各 MX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
仮想ルーター ルーティング インスタンス内の各 VLAN に関連付けられている内部ゲートウェイ プロトコル パッシブ インターフェイスを設定します。
この例では、IRB インターフェイスを OSPF プロトコル エリアに受動的に参加するように設定します
0.0.0.0。階層レベルで
passiveステートメントを[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0 interface irb-name]含めます。[edit logical-systems Trust1 routing-instances MX-VR2 protocols ospf area 0.0.0.0] user@mx# set interface irb.16 passive user@mx# set interface irb.17 passive user@mx# set interface irb.18 passive user@mx# set interface irb.1002 passive
適切な仮想ルーター名を使用して、各 MX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
論理システム ルーター識別子を設定します。
ステートメントを
router-id含め、階層レベルでルーター識別子として指定10.200.11.101します[edit logical-systems Trust1 routing-instances MX-VR2 routing-options]。[edit logical-systems Trust1 routing-instances MX-VR2 routing-options] user@mx# set router-id 10.200.11.101
適切なルーター識別子を使用して、各 MX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
管理インターフェイスの設定
手順
この手順では、ループバック論理インターフェイス用に管理ネットワークと IPv4 アドレス ファミリーへの静的ルートを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
イーサネット管理インターフェイスが管理ネットワークに到達できるように、静的ルートを設定します。
ステートメントを
route含め、階層レベルで[edit routing-options static]管理ネットワークの IPv4 サブネット アドレスとして指定10.0.0.0/8します。ステートメントを
next-hop含め、階層レベルでネクスト ホップ ルーターの IPv4 ホスト アドレスを[edit routing-options static route 10.0.0.0/8]指定します。階層レベルに
retainandno-readvertiseステートメントを[edit routing-options static route 10.0.0.0/8]含めます。[edit routing-options static] user@mx# set route 10.0.0.0/8 next-hop 10.8.3.254 user@mx# set route 10.0.0.0/8 retain user@mx# set route 10.0.0.0/8 no-readvertise
すべての MX シリーズ デバイスでこの手順を繰り返します。
MX シリーズ デバイス管理イーサネット インターフェイスを設定します。この例では、論理インターフェイスを
unit 0設定します。ステートメントを
family含め、階層レベルでオプションを[edit fxp0 unit 0]指定inetします。ステートメントを
address含め、階層レベルで[edit interfaces fxp0 unit 0]IPv4 アドレスとして指定10.8.3.212/24します。[edit interfaces fxp0 unit 0] user@mx# set family inet address 10.8.3.212/24
そのデバイスに適切な管理インターフェイス アドレスを使用して、すべての MX シリーズ デバイスに対してこの手順を繰り返します。
ループバック論理インターフェイスを設定します。
ステートメントを
family含め、階層レベルでオプションを[edit interfaces lo0 unit 0]指定inetします。[edit interfaces lo0 unit 0] user@mx# set family inet
すべての MX シリーズ デバイスでこの手順を繰り返します。
論理システム管理者アカウントの設定
手順
この手順では、割り当てられている論理システムおよび各論理システムの管理者アカウントのコンテキストに限定された管理者アカウント クラスを構成する方法について説明します。
管理者アカウント クラスを作成します。
この例では、論理システムの
trust1-adminアクセス許可を持つallユーザー クラスがTrust1作成されます。ステートメントを
class含め、階層レベルで[edit system login]クラス名として指定trust1-adminします。ステートメントを
logical-system含め、階層レベルで[edit system login class trust1-admin]論理システム名として指定Trust1します。ステートメントを
permissions含め、階層レベルでオプションを[edit system login class trust1-admin]指定allします。[edit system] user@mx# set login class trust1-admin logical-system Trust1 user@mx# set login class trust1-admin permissions all
適切な論理システム名を使用して、各 MX シリーズ デバイスの trust2 管理者クラスと untrust-admin クラスに対してこの手順を繰り返します。
MX シリーズ デバイスの各論理システムに対応する管理者アカウントを作成します。
この例では、
trust1ユーザー アカウントが作成され、クラスがtrust1-admin割り当てられます。ステートメントを
class含め、階層レベルで[edit system login user trust1]ユーザー クラスとして指定trust1-adminします。ステートメントを
encrypted-password含め、階層レベルで暗号化パスワード文字列を[edit system login user trust1 authentication]入力します。[edit system] user@mx# set login user trust1 class trust1-admin user@mx# set login user trust1 authentication encrypted-password 12345
各 MX シリーズ デバイスの trust2 および untrust ユーザー アカウントに対して、この手順を繰り返します。
管理の自動化の構成
手順
この手順では、バックグラウンド SCP ファイル転送、コミット スクリプト、アーカイブ サイトをサポートするように既知のホストを設定する方法について説明します。
コミット スクリプトを設定します。
この例では、スクリプト ファイル名は
jais-activate-scripts.slax.階層レベルで
allow-transientsステートメントを[edit system scripts commit]含めます。階層レベルで
optionalステートメントを[edit system scripts commit file jais-activate-scripts.slax]含めます。[edit system scripts commit] user@mx# set allow-transients user@mx# set file jais-activate-scripts.slax optional
イベント アーカイブ サイトを構成します。
この例では、アーカイブ URL はローカル
/var/tmp/ディレクトリで、宛先に指定された名前はjuniper-aim.ステートメントを
archive-sites含め、階層レベルでアーカイブ URL を[edit event-options destinations juniper-aim]指定します。[edit event-options destinations juniper-aim] user@mx# set archive-sites "scp://admin@127.0.0.1://var/tmp" password “12345”
信頼できない論理システムでのコア レイヤーの設定
次の手順に従ってコア レイヤーを構成します。
信頼できない論理システムでのインターフェイスの設定
手順
この手順では、コア レイヤーの信頼できないセキュリティ ゾーン内の論理システムに対して、物理、論理、レイヤー 3 のルーティング インターフェイスを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
図 1 に示す他の MX シリーズ デバイスに接続された 10 ギガビット冗長イーサネット インターフェイスを設定します。
この例では、VLAN 19 に
xe-0/3/0参加するよう指定されたUntrust論理システムの下のインターフェイス上で論理インターフェイス19を設定します。ステートメントをencapsulation含め、階層レベルでオプションを[edit logical-systems Untrust interfaces xe-0/3/0 unit 19]指定vlan-bridgeします。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Untrust interfaces xe-0/3/0 unit 19]VLANタグIDとして指定19します。[edit logical-systems Untrust interfaces xe-0/3/0 unit 19] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 19
適切なインターフェイス名、論理インターフェイス番号、VLAN ID、論理システム名を使用して、他のMXシリーズ デバイスに接続されたすべての冗長イーサネット インターフェイスについて、この手順を繰り返します。
SRX シリーズ デバイスに接続された 10 ギガビット イーサネット インターフェイスを設定します。
この例では、VLAN 19 に
xe-2/2/0参加するよう指定されたUntrust論理システムの下のインターフェイス上で論理インターフェイス19を設定します。ステートメントを
encapsulation含め、階層レベルでオプションを[edit logical-systems Untrust interfaces xe-2/2/0 unit 19]指定vlan-bridgeします。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Untrust interfaces xe-2/2/0 unit 19]VLANタグIDとして指定19します。[edit logical-systems Untrust interfaces xe-2/2/0 unit 19] user@mx# set encapsulation vlan-bridge user@mx# set vlan-id 19
適切なインターフェイス名、論理インターフェイス番号、VLAN ID、論理システム名を使用して、SRX シリーズ デバイスに接続されたすべての冗長イーサネット インターフェイスについて、この手順を繰り返します。
IP ベース/MPLS ベースのコア ネットワークに接続された 10 ギガビット イーサネット インターフェイスを設定します。
この例では、という名前
Untrustの論理0システムの下のxe-1/3/0インターフェイスで論理インターフェイスを設定します。ステートメントを
address含め、階層レベルで[edit logical-systems Untrust interfaces xe-1/3/0 unit 0 family inet]IPv4 アドレスとして指定10.200.4.1/30します。ステートメントを
family含め、階層レベルでオプションを[edit logical-systems Untrust interfaces xe-1/3/0 unit 0]指定mplsします。[edit logical-systems Untrust interfaces xe-1/3/0 unit 0] user@mx# set family inet address 10.200.4.1/30 user@mx# set family mpls
サービス プロバイダ ネットワークに接続されている 10 ギガビット イーサネット インターフェイスごとに、適切なインターフェイス名、論理インターフェイス番号、IPv4 アドレス、論理システム名を使用して、この手順を繰り返します。
レイヤー 3 IRB インターフェイス アドレスを設定します。
この例では、
unit 19VLAN 19 に参加する論理インターフェイスを10.19.2.1/24、という名前Untrustの論理システムの IPv4 アドレスとして設定します。ステートメントを
address含め、階層レベルで[edit logical-systems Untrust interfaces irb unit 19 family inet]IPv4 アドレスとして指定10.19.2.1/24します。[edit logical-systems Untrust interfaces irb unit 19 family inet] user@mx# set address 10.19.2.1/24
適切な論理インターフェイス名と IPv4 アドレスを使用して、すべてのレイヤー 3 IRB インターフェイスに対してこの手順を繰り返します。
論理システムのループバック論理インターフェイスの IP アドレスを設定します
Untrust。ステートメントを
address含め、階層レベルで[edit logical-systems Untrust interfaces lo0 unit 1 family inet]IPv4 アドレスとして指定10.200.11.1/32します。[edit logical-systems Untrust interfaces lo0 unit 1 family inet] user@mx# set address 10.200.11.1/32
適切な IPv4 アドレスを使用して、すべての MX シリーズ デバイスに対してこの手順を繰り返します。
コア レイヤーでの VLAN の設定
手順
この手順では、VLAN 名とタグ ID、アソシエイト インターフェイス、レイヤー 3 ルーティング インターフェイスを各コア相互接続 VLAN に設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべての VLAN の設定は表示されません。
MXシリーズ デバイス上の各コア相互接続VLANのVLAN名とタグID(番号)を設定します。
この例では、論理システムの名前
vlan14とタグ ID を14使用して VLAN を設定しますUntrust。ステートメントを
vlan-id含め、階層レベルで[edit logical-systems Untrust bridge-domains vlan14]VLAN IDとして指定14します。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set vlan-id 14
適切な VLAN 名とタグ ID を使用して、各 MX シリーズ デバイス上のすべての VLAN に対してこの手順を繰り返します。
論理インターフェイスを MX シリーズ デバイスの各 VLAN に関連付けます。
この例では、他の MX シリーズ デバイスに接続され
xe-2/2/0.14、SRX シリーズ デバイスに接続されている論理インターフェイスxe-0/3/0.14を.vlan14ステートメントを
interface含め、階層レベルで指定xe-0/3/0.14します[edit logical-systems Untrust bridge-domains vlan14]。ステートメントを
interface含め、階層レベルで指定xe-2/2/0.14します[edit logical-systems Untrust bridge-domains vlan14]。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set interface xe-0/3/0.14 user@mx# set interface xe-2/2/0.14
適切なインターフェイス名を使用して、各 MX シリーズ デバイス上のすべてのコア相互接続 VLAN に対してこの手順を繰り返します。
レイヤー 3 インターフェイスを MX シリーズ デバイスの各 VLAN に関連付けます。
この例では、インターフェイス
vlan14をirb.14.ステートメントを
routing-interface含め、階層レベルで指定irb.14します[edit logical-systems Untrust bridge-domains vlan14]。[edit logical-systems Untrust bridge-domains vlan14] user@mx# set routing-interface irb.14
適切なレイヤー 3 インターフェイス名を使用して、各 MX シリーズ デバイス上のすべてのコア相互接続 VLAN に対してこの手順を繰り返します。
信頼できない論理システムでのプロトコルの設定
手順
この手順では、論理システム Untrust に対して BGP、MPLS、RSVP、OSPF プロトコルを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのデバイスの設定を示すわけではありません。
MX シリーズ デバイス上の OSPF プロトコルにインターフェイスを追加します。
この例では、論理インターフェイス
xe-1/3/0.0とlo0.1、コア ネットワークで使用される OSPF プロトコルを追加します。ステートメントを
interface含め、階層レベルでxe-1/3/0.0インターフェイスとlo0.1インターフェイスを[edit logical-systems Untrust protocols ospf area 0.0.0.0]指定します。[edit logical-systems Untrust protocols ospf area 0.0.0.0] user@mx# set interface xe-1/3/0.0 user@mx# set interface lo0.1
適切なインターフェイス名を使用して、コア レイヤー デバイスに接続されている 10 ギガビット イーサネット インターフェイスごとにこの手順を繰り返します。
GRE(汎用ルーター カプセル化)トンネルを設定します。
この例では、という名前
GRE1の動的 GRE トンネルを有効にします。階層レベルで
greトンネル タイプを指定するステートメントを[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]含めます。ステートメントを
source-address含め、階層レベルで[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]IPv4 送信元アドレスとして指定10.200.11.1します。ステートメントを
destination-networks含め、階層レベルで[edit logical-systems Untrust routing-options dynamic-tunnel GRE1]宛先プレフィックスとして指定0.0.0.0/0します。[edit logical-systems Untrust routing-options dynamic-tunnel GRE1] user@mx# set source-address 10.200.11.1 user@mx# set gre user@mx# set destination-networks 0.0.0.0/0
適切なソース アドレスを使用して、各 MX シリーズ デバイスに対してこの手順を繰り返します。
論理システムのローカル自律システム番号とルーター識別子を設定します。
ステートメントを
autonomous-system含め、階層レベルで[edit logical-systems Untrust routing-options]自律システム番号として指定64500します。ステートメントを
router-id含め、階層レベルでルーター識別子として指定10.200.11.101します[edit logical-systems Untrust routing-options]。[edit logical-systems Untrust] user@mx# set routing-options autonomous-system 64500 user@mx# set routing-options router-id 10.200.11.101
適切なルーター識別子と自律システム番号 64500 を使用して、各 MX シリーズ デバイスに対してこの手順を繰り返します。
内部 BGP ピア グループを設定します。
ステートメントを
type含め、階層レベルでオプションを[edit logical-systems Untrust protocols bgp group int]指定internalします。ステートメントを
local-address含め、論理システム Untrust のルーター ID(10.200.11.1)を階層レベルの[edit logical-systems Untrust protocols bgp group int]ローカル アドレスとして指定します。ステートメントを
unicast階層レベルと[edit logical-systems Untrust protocols bgp group int family inet-vpn]階層レベルに[edit logical-systems Untrust protocols bgp group int family inet]含めます。ステートメントを
local-as含め、階層レベルで[edit logical-systems Untrust protocols bgp group int]ローカル自律システム番号として指定64500します。ステートメントを
peer-as含め、階層レベルで[edit logical-systems Untrust protocols bgp group int]ピア自律システム番号として指定64500します。ステートメントを
neighbor含め、階層レベルでネイバー IPv4 アドレスを[edit logical-systems Untrust protocols bgp group int]指定します。ネイバー アドレスは、ローカル データ センター内の他の MX シリーズ デバイスのルーター ID アドレス、リモート データ センターの MX シリーズ デバイス、IP ベース/MPLS ベースのコア ネットワークにあるルーターです。
[edit logical-systems Untrust protocols bgp group int] user@mx# set type internal user@mx# set local-address 10.200.11.1 user@mx# set family inet unicast user@mx# set family inet-vpn unicast user@mx# set local-as 64500 user@mx# set peer-as 64500 user@mx# set neighbor 10.200.11.2 user@mx# set neighbor 10.200.11.3 user@mx# set neighbor 10.200.11.4
すべての MX シリーズ デバイスでこの手順を繰り返します。
サービス プロバイダ コア ネットワークで使用される MPLS プロトコルにインターフェイスを追加します。
この例では、サービス プロバイダの
xe-1/3/0.0コア ネットワークに接続されているインターフェイスとxe-2/3/0.0インターフェイスを追加します。ステートメントを
interface含め、階層レベルでxe-1/3/0.0インターフェイスとxe-2/3/0.0インターフェイスを[edit logical-systems Untrust protocols mpls]指定します。[edit logical-systems Untrust protocols mpls] user@mx# set interface xe-1/3/0.0 user@mx# set interface xe-2/3/0.0
すべての MX シリーズ デバイスでこの手順を繰り返します。
MPLS ベースのコア ネットワークにあるルーターに MPLS LSP を作成します。
この例では、という名前の LSP を作成します
to-core-router。ステートメントを
to含め、階層レベルで[edit logical-systems Untrust protocols mpls label-switched-path to-core-router]コア ルーターの IPv4 アドレスとして指定10.200.11.3します。階層レベルで
no-cspfステートメントを[edit logical-systems Untrust protocols mpls]含めます。[edit logical-systems Untrust protocols mpls] user@mx# set label-switched-path to-core-router to 10.200.11.3 user@mx# set no-cspf
すべての MX シリーズ デバイスでこの手順を繰り返します。
MPLS ベースのコア ネットワークで使用される RSVP プロトコルにインターフェイスを追加します。
ステートメントを
interface含め、階層レベルでxe-1/3/0.0インターフェイスとxe-2/3/0.0インターフェイスを[edit logical-systems Untrust protocols rsvp]指定します。[edit logical-systems Untrust protocols rsvp] user@mx# set interface xe-1/3/0.0 user@mx# set interface xe-2/3/0.0
すべての MX シリーズ デバイスでこの手順を繰り返します。
セキュリティ デバイスの設定
次の手順では、アクセス レイヤーの信頼できるセキュリティ ゾーンに対して、冗長イーサネット インターフェイス、ノード クラスタ、セキュリティ ゾーン、セキュリティ ポリシー、ルーティング ポリシーを設定する方法について説明します。
- 冗長イーサネット インターフェイス リンク アグリゲーション グループの設定
- SRX シリーズ クラスタの設定
- セキュリティ ゾーンの作成とインバウンド トラフィック ポリシー アクションの設定
- セキュリティ ゾーン ポリシーの設定
- ルーティング ポリシーの作成
- 仮想ルーター ルーティング インスタンスの設定
- 結果
冗長イーサネット インターフェイス リンク アグリゲーション グループの設定
手順
この手順では、冗長イーサネット インターフェイス リンク アグリゲーション グループを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
ノードでサポートされるアグリゲート イーサネット インターフェイスの数を設定します。
この例では、2 つのインターフェイスをサポートできます。
ステートメントを
device-count含め、階層レベルで[edit chassis aggregated-devices ethernet]サポートされるインターフェイスの数として指定2します。[edit chassis aggregated-devices ethernet] user@srx# set device-count 2
適切なデバイス数を使用して、すべての SRX シリーズ デバイスに対してこの手順を繰り返します。
10 ギガビット イーサネットの子インターフェイスを冗長イーサネット(reth)親インターフェイスに割り当てます。
この例では、
xe-1/0/010 ギガビット イーサネットの子インターフェイスを Node0 のreth1親インターフェイスに割り当てます。ステートメントを
redundant-parent含め、階層レベルで[edit interfaces xe-1/0/0 gigether-options]親インターフェイスとして指定reth1します。[edit interfaces xe-1/0/0 gigether-options] user@srx# set redundant-parent reth1
適切なインターフェイス名と冗長な親名を使用して、すべての冗長イーサネット インターフェイスに対してこの手順を繰り返します。
冗長イーサネット親インターフェイス オプションを設定します。
この例では、冗長な親インターフェイスを
reth1設定します。ステートメントを
redundancy-group含め、階層レベルで[edit interfaces reth1 redundant-ether-options]グループ番号として指定1します。階層レベルで
vlan-taggingステートメントを[edit interfaces reth1]含めます。[edit interfaces reth1] user@srx# set redundant-ether-options redundancy-group 1 user@srx# set vlan-tagging
適切な冗長親名と冗長グループ番号を使用して、すべての冗長親インターフェイスに対してこの手順を繰り返します。
冗長イーサネット親論理インターフェイスを設定します。
この例では、論理インターフェイスを
unit 15設定します。ステートメントを
address含め、階層レベルで[edit interfaces reth1 unit 15 family inet]IPv4 アドレスとして指定10.15.2.2/24します。ステートメントを
vlan-id含め、階層レベルで[edit interfaces reth1 unit 15]VLAN識別子として指定15します。[edit interfaces reth1 unit 15] user@srx# set family inet address 10.15.2.2/24 user@srx# set vlan-id 15
適切な冗長親名、IPv4 アドレス、VLAN 識別子を使用して、すべての冗長親インターフェイスに対してこの手順を繰り返します。
SRX シリーズ クラスタの設定
手順
この手順では、クラスタ内のノード間のファブリック接続を設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのインターフェイスの設定は表示されません。
クラスタ ノード間のファブリックとして機能するように 10 ギガビット イーサネット インターフェイスを設定します。
この例では、
xe-1/0/1子ファブリック インターフェイスおよびfab0親ファブリック インターフェイスとして設定します。接続は SRX0 から SRX1 です。ステートメントを
member-interfaces含め、階層レベルでインターフェイスを[edit interfaces fab0 fabric-options]指定xe-1/0/1します。[edit interfaces fab0 fabric-options] user@srx# set member-interfaces xe-1/0/1
適切な子インターフェイス名と親インターフェイス名を使用して、クラスタ ファブリックの一部である 10 ギガビット イーサネット インターフェイスごとにこの手順を繰り返します。
クラスタがサポートする冗長イーサネット インターフェイスの数を設定します。
この例では、
4インターフェイスの数として設定します。ステートメントを
reth-count含め、階層レベルで[edit chassis cluster]インターフェイスの数として指定4します。[edit chassis cluster] user@srx# set reth-count 4
クラスタ内のすべての SRX シリーズ デバイスについて、この手順を繰り返します。
冗長グループのノード優先度を設定して、プライマリノードとセカンダリノードを決定します。
この例では、優先度の
node 0高い設定を行います。ステートメントを
priority含め、階層レベルで指定200します[edit chassis cluster redundancy-group 1 node 0]。ステートメントを
priority含め、階層レベルで指定100します[edit chassis cluster redundancy-group 1 node 1]。[edit chassis cluster redundancy-group 1] user@srx# set node 0 priority 200 user@srx# set node 1 priority 100
クラスタ内のすべての SRX シリーズ デバイス上のすべての冗長グループに対して、この手順を繰り返します。
優先度の高いノードでフェイルオーバーを開始して、冗長グループのプライマリ ノードにすることを許可します。
階層レベルで
preemptステートメントを[edit chassis cluster redundancy-group 1]含めます。[edit chassis cluster redundancy-group 1] user@srx# set preempt
クラスタ内のすべての SRX シリーズ デバイス上のすべての冗長グループに対して、この手順を繰り返します。
制御リンクの回復を自動的に行えるようにします。
階層レベルで
control-link-recoveryステートメントを[edit chassis cluster]含めます。[edit chassis cluster] user@srx# set control-link-recovery
クラスタ内のすべての SRX シリーズ デバイス上のすべての冗長グループに対して、この手順を繰り返します。
インターフェイス監視を有効にして、インターフェイスの状態を監視し、冗長グループのフェイルオーバーをトリガーします。
この例では、重み
255付けでxe-1/0/0インターフェイスを設定します。階層レベルで
weightステートメントを[edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0]含めます。[edit chassis cluster redundancy-group 1 interface-monitor xe-1/0/0] user@srx# set weight 255
クラスタ内のすべての SRX シリーズ デバイス上のすべての冗長グループ インターフェイスに対して、この手順を繰り返します。
セキュリティ ゾーンの作成とインバウンド トラフィック ポリシー アクションの設定
手順
この手順では、SRX シリーズ デバイス上で信頼できるおよび信頼できないセキュリティ ゾーンを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのゾーンの設定は表示されません。
冗長イーサネット論理インターフェイスを信頼できるゾーンに割り当てます。
この例では、インターフェイスを
reth1.15ゾーンにTrust2割り当てます。ステートメントを
interfaces含め、階層レベルでゾーン[edit security zones security-zone Trust2]内のインターフェイスとして指定reth1.15します。[edit security zones security-zone Trust2] user@srx# set interfaces reth1.15
適切なゾーン名と冗長イーサネット論理インターフェイス名を使用して、信頼できるセキュリティ ゾーンごとにこの手順を繰り返します。
冗長イーサネット論理インターフェイスを信頼できないゾーンに割り当てます。
この例では、インターフェイスを
reth2.19ゾーンにUntrust2割り当てます。ステートメントを
interfaces含め、階層レベルでゾーン[edit security zones security-zone Untrust2]内のインターフェイスとして指定reth2.19します。[edit security zones security-zone Untrust2] user@srx# set interfaces reth2.19
適切なゾーン名と冗長イーサネット論理インターフェイス名を使用して、信頼できないすべてのセキュリティ ゾーンに対してこの手順を繰り返します。
信頼されたセキュリティ ゾーン内のすべてのインバウンド システム サービス トラフィックを有効にします。
この例では、ゾーンのすべてのサービスを
Trust2有効にします。ステートメントを
system-services含め、階層レベルでオプションを[edit security zones security-zone Trust2 host-inbound-traffic]指定allします。[edit security zones security-zone Trust2 host-inbound-traffic] user@srx# set system-services all
システム サービスが許可されている SRX シリーズ デバイス上のすべてのセキュリティ ゾーンに対して、この手順を繰り返します。
信頼されたセキュリティ ゾーン内のインバウンド トラフィックのすべてのプロトコルを有効にします。
この例では、ゾーンのすべてのプロトコルを
Trust2有効にします。ステートメントを
protocols含め、階層レベルでオプションを[edit security zones security-zone Trust2 host-inbound-traffic]指定allします。[edit security zones security-zone Trust2 host-inbound-traffic] user@srx# set protocols all
すべてのプロトコルがインバウンド トラフィックに対して許可される SRX シリーズ デバイス上のすべてのセキュリティ ゾーンに対して、この手順を繰り返します。
セキュリティ ゾーン ポリシーの設定
手順
この手順では、SRX シリーズ デバイスでセキュリティ ゾーン ポリシーを設定する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのポリシーの設定を示すわけではありません。
作成するポリシーに対して、どのゾーン トラフィックからどのゾーン トラフィックを受け取り、どのゾーン トラフィックを使用するかを定義します。
この例では、from ゾーンを次のように
Trust2、および to ゾーンを .Untrust2単一のコマンド ラインでは、ステートメントを含め、ステートメントを
from-zone含めto-zone、 を指定Trust2し、指定Untrust2します。ステートメントをpolicy含め、ポリシー名として指定denyftpし、ステートメントをmatch階層レベルに[edit security policies]含めます。[edit security policies] user@srx# set from-zone Trust2 to-zone Untrust2 policy denyftp match
ゾーン間のトラフィックを制御するすべてのポリシーについて、この手順を繰り返します。
トラフィックを拒否するためのポリシー一致条件を設定します。
この例では、任意のソースから、という名前
denyftpのポリシー内の宛先アドレスに Junos OS FTP アプリケーションを照合します。ステートメントを
source-address含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]IPv4 アドレスとして指定anyします。ステートメントを
destination-address含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]IPv4 アドレスとして指定anyします。ステートメントを
application含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match]アプリケーションとして指定junos-ftpします。[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp match] user@srx# set source-address any user@srx# set destination-address any user@srx# set application junos-ftp
正しいプロトコルを使用して、すべてのプロトコル照合ポリシーに対してこの手順を繰り返します。
特定のアプリケーションが Trust2 ゾーンから Untrust2 ゾーンに渡されるのをブロックします。
この例では、ゾーンからゾーンへの Junos OS FTP アプリケーションを
Trust2Untrust2拒否します。階層レベルで
denyステートメントを[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then]含めます。[edit security policies from-zone Trust2 to-zone Untrust2 policy denyftp then] user@srx# set deny
すべての拒否ポリシーに対してこの手順を繰り返します。
トラフィックを許可するためのポリシー一致条件を設定します。
この例では、という名前
allow_allのポリシー内の任意の送信元から任意の宛先アドレスにアプリケーションを照合します。ステートメントを
source-address含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]IPv4 アドレスとして指定anyします。ステートメントを
destination-address含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]IPv4 アドレスとして指定anyします。ステートメントを
application含め、階層レベルで[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match]アプリケーションとして指定anyします。[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all match] user@srx# set source-address any user@srx# set destination-address any user@srx# set application any
すべてのアプリケーション マッチング ポリシーについて、この手順を繰り返します。
アプリケーション トラフィックが Trust2 ゾーンから Untrust2 ゾーンに渡されるのを許可します。
この例では、ゾーンから
Trust2ゾーンへのアプリケーション トラフィックをUntrust2許可します。階層レベルで
permitステートメントを[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then]含めます。[edit security policies from-zone Trust2 to-zone Untrust2 policy allow_all then] user@srx# set permit
すべての許可ポリシーに対してこの手順を繰り返します。
ルーティング ポリシーの作成
手順
この手順では、適切なルーティング インスタンスに適用できる SRX シリーズ デバイスでルーティング ポリシーを作成する方法について説明します。この手順は、構成の代表的なサンプルを示しています。この例では、すべてのポリシーの設定を示すわけではありません。
BGP ルートのローカル プリファレンスを 120 に設定するポリシーを作成します。
この例では、BGP によってアドバタイズされた受信ルートの BGP ローカル プリファレンス値を設定するという名前
local-pref-120のポリシーを120作成します。ステートメントを
protocol含め、階層レベルの値として指定bgpします[edit policy-options policy-statement local-pref-120 term term1 from]。ステートメントを
local-preference含め、階層レベルの値として指定120します[edit policy-options policy-statement local-pref-120 term term1 then]。[edit policy-options policy-statement local-pref-120] user@srx# set term term1 from protocol bgp user@srx# set term term1 then local-preference 120
各 SRX シリーズ デバイスについて、この手順を繰り返します。
すべての集約(生成)ルートを受け入れるという名前
default-ospfのポリシーの照合基準を設定します。ステートメントを
protocol含め、階層レベルで一致するプロトコルとして指定aggregateします[edit policy-options policy-statement default-ospf term term1 from]。ステートメントを
route-filter含め、階層レベルで照合基準として指定0.0.0.0/0 exactします[edit policy-options policy-statement default-ospf term term1 from]。[edit policy-options policy-statement default-ospf term term1 from] user@srx# set protocol aggregate user@srx# set route-filter 0.0.0.0/0 exact
各 SRX シリーズ デバイスについて、この手順を繰り返します。
メトリックを 、 に設定するポリシーのアクションを
0構成し、外部ルート タイプを に設定します1。この例では、メトリック
0を設定し、外部ルートをタイプ1に設定し、アグリゲート ルートをルーティング テーブルに受け入れるという名前default-ospfのポリシーを設定します。ステートメントを
metric含め、階層レベルで[edit policy-options policy-statement default-ospf term term1 then]外部型として指定0します。ステートメントを
type含め、階層レベルで[edit policy-options policy-statement default-ospf term term1 then external]外部ルート タイプとして指定1します。階層レベルで
acceptステートメントを[edit policy-options policy-statement default-ospf term term1 then]含めます。[edit policy-options policy-statement default-ospf term term1 then] user@srx# set metric 0 user@srx# set external type 1 user@srx# set accept
各 SRX シリーズ デバイスについて、この手順を繰り返します。
指定されたプレフィックスを持つ OSPF ルートを受け入れるポリシーを作成します。
この例では、各 trust VLAN のサブネットに対応するルート プレフィックスを持つ OSPF ルートを受け入れるという名前
trust2-ebgp-outのポリシーを作成します。ステートメントを
protocol含め、階層レベルでプロトコルとして指定ospfします[edit policy-options policy-statement trust2-ebgp-out term term1 from]。ステートメントを
route-filter含め、VLAN サブネット アドレスと match キーワードをexact階層レベルで[edit policy-options policy-statement trust2-ebgp-out term term1 from]指定します。階層レベルで
acceptステートメントを[edit policy-options policy-statement trust2-ebgp-out term term1 then]含めます。[edit policy-options policy-statement trust2-ebgp-out term term1] user@srx# set from protocol ospf user@srx# set from route-filter 10.16.2.0/24 exact user@srx# set from route-filter 10.17.2.0/24 exact user@srx# set from route-filter 10.18.2.0/24 exact user@srx# set then accept
各 SRX シリーズ デバイスについて、この手順を繰り返します。
ルート タイプが外部の場合、BGP ルートを受け入れるポリシーを作成します。
この例では、ルート タイプが外部の場合にのみ BGP ルートを受け入れるという名前
check-bgp-routesのポリシーを作成します。ステートメントを
protocol含め、階層レベルでプロトコルとして指定bgpします[edit policy-options policy-statement check-bgp-routes term term1 from]。ステートメントを
route-type含め、階層レベルでオプションを[edit policy-options policy-statement check-bgp-routes term term1 from]指定externalします。階層レベルで
acceptステートメントを[edit policy-options policy-statement check-bgp-routes term term1 then]含めます。[edit policy-options policy-statement check-bgp-routes term term1] user@srx# set from protocol bgp user@srx# set from route-type external user@srx# set then accept
各 SRX シリーズ デバイスについて、この手順を繰り返します。
他の仮想ルーター ルーティング インスタンスからのルートを受け入れるポリシーを作成します。
この例では、ルーティング インスタンスからのルートを受け入れるという名前
from_srx_vr1のポリシーを作成しますSRX-VR1。ステートメントを
instance含め、階層レベルで[edit policy-options policy-statement from_srx_vr1 term term1 from]ルーティング インスタンス名として指定SRX-VR1します。階層レベルで
acceptステートメントを[edit policy-options policy-statement from_srx_vr1 term term1 then]含めます。[edit policy-options policy-statement from_srx_vr1 term term1] user@srx# set from instance SRX-VR1 user@srx# set then accept
各 SRX シリーズ デバイスの各仮想ルーターについて、この手順を繰り返します。
仮想ルーター ルーティング インスタンスの設定
手順
この手順では、単一の仮想ルーター ルーティング インスタンスを設定する方法について説明します。この手順は、設定例の代表的なサンプルを示しています。この例では、すべての仮想ルーター ルーティング インスタンスの設定を示すわけではありません。
ルーティング インスタンス タイプを設定します。
この例では、SRX-VR2 という名前でルーティング インスタンスを設定します。
ステートメントを
instance-type含め、階層レベルで[edit routing-instances SRX-VR2]型として指定virtual-routerします。[edit routing-instances SRX-VR2] user@srx# set instance-type virtual-router
適切な仮想ルーター名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
仮想ルーター ルーティング インスタンスで使用される冗長イーサネット インターフェイスを追加します。
この例では、ルーティング インスタンスを追加
reth1.15してreth2.19インターフェイスをSRX-VR2作成します。ステートメントを
interface含め、階層レベルで冗長イーサネット インターフェイスの名前を[edit routing-instances SRX-VR2]指定します。[edit routing-instances SRX-VR2] user@srx# set interface reth1.15 user@srx# set interface reth2.19
適切な仮想ルーター名とインターフェイス名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
仮想ルーター ルーティング インスタンスで使用されるルーティング オプションを設定します。
この例では、自律システム番号を設定し、ルーティング インスタンスでグレースフルリスタート機能を
SRX-VR2有効にします。ステートメントを
autonomous-system含め、階層レベルで[edit routing-instances SRX-VR2 routing-options]自律システム番号として指定65019します。階層レベルで
graceful-restartステートメントを[edit routing-instances SRX-VR2 routing-options]含めます。[edit routing-instances SRX-VR2 routing-options] user@srx# set autonomous-system 65019 user@srx# set graceful-restart
適切な仮想ルーター名とインターフェイス名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
外部 BGP ルートを受け入れ、ルーティング インスタンスの生成ルートとして使用するルーティング ポリシーを適用します。
この例では、という名前
check-bgp-routesのポリシーをルーティング インスタンスにSRX-VR2適用します。ステートメントを
policy含め、階層レベルで指定check-bgp-routesします[edit routing-instances SRX-VR2 routing-options generate route 0.0.0.0/0]。階層レベルで
graceful-restartステートメントを[edit routing-instances SRX-VR2 routing-options]含めます。[edit routing-instances SRX-VR2 routing-options] user@srx# set generate route 0.0.0.0/0 policy user@srx# set graceful-restart
適切な仮想ルーター名とインターフェイス名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
他のルーティング インスタンスからのルートを受け入れるルーティング ポリシーを適用します。
この例では、という名前
from_srx_vr1のポリシーをルーティング インスタンスにSRX-VR2適用します。ステートメントを
instance-import含め、階層レベルで指定from_srx_vr1します[edit routing-instances SRX-VR2 routing-options]。[edit routing-instances SRX-VR2 routing-options] user@srx# set instance-import from_srx_vr1
SRX-VR1 インスタンスを除く、各 SRX シリーズ デバイス内のすべての仮想ルーターについて、この手順を繰り返します。
信頼されたセキュリティ ゾーン内の仮想ルーター ルーティング インスタンスで使用される IGP プロトコル エクスポート ポリシーを設定します。
この例では、ポリシーを
default-ospf設定します。ステートメントを
export含め、階層レベルで[edit routing-instances SRX-VR2 protocols ospf]ポリシー名として指定default-ospfします。[edit routing-instances SRX-VR2 protocols ospf] user@srx# set export default-ospf
適切な仮想ルーター名とポリシー名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
信頼されたセキュリティ ゾーン内の仮想ルーター ルーティング インスタンスで使用される IGP プロトコル のアクティブ インターフェイスとパッシブ インターフェイスを設定します。
この例では、
reth1.15OSPF プロトコル エリア 0.0.0.0 にアクティブに参加するように冗長イーサネット インターフェイスを設定し、冗長イーサネット インターフェイスをreth2.19パッシブに参加させます。ステートメントを
interface含め、階層レベルで指定reth1.15します[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0]。ステートメントを
interface含め、階層レベルで指定reth2.19します[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0]。階層レベルで
passiveステートメントを[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0 reth2.19]含めます。[edit routing-instances SRX-VR2 protocols ospf area 0.0.0.0] user@srx# set interface reth1.15 user@srx# set interface reth2.19 passive
適切な仮想ルーター名とインターフェイス名を使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
信頼できないセキュリティ ゾーン内の仮想ルーター ルーティング インスタンスで使用される BGP プロトコル ピア グループを設定します。
ステートメントを
type含め、階層レベルでオプションを[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]指定externalします。ステートメントを
peer-as含め、階層レベルで[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]ピア自律システム番号として指定64500します。ステートメントを
neighbor含め、階層レベルで[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]IPv4 ネイバー アドレスとして指定10.19.2.1します。ネイバー アドレスは、MX シリーズ デバイス上の VRF ルーティング インスタンスの IRB 論理インターフェイス アドレスです。[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] user@srx# set type external user@srx# set peer-as 64500 user@srx# set neighbor 10.19.2.1
適切な仮想ルーター名、インスタンスタイプ、ネイバーアドレス、およびピアAS番号を使用して、各SRXシリーズデバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
BGP プロトコル ピア グループを設定し、信頼できないセキュリティ ゾーン内の仮想ルーター ルーティング インスタンスで使用されるポリシーのエクスポートとインポートを行います。
ステートメントを
export含め、階層レベルで[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]エクスポート ポリシー名として指定trust2-ebgp-outします。ステートメントを
import含め、階層レベルで[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf]インポート ポリシー名として指定local-pref-120します。[edit routing-instances SRX-VR2 protocols bgp group MX0-vrf] user@srx# set export trust2-ebgp-out user@srx# set import local-pref-120
適切な仮想ルーター名、エクスポート ポリシー、インポート ポリシーを使用して、各 SRX シリーズ デバイス内のすべての仮想ルーターに対してこの手順を繰り返します。
結果
この例の設定手順は完了しています。以下のセクションは、ご参考のためにあります。
EX シリーズ デバイスの関連するサンプル設定は次のとおりです。
EX シリーズ デバイス
system {
scripts {
commit {
allow-transients;
file jais-activate-scripts.slax {
optional;
}
}
}
services {
ftp;
ssh;
telnet;
outbound-ssh {
client 00187D0B670D {
device-id FA022D;
secret "$ABC123"; ## SECRET-DATA
services netconf;
10.8.7.32 port 7804;
}
}
}
}
interfaces {
ge-0/0/17 {
unit 0 {
family ethernet-switching {
vlan {
members 17;
}
}
}
}
xe-0/1/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members all;
}
}
}
}
xe-0/1/2 {
unit 0 {
enable;
family ethernet-switching {
port-mode trunk;
vlan {
members all;
}
}
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
me0 {
unit 0 {
family inet {
address 10.8.108.19/24;
}
}
}
}
event-options {
destinations {
juniper-aim {
archive-sites {
"scp://admin@127.0.0.1://var/tmp" password "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-options {
static {
route 10.8.0.0/16 next-hop 10.8.108.254;
}
}
protocols {
rstp {
interface xe-0/1/0.0 {
disable;
}
interface xe-0/1/2.0 {
disable;
}
}
}
security {
ssh-known-hosts {
host 127.0.0.1 {
rsa-key AAAAB3NzaC1yc2;
}
}
}
ethernet-switching-options {
redundant-trunk-group {
group rtgroup1 {
interface xe-0/1/0.0;
interface xe-0/1/2.0 {
primary;
}
}
}
}
vlans {
vlan17 {
vlan-id 17;
interface {
xe-0/1/0.0;
xe-0/1/2.0;
}
}
}
MX シリーズ デバイスの関連するサンプル構成を以下に示します。
MX シリーズ デバイス
groups {
re0 {
system {
host-name MX0;
}
}
re1 {
system {
host-name MX0re1;
}
}
}
apply-groups [re0 re1 ];
system {
scripts {
commit {
allow-transients;
file jais-activate-scripts.slax {
optional;
}
}
}
login {
class trust1-admin {
logical-system Trust1;
permissions all;
}
user trust1 {
uid 2000;
class trust1-admin;
authentication {
encrypted-password 12345; ## SECRET-DATA
}
}
}
}
logical-systems {
Trust1 {
interfaces {
xe-0/1/0 {
unit 17 {
encapsulation vlan-bridge;
vlan-id 17;
}
}
xe-1/0/0 {
unit 17 {
encapsulation vlan-bridge;
vlan-id 17;
}
}
xe-1/1/0 {
unit 15 {
encapsulation vlan-bridge;
vlan-id 15;
}
}
irb {
unit 15 {
family inet {
address 10.15.2.3/24;
}
}
unit 17 {
family inet {
address 10.17.2.2/24 {
vrrp-group 17 {
virtual-address 10.17.2.1;
priority 200;
fast-interval 200;
preempt;
accept-data;
}
}
}
}
}
}
routing-instances {
MX-VR2 {
instance-type virtual-router;
interface irb.15;
interface irb.16;
interface irb.17;
interface irb.18;
interface irb.1002;
protocols {
ospf {
area 0.0.0.0 {
interface irb.16 {
passive;
}
interface irb.17 {
passive;
}
interface irb.18 {
passive;
}
interface irb.1002 {
passive;
}
}
}
}
}
}
bridge-domains {
vlan15 {
vlan-id 15;
interface xe-1/1/0.15;
interface xe-0/1/0.15; ## 'xe-0/1/0.15' is not defined
routing-interface irb.15;
}
vlan17 {
vlan-id 17;
interface xe-1/0/0.17;
interface xe-0/1/0.17;
routing-interface irb.17;
}
}
}
Untrust {
interfaces {
xe-0/3/0 {
unit 19 {
encapsulation vlan-bridge;
vlan-id 19;
}
}
xe-1/3/0 {
unit 0 {
family inet {
address 10.200.4.1/30;
}
family mpls;
}
}
xe-2/2/0 {
unit 19 {
encapsulation vlan-bridge;
vlan-id 19;
}
}
irb {
unit 19 {
family inet {
address 10.19.2.1/24;
}
}
}
lo0 {
unit 1 {
family inet {
address 10.200.11.1/32;
}
}
}
}
protocols {
rsvp {
interface xe-1/3/0.0;
interface xe-2/3/0.0;
}
mpls {
no-cspf;
label-switched-path to-core-router {
to 10.200.11.3;
}
interface xe-1/3/0.0;
interface xe-2/3/0.0;
}
bgp {
group int {
type internal;
local-address 10.200.11.1;
family inet {
unicast;
}
family inet-vpn {
unicast;
}
peer-as 64500;
local-as 64500;
neighbor 10.200.11.2;
neighbor 10.200.11.3;
neighbor 10.200.11.4;
}
}
ospf {
area 0.0.0.0 {
interface xe-1/3/0.0;
interface lo0.1;
}
}
}
routing-options {
router-id 10.200.11.101;
autonomous-system 64500;
dynamic-tunnels {
GRE1 {
source-address 10.200.11.1;
gre;
destination-networks {
0.0.0.0/0;
}
}
}
}
bridge-domains {
vlan14 {
vlan-id 14;
interface xe-0/3/0.14;
interface xe-2/2/0.14;
routing-interface irb.14;
}
}
}
}
interfaces {
xe-0/1/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-0/3/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-1/0/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-1/1/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
xe-2/2/0 {
flexible-vlan-tagging;
encapsulation flexible-ethernet-services;
}
fxp0 {
unit 0 {
family inet {
address 10.8.3.212/24;
}
}
}
lo0 {
unit 0 {
family inet;
}
}
}
event-options {
destinations {
juniper-aim {
archive-sites {
"scp://admin@127.0.0.1://var/tmp" password "$ABC123"; ## SECRET-DATA
}
}
}
}
routing-options {
static {
route 10.0.244.8/30 next-hop 10.0.134.10;
route 10.0.0.0/8 {
next-hop 10.8.3.254;
retain;
no-readvertise;
}
}
}
SRX シリーズ デバイスの関連する設定例を以下に示します。
SRX シリーズ デバイス
system {
host-name srx0;
chassis {
cluster {
control-link-recovery;
reth-count 4;
redundancy-group 1 {
node 0 priority 200;
node 1 priority 100;
preempt;
interface-monitor {
xe-1/0/0 weight 255;
}
}
}
}
}
interfaces {
xe-1/0/0 {
gigether-options {
redundant-parent reth1;
}
}
fab0 {
fabric-options {
member-interfaces {
xe-1/0/1;
}
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
reth1 {
vlan-tagging;
redundant-ether-options {
redundancy-group 1;
}
unit 15 {
family inet {
address 10.15.2.2/24;
}
vlan-id 15;
}
}
}
policy-options {
policy-statement check-bgp-routes {
term term1 {
from {
protocol bgp;
route-type external;
}
then accept;
}
}
policy-statement default-ospf {
term term1 {
from {
protocol aggregate;
route-filter 0.0.0.0/0 exact;
}
then {
metric 0;
external {
type 1;
}
accept;
}
}
}
policy-statement from_srx_vr1 {
term term1 {
from instance SRX-VR1;
then accept;
}
}
policy-statement local-pref-120 {
term term1 {
from protocol bgp;
then {
local-preference 120;
}
}
}
policy-statement trust2-ebgp-out {
term term1 {
from {
protocol ospf;
route-filter 10.16.2.0/24 exact;
route-filter 10.17.2.0/24 exact;
route-filter 10.18.2.0/24 exact;
}
then accept;
}
}
}
security {
policies {
from-zone Trust2 to-zone Untrust2 {
policy denyftp {
match {
source-address any;
destination-address any;
application junos-ftp;
}
then {
deny;
}
}
policy allow_all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone Trust2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
reth1.15;
}
}
security-zone Untrust2 {
interfaces reth2.19;
}
}
}
routing-instances {
SRX-VR2 {
instance-type virtual-router;
interface reth1.15;
interface reth2.19;
routing-options {
graceful-restart;
autonomous-system 65019;
instance-import from_srx_vr1;
}
protocols {
bgp {
group MX0-vrf {
import local-pref-120;
export trust2-ebgp-out;
}
}
ospf {
export default-ospf;
area 0.0.0.0 {
interface reth1.15;
interface reth2.19 {
passive;
}
}
}
}
}
}