セキュリティ デバイスのイーサネット ポート スイッチング モード
セキュリティ デバイスのスイッチング モードについて
スイッチング モードには 2 種類あります。
スイッチングモード- uPIMは、uPIMの最初のインターフェイスである単一のインターフェイスとしてインターフェイスのリストに表示されます。例えば、ge-2/0/0。オプションで、各 uPIM ポートを自動ネゴシエイション、速度、二重モードに対してのみ設定できます。スイッチング モードの uPIM は、以下の機能を実行できます。
レイヤー3転送-シャーシ上に存在するWANインターフェイスやその他のPIM宛てのトラフィックをルーティングします。
レイヤー 2 転送—LAN 上の 1 つのホストから別の LAN ホスト(1 つの uPIM ポートから同じ uPIM の別のポート)に LAN 内トラフィックを切り替えます。
拡張スイッチング モード - 各ポートは、スイッチング モードまたはルーティング モードに設定できます。この使用は、ルーティング モードとスイッチング モードとは異なり、すべてのポートはスイッチング モードまたはルーティング モードのいずれかである必要があります。拡張スイッチング モードの uPIM には、以下のメリットがあります。
enhnanced スイッチ モードのメリット:
異なるタイプの VLAN および VLAN 間ルーティングの設定をサポートします。
リンク アグリゲーション制御プロトコル(LACP)などのレイヤー 2 コントロール プレーン プロトコルをサポートします。
認証サーバーによってポートベースのネットワーク アクセス コントロール(PNAC)をサポートします。
注:SRX300およびSRX320デバイスは、拡張スイッチングモードのみをサポートしています。マルチポート uPIM を拡張スイッチング モードに設定すると、すべてのレイヤー 2 スイッチング機能が uPIM でサポートされます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
デバイス上 のマルチポート ギガビット イーサネット uPIM をスイッチング モードまたは拡張スイッチング モードのいずれかに設定できます。
マルチポート uPIM をスイッチング モードに設定すると、監視目的で uPIM が単一のエンティティとして表示されます。構成できる唯一の物理ポート設定は、各 uPIM ポートでの自動ネゴシエイション、速度、および二重モードであり、これらの設定はオプションです。
セキュリティ デバイスのイーサネット ポート スイッチングの概要
ジュニパーネットワークスデバイスの特定のポートは、レイヤー2でトラフィックを切り替え、レイヤー3でトラフィックをルーティングするイーサネットアクセススイッチとして機能します。
ルーティング機能が統合されたアクセス スイッチまたはデスクトップ スイッチとして支社にサポートされているデバイスを導入できるため、ネットワーク トポロジーから中間アクセス スイッチ デバイスを削除できます。イーサネットポートはスイッチングを提供し、ルーティングエンジンはルーティング機能を提供し、単一のデバイスを使用してルーティング、アクセススイッチング、WANインターフェイスを提供できます。
このトピックには、以下のセクションが含まれています。
- サポートされているデバイスとポート
- 統合型ブリッジングとルーティング
- Link Layer Discovery Protocol と LLDP-Media Endpoint Discovery
- スイッチ ポートのタイプ
- デイジー チェーンの uPIM
- Q-in-Q VLAN タギング
サポートされているデバイスとポート
ジュニパーネットワークスは、さまざまなイーサネット ポートとデバイスでスイッチング機能をサポートしています(を参照 表 1)。プラットフォームのサポートは、インストールされているJunos OSリリースによって異なります。以下のポートとデバイスが含まれています。
SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550M、SRX1500 デバイス上のオンボード イーサネット ポート(ギガビットおよびファスト イーサネット内蔵ポート)。
SRX650 デバイス上のマルチポート ギガビット イーサネット XPIM。
デバイス |
ポート |
|---|---|
SRX100 デバイス |
オンボード ファスト イーサネット ポート(fe-0/0/0 および fe-0/0/7) |
SRX210 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0 および ge-0/0/1)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 オンボード ファスト イーサネット ポート(fe-0/0/2 および fe-0/0/7) |
SRX220 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
SRX240 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
SRX300 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7) |
SRX320デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7) |
SRX340デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15) |
SRX345 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15) |
SRX550 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/9、マルチポート ギガビット イーサネット XPIM モジュール、1 ポート ギガビット イーサネット SFP Mini-PIM ポート。 |
SRX550Mデバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/9 およびマルチポート ギガビット イーサネット XPIM モジュール)。 |
SRX650デバイス |
マルチポート ギガビット イーサネット XPIM モジュール 注:
SRX650 デバイスでは、イーサネット スイッチングはギガビット イーサネット インターフェイス(ge-0/0/0~ge-0/0/3 ポート)ではサポートされていません。 |
SRX1500 デバイス |
オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/19) |
SRX100 で。SRX220、SRX240、SRX300、SRX320、SRX340、SRX345 デバイスでは、オンボード ギガビット イーサネット ポートをスイッチ ポートまたはルーテッド ポートとして動作するよう設定できます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
統合型ブリッジングとルーティング
統合型ブリッジングおよびルーティング(IRB)は、同じVLAN内でレイヤー2ウィッヒングとレイヤー3の同時ルーティングをサポートします。VLAN のインターフェイスに到着するパケットは、パケットの宛先 MAC アドレスに基づいて交換またはルーティングされます。ルーターのMACアドレスを宛先としたパケットは、他のレイヤー3インターフェイスにルーティングされます。
Link Layer Discovery Protocol と LLDP-Media Endpoint Discovery
デバイスは、LLDP(Link Layer Discovery Protocol)とLLDP-Media Endpoint Discovery(MED)を使用して、ネットワークリンクに関するデバイス情報を学習して配布します。この情報により、デバイスはさまざまなシステムを迅速に識別でき、その結果、円滑かつ効率的に相互運用できる LAN が得られます。
LLDP対応デバイスは、タイプ長値(TLV)メッセージ内の情報をネイバーデバイスに送信します。デバイス情報には、シャーシ、ポートの識別、システム名、システム機能などの詳細が含まれる場合があります。TLV は、Junos OS ですでに設定されているパラメーターの情報を活用します。
LLDP-MED はさらに一歩進み、デバイスと IP 電話間で IP テレフォニー メッセージを交換します。これらの TLV メッセージは、PoE(Power over Ethernet)ポリシーに関する詳細情報を提供します。PoE 管理 TLV により、デバイス ポートは必要な電力レベルと電力優先度をアドバタイズできます。たとえば、デバイスは、PoE インターフェイス上で実行されている IP 電話に必要な電力と利用可能なリソースを比較できます。デバイスが IP 電話に必要なリソースを満たせない場合、電力が低下するまでデバイスは電話とネゴシエートできます。
次の基本的な TLV がサポートされています。
シャーシ識別子—ローカルシステムに関連付けられたMACアドレス。
ポート識別子—ローカルシステムで指定されたポートのポート識別。
ポートの説明—ユーザーが設定したポートの説明。ポート記述は最大 256 文字です。
システム名 —ローカル システムのユーザー設定された名前。システム名は最大 256 文字です。
スイッチング機能の概要 — この情報は構成できませんが、ソフトウェアから取得されます。
システム機能—システムが実行する主要な機能。システムがサポートする機能。例えば、イーサネットスイッチングやルーターなどです。この情報は設定できませんが、製品のモデルに基づいています。
管理アドレス—ローカル システムの IP 管理アドレス。
以下の LLDP-MED TLV がサポートされています。
LLDP-MED機能—ポートのプライマリ機能をアドバタイズするTLV。値の範囲は 0~15 です。
0 — 機能
1 — ネットワーク ポリシー
2 — 位置の特定
3:MDI-PSE(medium-dependent interface power-sourcing equipment)を介した拡張電力
4 — インベントリー
5–15—Reserved
LLDP-MEDデバイスクラス値:
0 - クラスが定義されていません
1 — クラス 1 デバイス
2—クラス2デバイス
3—クラス3デバイス
4—ネットワーク接続デバイス
5~255—予約済み
注:Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 デバイスで LLDP(Link Layer Discovery Protocol)と LLDP-Media Endpoint Discovery(MFD)が有効になります。
ネットワークポリシー—ポートVLAN設定と関連するレイヤー2およびレイヤー3属性をアドバタイズするTLV。属性には、ポリシー識別子、音声またはストリーミングビデオなどのアプリケーションタイプ、802.1Q VLANタギング、802.1p優先ビット、Diffservコードポイントが含まれます。
エンドポイントの場所 — エンドポイントの物理的な場所をアドバタイズするTLV。
MDI 経由の拡張電力 — ポートの電力タイプ、電源、電力優先度、および電力値をアドバタイズする TLV。ポートに電力優先度をアドバタイズするのは、PSEデバイス(ネットワーク接続デバイス)の責任です。
LLDP および LLDP-MED は、SRX650 デバイスの SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 デバイスのベース ポートの uPIM(拡張スイッチング モード)とギガビット バックプレーン物理インターフェイス モジュール(GPIM)で明示的に設定する必要があります。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。すべてのインターフェイスまたは特定のインターフェイスでLLDPを設定するには、[set protocols]階層レベルで ステートメントを使用lldpします。すべてのインターフェイスまたは特定のインターフェイスでLLDP-MEDを設定するには、[set protocols]階層レベルで ステートメントを使用lldp-medします。
スイッチ ポートのタイプ
スイッチのポート(またはインターフェイス)は、アクセス モードまたはトランク モードのいずれかで動作します。
アクセス モードのインターフェイスは、デスクトップ コンピューター、IP 電話、プリンター、ファイル サーバー、セキュリティ カメラなどのネットワーク デバイスに接続します。インターフェイス自体は、単一の VLAN に属しています。アクセス インターフェイスを介して送信されるフレームは、通常のイーサネット フレームです。
トランク インターフェイスは、複数の VLAN のトラフィックを処理し、同じ物理接続上のすべての VLAN のトラフィックを多重化します。トランク インターフェイスは通常、スイッチ同士を相互接続するために使用されます。
デイジー チェーンの uPIM
複数の uPIM を組み合わせて 1 つの統合スイッチとして機能させることはできません。ただし、1つのuPIM上のポートをデイジーチェーンで別のuPIMのポートに物理的に接続することで、同じシャーシ上のuPIMを外部に接続することができます。
2 つ以上の uPIM をデイジーチェーンで接続すると、個々の uPIM よりも高いポート数の 1 つのスイッチが作成されます。各 uPIM の 1 つのポートが、接続のみに使用されます。たとえば、6 ポート uPIM と 8 ポート uPIM をデイジーチェーン設定すると、結果は 12 ポート uPIM として動作します。uPIM の任意のポートをデイジー チェーンで使用できます。
デイジーチェーン化された uPIM の 1 つだけの IP アドレスを設定し、プライマリ uPIM にします。セカンダリuPIMは、プライマリuPIMにトラフィックをルーティングし、ルーティングエンジンに転送します。その結果、外部リンクのオーバーサブスクリプションにより、遅延とパケットの低下が発生します。
2 つの uPIM 間のリンクは 1 つだけサポートされます。uPIM間で複数のリンクを接続すると、ループトポロジーが作成され、サポートされていません。
Q-in-Q VLAN タギング
IEEE 802.1ad 規格で定義された Q-in-Q トンネリングにより、イーサネット アクセス ネットワーク上のサービス プロバイダは、2 つの顧客サイト間でレイヤー 2 イーサネット接続を拡張できます。
Q-in-Q トンネリングでは、パケットが顧客 VLAN(C-VLAN)からサービス プロバイダの VLAN に移動すると、サービス プロバイダ固有の 802.1Q タグがパケットに追加されます。この追加タグは、トラフィックをサービスプロバイダ定義のサービスVLAN(S-VLAN)に分離するために使用されます。パケットの元の顧客 802.1Q タグは残り、サービス プロバイダのネットワークを通過して透過的に送信されます。パケットが S-VLAN を下流方向に離れると、余分な 802.1Q タグが削除されます。
Q-in-Q トンネリングがサービス プロバイダの VLAN に設定されている場合、その VLAN の顧客対応アクセス ポートから送信される ルーティング VLAN インターフェイスからのパケットを含むすべてのルーティング エンジン パケットは、常にタグなしになります。
C-VLAN を S-VLAN にマッピングするには、次の 3 つの方法があります。
オールインワン バンドリング - [
edit vlans] 階層レベルで ステートメントを使用しdot1q-tunneling、顧客 VLAN を指定せずにマップします。特定のアクセス インターフェイスからのすべてのパケットは、S-VLAN にマッピングされます。多対 1 のバンドリング - [
edit vlans] 階層レベルで ステートメントを使用してcustomer-vlans、S-VLAN にマッピングされる C-VLAN を指定します。特定のインターフェイス上の C-VLAN のマッピング - [
edit vlans] 階層レベルで ステートメントを使用してmapping、指定されたアクセス インターフェイス上の特定の C-VLAN を S-VLAN にマッピングします。
表 2 は、SRX シリーズ ファイアウォールで サポートされている C-VLAN から S-VLAN へのマッピングの一覧です。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
マッピング |
SRX210 |
SRX240 |
SRX300 |
SRX320 |
SRX340 |
SRX345 |
SRX550M |
SRX650 |
|---|---|---|---|---|---|---|---|---|
オールインワンのバンドリング |
はい |
はい |
× |
× |
はい |
はい |
はい |
はい |
多対 1 のバンドリング |
× |
× |
× |
× |
はい |
はい |
はい |
はい |
特定のインターフェイス上の C-VLAN のマッピング |
× |
× |
× |
× |
はい |
はい |
はい |
はい |
VLAN 変換は SRX300 および SRX320 デバイスでサポートされており、これらのデバイスは Q-in-Q トンネリングをサポートしていません。
SRX650 デバイスでは、dot1q トンネリング設定オプションでは、設定をコミットしても、同じ S-VLAN に対して顧客 VLAN 範囲と VLAN プッシュは連携しません。両方が設定されている場合、VLANプッシュは顧客のVLAN範囲よりも優先されます。
IRB インターフェイスは、SRX210、SRX240、SRX340、SRX345、SRX650 デバイスの Q-in-Q VLAN でサポートされています。Q-in-Q VLAN 上の IRB インターフェイスに到着するパケットは、パケットが単一タグ付きか二重タグ付きかに関係なくルーティングされます。発信ルーティングされたパケットには、トランク インターフェイスから出る場合にのみ S-VLAN タグが含まれます。アクセスインターフェイスを出る際、パケットはタグなしインターフェイスから出ます。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
Q-in-Q の導入では、ダウンストリーム インターフェイスからの顧客パケットは、送信元と宛先の MAC アドレスを変更せずに転送されます。インターフェイスレベルとVLANレベルの両方でMACアドレス学習を無効にすることができます。インターフェイスの MAC アドレス学習を無効にすると、そのインターフェイスがメンバーになっているすべての VLAN の学習が無効になります。VLAN で MAC アドレス学習を無効にすると、すでに学習済みの MAC アドレスがフラッシュされます。
SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、およびSRX650デバイス(インストール済みのJunos OSリリースに応じてプラットフォームをサポート)では、レイヤー3アグリゲートイーサネットでは、以下の機能はサポートされていません。
カプセル化(CCC、VLAN CCC、VPLS、PPPoE など)
J-Web
Junos OSリリース 19.4R2以降、 冗長イーサネット(reth)インターフェイスでLLDPを設定できるようになりました。コマンドを
set protocol lldp interface <reth-interface>使用して、rethインターフェイスでLLDPを設定します。
SRX550Mデバイスでは、XEメンバーインターフェイスを持つ集合型イーサネット(ae)インターフェイスをイーサネットスイッチングファミリーで設定することはできません。
SRX300、SRX320、SRX340、SRX345、SRX550Mのデバイスでは、レイヤー3インターフェイスでのQ-in-Qサポートには以下の制限があります。
reth および ae インターフェイスでは、二重タグはサポートされていません。
マルチポロジー ルーティングは、フロー モードやシャーシ クラスタではサポートされていません。
デュアルタグ付きフレームは、カプセル化(CCC、TCC、VPLS、PPPoEなど)ではサポートされていません。
レイヤー 3 論理インターフェイスでは、
input-vlan-map、output-vlan-map、inner-range、 およびinner-listは適用されません。0x8100を持つ TPID のみがサポートされ、タグの最大数は 2 です。
デュアルタグ付きフレームは、IPV4およびIPv6ファミリーを持つ論理インターフェイスに対してのみ受け入れられます。
SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、およびSRX650デバイス(インストール済みのJunos OSリリースに応じてプラットフォームサポートを使用)では、 RVI(ルーテッドVLANインターフェイス )では、以下の機能はサポートされていません。
IS-IS(ファミリー ISO)
VLAN インターフェイスでのカプセル化(Ether CCC、VLAN CCC、VPLS、PPPoE など)
CLNS
DVMRP
VLAN インターフェイス MAC の変更
G-ARP
VLAN インターフェイスの VLAN ID の変更
例:セキュリティ デバイスでのスイッチング モードの設定
要件
開始する前に、「 セキュリティ デバイスのイーサネット ポート スイッチングの概要」を参照してください。
概要
この例では、l2学習プロトコルを設定 chassis し、グローバルモードスイッチングに設定します。次に、l2 ラーニング プロトコルで物理ポート パラメーターを設定します。
トポロジ
設定
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set protocols l2-learning global-mode switching set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
手順
スイッチング モードを設定するには:
l2 ラーニング プロトコルをグローバル モード スイッチングに設定します。
[edit protocols l2-learning] user@host# set protocols l2-learning global-mode switching
l2 ラーニング プロトコルで物理ポート パラメータを設定します。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
設定モードから、 および show interfaces コマンドを入力して設定をshow protocols確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show protocols
l2-learning {
global-mode switching;
}
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family ethernet-switching {
interface-mode access;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
スイッチング モードの検証
目的
スイッチング モードが想定どおりに設定されていることを確認します。
対処
動作モードから、 コマンドを show ethernet-switching global-information 入力します。
user@host> show ethernet-switching global-information
Global Configuration:
MAC aging interval : 300
MAC learning : Enabled
MAC statistics : Disabled
MAC limit Count : 16383
MAC limit hit : Disabled
MAC packet action drop: Disabled
MAC+IP aging interval : IPv4 - 1200 seconds
IPv6 - 1200 seconds
MAC+IP limit Count : 393215
MAC+IP limit reached : No
LE aging time : 1200
LE VLAN aging time : 1200
Global Mode : Switching
RE state : Master意味
サンプル出力では、グローバル モード スイッチングが想定通りに設定されていることを示しています。
インターフェイスge-0/0/1でのイーサネットスイッチングの検証
目的
インターフェイス ge-0/0/1 で、イーサネット スイッチングが想定どおりに設定されていることを確認します。
対処
動作モードから、 コマンドを show interfaces ge-0/0/1 brief 入力します。
user@host> show interfaces ge-0/0/1 brief
Physical interface: ge-0/0/1, Enabled, Physical link is Down
Link-level type: Ethernet, MTU: 1514, LAN-PHY mode, Speed: 1000mbps, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running Down
Interface flags: Hardware-Down SNMP-Traps Internal: 0x0
Link flags : None
Logical interface ge-0/0/1.0
Flags: Device-Down SNMP-Traps 0x0 Encapsulation: Ethernet-Bridge
Security: Zone: Null
eth-switch意味
サンプル出力では、イーサネット スイッチングがインターフェイス ge-0/0/1 で想定通りに設定されていることを示しています。