Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ デバイスのイーサネット ポート スイッチング モード

セキュリティ デバイスのスイッチング モードについて

スイッチング モードには次の 2 種類があります。

  • スイッチング モード:uPIM は、uPIM の最初のインターフェイスである単一のインターフェイスとしてインターフェイスのリストに表示されます。たとえば、ge-2/0/0。必要に応じて、各 uPIM ポートを自動ネゴシエーション、速度、デュプレックス モードのみに設定できます。スイッチング モードの uPIM は、次の機能を実行できます。

    • レイヤー 3 転送:シャーシ上に存在する WAN インターフェイスやその他の PIC 宛のトラフィックをルーティングします。

    • レイヤー 2 転送:LAN 上の 1 つのホストから別の LAN ホスト(1 つの uPIM ポートから同じ uPIM の別のポート)に LAN 内トラフィックを切り替えます。

  • 拡張スイッチング モード : 各ポートをスイッチング モードまたはルーティング モードに設定できます。この使用方法は、ルーティング モードとスイッチング モードとは異なり、すべてのポートをスイッチング モードまたはルーティング モードにする必要があります。拡張スイッチング モードの uPIM には、次のメリットがあります。

    enhnanced スイッチ モードのメリット:

    • さまざまなタイプの VLAN および VLAN 間ルーティングの設定をサポートします。

    • LACP(Link Aggregation Control Protocol)などのレイヤー 2 コントロール プレーン プロトコルをサポートします。

    • 認証サーバーを使用して、ポートベースの PNAC(ネットワーク アクセス コントロール)をサポートします。

    注:

    SRX300 および SRX320 デバイスは、拡張スイッチング モードのみをサポートしています。マルチポート uPIM を拡張スイッチング モードに設定すると、すべてのレイヤー 2 スイッチング機能が uPIM でサポートされます。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。

デバイス上のマルチポート ギガビット イーサネット uPIM をスイッチング モードまたは拡張スイッチング モードに設定できます。

マルチポート uPIM をスイッチング モードに設定すると、uPIM は監視目的で単一のエンティティとして表示されます。設定できる物理ポート設定は、各 uPIM ポートでの自動ネゴシエーション、速度、デュプレックス モードのみです。これらの設定はオプションです。

セキュリティ デバイスのイーサネット ポート スイッチングの概要

ジュニパーネットワークスデバイスの特定のポートは、レイヤー2でトラフィックを切り替え、レイヤー3でトラフィックをルーティングするイーサネットアクセススイッチとして機能します。

統合型ルーティング機能を備えたアクセス スイッチまたはデスクトップ スイッチとして支社にサポートされているデバイスを導入できるため、ネットワーク トポロジーから中間アクセス スイッチ デバイスを排除できます。イーサネット ポートはスイッチングを提供し、ルーティング エンジンはルーティング機能を提供し、1 台のデバイスを使用してルーティング、アクセス スイッチング、WAN インターフェイスを提供できます。

このトピックでは、以下のセクションについて説明します。

サポートされるデバイスとポート

ジュニパーネットワークスは、さまざまなイーサネット ポートとデバイスでスイッチング機能をサポートしています(を参照 表 1)。プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります。以下のポートとデバイスが含まれています。

  • SRX300、SRX320、SRX320 PoE、SRX340、SRX345、SRX550M、SRX1500 デバイス上のオンボード イーサネット ポート(ギガビットおよびファスト イーサネット内蔵ポート)。

  • SRX650デバイス上のマルチポートギガビットイーサネットXPIM。

表 1: スイッチング機能でサポートされるデバイスとポート

デバイス

ポート

SRX100 デバイス

オンボード ファスト イーサネット ポート(fe-0/0/0 および fe-0/0/7)

SRX210 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0 および ge-0/0/1)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。

オンボード ファスト イーサネット ポート(fe-0/0/2 および fe-0/0/7)

SRX220 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。

SRX240 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15)および 1 ポート ギガビット イーサネット SFP Mini-PIM ポート。

SRX300 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7)

SRX320 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/7)

SRX340 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15)

SRX345 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/15)

SRX550 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/9、マルチポート ギガビット イーサネット XPIM モジュール、1 ポート ギガビット イーサネット SFP Mini-PIM ポート)。

SRX550M デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/9、マルチポート ギガビット イーサネット XPIM モジュール)。

SRX650 デバイス

マルチポート ギガビット イーサネット XPIM モジュール

注:

SRX650 デバイスでは、イーサネット スイッチングはギガビット イーサネット インターフェイス(ge-0/0/0~ge-0/0/3 ポート)ではサポートされていません。

SRX1500 デバイス

オンボード ギガビット イーサネット ポート(ge-0/0/0~ge-0/0/19)

SRX100 で。SRX220、SRX240、SRX300、SRX320、SRX340、SRX345デバイスは、オンボードギガビットイーサネットポートをスイッチポートまたはルーテッドポートとして動作するように設定できます。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。

統合型ブリッジングとルーティング

IRB(統合型ブリッジングおよびルーティング)は、同じ VLAN 内で同時にレイヤー 2 スウィッジングとレイヤー 3 ルーティングをサポートします。VLAN のインターフェイスに到着するパケットは、パケットの宛先 MAC アドレスに基づいて交換またはルーティングされます。宛先としてルーターのMACアドレスを持つパケットは、他のレイヤー3インターフェイスにルーティングされます。

Link Layer Discovery Protocol と LLDP-Media Endpoint Discovery

デバイスは、LLDP(Link Layer Discovery Protocol)と LLDP-Media Endpoint Discovery(MED)を使用して、ネットワーク リンクに関するデバイス情報を学習して配布します。この情報により、デバイスはさまざまなシステムを迅速に識別でき、LAN はスムーズかつ効率的に相互運用できます。

LLDP 対応デバイスは、TLV(タイプ長値)メッセージ内の情報をネイバー デバイスに送信します。デバイス情報には、シャーシやポートの識別、システム名やシステム機能などの詳細を含めることができます。TLV は、Junos OS ですでに設定されているパラメータからのこの情報を活用します。

LLDP-MED は、さらに一歩進み、デバイスと IP 電話間で IP 電話メッセージを交換します。これらの TLV メッセージは、PoE(Power over Ethernet)ポリシーに関する詳細情報を提供します。PoE 管理 TLV により、デバイス ポートは必要な電力レベルと電力優先度をアドバタイズできます。たとえば、PoE インターフェイス上で実行されている IP 電話に必要な電力を、利用可能なリソースと比較できます。デバイスが IP 電話で必要なリソースを満たすことができない場合、デバイスは電力侵害に達するまで電話とネゴシエートできます。

次の基本的な TLV がサポートされています。

  • シャーシ識別子—ローカル システムに関連付けられた MAC アドレス。

  • ポート識別子—ローカル システムで指定されたポートのポート識別。

  • ポートの説明 — ユーザーが設定したポートの説明。ポートの説明は最大 256 文字です。

  • システム名 — ローカル システムのユーザー設定名。システム名は最大 256 文字です。

  • スイッチング機能の概要 — この情報は構成できませんが、ソフトウェアから取得します。

  • システム機能 — システムが実行する主な機能。システムがサポートする機能。例えばイーサネットスイッチングやルーターなどですこの情報は構成できませんが、製品のモデルに基づきます。

  • 管理アドレス — ローカル システムの IP 管理アドレス。

以下の LLDP-MED TLV がサポートされています。

  • LLDP-MED 機能—ポートの主な機能をアドバタイズする TLV。値の範囲は 0~ 15 です。

    • 0 — 機能

    • 1 — ネットワーク ポリシー

    • 2 — 位置識別

    • 3:MDI-PSE(Medium-Dependent Interface Power-Sourcing Equipment)を介した拡張電力

    • 4 — インベントリー

    • 5–15—Reserved

  • LLDP-MED デバイス クラス値:

    • 0 — クラスが定義されていません

    • 1 — クラス 1 デバイス

    • 2 — クラス 2 デバイス

    • 3 — クラス 3 デバイス

    • 4 :ネットワーク接続デバイス

    • 5~255: 予約済み

    注:

    Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 デバイスでは、LLDP(Link Layer Discovery Protocol)と LLDP-Media Endpoint Discovery(MFD)が有効になります。

  • ネットワーク ポリシー:ポート VLAN 設定と関連するレイヤー 2 およびレイヤー 3 属性をアドバタイズする TLV。属性には、ポリシー識別子、音声またはストリーミングビデオなどのアプリケーションタイプ、802.1Q VLANタギング、802.1p優先ビット、Diffservコードポイントなどが含まれます。

  • エンドポイントの場所 — エンドポイントの物理位置をアドバタイズする TLV。

  • MDI による拡張電力—ポートの電力タイプ、電源、電力優先度、電力値をアドバタイズする TLV。ポートの電源優先度をアドバタイズするのは、PSE デバイス(ネットワーク接続デバイス)の責任です。

LLDP および LLDP-MED は、SRX650 デバイスの SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345 デバイスのベース ポート上の uPIM(拡張スイッチング モード)とギガビット バックプレーン物理インターフェイス モジュール(GPIM)上で明示的に設定する必要があります。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。すべてのインターフェイスまたは特定のインターフェイスで LLDP を設定するには、[] 階層レベルでステートメントをset protocols使用lldpします。すべてのインターフェイスまたは特定のインターフェイスで LLDP-MED を設定するには、[] 階層レベルでステートメントをset protocols使用lldp-medします。

スイッチ ポートのタイプ

スイッチ上のポート(インターフェイス)は、アクセス モードまたはトランク モードで動作します。

アクセス モードのインターフェイスは、デスクトップ コンピューター、IP 電話、プリンター、ファイル サーバー、セキュリティ カメラなどのネットワーク デバイスに接続します。インターフェイス自体が 1 つの VLAN に属します。アクセス インターフェイスを介して送信されるフレームは、通常のイーサネット フレームです。

トランク インターフェイスは、複数の VLAN のトラフィックを処理し、同じ物理接続上のすべての VLAN のトラフィックを多重化します。トランク インターフェイスは通常、スイッチ同士を相互接続するために使用されます。

デイジー チェーンの uPIM

複数の uPIM を組み合わせて単一の統合スイッチとして機能させることはできません。ただし、1 つの uPIM 上のポートをデイジーチェーンで別の uPIM のポートに物理的に接続することで、同じシャーシ上の uPIM を外部から接続できます。

2つ以上のuPIMをデイジーチェーンで接続すると、個々のuPIMよりもポート数の高い単一のスイッチが作成されます。各 uPIM の 1 つのポートは、接続のみに使用されます。たとえば、6 ポート uPIM と 8 ポート uPIM をデイジーチェーンに接続すると、結果は 12 ポート uPIM として動作します。uPIM の任意のポートをデイジー チェーンに使用できます。

1 つのデイジーチェーン uPIM のみに IP アドレスを設定し、プライマリ uPIM にします。セカンダリ uPIM は、トラフィックをプライマリ uPIM にルーティングし、ルーティング エンジンに転送します。その結果、外部リンクのオーバーサブスクリプションにより、遅延とパケットの低下が一部増加します。

2 つの uPIM 間のリンクは 1 つだけサポートされています。uPIM 間で複数のリンクを接続すると、サポートされていないループ トポロジが作成されます。

Q-in-Q VLAN タギング

IEEE 802.1ad 規格で定義されている Q-in-Q トンネリングにより、イーサネット アクセス ネットワーク上のサービス プロバイダは、2 つの顧客サイト間でレイヤー 2 イーサネット接続を拡張できます。

Q-in-Q トンネリングでは、パケットが顧客 VLAN(C-VLAN)からサービス プロバイダの VLAN に移動すると、サービス プロバイダ固有の 802.1Q タグがパケットに追加されます。この追加タグは、トラフィックをサービスプロバイダ定義のサービスVLAN(S-VLAN)に分離するために使用されます。パケットの元の顧客 802.1Q タグは残り、透過的に送信され、サービス プロバイダのネットワークを通過します。パケットが S-VLAN を下流方向に離れると、余分な 802.1Q タグが削除されます。

注:

Q-in-Q トンネリングがサービス プロバイダの VLAN に対して設定されている場合、その VLAN の顧客対応アクセス ポートから送信される ルーティング VLAN インターフェイスからのパケットを含むすべてのルーティング エンジン パケットは、常にタグなしになります。

C-VLAN を S-VLAN にマッピングするには、次の 3 つの方法があります。

  • オールインワンのバンドリング — [edit vlans] 階層レベルのdot1q-tunnelingステートメントを使用して、顧客 VLAN を指定せずにマッピングします。特定のアクセス インターフェイスからのすべてのパケットは、S-VLAN にマッピングされます。

  • 多対 1 のバンドリング — [edit vlans] 階層レベルのステートメントを使用してcustomer-vlans、S-VLAN にマッピングされている C-VLAN を指定します。

  • 特定のインターフェイス上の C-VLAN のマッピング — [edit vlans] 階層レベルのステートメントを使用してmapping、指定されたアクセス インターフェイス上の特定の C-VLAN を S-VLAN にマッピングします。

表 2 は、SRX シリーズ デバイスでサポートされている C-VLAN から S-VLAN へのマッピングを示しています。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。

表 2: サポートされるマッピング方法

マッピング

SRX210

SRX240

SRX300

SRX320

SRX340

SRX345

SRX550M

SRX650

オールインワンバンドリング

×

×

多対 1 のバンドル

×

×

×

×

特定のインターフェイスでの C-VLAN のマッピング

×

×

×

×

注:

VLAN 変換は SRX300 および SRX320 デバイスでサポートされており、これらのデバイスは Q-in-Q トンネリングをサポートしていません。

注:

SRX650 デバイスでは、dot1q トンネリング設定オプションでは、設定をコミットした場合でも、顧客の VLAN 範囲と VLAN プッシュは同じ S-VLAN で連携しません。両方が設定されている場合、VLAN プッシュは顧客の VLAN 範囲よりも優先されます。

IRB インターフェイスは、SRX210、SRX240、SRX340、SRX345、SRX650 デバイスの Q-in-Q VLAN でサポートされています。Q-in-Q VLAN 上の IRB インターフェイスに到着するパケットは、パケットが単一タグ付きか二重タグ付きかに関係なくルーティングされます。送信ルーティング パケットには、トランク インターフェイスを出るときにのみ S-VLAN タグが含まれます。アクセス インターフェイスを出るときにタグなしインターフェイスからパケットが出ます。(プラットフォームのサポートは、インストール済み環境の Junos OS リリースによって異なります)。

Q-in-Q 導入では、ダウンストリーム インターフェイスからの顧客パケットは、送信元と宛先の MAC アドレスを変更せずに転送されます。インターフェイス レベルと VLAN レベルの両方で MAC アドレス学習を無効にできます。インターフェイスで MAC アドレス学習を無効にすると、そのインターフェイスがメンバーであるすべての VLAN の学習が無効になります。VLAN で MAC アドレス学習を無効にすると、すでに学習済みの MAC アドレスがフラッシュされます。

SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、SRX650 のデバイスで(インストール済みの Junos OS リリースに応じてプラットフォームをサポート)、レイヤー 3 アグリゲート イーサネットでは、以下の機能はサポートされていません。

  • カプセル化(CCC、VLAN CCC、VPLS、PPPoE など)

  • J-Web

  • Junos OS リリース 19.4R2 以降、 冗長イーサネット(reth)インターフェイス上で LLDP を設定できます。コマンドを set protocol lldp interface <reth-interface> 使用して、reth インターフェイスで LLDP を設定します。

  • SRX550M デバイスでは、XE メンバー インターフェイスを持つアグリゲート イーサネット(ae)インターフェイスをイーサネット スイッチング ファミリーで設定することはできません。

  • SRX300、SRX320、SRX340、SRX345、SRX550M のデバイスでは、レイヤー 3 インターフェイスでの Q-in-Q サポートには次の制限があります。

    • reth および ae インターフェイスでは、二重タグ付けはサポートされていません。

    • マルチトポロジ ルーティングは、フロー モードおよびシャーシ クラスタではサポートされていません。

    • デュアル タグ付きフレームは、カプセル化(CCC、TCC、VPLS、PPPoE など)ではサポートされていません。

    • レイヤー 3 論理インターフェイスでは、 input-vlan-mapoutput-vlan-mapinner-range、 、、 inner-list およびは適用されません。

    • 0x8100を持つ TPID のみがサポートされ、最大タグ数は 2 です。

    • デュアル タグ付きフレームは、IPV4 および IPv6 ファミリーを持つ論理インターフェイスでのみ使用できます。

  • SRX100、SRX210、SRX240、SRX300、SRX320、SRX340、SRX345、SRX650 デバイス(インストール済みの Junos OS リリースに応じたプラットフォームのサポート)では、 RVI(ルーテッド VLAN インターフェイス )では、次の機能はサポートされていません。

    • IS-IS(ファミリー ISO)

    • VLAN インターフェイス上のカプセル化(Ether CCC、VLAN CCC、VPLS、PPPoE など)

    • CLNS

    • DVMRP

    • VLAN インターフェイス MAC の変更

    • G-ARP

    • VLAN インターフェイスの VLAN Id の変更

例:セキュリティ デバイスでのスイッチング モードの設定

概要

この例では、l2 ラーニング プロトコルを設定 chassis し、グローバル モード スイッチングに設定します。その後、l2 ラーニング プロトコルで物理ポート パラメータを設定します。

トポロジ

設定

手順

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

手順

スイッチング モードを設定するには、次の手順に応えます。

  1. l2 ラーニング プロトコルをグローバル モード スイッチングに設定します。

  2. l2 ラーニング プロトコルで物理ポート パラメータを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

結果

設定モードから、and show interfaces コマンドを入力して設定をshow protocols確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

スイッチング モードの検証

目的

スイッチング モードが期待どおりに設定されていることを確認します。

対処

動作モードから、コマンドを show ethernet-switching global-information 入力します。

意味

サンプル出力は、グローバル モード スイッチングが期待どおりに設定されていることを示しています。

インターフェイス ge-0/0/1 でのイーサネット スイッチングの検証

目的

インターフェイス ge-0/0/1 で、イーサネット スイッチングが期待どおりに設定されていることを確認します。

対処

動作モードから、コマンドを show interfaces ge-0/0/1 brief 入力します。

意味

このサンプル出力は、イーサネット スイッチングがインターフェイス ge-0/0/1 で期待どおりに設定されていることを示しています。

リリース履歴テーブル
リリース
説明
15.1X49-D60
Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500 デバイスでは、LLDP(Link Layer Discovery Protocol)と LLDP-Media Endpoint Discovery(MFD)が有効になります。