レイヤー 2 ネットワーキング
レイヤー2ネットワーキングの概要
レイヤー2は、データリンク層とも呼ばれ、ネットワークプロトコル設計用の7層OSI参照モデルの第2レベルです。レイヤー2は、TCP/IPネットワークモデルのリンクレイヤー(最下層)に相当します。レイヤー2は、広域ネットワーク内の隣接するネットワークノード間、または同じローカルエリアネットワーク上のノード間でデータを転送するために使用されるネットワーク層です。
フレームは、レイヤー2ネットワーク上のビットの最小単位であるプロトコルデータユニットです。フレームは、同じローカルエリアネットワーク(LAN)上のデバイス間で送受信されます。ビットとは異なり、フレームは定義された構造を有しており、エラー検出、コントロールプレーンのアクティビティなどに使用できます。すべてのフレームがユーザーデータを転送するわけではありません。ネットワークは、一部のフレームを使用してデータリンク自体を制御します。
レイヤー2では、 ユニキャスト は1つのノードから別の1つのノードにフレームを送信することを指しますが、 マルチキャスト は1つのノードから複数のノードにトラフィックを送信することを示し、 ブロードキャスト はネットワーク内のすべてのノードにフレームを送信することを指します。 ブロードキャストドメイン は、ネットワークの論理的な区分です。このネットワークのすべてのノードは、ブブロードキャストによってレイヤー2で到達できます。
LANのセグメントは、ブリッジを使用してフレームレベルでリンク できます。ブリッジングは、LAN上に個別のブロードキャストドメインを作成し、関連するデバイスを独立したネットワークセグメントにグループ化する独立した論理ネットワークであるVLANを作成します。VLAN 上のデバイスのグループ化は、デバイスが LAN 内の物理的な場所とは無関係です。ブリッジングとVLANを使用しない場合、イーサネットLAN上のすべてのデバイスが単一のブロードキャストドメインに含まれ、すべてのデバイスがLAN上のすべてのパケットを検知します。
フォワーディングとは 、ネットワーク内のノードによって、あるネットワークセグメントから別のネットワークセグメントにパケットを中継することです。VLANでは、発信元と宛先が同じVLAN内にあるフレームは、ローカルVLAN内でのみ転送されます。ネットワークセグメントは、すべてのデバイスが同じ物理層を使用して通信するコンピューターネットワークの一部です。
レイヤー2には2つのサブレイヤーが含まれます。
LLC(論理リンク制御)サブレイヤーは、通信リンクの管理とフレームトラフィックの処理を行います。
MAC(メディアアクセス制御)サブレイヤーは、物理ネットワークメディアへのプロトコルアクセスを制御します。スイッチ上のすべてのポートに割り当てられているMACアドレスを使用することで、同じ物理リンク上の複数のデバイスが相互に一意に識別できます。
スイッチのポート(またはインターフェイス)は、アクセスモード、タグ付きアクセス、またはトランクモードのいずれかで動作します。
アクセスモード ポートは、デスクトップコンピューター、IP電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は1つのVLANに属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。
タグ付きアクセスモード ポートは、デスクトップコンピューター、IP電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は1つのVLANに属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。タグ付きアクセスモードは、クラウドコンピューティング、特に仮想マシンや仮想コンピューターなどのシナリオに対応します。1台の物理サーバーに複数の仮想マシンを搭載できるため、1台のサーバーによって生成されるパケットには、そのサーバー上のさまざまな仮想マシンからのVLANパケットのアグリゲーションが含まれる場合があります。このような状況に対応するために、タグ付きアクセスモードは、パケットの宛先アドレスがそのダウンストリームポートで学習された場合に、同じダウンストリームポート上の物理サーバーにパケットを戻します。宛先がまだ学習されていない場合、パケットはダウンストリームポートの物理サーバーにも戻されます。そのため、3つ目のインターフェイスモードであるタグ付きアクセスには、アクセスモードとトランクモードの特性があります。
トランクモード ポートは、複数のVLANのトラフィックを処理し、同一の物理接続を介してこれらすべてのVLANのトラフィックを多重化します。トランク インターフェイスは通常、スイッチを他のデバイスやスイッチと相互接続するために使用されます。
ネイティブVLANが設定されている場合、VLANタグを持たないフレームはトランクインターフェイスを介して送信されます。パケットがアクセスモードでデバイスからスイッチに渡される状況で、これらのパケットをスイッチからトランクポート経由で送信する場合は、ネイティブVLANモードを使用します。スイッチのポート(アクセスモードになっている)の単一VLANをネイティブVLANとして構成します。その後、スイッチのトランクポートは、これらのフレームを他のタグ付きパケットとは異なる方法で処理します。たとえば、トランクポートに3つのVLAN(VLAN10、VLAN20、VLAN30)が割り当てられ、VLAN10がネイティブVLANの場合、トランクポートのもう一方の終端を離れたVLAN10のフレームには、802.1Qヘッダー(タグ)は含まれません。ネイティブVLANのオプションはもう1つあります。タグなしパケットのタグを追加および削除できます。そのためにはまず、エッジ上のデバイスに接続されたポートで、1つのVLANをネイティブVLANとして設定します。次に、デバイスに接続されたポート上の単一のネイティブVLANにVLAN IDタグを割り当てます。最後に、VLAN IDをトランクポートに追加します。これで、スイッチがタグなしパケットを受信すると、指定したIDを追加し、そのVLANを受け入れるように設定されたトランクポートでタグ付きパケットを送受信するようになります。
サブレイヤーを含め、QFXシリーズのレイヤー2は、以下の機能をサポートしています。
ユニキャスト、マルチキャスト、およびブロードキャストトラフィック。
ブリッジング
VLAN 802.1Q— VLANタグ付けとしても知られるこのプロトコルは、イーサネットフレームにVLANタグを追加することにより、複数のブリッジネットワークが同じ物理ネットワークリンクを透過的に共有することを可能にします。
STP(スパニングツリープロトコル)を使用して複数のスイッチ間でレイヤー2VLANを拡張することで、ネットワーク全体でのループを防止します。
MAC学習(VLAN単位のMAC学習とレイヤー2学習抑制を含む)- このプロセスでは、ネットワーク上のすべてのノードのMACアドレスを取得します。
リンクアグリゲーション—物理層でイーサネットインターフェイスをグループ化し、単一のリンク層インターフェイスを形成するプロセスで、 リンクアグリゲーショングループ(LAG) またはLAGバンドルとも呼ばれます
注:リンクアグリゲーションは、NFX150デバイスではサポートされていません。
ユニキャスト、マルチキャスト、ブロードキャスト用の物理ポートのストーム制御
注:ストーム制御は、NFX150デバイスではサポートされていません。
802.1d、RSTP、MSTP、ルートガードを含むSTPのサポート
関連項目
VLAN について
VLAN(仮想 LAN)は、個別のブブロードキャストドメインを形成するためにグループ化されたネットワークノードの集合です。単一 LAN であるイーサネット ネットワークでは、すべてのトラフィックが LAN 上のすべてのノードに転送されます。VLANでは、発信元と宛先が同じVLANにあるフレームは、ローカルVLAN内でのみ転送されます。ローカルVLAN宛先ではないフレームが、他のブロードキャストドメインに転送される唯一のフレームです。こうしてVLANは、LAN全体を流れるトラフィック量を制限し、VLAN内およびLAN全体で発生するコリジョン数とパケット再送回数を削減します。
イーサネットLANでは、すべてのネットワークノードが同じネットワークに物理的に接続されている必要があります。VLANでは、ノードの物理的な場所は重要ではありません。そのため、部門や業務機能、ネットワークノードのタイプ、物理的な場所など、組織にとって意味のある方法でネットワークデバイスをグループ化できます。各VLANは、単一のIPサブネットワークと標準化されたIEEE 802.1Qカプセル化によって識別されます。
トラフィックがどのVLANに属しているかを識別するために、IEEE 802.1Q標準で定義されている通り、イーサネットVLAN上のすべてのフレームがタグで識別されます。これらのフレームはタグ付けされ、802.1Qタグでカプセル化されています。
単一のVLANしかないシンプルなネットワークでは、すべてのトラフィックに同じ802.1Qタグが付いています。イーサネットLANが複数のVLANに分割されている場合、各VLANは固有の802.1Qタグによって識別されます。タグはすべてのフレームに適用されるため、フレームを受信するネットワークノードは、フレームがどのVLANに属しているかを認識できます。複数のVLAN間でトラフィックを多重化するトランクポートは、タグを使用してフレームの送信元と転送先を決定します。
関連項目
イーサネットスイッチングおよびレイヤー2透過モードの概要
レイヤー2透過モードは、既存のルーティングインフラストラクチャを変更せずにファイアウォールを導入する機能を提供します。ファイアウォールは、複数のVLANセグメントを備えたレイヤースイッチとして導入され、VLANセグメント内でセキュリティサービスを提供します。セキュアワイヤーは、bump-in-wire導入を可能にするレイヤー2透過モードの特別バージョンです。
レイヤー2インターフェイスとして定義されたインターフェイスがある場合、デバイスは透過モードで動作します。デバイスは、レイヤー2インターフェイスとして設定された物理インターフェイスがない場合、ルートモード(デフォルトモード)で動作します。
SRXシリーズファイアウォールの場合、透過モードは、レイヤー2スイッチング機能用の完全なセキュリティサービスを提供します。これらのSRXシリーズファイアウォールでは、1つ以上のVLANがレイヤー2スイッチングを実行するように設定できます。VLANは、同じフラッディングまたはブロードキャスト特性を共有する一連の論理インターフェイスです。VLAN(仮想LAN)と同様に、VLANは複数のデバイスの1つ以上のポートにまたがります。そのため、SRXシリーズファイアウォールは、同じレイヤー2ネットワークに参加する複数のVLANを持つレイヤー2スイッチとして機能できます。
透過モードでは、SRXシリーズファイアウォールは、IPパケットヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。
透過モードでは、デバイス上のすべての物理ポートがレイヤー2インターフェイスに割り当てられます。デバイスを介してレイヤー3トラフィックをルーティングしないでください。レイヤー2ゾーンは、レイヤー2インターフェイスをホストするように設定でき、セキュリティポリシーはレイヤー2ゾーン間で定義できます。パケットがレイヤー2ゾーン間を移動する場合、セキュリティポリシーをこれらのパケットに適用できます。
表1 は、レイヤー2スイッチングの透過透過モードでサポートされているセキュリティ機能とサポートされていないセキュリティ機能を示しています。
モードタイプ |
対応 |
未対応 |
|---|---|---|
透過モード |
|
|
SRX300、SRX320、SRX340、SRX345、およびSRX550Mデバイスでは、DHCPサーバー伝播はレイヤー2透過モードでサポートされていません。
さらに、SRXシリーズファイアウォールは、レイヤー2透過モードでは以下のレイヤー2機能をサポートしていません。
STP(スパニングツリープロトコル)、RSTP、または MSTP—フラッディングループがネットワークトポロジーに存在しないようにするのはユーザーの責任です。
IGMP(インターネットグループ管理プロトコル)スヌーピング—マルチキャストグループメンバーシップを隣接ルーターに報告し、IPマルチキャスト中にグループメンバーが存在するかどうかを判断するために使用されるIPv4のホストからルーターへのシグナリングプロトコル。
802.1Qパケット内でカプセル化された二重タグ付きVLANまたはIEEE 802.1Q VLAN識別子("Q in Q" VLANタギングとも呼ばれます)—SRXシリーズファイアウォールでは、タグなしまたは単一タグ付きのVLAN識別子のみがサポートされています。
VLAN内での学習にMACアドレスのみを使用する非認定VLAN学習—SRXシリーズファイアウォールでのVLAN学習は認定されます。つまり、VLAN 識別子と MACアドレスの両方が使用されます。
また、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、SRX650デバイスでは、一部の機能はサポートされていません。(プラットフォームのサポートは、インストールされた Junos OS リリースによって異なります)。以下の機能は、前述したデバイスのレイヤー2透過モードではサポートされていません。
レイヤー2インターフェイス上のG-ARP
あらゆるインターフェイスでのIPアドレス監視
IRB を通過するトランジット トラフィック
ルーティングインスタンス内のIRBインターフェイス
レイヤー 3 トラフィックの IRB インターフェイス処理
注:IRB インターフェイスは疑似インターフェイスであり、reth インターフェイスおよび冗長性グループに属しません。
- SRX5000ラインモジュールポートコンセントレータ上のレイヤー2透過モード
- セキュリティデバイス上の透過モードでのIPv6フローの理解
- セキュリティデバイス上のレイヤー2透過モードシャーシクラスターについて
- SRXシリーズファイアウォールで帯域外管理を設定する
- イーサネットスイッチング
- SRXシリーズデバイス上のレイヤー2スイッチング例外
SRX5000ラインモジュールポートコンセントレータ上のレイヤー2透過モード
SRX5000シリーズモジュールポートコンセントレータ(SRX5K-MPC)は、レイヤー2透過モードをサポートしており、レイヤー2透過モードでSRXシリーズファイアウォールが設定されている場合、SRXシリーズファイアウォールがトラフィックを処理します。
SRX5K-MPCがレイヤー2モードで動作している場合、SRX5K-MPC上のすべてのインターフェイスをレイヤー2レイヤー2スイッチングポートとして設定し、レイヤー2トラフィックをサポートできます。
SPU(セキュリティ処理ユニット)は、レイヤー2スイッチング機能のすべてのセキュリティサービスをサポートしており、MPCはイングレスパケットをSPUに配信し、SPUによってカプセル化されたエグレスパケットを送信インターフェイスに転送します。
SRXシリーズファイアウォールがレイヤー2透過モードで設定されている場合、物理インターフェイス上にファミリーアドレスタイプが Ethernet switchingの1つ以上の論理ユニットを定義することで、MPC上のインターフェイスがレイヤー2モードで動作できるようにできます。後で、レイヤー2セキュリティゾーンの設定とセキュリティポリシーの設定を透過モードで進めることができます。これが完了すると、ネクストホップトポロジーがイングレスパケットとエグレスパケットを処理するように設定されます。
セキュリティデバイス上の透過モードでのIPv6フローの理解
透過モードでは、SRXシリーズファイアウォールは、パケットMACヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。
デバイス上のすべての物理インターフェイスがレイヤー2インターフェイスとして設定されている場合、デバイスは透過透過モードで動作します。論理インターフェイスに [edit interfaces interface-name unit unit-number family] 階層レベルで ethernet-switching オプションが設定されている場合、物理インターフェイスはレイヤー 2 インターフェイスとなります。デバイス上で透過モードを定義または有効にするコマンドはありません。デバイスは、レイヤー2インターフェイスとして定義されたインターフェイスがある場合、透過モードで動作します。すべての物理インターフェイスがレイヤー3インターフェイスとして設定されている場合、デバイスはルートモード(デフォルトモード)で動作します。
デフォルトでは、IPv6フローはセキュリティデバイス上で破棄されます。ゾーン、スクリーン、ファイアウォールポリシーなどのセキュリティ機能による処理を有効にするには、[edit security forwarding-options family inet6]階層レベルでmode flow-based設定オプションを使用してIPv6トラフィックのフローベース転送を有効にする必要があります。モードを変更した場合、デバイスを再起動する必要があります。
透過モードでは、レイヤー2ゾーンがレイヤー2インターフェイスをホストするように設定し、レイヤー2ゾーン間のセキュリティポリシーを定義できます。パケットがレイヤー2ゾーン間を移動する場合、セキュリティポリシーをこれらのパケットに適用できます。以下のセキュリティ機能は、透過モードのIPv6トラフィックでサポートされています。
レイヤー2セキュリティゾーンとセキュリティポリシー。 レイヤー2セキュリティゾーンについて および 透過モードでのセキュリティポリシーを理解する を参照してください。
ファイアウォールユーザー認証。 透過モードでのファイアウォールユーザー認証を理解する を参照してください。
レイヤー 2 透過モード シャーシ クラスター。
サービスクラス 機能。 透過モード概要のサービスクラス機能を参照してください。
以下のセキュリティ機能は、透過モードのIPv6フローではサポート されていません 。
論理システム
IPv6 GTPv2
J-Webインターフェイス
NAT
IPsec VPN
DNS、FTP、およびTFTP ALGを除き、他のすべてのALGはサポートされていません。
IPv6フロー用のVLANおよびレイヤー2論理インターフェイスの設定は、IPv4フロー用のVLANおよびレイヤー2論理インターフェイスの設定と同じです。オプションで、VLAN内の管理トラフィック用にIRB(統合型ルーティングおよびブリッジング)インターフェイスを設定できます。IRB インターフェイスは、透過モードで許可される唯一のレイヤー 3 インターフェイスです。SRXシリーズファイアウォール上のIRBインターフェイスは、トラフィック転送またはルーティングをサポートしていません。IRB インターフェイスは、IPv4 アドレスと IPv6 アドレスの両方で設定できます。[edit interfaces irb unit number family inet6] 階層レベルで address 設定ステートメントを使用して IRB インターフェイスに IPv6 アドレスを割り当てることができます。[edit interfaces irb unit number family inet] 階層レベルで address 設定ステートメントを使用して IRB インターフェイスに IPv4 アドレスを割り当てることができます。
SRXシリーズファイアウォールのイーサネットスイッチング機能は、ジュニパーネットワークスのMXシリーズルーターのスイッチング機能と似ています。ただし、MXシリーズルーターでサポートされているすべてのレイヤー2ネットワーキング機能が、SRXシリーズファイアウォールでサポートされているわけではありません。 イーサネットスイッチングとレイヤー2透過モードの概要を参照してください。
SRXシリーズファイアウォールは、各レイヤー2 VLANのMACアドレスと関連づけられたインターフェイスを含む転送テーブルを維持します。IPv6フロー処理は、IPv4フローと似ています。 VLANのレイヤー2学習 と転送の概要を参照してください。
セキュリティデバイス上のレイヤー2透過モードシャーシクラスターについて
レイヤー2透過モードのSRXシリーズファイアウォールのペアを シャーシクラスター に接続して、ネットワークノードの冗長性を提供できます。シャーシクラスターで設定すると、1つのノードがプライマリデバイスとして機能し、もう1つのノードがセカンダリデバイスとして機能します。これにより、システムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフルフェイルオーバーを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。
レイヤー2透過モードシャーシクラスターでプライマリデバイスに障害が発生した場合、障害が発生したデバイスの物理ポートは、再びアクティブになる(起動する)前に、数秒間非アクティブになります(ダウンします)。
シャーシクラスターを形成するため、サポートされている同じ種類のSRXシリーズファイアウォールのペアが組み合わせられ、同じ全体的なセキュリティを適用する単一のシステムとして機能します。
レイヤー2透過モードのデバイスは、アクティブ/バックアップおよびアクティブ/アクティブシャーシクラスター構成で導入できます。
以下のシャーシクラスター機能は、レイヤー2透過モードのデバイスではサポートされていません。
無償ARP—冗長性グループ内の新しく選択されたプライマリは、無償ARPリクエストを送信して、冗長イーサネットインターフェイスリンク上のプライマリロールの変更をネットワークデバイスに通知することはできません。
IPアドレス監視—アップストリーム デバイスの障害は検出できません。
冗長性グループは、両方のノード上のオブジェクトのコレクションを含む構成です。冗長性グループは、1つのノード上ではプライマリであり、もう1つのノードではバックアップです。冗長性グループがノード上でプライマリである場合、そのノード上のオブジェクトがアクティブになります。冗長性グループがフェイルオーバーすると、そのすべてのオブジェクトが一緒にフェールオーバーします。
アクティブ/アクティブシャーシクラスター設定用に、番号が1から128までの1つ以上の冗長性グループを作成できます。各冗長性グループには、1つ以上の冗長イーサネットインターフェイスが含まれます。冗長イーサネットインターフェイスは、クラスターの各ノードからの物理インターフェイスを含む疑似インターフェイスです。冗長イーサネットインターフェイス内の物理インターフェイスは、同じ種類(ファストイーサネットまたはギガビットイーサネット)である必要があります。ノード0で冗長性グループがアクティブな場合、ノード0上のすべての関連する冗長イーサネットインターフェイスの子リンクがアクティブになります。冗長性グループがノード1にフェイルオーバーすると、ノード1上のすべての冗長イーサネットインターフェイスの子リンクがアクティブになります。
アクティブ/アクティブシャーシクラスター設定では、冗長性グループの最大数が、設定した冗長イーサネットインターフェイスの数と同じになります。アクティブ/バックアップシャーシクラスター設定では、サポートされる冗長性グループの最大数は2つです。
レイヤー2透過モード内のデバイス上での冗長イーサネットインターフェイスの設定は、レイヤー3ルートモード内のデバイス上での冗長イーサネットインターフェイスの設定と類似していますが、以下の違いがあります。 レイヤー2透過モード内のデバイス上の冗長イーサネットインターフェイスは、レイヤー2 論理インターフェイスとして設定されます。
冗長イーサネットインターフェイスは、アクセスインターフェイス(インターフェイス上で受信されたタグなしパケットに1つのVLAN IDが割り当てられる)として、またはトランクインターフェイス(インターフェイス上で受け入れられたVLAN IDと、オプションで、インターフェイス上で受信されたタグなしパケットのnative-vlan-idのリスト)として設定できます。物理インターフェイス(シャーシ クラスター内の各ノードから 1 つずつ)は、親冗長イーサネット インターフェイスへの子インターフェイスとしてバインドされます。
レイヤー2透過モードでは、MAC学習は冗長イーサネットインターフェイスに基づきます。MACテーブルは、シャーシクラスターデバイスのペア間の冗長イーサネットインターフェイスとSPU(サービス処理ユニット)間で同期されます。
IRB インターフェイスは管理トラフィックにのみ使用され、冗長イーサネット インターフェイスまたは冗長性グループに割り当てることはできません。
単一の非クラスターデバイスで使用可能なすべてのJunos OSスクリーンオプションは、レイヤー2透過モードシャーシクラスター内のデバイスで使用できます。
STP(スパニングツリープロトコル)は、レイヤー2透過モードではサポートされていません。導入トポロジーにループ接続がないようにする必要があります。
SRXシリーズファイアウォールで帯域外管理を設定する
デバイス上でレイヤー2インターフェイスが定義されている場合でも、SRXシリーズファイアウォール上の fxp0 アウトオブバンド管理インターフェイスをレイヤー3インターフェイスとして設定できます。 fxp0 インターフェイスを除き、デバイスのネットワークポート上のレイヤー2およびレイヤー3インターフェイスを定義できます。
SRX300、SRX320、およびSRX550Mデバイスにfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされた Junos OS リリースによって異なります)。
イーサネットスイッチング
イーサネットスイッチングは、イーサネットMACアドレス情報を使用して、LANセグメント(またはVLAN)内またはLANセグメント間でイーサネットMACアドレスを転送します。SRX1500デバイス上のイーサネットスイッチングは、ASICsを使用してハードウェアで実行されます。
リリース15.1X49-D40以降Junos OS、 set protocols l2-learning global-mode(transparent-bridge | switching) コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。モードを切り替えた後、設定を有効にするにはデバイスを再起動する必要があります。 表2は 、SRXシリーズファイアウォールのデフォルトレイヤー2グローバルモードを示しています。
Junos OSリリース |
プラットフォーム |
デフォルトレイヤー2グローバルモード |
詳細 |
|---|---|---|---|
Junos OSリリース15.1X49-D50以前 および Junos OSリリース17.3R1以降 |
SRX300、SRX320、SRX340、SRX345 |
スイッチングモード |
なし |
Junos OSリリース15.1X49-D50からJunos OSリリース15.1X49-D90 |
SRX300、SRX320、SRX340、SRX345 |
スイッチングモード |
デバイス上のレイヤー2グローバルモード設定を削除すると、デバイスは透過ブリッジモードになります。 |
Junos OSリリース15.1X49-D100以降 |
SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M |
スイッチングモード |
デバイス上のレイヤー2グローバルモード設定を削除すると、デバイスはスイッチングモードになります。 |
Junos OSリリース15.1X49-D50以降 |
SRX1500 |
透過ブリッジモード |
なし |
スイッチングモードでサポートされているレイヤー2プロトコルは、LACP(Link Aggregation Control Protocol)です。
冗長イーサネットインターフェイス上でレイヤー2透過モードを設定できます。以下のコマンドを使用して、冗長イーサネットインターフェイスを定義します。
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
SRXシリーズデバイス上のレイヤー2スイッチング例外
SRXシリーズファイアウォールのスイッチング機能は、ジュニパーネットワークスのMXシリーズルーターのスイッチング機能と似ています。ただし、MXシリーズルーター上の以下のレイヤー2ネットワーキング機能は、SRXシリーズファイアウォールではサポートされていません。
レイヤー2制御プロトコル—これらのプロトコルは、VPLSルーティングインスタンスのカスタマーエッジインターフェイスのRSTP(ラピッドスパニングツリープロトコル)またはMSTP(マルチプルスパニングツリープロトコル)用のMXシリーズルーターで使用されます。
仮想スイッチルーティングインスタンス—仮想スイッチングルーティングインスタンスは、1つ以上のVLANをグループ化するためにMXシリーズルーターで使用されます。
VPLS(仮想プライベート LAN サービス)ルーティング インスタンス—VPLS ルーティング インスタンスは、VPN 内の一連のサイト間のポイントツーマルチポイント LAN 実装の MXシリーズ ルーターで使用されます。
関連項目
ユニキャストの理解
ユニキャスト とは、ネットワークの1ノードから別のノードにデータを送信する行為です。対照的に、マルチキャスト送信では、1 つのデータノードから複数のデータノードにトラフィックを送信します。
不明のユニキャスト トラフィックは、不明な宛先MACアドレスを持つユニキャストフレームで構成されています。デフォルトでは、スイッチはVLANで移動するこれらのユニキャストフレームを、VLANのメンバーであるすべてのインターフェイスにフラッディングします。このタイプのトラフィックをスイッチ上のインターフェイスに転送すると、セキュリティの問題をトリガーする可能性があります。LANは突然パケットでいっぱいになり、ネットワークパフォーマンスの低下やネットワークサービスの完全な損失につながる不要なトラフィックを生成します。これはトラフィックストームとして知られています。
ストームを防ぐために、1 つの VLANまたはすべての VLANが不明なユニキャストトラフィックを特定のトランクインターフェイスに転送するように設定することで、すべてのインターフェイスへの不明ユニキャストパケットのフラッディングを無効にすることができます。(これは、不明なユニキャストトラフィックを単一のインターフェイスにチャネルします。)
関連項目
スイッチ上のレイヤー2ブロードキャストについて
レイヤー2ネットワークでは、 ブロードキャスト はネットワーク上のすべてのノードにトラフィックを送信することを指します。
レイヤー2のブロードキャストトラフィックは、ローカルエリアネットワーク(LAN)の境界内にとどまります。 ブブロードキャストドメインとして知られています。レイヤー2ブロードキャストトラフィックは、MACアドレスFF:FF:FF:FF:FF:FFを使用してブロードキャストドメインに送信されます。ブロードキャストドメイン内のすべてのデバイスは、このMACアドレスを認識し、該当する場合は、ブロードキャストドメイン内の他のデバイスにブロードキャストトラフィックを渡します。ブロードキャストは、ユニキャスト(1つのノードにトラフィックを送信する)やマルチキャスト(トラフィックを同時にノードグループに配信)と比較することができます。
ただし、レイヤー 3 ブロードキャスト トラフィックは、ブロードキャスト ネットワーク アドレスを使用してネットワーク内のすべてのデバイスにブロードキャスト トラフィックが送信されます。例えば、ネットワークアドレスが10.0.0.0の場合、ブロードキャストネットワークアドレスは10.255.255.255になります。この場合、10.0.0.0ネットワークに属するデバイスのみがレイヤー3ブロードキャストトラフィックを受信します。このネットワークに属しないデバイスは、トラフィックを破棄します。
ブロードキャストは、以下の状況で使用されます。
アドレス解決プロトコル(ARP)は、ブロードキャストを使用してMACアドレスをIPアドレスにマッピングします。ARPは、IPアドレス(論理アドレス)を正しいMACアドレスに動的にバインドします。IPユニキャストパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスで使用されるMACアドレスを検出します。
ダイナミックホスト構成プロトコル(DHCP)は、ブロードキャストを使用して、ネットワークセグメントまたはサブネット上のホストにIPアドレスを動的に割り当てます。
ルーティングプロトコルは、ブロードキャストを使用してルートをアドバタイズします。
過剰なブロードキャスト トラフィックにより、ブロードキャスト ストームが発生することがあります。ブロードキャストストームは、メッセージがネットワーク上でブロードキャストされ、各メッセージが受信ノードにネットワーク上で自身のメッセージをブロードキャストすることによって応答するように促すときに発生します。これにより、さらに応答が促され、雪だるま効果が生まれます。LANは突然パケットでいっぱいになり、ネットワークパフォーマンスの低下やネットワークサービスの完全な損失につながる不要なトラフィックを生成します。
関連項目
拡張レイヤー 2 ソフトウェア CLI の使用
拡張レイヤー2ソフトウェア(ELS)は、QFXシリーズスイッチ、EXシリーズスイッチ、およびその他のジュニパーネットワークスデバイスのレイヤー2機能を設定および監視するための統一CLIを提供します。ELSを使用すると、これらのすべてのジュニパーネットワークスデバイスでレイヤー2機能を同じ方法で設定できます。
このトピックでは、プラットフォームがELSを実行しているかどうかを知る方法を説明します。また、ELS スタイルの設定を使用して一般的なタスクを実行する方法についても説明します。
ELSをサポートするデバイスの理解
デバイスがELSをサポートするJunos OSリリースを実行している場合、ELSは自動的にサポートされます。ELSを有効にするためにアクションを実行する必要はありません。ELSを無効にすることはできません。ELSをサポートするプラットフォームとリリースの詳細については、 機能エクスプローラ を参照してください。
ELSを使用してレイヤー2機能を設定する方法の理解
ELSは統一されたCLIを提供するため、サポートされているデバイスで以下のタスクを同じ方法で実行できるようになりました。
- VLANの設定
- ネイティブVLAN識別子の設定
- レイヤー2インターフェイスの設定
- レイヤー 3 インターフェイスの設定
- IRB インターフェイスの設定
- 集合型イーサネットインターフェイスの設定と、そのインターフェイス上のLACPの設定
VLANの設定
レイヤー2ブリッジングを実行する1つ以上のVLANを設定できます。レイヤー2ブリッジング機能には、同一インターフェイス上のレイヤー2ブリッジングとレイヤー3IPルーティングをサポートするIRB(統合型ルーティングおよびブリッジング)が含まれます。EXシリーズおよびQFXシリーズスイッチは、レイヤー2スイッチとして機能し、それぞれ同じレイヤー2ネットワークに参加する複数のブリッジングまたはブロードキャストドメインを持つことができます。VLANのレイヤー3ルーティングサポートを設定することもできます。
VLAN を設定するには:
ネイティブVLAN識別子の設定
EXシリーズおよびQFXシリーズスイッチは、802.1Q VLANタグを持つルーティングまたはブリッジングされたイーサネットフレームの受信と転送をサポートします。通常、スイッチを相互に接続するトランクポートは、タグなし制御パケットを受信しますが、タグなしのデータパケットは受信しません。タグなしデータパケットを受信したいインターフェイスでネイティブVLANIDを設定することで、トランクポートがタグなしデータパケットを受信できるようにします。
ネイティブVLAN IDを設定するには:
レイヤー2インターフェイスの設定
パフォーマンスが最適になるように高トラフィックネットワークが調整されるようにするには、スイッチのネットワークインターフェイスにいくつかの設定を明示的に構成します。
ギガビットイーサネットインターフェイスまたは10ギガビットイーサネットインターフェイスを trunk インターフェイスとして設定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
ギガビットイーサネットインターフェイスまたは10ギガビットイーサネットインターフェイスを access インターフェイスとして設定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
VLANにインターフェイスを割り当てるには:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
レイヤー 3 インターフェイスの設定
レイヤー3インターフェイスを設定するには、インターフェイスにIPアドレスを割り当てる必要があります。プロトコルファミリーを設定する際にアドレスを指定することで、インターフェイスにアドレスを割り当てます。 inet または inet6 ファミリーの場合は、インターフェイスIPアドレスを設定します。
32ビットIPバージョン4(IPv4)アドレスでインターフェイスを設定し、オプションで宛先プレフィックス(サブネットマスクとも呼ばれる)を設定することもできます。IPv4アドレスは、4オクテットドット付き10進アドレス構文(例えば、192.168.1.1)を使用します。宛先プレフィックスがあるIPv4アドレスは、宛先プレフィックス(例えば、192.168.1.1/16)を追加した4オクテットドット付き10進アドレス構文を使用します。
論理ユニットのIP4アドレスを指定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
IPv6(バージョン6)アドレスは、コロンで区切られた16ビット値のリストを使用して、16進数で表します。インターフェイスに128ビットIPv6アドレスを割り当てます。
論理ユニットのIP6アドレスを指定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
IRB インターフェイスの設定
IRB(統合型ルーティングおよびブリッジング)は、同じインターフェイス上のレイヤー 2 ブリッジングとレイヤー 3 IP ルーティングをサポートします。IRB では、パケットを別のルーテッド インターフェイスや、レイヤー 3 プロトコルが設定されている別の VLAN にルーティングできます。IRB インターフェイスにより、デバイスはローカル アドレスに送信されているパケットを認識でき、可能な限りブリッジ(スイッチング)され、必要な場合にのみルーティングされます。パケットをルーティングせずにスイッチングできる場合は、いくつかの処理レイヤーが不要になります。irbという名前のインターフェイスは、VLANのレイヤー3論理ルーターを設定できる論理ルーターとして機能します。冗長性を確保するために、ブリッジング環境と仮想プライベートLANサービス(VPLS)環境の両方で、IRBインターフェイスをVRRP(仮想ルーター冗長プロトコル)の実装と組み合わせることができます。
IRB インターフェイスを設定するには:
集合型イーサネットインターフェイスの設定と、そのインターフェイス上のLACPの設定
リンクアグリゲーション機能を使用して、1つ以上のリンクを集約し、仮想リンクまたはLAG(リンクアグリゲーショングループ)を形成します。MACクライアントは、この仮想リンクを単一リンクのように扱うことで、帯域幅を拡大し、障害発生時に緩やかな劣化を提供し、可用性を高めることができます。
集合型イーサネットインターフェイスを設定するには:
デバイス上の集合型イーサネットインターフェイスでは、LACP(リンクアグリゲーション制御プロトコル)を設定できます。LACPは、複数の物理インターフェイスをバンドルして、1つの論理インターフェイスを形成します。LACPを有効にしたかどうかに関わらず、集合型イーサネットを設定できます。
LACPを有効にすると、集合型イーサネットリンクのローカル側とリモート側が、リンクの状態に関する情報を含むPDU(プロトコルデータユニット)を交換します。イーサネットリンクがPDUを能動的に送信するように設定したり、リンクが受動的に送信するように設定したりして、他のリンクから受信したときにのみLACPPDUを送信するように設定できます。リンクを立ち上げるためには、リンクの片側をアクティブとして設定する必要があります。
LACPを設定するには:
集合型イーサネットリンクの片側をアクティブとして有効にします。
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
インターフェイスがLACPパケットを送信する間隔を指定します。
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
ELS設定ステートメントとコマンド変更について
ELSは、EX9200スイッチのJunos OSリリース12.3R2で導入されました。ELSは、サポートされているEXシリーズおよびQFXシリーズスイッチのレイヤー2機能の一部でCLIを変更します。
以下のセクションでは、このCLI拡張取り組みの一環として、新しい階層レベルに移動されたか、EXシリーズスイッチで変更された既存のコマンドの一覧を示します。これらのセクションは、ハイレベルのリファレンスとしてのみ提供されます。これらのコマンドの詳細については、提供された設定ステートメントへのリンクを使用するか、技術ドキュメントを参照してください。
- ethernet-switching-options階層レベルの変更
- ポートミラーリング階層レベルの変更
- レイヤー2制御プロトコル階層レベルの変更
- dot1q-tunnelingステートメントの変更
- L2学習プロトコルの変更
- ノンストップブリッジングの変更
- ポートセキュリティとDHCPスヌーピングの変更
- VLANの設定に対する変更
- ストーム制御プロファイルの変更
- インターフェイス階層の変更
- IGMPスヌーピングの変更
ethernet-switching-options階層レベルの変更
このセクションでは、 ethernet-switching-options 階層レベルへの変更について概説します。
ethernet-switching-options階層レベルの名前はswitch-optionsに変更されました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
ステートメントは |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
ステートメントは |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
注:
interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
ポートミラーリング階層レベルの変更
レイヤー2制御プロトコル階層レベルの変更
レイヤー2制御プロトコルステートメントは、 ethernet-switching-options 階層から protocols 階層に移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
dot1q-tunnelingステートメントの変更
dot1q-tunnelingステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
aggregated-ether-options
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
L2学習プロトコルの変更
mac-table-aging-timeステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
ノンストップブリッジングの変更
nonstop-bridgingステートメントは別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
ポートセキュリティとDHCPスヌーピングの変更
ポートセキュリティとDHCPスヌーピングステートメントは、別の階層レベルに移動しました。
ステートメント examine-dhcp は変更された階層に存在しません。VLAN上で他のDHCPセキュリティ機能が有効になっている場合、DHCPスヌーピングが自動的に有効になりました。その他の情報については、 ポートセキュリティ(ELS)の設定 を参照してください。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
許可されたmac設定では、元の階層ステートメント set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8 がELSコマンドに置き換えられます set interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8
DHCPスヌーピングステートメントは、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
VLANの設定に対する変更
VLANを設定するステートメントは、別の階層レベルに移動しました。
EX4300スイッチとEX4600スイッチJunos OSリリース14.1X53-D10以降、 xSTPを有効にした場合、VLANに含まれる一部のまたはすべてのインターフェイスで有効にできるようになりました。例えば、インターフェイスge-0/0/0、ge-0/0/1、およびge-0/0/2を含むようにVLAN100を設定し、インターフェイスge-0/0/0およびge-0/0/2でMSTPを有効にしたい場合、 set protocols mstp interface ge-0/0/0 および set protocols mstp interface ge-0/0/2 コマンドを指定できます。この例では、インターフェイスge-0/0/1でMSTPを明示的に有効にしていません。そのため、このインターフェイスではMSTPは有効になっていません。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
注:
ステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。 vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
これらのステートメントは削除されました。インターフェイスは、 |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
ステートメントは削除されました。 |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
注:
構文が変更されました。 vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
ステートメントが削除されます。Ingressトラフィックが自動的に追跡されます。 |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
ステートメントが削除されます。 |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
ステートメントは別の階層に移動しました。 vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
ステートメントは削除されました。 |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
ステートメントが削除されます。 |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
注:
ステートメントは新しいステートメントに置き換えられました。 vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
注:
構文が変更されました。 vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
元の階層 |
変更された階層 |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
ストーム制御プロファイルの変更
ストーム制御は 2 つのステップで設定されます。最初のステップは [edit forwarding-options] 階層レベルでストーム制御プロファイルを作成し、2つ目のステップは [edit interfaces] 階層レベルでプロファイルを論理インターフェイスにバインドすることです。変更された手順については 、例:EXシリーズスイッチのネットワーク停止を防ぐためのストーム制御の設定 を参照してください。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
インターフェイス階層の変更
ステートメントは別の階層に移動しました。
元の階層 |
変更された階層 |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
注:
ステートメントは新しいステートメントに置き換えられました。 interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
注:
ステートメントは新しいステートメントに置き換えられました。 interfaces irb |
IGMPスヌーピングの変更
元の階層 |
変更された階層 |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
拡張レイヤー2 CLI構成ステートメントおよびセキュリティデバイス向けコマンドの変更点
Junos OSリリース15.1X49-D10およびJunos OSリリース17.3R1以降、一部のレイヤー2 CLI設定ステートメントが拡張され、一部のコマンドが変更されています。 表18 および 表19 は、このCLI拡張の取り組みの一環として、新しい階層に移動されたり、SRXシリーズファイアウォールで変更されたりした既存コマンドのリストを示しています。この表は、全体像を俯瞰するための参考資料としてのみ提供されています。これらのコマンドの詳細については、 CLIエクスプローラを参照してください。
元の階層 |
変更された階層 |
階層レベル |
変更の説明 |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[編集] |
名前が変更された階層。 |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[vlanの編集 vlans-name] |
名前が変更されたステートメント。 |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[vlanの編集 vlans-name] |
名前が変更されたステートメント。 |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[セキュリティフローの編集] |
名前が変更されたステートメント。 |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[edit interfaces interface-name ]ユニット unit-number |
名前が変更された階層。 |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[vlanの編集 vlans-name] |
名前が変更されたステートメント。 |
元の操作コマンド |
変更された操作コマンド |
|---|---|
クリアブリッジmac-table |
clearethernet-switching table |
クリアブリッジmac-table persistent-learning |
clearethernet-switching table persistent-learning |
ブリッジドメインを表示 |
showvlans |
ブリッジmacテーブルを表示 |
イーサネットスイッチングテーブルを表示 |
showl2-learning interface |
show ethernet-switching interface |
SRX300、SRX320、およびSRX500HMデバイスにfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされた Junos OS リリースによって異なります)。
関連項目
ACXシリーズのレイヤー2次世代モード
レイヤー2次世代モードは、拡張レイヤー2ソフトウェア(ELS)とも呼ばれ、レイヤー2機能を設定するためにACX5048、ACX5096、およびACX5448ルーターでサポートされています。ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、ACX7509ルーターのレイヤー2 CLI設定とshowコマンドは、他のACXシリーズルーター(ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000)およびMXシリーズルーターとは異なります。
表20 は、レイヤー2次世代モードでレイヤー2機能を設定するためのCLI階層の違いを示しています。
機能 |
ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000、MXシリーズルーター |
ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、およびACX7509ルーター |
|---|---|---|
ブリッジドメイン |
[ |
[ |
ファミリー |
[ |
[ |
レイヤー2オプション |
[ |
[ |
イーサネットオプション |
[ |
[ |
統合型ルーティングおよびブリッジング(IRB) |
[ |
|
ストーム制御 |
[ |
[ [ |
Internet Group Management Protocol(IGMP)スヌーピング |
[ |
[ |
ファミリー |
[ |
[ |
表21は 、レイヤー2次世代モードでのレイヤー2機能の show コマンドの違いを示しています。
機能 |
ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000、MXシリーズルーター |
ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、およびACX7509ルーター |
|---|---|---|
VLAN |
|
|
MACテーブル |
|
|
MACテーブルオプション |
|
|
VLAN割り当てによるスイッチポートリスト |
|
|
フラッシュデータベースのカーネル状態 |
|
|
関連項目
ACX7000シリーズルーターのサービスプロバイダおよびエンタープライズ設定スタイルをサポートする柔軟なイーサネットサービスのカプセル化
フレキシブルイーサネットサービスは、物理インターフェイスが論理インターフェイスレベルでイーサネットカプセル化を指定できるようにする カプセル化 のタイプです。各論理インターフェイスは、異なるイーサネットカプセル化を持つことができます。ユニットごとに複数のイーサネットカプセル化を定義すると、同じ物理インターフェイスに接続された複数のホストにイーサネットベースのサービスを簡単にカスタマイズできます。
フレキシブルイーサネットサービスでカプセル化されず、レイヤー2モードで動作するイーサネットインターフェイスは、1つの論理インターフェイスユニット(0)に制限されます。ブリッジングは、ユニット 0のインターフェイスファミリーとして ethernet-switching 設定することで、インターフェイスで有効にします。 ethernet-switching ファミリーは、論理インターフェイスユニット 0でのみ設定でき、そのインターフェイスで他の論理ユニットを定義することはできません。
ただし、一部のスイッチング機能は、論理インターフェイスユニット 0では設定できません。Q-in-Qトンネリングなどの機能では、VLANタグ付きフレームを送信する論理インターフェイスが必要です。一致するVLAN IDがタグ付きイーサネットフレームを受信および転送できるように論理インターフェイスを有効にするには、論理インターフェイスをそのVLANにバインドする必要があります。VLAN IDをユニット 0にバインドできないため、これらの機能は0以外の 論理インターフェイスユニットで設定する必要があります。
フレキシブルイーサネットサービスを使用してインターフェイスをカプセル化すると、0以外の論理インターフェイスユニット を family ethernet-switchingで設定できます。また、異なるタイプのイーサネットカプセル化を持つ同じインターフェイス上に他の論理インターフェイスを設定することもできます。これにより、VLAN IDにバインドされた論理インターフェイスが、 family ethernet-switchingで設定された論理インターフェイスと共存できるようになります。
flexible-ethernet-servicesステートメントを使用すると、サービスプロバイダスタイル論理インターフェイスとエンタープライズスタイル論理インターフェイスの両方を設定できます。
例えば、Q-in-Qトンネリングを設定している同じ物理インターフェイスにPVLANを設定する場合、柔軟なイーサネットサービスを使用して、Q-in-Qトンネリングのvlan-bridgeカプセル化とともに、family ethernet-switchingを使用してPVLANの設定エンタープライズスタイルをサポートできます。
ハードウェアVTEPとして機能するデバイスを設定するときは、グループを使用して以下のステートメントを設定することをお勧めします。
-
flexible-vlan-tagging interface-name インターフェイスを設定する
-
設定インターフェイス interface-name カプセル化 extended-vlan-bridge
-
インターフェースをnative-vlan-id interface-name 設定 vlan-id
サービスプロバイダ設定スタイル
サービスプロバイダ設定スタイルをサポートするようにインターフェイスを設定するには:
エンタープライズ設定スタイル
エンタープライズ設定スタイルをサポートするようにインターフェイスを設定するには:
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
set protocols l2-learning global-mode(transparent-bridge | switching) コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。