Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー 2 ネットワーキング

レイヤー 2 ネットワークの概要

データリンク層としても知られるレイヤー 2 は、ネットワーク プロトコル設計の 7 層 OSI 参照モデルの第 2 レベルです。レイヤー 2 は、TCP/IP ネットワーク モデルのリンク レイヤー(最下層)に相当します。レイヤー 2 は、広域ネットワーク内の隣接するネットワーク ノード間、または同じ広域ネットワーク上のノード間でデータを転送するのに使用されるネットワーク層です。

フレームは、レイヤー 2 ネットワーク上のビットの最小単位であるプロトコル データ ユニットです。フレームは、同一の LAN(ローカル エリア ネットワーク)上のデバイス間で送受信されます。ビットとは異なり、フレームには定義された構造があり、エラー検知、コントロール プレーンのアクティビティなどに使用できます。すべてのフレームがユーザー データを転送するわけではありません。ネットワークは、一部のフレームをデータ リンク自体の制御に使用します。

レイヤー 2 では、ユニキャストは 1 つのノードから別の 1 つのノードにフレームを送信することを指します。マルチキャストは 1 つのノードから複数のノードにトラフィックを送信することを指します。また、ブロードキャストは、ネットワーク内のすべてのノードにフレームを転送することを指します。ブロードキャスト ドメインは、ネットワークの論理的な区分です。このネットワークのすべてのノードは、ブロードキャストによってレイヤー 2 でアクセスできます。

LAN のセグメントは、ブリッジを使用してフレーム レベルでリンクできます。ブリッジングは、LAN 上に個別のブロードキャスト ドメインを作成し、VLAN を作成します。これらは、関連するデバイスを独立したネットワーク セグメントにグループ化する独立した論理ネットワークです。VLAN 上のデバイスのグループ化は、デバイスが物理的に LAN 内のどこに配置されているかには依存しません。ブリッジングと VLAN を使用しない場合、イーサネット LAN 上のすべてのデバイスが 1 つのブロードキャスト ドメインに含まれ、すべてのデバイスが LAN 上のすべてのパケットを検知します。

転送とは、ネットワーク内のノードにより、ネットワーク セグメント間でパケットを中継することです。VLAN では、送信元と宛先が同じ VLAN 内にあるフレームは、ローカル VLAN 内でのみ転送されます。ネットワーク セグメントは、各デバイスが同一の物理レイヤーを使用して通信するコンピューター ネットワークの一部です。

レイヤー 2 には 2 つのサブレイヤーが含まれます。

  • LLC(論理リンク制御)サブレイヤーは、通信リンクの管理とフレーム トラフィックの処理を行います。

  • MAC(メディア アクセス制御)サブレイヤーは、物理ネットワーク メディアへのプロトコル アクセスを制御します。スイッチ上のすべてのポートに割り当てられている MAC アドレスを使用することで、同じ物理リンク上の複数のデバイスが相互に一意に識別できます。

    スイッチのポート(またはインターフェイス)は、アクセス モード、タグ付きアクセス、またはトランク モードのいずれかで動作します。

    • アクセス モードポートは、デスクトップ コンピューター、IP 電話、プリンター、ファイル サーバー、セキュリティ カメラなどのネットワーク デバイスに接続します。ポート自体は 1 つの VLAN に属しています。アクセス インターフェイスを介して送信されるフレームは、通常のイーサネット フレームです。デフォルトでは、スイッチ上のすべてのポートがアクセス モードになっています。

    • タグ付きアクセス モード ポートは、デスクトップ コンピューター、IP 電話、プリンター、ファイル サーバー、セキュリティ カメラなどのネットワーク デバイスに接続します。ポート自体は 1 つの VLAN に属しています。アクセス インターフェイスを介して送信されるフレームは、通常のイーサネット フレームです。デフォルトでは、スイッチ上のすべてのポートがアクセス モードになっています。タグ付きアクセス モードは、クラウド コンピューティング、特に仮想マシンや仮想コンピューターなどのシナリオに対応します。1 台の物理サーバーに複数の仮想マシンを実装できるため、1 台のサーバーによって生成されるパケットには、そのサーバー上のさまざまな仮想マシンからの VLAN パケットのアグリゲーションが含まれる場合があります。このような状況に対応するために、タグ付きアクセス モードは、パケットの宛先アドレスがそのダウンストリーム ポートで学習された場合に、同じダウンストリーム ポート上の物理サーバーにパケットを戻します。宛先がまだ学習されていない場合、パケットはダウンストリーム ポートの物理サーバーにも戻されます。そのため、3 つ目のインターフェイス モード、タグ付きアクセスには、アクセス モードとトランク モードの特性があります。

    • トランク モード ポートは、複数の VLAN のトラフィックを処理し、同一の物理接続を介してこれらすべての VLAN のトラフィックを多重化します。トランク インターフェイスは通常、スイッチを他のデバイスやスイッチと相互接続するために使用します。

      ネイティブ VLAN が設定されていると、VLAN タグを持たないフレームはトランク インターフェイスを介して送信されます。パケットがアクセス モードでデバイスからスイッチに渡される状況で、これらのパケットをスイッチからトランク ポート経由で送信する必要がある場合は、ネイティブ VLAN モードを使用します。スイッチのポート(アクセス モードになっている)の単一 VLAN をネイティブ VLAN として構成します。これにより、スイッチのトランクポートが、これらのフレームを他のタグ付きパケットとは異なる方法で処理するようになります。たとえば、トランク ポートに 3 つの VLAN(VLAN 10、VLAN 20、VLAN 30)が属し、VLAN 10 がネイティブ VLAN の場合、トランク ポートのもう一方の終端を離れた VLAN 10 のフレームには、802.1Q ヘッダー(タグ)は含まれません。ネイティブ VLAN のオプションはもう 1 つあります。タグ付けされていないパケットに対し、スイッチの追加とタグの削除ができます。そのためにはまず、エッジ上のデバイスに接続されたポートで、1 つの VLAN をネイティブ VLAN として設定します。次に、デバイスに接続されたポートで、1 つのネイティブ VLAN に VLAN ID タグを割り当てます。最後に、VLAN ID をトランク ポートに追加します。これで、スイッチがタグなしパケットを受信すると、指定された ID を追加し、その VLAN を受け入れるように設定されたトランクポートでタグ付きパケットを送受信するようになります。

サブレイヤーを含め、QFX シリーズのレイヤー 2 は、以下の機能をサポートしています。

  • ユニキャスト、マルチキャスト、ブロードキャスト トラフィック

  • ブリッジング

  • VLAN 802.1Q - VLAN タグ付けとしても知られるこのプロトコルは、イーサネット フレームに VLAN タグを追加することにより、複数のブリッジ ネットワークが同じ物理ネットワーク リンクを透過的に共有することを可能にします。

  • STP(スパニング ツリー プロトコル)を使用した複数のスイッチ間でレイヤー 2 VLAN を拡張することで、ネットワーク全体でのループを防止します。

  • MAC ラーニング(VLAN 単位の MAC ラーニングとレイヤー 2 ラーニング抑制を含む)- このプロセスを通して、ネットワーク上のすべてのノードの MAC アドレスを取得します。

  • リンク アグリゲーション - 物理層でイーサネット インターフェイスをグループ化し、単一のリンク層インターフェイスを形成するプロセスで、リンク アグリゲーション グループ(LAG)または LAG バンドルとも呼ばれます。

    注:

    リンク アグリゲーションは、NFX150 デバイスではサポートされていません。

  • ユニキャスト、マルチキャスト、ブロードキャスト用の物理ポートのストーム制御

    注:

    ストーム制御は NFX150 デバイスではサポートされていません。

  • 802.1d、RSTP、MSTP、およびルート ガードを含む STP のサポート

イーサネットスイッチングおよびレイヤー2透過モードの概要

レイヤー2透過モードによって、既存のルーティングインフラストラクチャを変更せずに、ファイアウォールを導入できます。ファイアウォールは、複数のVLANセグメントを備えたレイヤースイッチとして導入され、VLANセグメント内でセキュリティサービスを提供します。セキュアワイヤーは、bump-in-wire導入を可能にするレイヤー2透過モードの特別バージョンです。

レイヤー2インターフェイスとして定義されているインターフェイスがある場合、デバイスは透過モードで動作します。デバイスは、レイヤー2インターフェイスとして設定された物理インターフェイスがない場合、ルートモード(デフォルトモード)で動作します。

SRXシリーズデバイスでは、透過モードが、レイヤー2スイッチング機能のフルセキュリティサービスを提供します。これらのSRXシリーズデバイスでは、1つ以上のVLANがレイヤー2スイッチングを実行するように設定できます。VLANは、同じフラッディングまたはブロードキャスト特性を共有する一連の論理インターフェイスのセットです。VLAN(バーチャルLAN)と同様に、VLANは複数のデバイスの1つ以上のポートにわたります。そのため、SRXシリーズデバイスは、同じレイヤー2スイッチに参加する複数のVLANを持つレイヤー2スイッチとして機能できます。

透過モードでは、SRXシリーズデバイスは、IPパケットヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。

透過モードでは、デバイス上のすべての物理ポートはレイヤー2インターフェイスに割り当てられます。デバイスを介してレイヤー3トラフィックをルーティングしないでください。レイヤー2ゾーンは、レイヤー2インターフェイスをホストするように設定でき、セキュリティポリシーはレイヤー2ゾーン間で定義できます。パケットがレイヤー2ゾーン間を移動する際に、セキュリティポリシーをこれらのパケットに適用できます。

表 1 は、レイヤー2スイッチングの透過モードでサポートされていないセキュリティ機能を示しています。

表 1: 透過モードでサポートされているセキュリティ機能

モードタイプ

対応

サポートされていません

透過モード

  • アプリケーション層ゲートウェイ(ALG)

  • ファイアウォールユーザー認証(FWAUTH)

  • 侵入検出および防止(IDP)

  • 画面

  • AppSecure

  • Unified Threat Management(UTM)

  • NAT(ネットワークアドレス変換)

  • VPN

注:

SRX300、SRX320、SRX340、SRX345、および SRX550Mデバイスでは、DHCPサーバー伝播はレイヤー2透過モードではサポートされません。

さらに、SRXシリーズデバイスは、レイヤー2透過モードでは以下のレイヤー2機能をサポートしません。

  • STP(スパニングツリープロトコル)、RSTP、または MSTP—フラッディングループがネットワークトポロジーに存在しないようにするのはユーザーの責任です。

  • IGMP(インターネットグループ管理プロトコル)スヌーピング—マルチキャストグループメンバーシップを隣接するルーターに報告し、IPマルチキャスト中にグループメンバーがいるかどうかを判断するために使用されるIPv4のホストツールーターシグナリングプロトコル。

  • 802.1Qパケット内でカプセル化された二重タグ付きVLANまたはIEEE 802.1Q VLAN識別子(“Q in Q” VLANタギングとも呼ばれます)—SRXシリーズデバイスでは、タグなしまたは単一タグ付きのVLAN識別子しかサポートされていません。

  • VLAN内での学習にMACアドレスのみを使用する非認定VLAN学習—SRXシリーズデバイス上のVLAN学習は認定されます。つまり、VLAN識別子とMACアドレスの両方が使用されます。

また、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、またはSRX650デバイスでは、一部の機能はサポートされていません。(プラットフォームサポートは、インストールされたJunos OSリリースによって異なります)。以下の機能は、前述したデバイス上のレイヤー2透過モードではサポートされていません。

  • レイヤー2インターフェイス上のG-ARP

  • すべてのインターフェイス上のIPアドレス監視

  • IRBを介してトラフィックを通過します

  • ルーティングインスタンス内のIRBインターフェイス

  • レイヤー3トラフィックのIRBインターフェイス処理

    注:

    IRBインターフェイスは疑似インターフェイスであり、rethインターフェイスおよび冗長性グループに属しません。

SRX5000シリーズのモジュールポートコンセントレータ上でのレイヤー2透過モード

SRX5000シリーズモジュールポートコンセントレータ(SRX5K-MPC)は、レイヤー2透過モードをサポートしており、レイヤー2透過モードでSRXシリーズデバイスが設定されている場合、トラフィックを処理します。

SRX5K-MPCがレイヤー2モードで動作している場合、SRX5K-MPC上のすべてのインターフェイスがレイヤー2スイッチングポートとしてレイヤー2トラフィックをサポートするように設定できます。

SPU(セキュリティ処理ユニット)は、レイヤー2スイッチング機能のすべてのセキュリティサービスをサポートしており、MPC はイングレスパケットをSPUに提供し、SPUによってカプセル化されたエグレスパケットを送信インターフェイスに転送します。

SRXシリーズデバイスがレイヤー2透過モードで設定されている場合、 Ethernet switchingとしてファミリーアドレスタイプがある物理インターフェイス上の1つ以上の論理ユニットを定義することで、MPC上のインターフェイスがレイヤー2モードで動作できるようにできます。後で、透過モードでレイヤー2セキュリティゾーンの設定とセキュリティポリシーの設定を進めることができます。これが完了すると、ネクストホップトポロジーがイングレスエグレスパケットとエグレスパケットを処理するように設定されます。

セキュリティデバイス上の透過モードでのIPv6フローの理解

透過モードでは、SRXシリーズデバイスは、パケットMACヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP 設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。

デバイス上のすべての物理インターフェイスがレイヤー2インターフェイスとして設定されている場合、デバイスが透過モードで動作します。論理インターフェイスは [edit interfaces interface-name unit unit-number family] 階層レベルで ethernet-switching オプションで設定されている場合、物理インターフェイスがレイヤー2インターフェイスとなります。デバイス上で透過モードを定義または有効にするコマンドはありません。デバイスは、レイヤー2インターフェイスとして定義されたインターフェイスがある場合透過モードで動作します。すべての物理インターフェイスがレイヤー3インターフェイスとして設定されている場合、デバイスはルートモード(デフォルトモード)で動作します。

デフォルトでは、IPv6フローはセキュリティデバイス上で破棄されます。ゾーン、スクリーン、ファイアウォールポリシーなどのセキュリティ機能による処理を有効にするには、[edit security forwarding-options family inet6] 階層レベルで mode flow-based設定オプションを使用してIPv6トラフィックのフローベース転送を有効にする必要があります。モードを変更した場合、デバイスを再起動する必要があります。

透過モードでは、レイヤー2ゾーンがレイヤー2インターフェイスをホストするように設定し、レイヤー2ゾーン間のセキュリティポリシーを定義できます。パケットがレイヤー2ゾーン間を移動する際に、セキュリティポリシーをこれらのパケットに適用できます。以下のセキュリティ機能は、透過モードのIPv6トラフィックでサポートされています。

以下のセキュリティ機能は、透過モードのIPv6 フローに対応していません

  • 論理システム

  • IPv6 GTPv2

  • J-Webインタフェース

  • NAT

  • IPsec VPN

  • DNS、FTP、およびTFTP ALGを除き、他のすべてのALGはサポートされていません。

IPv6フロー用のVLANおよびレイヤー2論理インターフェイスの設定は、IPv4フロー用のVLANおよびレイヤー2論理インターフェイスの設定と同じです。オプションで、VLAN内の管理トラフィックに IRB(統合型ルーティングおよびブリッジング)インターフェイスを設定できます。IRBインターフェイスは、透過モードで許可された唯一のレイヤー3インターフェイスです。SRXシリーズデバイス上のIRBインターフェイスは、トラフィック転送またはルーティングをサポートしません。IRBインターフェイスは、IPv4およびIPv6アドレスの両方で設定できます。[edit interfaces irb unit number family inet6] 階層レベルで address設定ステートメントを使用してIRBインターフェイスにIPv6アドレスを割り当てることができます。[edit interfaces irb unit number family inet] 階層レベルで address設定ステートメントを使用してIRBインターフェイスにIPv4アドレスを割り当てることができます。

SRXシリーズデバイス上のイーサネットスイッチング機能は、ジュニパーネットワークスMXシリーズルーター上のスイッチング機能と似ています。しかしながら、MXシリーズルーターでサポートされているすべてのレイヤー2ネットワーキング機能が、SRXシリーズデバイスでサポートされているわけではありません。イーサネットスイッチングとレイヤー2透過モードの概要をご覧ください。

SRXシリーズデバイスは、各レイヤー2 VLANのMACアドレスと関連づけられたインターフェイスが含まれる転送テーブルを維持します。IPv6フロー処理は、IPv4フローと似ています。「VLAN のレイヤー 2 ラーニングおよび転送の概要」 を参照してください。

セキュリティデバイス上のレイヤー2透過モードシャーシクラスターの理解

レイヤー2透過モード内の SRXシリーズデバイスのペアは、シャーシクラスターで接続して、ネットワークノード冗長性を提供します。シャーシクラスターで設定されると、1つのノードがプライマリデバイスとして機能し、もう1つはセカンダリデバイスとして機能します。これにより、システムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフェイルオーバーを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。

注:

レイヤー2透過モードシャーシクラスターでプライマリデバイスに障害が発生した場合、障害が発生したデバイス内の物理ポートは、再びアクティブになる(起動する)前に、数秒間にわたって非アクティブになります(ダウンします)。

シャーシクラスターを形成するため、同じ種類のSRXシリーズデバイスが組み合わせられ、同じ全般的なセキュリティを適用する単一のシステムとして機能します。

レイヤー2透過モード内のデバイスは、アクティブ/バックアップおよびアクティブ/アクティブクラスター設定で導入できます。

以下のシャーシクラスター機能は、レイヤー2透過モード内のデバイスではサポートされていません。

  • 無償ARP—冗長性グループ内の新しく選択されたプライマリは、無償ARPリクエストを送信して、冗長イーサネットインターフェイスリンク上のプライマリロールの変更をネットワークデバイスに通知することはできません。

  • IPアドレス監視—アップストリーム デバイスの障害は検知できません。

冗長性グループは、両方のノード上のオブジェクトの集合を含む構成です。冗長性グループは、1つのノード上ではプライマリであり、もう1つのノードではバックアップです。冗長性グループがノード上でプライマリである場合、そのノード上のオブジェクトがアクティブになります。冗長性グループがフェイルオーバーすると、すべてのオブジェクトが一緒にフェールオーバーします。

アクティブ/アクティブクラスター設定に対して、1~128の番号が割り当てられた1つ以上の冗長性グループを作成できます。各冗長性グループには、1つ以上の冗長イーサネットインターフェイスが含まれます。冗長イーサネットインターフェイスは、クラスターの各ノードからの物理インターフェイスを含む疑似インターフェイスです。冗長イーサネットインターフェイス内の物理インターフェイスは、同じ種類(ファストイーサネットまたはギガビットイーサネット)である必要があります。冗長性グループがノード0上でアクティブである場合、ノード0上のすべての関連する冗長イーサネットインターフェイスの子リンクがアクティブになります。冗長性グループがノード1にフェイルオーバーする場合、ノード1上のすべての冗長イーサネットインターフェイスの子リンクがアクティブになります。

注:

アクティブ/アクティブクラスター設定では、冗長性グループの最大数が、設定した冗長イーサネットインターフェイスの数と同じになります。アクティブ/バックアップシャーシクラスター設定では、サポートされている冗長性グループの最大数は2つです。

レイヤー2透過モード内のデバイス上での冗長イーサネットインターフェイスの設定は、レイヤー3ルートモード内のデバイス上での冗長イーサネットインターフェイスの設定と類似していますが、以下の点が異なります。レイヤー2透過モード内のデバイス上の冗長イーサネットインターフェイスは、レイヤー2論理インターフェイスとして設定されます。

冗長イーサネットインターフェイスは、アクセスインターフェイス(インターフェイス上で受信されたタグなしパケットに1つのVLAN IDがある) として、またはトランクインターフェイス(インターフェイス上で受け入れられたVLAN IDと、オプションで、インターフェイス上で受信された タグなしパケットのnative-vlan-idのリスト)として設定できます。物理インターフェイス(シャーシクラスター内の各ノードからそれぞれ1つずつ)は、親冗長イーサネットインターフェイスに対する子インターフェイスとしてバインドされます。

レイヤー2透過モードでは、MAC学習は冗長イーサネットインターフェイスに基づきます。MACテーブルは、シャーシクラスターデバイスのペア間の冗長イーサネットインターフェイスと SPU(サービス処理ユニット)間で同期されます。

IRBインターフェイスは管理トラフィックにのみ使用され、冗長イーサネットインターフェイスまたは冗長性グループに割り当てることはできません。

単一の非クラスターデバイスで使用可能な Junos OS スクリーンオプションはすべて、レイヤー2透過モードシャーシクラスター内のデバイスで使用できます。

注:

STP(スパニングツリープロトコル)は、レイヤー2透過モードではサポートされていません。導入トポロジーにループ接続がないようにする必要があります。

SRXデバイス上のアウトオブバンド管理

デバイス上でレイヤー2インターフェイスが定義されている場合でも、SRXシリーズデバイス上のfxp0アウトオブバンド管理インターフェイスをレイヤー3インターフェイスとして設定できます。fxp0インターフェイスを除き、デバイスのネットワーク ポート上のレイヤー2およびレイヤー3インターフェイスを定義できます。

注:

SRX300、SRX320、およびSRX550Mデバイス上のfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。

イーサネットスイッチング

イーサネットスイッチングは、イーサネットMACアドレス情報を使用して、LANセグメント(またはVLAN)内またはLANセグメント間でイーサネットフレームを転送します。SRX1500デバイス上のイーサネットスイッチングは、ASICを使用してハードウェアで実行されます。

Junos OSリリース15.1X49-D40以降では、 set protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。モードを切り替えた後、設定を有効にするには、デバイスを再起動する必要があります。 表 2は、SRXシリーズデバイス上のデフォルトレイヤー2グローバルモードについて説明します。

表 2: SRXシリーズデバイス上のデフォルトレイヤー2グローバルモード

Junos OSリリース

プラットフォーム

デフォルトレイヤー2グローバル モード

詳細

Junos OSリリース15.1X49-D50以前

Junos OSリリース17.3R1以降

SRX300、SRX320、SRX340、SRX345

スイッチングモード

なし

Junos OSリリース15.1X49-D50からJunos OSリリース15.1X49-D90

SRX300、SRX320、SRX340、SRX345

スイッチングモード

デバイス上のレイヤー2グローバルモード設定を削除すると、デバイスは透過ブリッジモードになります。

Junos OSリリース15.1X49-D100以降

SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M

スイッチングモード

デバイス上のレイヤー2グローバル モード設定を削除すると、デバイスはスイッチングモードになります。set protocols l2-learning global-mode transparent-bridge階層レベル下の[edit]コマンドを設定して、ブリッジモードに切り替えます。設定を有効にするには、デバイスを再起動します。

Junos OSリリース15.1X49-D50以降

SRX1500

透過ブリッジモード

なし

スイッチングモードでサポートされているレイヤー2プロトコルは、LACP(リンクアグリゲーション制御プロトコル)です。

冗長イーサネットインターフェイス上でレイヤー 2 透過モードを設定できます。以下のコマンドを使用して、冗長イーサネットインターフェイスを定義します。

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRXシリーズデバイス上のレイヤー2スイッチング例外

SRXシリーズデバイス上のイーサネットスイッチング機能は、ジュニパーネットワークスのMXシリーズルーターにあるイーサネットスイッチング機能と類似しています。しかし、MXシリーズルーター上の以下のレイヤー2ネットワーキング機能は、SRXシリーズデバイスではサポートされていません。

  • レイヤー2制御プロトコル—これらのプロトコルは、VPLSルーティングインスタスのカスタマーエッジインターフェイスのRSTP(ラピッドスパニングツリープロトコル)または MSTP(マルチプルスパニングツリープロトコル)の MXシリーズルーターで使用されます。

  • 仮想スイッチルーティングインスタンス—仮想スイッチングルーティングインスタンスは、1つ以上のVLANをグループ化するためにMXシリーズルーターで使用されます。

  • VPLS(仮想プライベートLANサービス)ルーティングインスタンス—VPLSルーティングインスタンスは、VPN内の一連のサイト間のポイントツーマルチポイントLAN実装のためMXシリーズルーターで使用されます。

ユニキャストの理解

ユニキャストとは、ネットワークの1ノードから別のノードにデータを送信する行為です。反対に、マルチキャストトランスミッションは、1 つのデータノードから複数のデータノードにトラフィックを送信します。

不明のユニキャストトラフィックは、不明の宛先MACアドレスを持つユニキャストフレームで構成されています。デフォルトでは、スイッチはVLANで移動するユニキャスト フレームを、VLANメンバーのすべてのインターフェイスにフラッディングします。スイッチ上でこのタイプのトラフィックをインターフェースに転送すると、セキュリティの問題をトリガーすることができます。LANは突然、パケットでいっぱいになり、ネットワークパフォーマンスの低下や、ネットワークサービスの完全な損失につながる不要なトラフィックを生成します。これはトラフィックストームとして知られています。

ストームを防ぐために、1 つの VLANまたはすべての VLANが不明のユニキャストトラフィックを特定のトランク インターフェースに転送するよう設定することで、すべてのインターフェイスへの不明ユニキャストパケットのフラッディングを無効にすることができます。(これは、不明のユニキャストトラフィックを単一のインターフェイスにチャネルします。)

スイッチ上のレイヤー2ブロードキャストについて

レイヤー2ネットワークでは、ブロードキャストはネットワーク上のすべてのノードにトラフィックを送信することを指します。

レイヤー2ブロードキャストトラフィックは、ブロードキャストドメインとして知られる、ローカルエリアネットワーク(LAN)の境界内に留まります。レイヤー2ブロードキャストトラフィックは、MAC アドレスFF:FF:FF:FF:FF:FFを使用して、ブロードキャストドメインに送信されます。ブロードキャストドメインの全てのデバイスは、MAC アドレスを認識し、ブロードキャストドメイン内の他のデバイスにブロードキャストトラフィックを渡します(該当する場合)。ブロードキャストは、ユニキャスト(1つのノードにトラフィックを送信)やマルチキャスト(トラフィックを同時にノードグループに配信)と比較することができます。

ただし、レイヤー3ブロードキャストトラフィックは、ブロードキャスト ネットワークアドレスを使用してネットワーク内のすべてのデバイスに送信されます。例えば、ネットワークアドレスが10.0.0.0の場合、ブロードキャスト ネットワークアドレスは10.255.255.255になります。このケースでは、10.0.0.0ネットワークに属するデバイスのみが、レイヤー3ブロードキャストトラフィックを受信します。このネットワークに属しないデバイスは、トラフィックを破棄します。

ブロードキャストは以下の状況で使用されます。

  • アドレス解決プロトコル(ARP)は、ブロードキャストを使用してMAC アドレスをIPアドレスにマッピングします。ARPは、IPアドレス(論理アドレス)をMAC アドレスに動的にバインドします。IPユニキャストパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスで使用するMAC アドレスを検出します。

  • 動的ホスト構成プロトコル(DHCP)は、ブロードキャストを使用して、ネットワークセグメントまたはサブネット上のホストにIPアドレスを動的に割り当てます。

  • ルーティングプロトコルは、ブロードキャストを使用してルートをアドバタイズします。

過剰なブロードキャストトラフィックにより、ブロードキャストストームが発生する場合があります。ブロードキャストストストームは、メッセージがネットワーク上でブロードキャストされる時に発生します。各メッセージは、受信ノードに対してネットワーク上で自身のメッセージをブロードキャストすることによって、応答するように促します。これにより、さらに応答が促され、雪だるま効果が生まれます。LANは突然、パケットでいっぱいになり、ネットワークパフォーマンスの低下や、ネットワークサービスの完全な損失につながる不要なトラフィックを生成します。

拡張レイヤー2ソフトウェアCLIの使用

ELS(拡張レイヤー2ソフトウェア)は、QFXシリーズスイッチ、EXシリーズスイッチ、およびMXシリーズルーターなどのその他のジュニパーネットワークスデバイス上のレイヤー2の機能を設定および監視するための統一CLIを提供します。ELSによって、これらのジュニパーネットワークスデバイスでレイヤー2機能を同じ方法で設定できます。

このトピックでは、プラットフォームがELSを実行しているかどうかを知る方法を説明します。設定のELSスタイルを使用して一般的なタスクを実行する方法についても説明します。

ELSをサポートするデバイスの理解

デバイスがサポートしているJunos OSリリースを実行している場合、ELSは自動的にサポートされます。ELSを有効にするためには特に操作は不要です。ELSは無効にすることはできません。ELSをサポートするプラットフォームとリリースの詳細については、機能エクスプローラを参照してください。

ELSを使用してレイヤー2機能を設定する方法の理解

ELSは統一CLIを提供するため、サポートされているデバイスで以下のタスクを同じ方法で実行できるようになります。

VLANの設定

レイヤー2ブリッジングを実行する1つ以上のVLANを設定できます。レイヤー2ブリッジング機能には、同一インターフェイス上のレイヤー2ブリッジングとレイヤー3IPルーティングをサポートするIRB(統合型ルーティングおよびブリッジング)が含まれます。EXシリーズおよびQFXシリーズスイッチは、レイヤー2スイッチとして、それぞれ同じレイヤー2ネットワークに参加する複数のブリッジングまたはブロードキャストドメインとともに機能できます。VLANのレイヤー3ルーティングサポートを設定することもできます。

VLANを設定するには:

  1. 一意のVLAN名を設定し、VLANIDを設定することでVLANを作成します。

    VLAN ID listオプションを使用すると、VLANIDの範囲を任意で指定できます。

  2. 少なくとも1つのインターフェイスをVLANに割り当てます。

ネイティブVLAN識別子の設定

EXシリーズおよびQFXシリーズスイッチは、802.1QVLANタグがあるルーティングまたはブリッジングされた受信および転送イーサネットフレームをサポートします。通常、スイッチを相互に接続するトランクポートは、タグなし制御パケットを受信しますが、タグなしのデータパケットは受信しません。タグなしデータパケットを受信したいインターフェイスでネイティブVLANIDを設定することで、トランクポートは、タグなしのデータパケットを受信することができます。

ネイティブVLANIDを設定するには:

  1. タグなしのデータパケットを受信したいインターフェイスで、インターフェイスモードをtrunkに設定すると、インターフェイスが複数のVLANにあることが指定され、異なるVLAN間のトラフィックを倍増することができます。
  2. ネイティブVLANIDを設定し、ネイティブVLANIDにインターフェイスを割り当てます。
  3. ネイティブVLANIDにインターフェイスを割り当てます。

レイヤー2インターフェイスの設定

パフォーマンスが最適になるように高トラフィックネットワークが調整されるようにするには、スイッチのネットワークインターフェイスにいくつかの設定を明示的に設定します。

trunkインターフェイスとしてギガビットイーサネットインターフェイスまたは10ギガビットインターフェイスを設定するには:

accessインターフェイスとしてギガビットイーサネットインターフェイスまたは10ギガビットインターフェイスを設定するには:

VLANにインターフェイスを割り当てるには:

レイヤー3インターフェイスの設定

レイヤー3インターフェイスを設定するには、インターフェイスにIPアドレスを割り当てる必要があります。プロトコルファミリーを設定する際にアドレスを指定することで、インターフェイスにアドレスを割り当てます。inetまたはinet6ファミリーの場合は、インターフェイスIPアドレスを設定します。

32ビットIPバージョン4(IPv4)アドレスでインターフェイスを設定し、オプションで宛先プレフィックス(サブネットマスクとも呼ばれる)を設定することもできます。IPv4アドレスは、4オクテットドット付き10進アドレス構文(例えば192.168.1.1.1)を使用します。宛先プレフィックスがあるIPv4アドレスは、宛先プレフィックス(例えば、192.168.1.1/16)を追加した4オクテットドット付き10進アドレス構文を使用します。

論理ユニットにIP4アドレスを指定するには:

16ビット値のコロン区切りのリストを使用して、IPバージョン6(IPv6)アドレスを16進法で表します。インターフェイスに128ビットIPv6アドレスを割り当てます。

論理ユニットのIP6アドレスを指定するには:

IRBインターフェイスの設定

統合型ルーティングおよびブリッジング(IRB)は、同じインターフェイス上のレイヤー2ブリッジングとレイヤー3IPルーティングをサポートしています。IRBでは、パケットを別のルーテッドインターフェイスや、レイヤー3プロトコルが設定されている別のVLANにルーティングできます。IRBインターフェイスによって、デバイスはローカルアドレスに送信されているパケットを認識でき、可能な限りブリッジング(スイッチング)され、必要に応じてルーティングされるようになります。パケットをルーティングせずにスイッチングできる場合は、いくつかの処理レイヤーが不要になります。irbという名前のインターフェイスは、VLANのレイヤー3論理ルーターを設定できる論理ルーターとして機能します。ブリッジ環境とVPLS(仮想プライベートLANサービス)環境の両方で、冗長性を確保するために、IRBインターフェイスをVRRP(仮想ルーター冗長プロトコル)の実装と組み合わせることができます。

IRBインターフェイスの設定:

  1. 名前とVLAN IDを割り当てて、レイヤー2 VLANを作成します。
  2. IRB論理インターフェイスを作成します。
  3. IRBインターフェイスをVLANに関連付けます。

集合型イーサネットインターフェイスの設定と、そのインターフェイス上のLACPの設定

リンクアグリゲーション機能を使用して1つ以上のリンクを集約し、仮想リンクまたはLAG(リンクアグリゲーショングループ)を形成します。MACクライアントは、この仮想リンクを単一リンクのように扱うことで、帯域幅を拡大し、障害発生時に緩やかな劣化を提供し、可用性を高めることができます。

集合型イーサネットインターフェイスを設定するには:

  1. 作成するアグリゲートイーサネットインターフェイスの数を指定します。
  2. リンクアグリゲーショングループインターフェイスの名前を指定します。
  3. 集合型イーサネットインタフェース(aex)(すなわち定義されたバンドル)のリンク最小数を指定します。これにはupラベルを付けます。
  4. アグリゲートイーサネットバンドルのリンク速度を指定します。
  5. 集合型イーサネットバンドルに含めるメンバーを指定します。
  6. アグリゲートイーサネットバンドルのインターフェイスファミリーを指定します。

デバイス上の集合型イーサネットインターフェイスでは、LACP(リンクアグリゲーション制御プロトコル)を設定できます。LACPは、複数の物理インターフェイスをバンドルして、1つの論理インターフェイスを形成します。LACPを有効にしたかどうかに関わらず、集合型イーサネットは設定できます。

LACPを有効にすると、集合型イーサネットリンクのローカルおよびリモート側が、リンクの状態に関する情報を含むPDU(プロトコルデータユニット)を交換します。イーサネットリンクがPDUを能動的に送信するように設定したり、リンクが受動的に送信するように設定したりして、他のリンクあkらの受信時にのみLACPPDUを送信するように設定できます。リンクの片側はリンクを立ち上げるためにアクティブとして設定する必要があります。

LACPを設定するには:

  1. 集合型イーサネットリンクの片側をアクティブとして有効にします。

  2. インターフェイスがLACPパケットを送信する間隔を指定します。

ELS設定ステートメントとコマンド変更の理解

EX9200スイッチのJunos OSリリース12.3R2でELSが導入されました。ELSは、サポートされているEXシリーズおよびQFXシリーズスイッチのレイヤー2機能の一部のCLIを変更します。

以下のセクションは、CLI強化取り組みの一環として新しい階層レベルに移動されたか、EXシリーズスイッチで変更される既存のコマンドの一覧を示しています。これらのセクションは、ハイレベルのリファレンスとしてのみ提供されます。これらのコマンドの詳細については、提供された設定ステートメントへのリンクを使用するか、技術ドキュメントを参照してください。

ethernet-switching-options階層レベルへの変更

このセクションでは、ethernet-switching-options階層レベルへの変更について概説します。

注:

ethernet-switching-options階層レベルはswitch-optionsという名前に変更されました。

表 3: イーサネットスイッチングオプション階層の名前変更

元の階層

変更された階層

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
表 4: RTGステートメント

元の階層

変更された階層

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
表 5: 削除されたステートメント

元の階層

変更された階層

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

ステートメントはswitch-options階層から削除されました。

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

ステートメントはswitch-options階層から削除されました。

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
注:

port-error-disableステートメントは新しいステートメントに置き換えられました。

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

ポートミラーリング階層レベルの変更

注:

ステートメントはethernet-switching-options階層レベルからforwarding-options階層レベルに移動しました。

表 6: ポートミラーリング階層

元の階層

変更された階層

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

レイヤー2制御プロトコル階層レベルの変更

レイヤー2制御プロトコルステートメントはethernet-switching-options階層からprotocols階に移動しました。

表 7: レイヤー2制御プロトコル

元の階層

変更された階層

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

dot1q-tunnelingステートメントの変更

dot1q-tunnelingステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。

表 8: dot1q-tunneling

元の階層

変更された階層

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

L2学習プロトコルの変更

mac-table-aging-timeステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。

表 9: mac-table-aging-timeステートメント

元の階層

変更された階層

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

ノンストップブリッジングの変更

nonstop-bridgingステートメントは別の階層レベルに移動しました。

表 10: ノンストップブリッジングステートメント

元の階層

変更された階層

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

ポートセキュリティとDHCPスヌーピングの変更

ポートセキュリティとDHCPスヌーピングステートメントは、別の階層レベルに移動しました。

注:

examine-dhcpステートメントは変更された階層に存在しません。VLAN上で他のDHCPセキュリティ機能が有効になっている場合、DHCPスヌーピングが自動的に有効になりました。その他の情報については、ポートセキュリティの設定(ELS)を参照してください。

表 11: ポートセキュリティステートメント

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
ヒント:

許可されたmac設定では、元の階層ステートメントset ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8がELSコマンドset interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8に置き換えられます。

注:

DHCPスヌーピングステートメントは、別の階層レベルに移動しました。

表 12: DHCPスヌーピングステートメント

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

VLANの設定に対する変更

VLANを設定するステートメントは、別の階層レベルに移動しました。

注:

EX4300およびEX4600スイッチのJunos OSリリース14.1X53-D10以降、xSTPを有効にした場合、VLANに含まれる一部のまたはすべてのインターフェイスでそれを有効にできるようになりました。例えば、VLAN100がインターフェイスge-0/0/0、ge-0/0/1、およびge-0/0/2を含むように設定し、インターフェイスge-0/0/0およびge-0/0/2でMSTPを有効にしたい場合、set protocols mstp interface ge-0/0/0およびset protocols mstp interface ge-0/0/2コマンドを指定できます。この例では、インターフェイスge-0/0/1ではMSTPを明示的に有効にしませんでした。そのため、このインターフェイスではMSTPは有効になっていません。

表 13: VLAN階層

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
注:

ステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

これらのステートメントは削除されました。[edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name]階層を使用してインターフェイスをVLANに割り当てることができます。

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

ステートメントは削除されました。

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
注:

構文が変更されました。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

ステートメントが削除されます。Ingressトラフィックが自動的に追跡されます。

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

ステートメントが削除されます。

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

ステートメントは別の階層に移動しました。

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

ステートメントは削除されました。

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

ステートメントが削除されます。

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
注:

ステートメントは新しいステートメントに置き換えられました。

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
注:

構文が変更されました。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
表 14: ステートメントは別の階層に移動しました

元の階層

変更された階層

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunnelingの場合:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

layer2-protocol-tunnelingの場合(インターフェイスでMAC書き換えが有効になっている):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

ストーム制御プロファイルの変更

ストーム制御は、2つのステップで設定されます。最初のステップは[edit forwarding-options]階層レベルでストーム制御プロファイルを作成し、2つ目のステップは[edit interfaces]階層レベルでプロファイルを論理インターフェイスにバインドすることです。変更された手順については、「例:EXシリーズスイッチのネットワーク障害を防止するストーム制御の設定をご覧ください。

表 15: ストーム制御プロファイル階層レベルの変更

元の階層

変更された階層

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

インターフェイス階層の変更

注:

ステートメントは別の階層に移動しました。

表 16: インターフェイス階層の変更

元の階層

変更された階層

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
注:

ステートメントは新しいステートメントに置き換えられました。

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
注:

ステートメントは新しいステートメントに置き換えられました。

interfaces irb

IGMPスヌーピングの変更

表 17: IGMPスヌーピング階層

元の階層

変更された階層

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

セキュリティデバイス用の拡張レイヤー2CLI構成ステートメントおよびコマンドの変更点

Junos OSリリース15.1X49-D10およびJunos OSリリース17.3R1から、一部のレイヤー2CLI構成ステートメントが拡張され、一部のコマンドが変更されています。表 18表 19に、このCLI拡張の一環として、SRXシリーズのデバイスで新しい階層に移動されたり、変更されたりした既存コマンドのリストを示します。この表は、全体像を俯瞰するための参考資料としてのみ提供されています。これらのコマンドの詳細については、CLIエクスプローラを参照してください。

表 18: 拡張レイヤー2構成ステートメントの変更点

元の階層

変更された階層

階層レベル

変更の説明

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[編集]

名前が変更された階層。

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[editvlansvlans-name]

名前が変更されたステートメント。

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[editvlansvlans-name]

名前が変更されたステートメント。

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[edit security flow]

名前が変更されたステートメント。

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[editinterfacesinterface-name]ユニットunit-number

名前が変更された階層。

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[editvlansvlans-name]

名前が変更されたステートメント。

表 19: 拡張レイヤー2操作コマンドの変更点

元の操作コマンド

変更された操作コマンド

clear bridge mac-table

clear ethernet-switching table

clear bridge mac-table persistent-learning

clear ethernet-switching table persistent-learning

show bridge domain

show vlans

show bridge mac-table

show ethernet-switching table

showl2-learning interface

show ethernet-switching interface

注:

SRX300、SRX320、およびSRX500HMデバイスにfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。

ACXシリーズ向けのレイヤー2次世代モード

レイヤー 2 次世代モードは、拡張レイヤー 2 ソフトウェア(ELS)とも呼ばれ、レイヤー 2 機能を設定するため ACX5048、ACX5096、および ACX5448 ルーターでサポートされています。ACX5048、ACX5096、ACX5448ルーター向けのレイヤー2 CLIの設定と表示コマンドは、その他のACXシリーズのルーター(ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000)およびMXシリーズのルーター向けのそれとは異なります。

表 20は、レイヤー2次世代モードでレイヤー2機能を設定するためのCLI階層の違いを示しています。

表 20: レイヤー2次世代モードにおけるレイヤー2機能向けCLI階層の違い

機能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000 および MX シリーズ ルーター

ACX5048、ACX5096、ACX5448 ルーター

ブリッジ ドメイン

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

ファミリーbridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

レイヤー 2 オプション

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

イーサネット オプション

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Integrated Routing and Bridging(IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

ストーム制御

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

Internet Group Management Protocol (IGMP)スヌーピング

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

ファミリー bridgeファイアウォール フィルター

[edit firewall family bridge]

[edit firewall family ethernet-switching]

表 21は、レイヤー 2 次世代モードでのレイヤー 2 機能向けのshowコマンドの違いを示します。

表 21: レイヤー2次世代モードにおけるレイヤー2機能向け表示コマンドの違い

機能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000 および MX シリーズ ルーター

ACX5048、ACX5096、ACX5448 ルーター

VLAN

show bridge-domain

show vlans

MAC テーブル

show bridge mac-table

show ethernet-switching table

MAC テーブル オプション

show bridge mac-table(MAC アドレス、ブリッジドメイン名、インターフェイス、VLAN ID、インスタンス)

show ethernet-switching table

VLAN 割り当てによるスイッチ ポート リスト

show l2-learning interface

show ethernet-switching interfaces

フラッシュデータベースのカーネル状態

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

リリース履歴テーブル
リリース
説明
15.1X49-D40
Junos OSリリース15.1X49-D40以降では、 set protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。
15.1X49-D10
Junos OSリリース15.1X49-D10およびJunos OSリリース17.3R1から、いくつかのレイヤー2CLI構成ステートメントが拡張され、いくつかのコマンドが変更されています。