Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー2ネットワーク

レイヤー2ネットワーキングの概要

データリンク層としても知られるレイヤー2は、ネットワークプロトコル設計のための7層 OSI 参照モデルの第2レベルです。レイヤー2は、TCP/IP ネットワークモデルのリンクレイヤー (最下層) に相当します。Layer2 は、ワイドエリアネットワーク内の隣接するネットワークノード間、または同一のローカルエリアネットワーク上のノード間でデータを転送するために使用されるネットワークレイヤーです。

フレームは、レイヤー2ネットワーク上のビットの最小単位であるプロトコルデータユニットです。フレームは、同一のローカルエリアネットワーク (LAN) 上のデバイスとの間で送受信されます。Unilke ビット、フレームには構造が定義されており、エラー検知、制御プレーンのアクティビティなどに使用できます。すべてのフレームがユーザーデータを搬送するわけではありません。ネットワークは、データリンク自体を制御するためにいくつかのフレームを使用します。.

レイヤー2では、ユニキャストとは、1つのノードから別の1つのノードにフレームを送信することを指します。マルチキャストは、1つのノードから複数のノードへのトラフィックを送信し、ブロードキャストとは、ネットワーク内のすべてのノードにフレームを転送することを指します。ブロードキャストドメインは、ネットワークの論理的な区分であり、ブロードキャストによってレイヤー2でネットワークのすべてのノードにアクセスできます。

LAN のセグメントは、ブリッジを使用してフレームレベルでリンクすることができます。ブリッジングは、LAN 上に個別のブロードキャストドメインを作成し、Vlan を作成します。これは、関連するデバイスを独立したネットワークセグメントにグループ化する独立した論理ネットワークです。VLAN 上のデバイスのグループ化は、デバイスが物理的に LAN 内に配置されている場所には依存しません。ブリッジングと Vlan を使用しない場合、イーサネット LAN 上のすべてのデバイスが単一のブロードキャストドメインに含まれ、すべてのデバイスが LAN 上のすべてのパケットを検知します。

転送とは、ネットワークセグメント間でパケットを中継することです。VLAN では、送信元と宛先が同じ VLAN 内にあるフレームは、ローカル VLAN 内でのみ転送されます。ネットワークセグメントは、すべてのデバイスが同一の物理レイヤーを使用して通信するコンピューターネットワークの一部分です。

レイヤー2には2つのサブレイヤーが含まれています。

  • 論理リンク制御 (links) サブレイヤーは、通信リンクの管理とフレームトラフィックの処理を行います。

  • Media access control (MAC) サブレイヤーは、物理ネットワークメディアへのプロトコルアクセスを制御します。スイッチ上のすべてのポートに割り当てられている MAC アドレスを使用することで、同じ物理リンク上の複数のデバイスが相互に一意に識別できるようになります。

    スイッチのポート (インターフェイス) は、アクセスモード、タグ付きアクセス、またはトランクモードのいずれかで動作します。

    • アクセスモードポートは、デスクトップコンピューター、IP 電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は単一の VLAN に属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。

    • タグ付きアクセスモードのポートは、デスクトップコンピューター、IP 電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は単一の VLAN に属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。タグ付きアクセスモードは、クラウドコンピューティング、特に仮想マシンや仮想コンピューターなどのシナリオに対応します。1台の物理サーバーに複数の仮想マシンを含めることができるため、1台のサーバーによって生成されるパケットには、そのサーバー上のさまざまな virtual machines からの VLAN パケットのアグリゲーションが含まれる場合があります。このような状況に対応するために、タグ付きアクセスモードは、パケットの宛先アドレスがそのダウンストリームポートで学習された場合に、同じダウンストリームポート上の物理サーバーにパケットを戻します。宛先がまだ学習していない場合、パケットはダウンストリームポートの物理サーバーにも反射されます。そのため、3つ目のインターフェイスモード、タグ付きアクセスには、アクセスモードの特性とトランクモードの特徴があります。

    • トランクモードポートは、複数の vlan のトラフィックを処理し、同一の物理接続を介してこれらのすべての vlan のトラフィックを多重化します。トランクインターフェイスは、通常、スイッチを他のデバイスやスイッチと相互接続するために使用されます。

      ネイティブ VLAN が構成されていると、VLAN タグを持たないフレームがトランクインターフェイスを介して送信されます。パケットがアクセスモードでデバイスからスイッチに渡される状況で、これらのパケットをスイッチからトランクポート経由で送信する必要がある場合は、ネイティブ VLAN モードを使用します。スイッチのポート(アクセス モードである)の単一 VLAN をネイティブ VLAN として設定します。その後、スイッチのトランク ポートは、これらのフレームを他のタグ付きパケットとは異なる方法で扱います。たとえば、トランクポートに vlan 10 が割り当てられている場合は、2個の Vlan、10、20、30が使用されるため、それ以外の終端にトランクポートを残した VLAN 10 フレームには、802.1 Q ヘッダー (タグ) はありません。もう1つのネイティブ VLAN オプションがあります。タグ付けされていないパケットに、このスイッチを追加して削除することができます。そのためには、まず、エッジ上のデバイスに接続されたポートで、1つの VLAN をネイティブ VLAN として設定します。次に、デバイスに接続されたポートで、単一のネイティブ VLAN に VLAN ID タグを割り当てます。最後に、VLAN ID をトランクポートに追加します。これで、スイッチがタグなしパケットを受信すると、指定された ID を追加し、その VLAN を受け入れるように構成されたトランクポートでタグ付きパケットを送受信します。

サブレイヤーを含む QFX シリーズのレイヤー2は、以下の機能をサポートしています。

  • ユニキャスト、マルチキャスト、およびブロードキャストトラフィック

  • ギャップ.

  • VLAN 802.1Q(VLANタギングとも呼ばれる)では、VLAN タグをイーサネット フレームに追加することで、複数のブリッジ ネットワークが同じ物理ネットワーク リンクを透過的に共有できます。

  • STP (スパニングツリープロトコル) を使用した複数のスイッチ間でレイヤー 2 Vlan を拡張することで、ネットワーク全体でのループを防止します。

  • MAC 学習(VLAN ごとの MAC 学習とレイヤー 2 学習抑制を含む) – このプロセスでは、ネットワーク上のすべてのノードの MAC アドレスを取得します。

  • リンク アグリゲーション —このプロセスでは、物理レイヤーのイーサネット インターフェイスをグループ化し 、LAG( リンク アグリゲーション グループ)または LAG バンドルとも呼ばれる、1 つのリンク レイヤー インターフェイスを形成します。

    注:

    リンクアグリゲーションは、NFX150 デバイスではサポートされていません。

  • ユニキャスト、マルチキャスト、およびブロードキャスト用の物理ポートのストーム制御

    注:

    ストーム制御は NFX150 デバイスではサポートされていません。

  • 802.1 d、RSTP、MSTP、およびルートガードを含む STP のサポート

イーサネットスイッチングおよびレイヤー2透過モードの概要

レイヤー2透過モードでは、既存のルーティングインフラストラクチャに変更を加えることなく、ファイアウォールを導入できます。ファイアウォールは、複数の VLAN セグメントを備えたレイヤー2スイッチとして導入され、VLAN セグメント内にセキュリティーサービスを提供します。セキュアワイヤは、バンプの導入を可能にするレイヤー2透過モードの特別なバージョンです。

レイヤー2インタフェースとして定義されたインタフェースがある場合、デバイスは透明モードで動作します。レイヤー2インターフェイスとして構成された物理インタフェースがない場合、デバイスはルートモード (デフォルトモード) で動作します。

SRX シリーズデバイスでは、透過モードによってレイヤー2スイッチング機能のための完全なセキュリティサービスが提供されます。これらの SRX シリーズデバイスでは、1つまたは複数の Vlan を構成してレイヤー2スイッチングを実行できます。VLAN は、同一のフラッディングまたはブロードキャスト特性を共有する一連の論理インタフェースです。仮想 LAN (VLAN) と同様に、VLAN は複数のデバイスの1つまたは複数のポートにまたがります。したがって、SRX シリーズデバイスは、同じレイヤー2ネットワークに参加する複数の Vlan を備えたレイヤー2スイッチとして機能できます。

透過モードでは、SRX シリーズデバイスによって、IP パケットヘッダー内の送信元または宛先の情報を変更せずにデバイスを通過するパケットがフィルタリングされます。透過モードは、ルーターや保護されたサーバーの IP 設定を再構成する必要がないため、主に信頼されていないソースからのトラフィックを受信するサーバーを保護する場合に便利です。

透過モードでは、デバイス上のすべての物理ポートがレイヤー2インターフェイスに割り当てられます。レイヤー3トラフィックをデバイス経由でルーティングしないでください。レイヤー2ゾーンは、レイヤー2のインターフェイスをホストするように設定することができ、レイヤー2ゾーン間でセキュリティポリシーを定義できます。パケットがレイヤー2ゾーン間で移動している場合、セキュリティポリシーがこれらのパケットに適用されます。

表 1レイヤー2スイッチングに対して透過的モードでサポートされていないセキュリティ機能の一覧が記載されています。

表 1: 透過モードでサポートされるセキュリティー機能

モードタイプ

対応していない

透過モード

  • アプリケーション層ゲートウェイ (Alg)

  • ファイアウォールユーザー認証 (FWAUTH)

  • 侵入検知と防御 (IDP)

  • 画面

  • AppSecure

  • 統合脅威管理(UTM)

  • NAT(ネットワーク アドレス変換)

  • VPN

注:

SRX300、SRX320、SRX340、SRX345、SRX550M での各デバイスでは、DHCP サーバーの伝達はレイヤー2透過モードではサポートされていません。

さらに、SRX シリーズデバイスでは、レイヤー2透過モードのレイヤー2機能をサポートしていません。

  • STP(Spanning Tree Protocol)、RSTP、MSTP:ネットワーク トポロジにフラッディング ループが存在しなかから、ユーザーが責任を負います。

  • IGMP(Internet Group Management Protocol)スヌーピング:IPv4 対応ホストからルーターへのシグナリング プロトコル。マルチキャスト グループ のメンバーシップをネイバー ルーターに報告し、IP マルチキャスト中にグループ メンバーが存在するかどうかを判断するために使用します。

  • 802.1Q パケット内でカプセル化された二重タグ付き VLAN または IEEE 802.1Q VLAN 識別子(「Q in Q」VLAN タギングとも呼ばれる)—SRX シリーズ デバイスでは、タグ付きまたは単一タグ付き VLAN 識別子のみサポートされています。

  • VLAN 内での学習に使用されるMAC アドレスを持つ非認定 VLAN 学習では、デバイスでの VLAN SRX シリーズの学習が認定されます。VLAN識別子とインターフェイスの両方MAC アドレス使用されます

また、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、SRX650 の各デバイスでは、一部の機能がサポートされていません。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。以下の機能は、前述のデバイスのレイヤー2透過モードではサポートされていません。

  • レイヤー2インターフェースでの G-ARP

  • 任意のインターフェイスでの IP アドレス監視

  • IRB 経由の伝送トラフィック

  • ルーティングインスタンスの IRB インターフェイス

  • IRB インターフェイスのレイヤー3トラフィックの処理

    注:

    IRB のインターフェイスは擬似インターフェイスであり、reth インターフェイスおよび冗長化グループに属していません。

SRX5000 ラインモジュールポートコンセントレーターのレイヤー2透過モード

SRX5000 ラインモジュールポートコンセントレーター (SRX5K-MPC) は、レイヤー2透過モードをサポートし、レイヤー2透過モードで SRX シリーズデバイスが設定されているときにトラフィックを処理します。

SRX5K-MPC がレイヤー2モードで動作している場合、レイヤー2トラフィックをサポートするように、SRX5K-MPC のすべてのインターフェイスをレイヤー2スイッチングポートとして設定できます。

セキュリティ処理ユニット (SPU) はレイヤー2スイッチング機能のすべてのセキュリティサービスをサポートし、MPC は受信パケットを SPU に配信し、SPU でカプセル化された送信パケットをアウトゴーイングインターフェイスに転送します。

SRX シリーズデバイスがレイヤー2透過モードで構成されている場合、レイヤー2モードで動作する MPC 上のインターフェイスを有効にするには、1つまたは複数の論理ユニットを物理インタフェースEthernet switching上に定義することによって、ファミリーアドレスタイプをとします。後で、レイヤー2セキュリティゾーンの構成と透過的モードでのセキュリティポリシーの設定を進めることができます。これができれば、受信および送信パケットを処理するように設定された next-hop トポロジーが実現します。

セキュリティデバイスにおける透過モードでの IPv6 フローについて

透過モードでは、SRX シリーズデバイスは、パケット MAC ヘッダーの送信元または宛先の情報を変更することなく、デバイスを通過するパケットをフィルタリングします。透過モードは、ルーターや保護されたサーバーの IP 設定を再構成する必要がないため、主に信頼されていないソースからのトラフィックを受信するサーバーを保護する場合に便利です。

デバイス上のすべての物理インターフェイスがレイヤー2インターフェイスとして設定されている場合、デバイスは透過モードで動作します。物理インタフェースは、その論理インタフェースが [ ethernet-switchingedit interfaces interface-name unit unit-number family] 階層レベルのオプションで設定されている場合、レイヤー2インターフェースです。デバイスで透明モードを定義または有効にするためのコマンドはありません。レイヤー2インタフェースとして定義されたインタフェースがある場合、デバイスは透明モードで動作します。すべての物理インターフェイスがレイヤー3インターフェイスとして設定されている場合、デバイスはルートモード (デフォルトモード) で動作します。

デフォルトでは、IPv6 フローはセキュリティデバイスにドロップされています。ゾーン、画面、ファイアウォールポリシーなどのセキュリティ機能によって処理を有効にするには、[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションを使用して、IPv6 トラフィック用のフローベースの転送を有効にする必要があります。モードを変更する場合は、デバイスを再起動する必要があります。

透過モードでは、レイヤー2のインターフェイスをホストするようにレイヤー2ゾーンを構成し、レイヤー2ゾーン間でセキュリティーポリシーを定義できます。パケットがレイヤー2ゾーン間で移動している場合、セキュリティポリシーがこれらのパケットに適用されます。透過モードでは、IPv6 トラフィックに対して以下のセキュリティー機能がサポートされています。

以下のセキュリティー機能は、透過モードの IPv6 フローではサポートされていません

  • 論理システム

  • IPv6 GTPv2

  • J-Web インターフェイス

  • NAT

  • IPsec VPN

  • DNS、FTP、および TFTP Alg を除き、その他のすべての Alg はサポートされていません。

Vlan と IPv6 フロー用のレイヤー2論理インタフェースは、Vlan と IPv4 フロー用のレイヤー2論理インタフェースを構成するのと同じです。VLAN 内の管理トラフィック用に、統合型ルーティングおよびブリッジング (IRB) インターフェイスを構成することもできます。IRB インターフェイスは、透過モードで許可されている唯一のレイヤー3インターフェイスです。SRX シリーズデバイスの IRB インターフェイスは、トラフィック転送やルーティングをサポートしていません。IRB インターフェイスは、IPv4 と IPv6 の両方のアドレスを使用して設定できます。IRB インターフェイスに IPv6 アドレスを割り当てるには、[ edit interfaces irb unit number family inet6] 階層レベルのaddress 設定ステートメントを使用します。IRB インターフェイスに IPv4 アドレスを割り当てるには、[ addressedit interfaces irb unit number family inet] 階層レベルの設定ステートメントを使用します。

SRX シリーズデバイス上のイーサネットスイッチ機能は、ジュニパーネットワークス MX シリーズルーターのスイッチング機能に似ています。ただし、MX シリーズルーターでサポートされているすべてのレイヤー2ネットワーク機能が SRX シリーズデバイスでサポートされるわけではありません。参照イーサネットスイッチングおよびレイヤー2透過モードの概要してください。

SRX シリーズデバイスは、各レイヤー 2 VLAN の MAC アドレスと関連インターフェイスを含む転送テーブルを保持しています。IPv6 のフロー処理は、IPv4 フローに似ています。参照レイヤー 2 ラーニングおよび VLAN 転送の概要してください。

セキュリティデバイスにおけるレイヤー2透過モードシャーシクラスターについて

レイヤー2透過モードの SRX シリーズデバイスのペアをシャーシクラスターに接続することで、ネットワークノードの冗長化を実現できます。シャーシクラスターで構成された場合、1つのノードがプライマリデバイスとして動作し、他方はセカンダリデバイスとして機能し、システムまたはハードウェアに障害が発生したときにプロセスとサービスのステートフルフェイルオーバーを確実に行います。プライマリデバイスに障害が発生した場合、セカンダリデバイスはトラフィックの処理を引き継ぎます。

注:

レイヤー2透過モードシャーシクラスターでプライマリデバイスに障害が発生した場合、障害が発生したデバイスの物理ポートが数秒後にアクティブになる (起動される) ようになります。

シャーシクラスターを形成するために、同じ種類のサポートされた SRX シリーズデバイスを組み合わせて、同一のシステムとして機能することで、同じように全体的なセキュリティを同じように適用できます。

レイヤー2透過モードのデバイスは、アクティブ/バックアップおよびアクティブ/アクティブシャーシクラスター構成に導入できます。

レイヤー2透過モードのデバイスでは、次のシャーシクラスター機能はサポートされていません。

  • Gratuitous ARP —冗長グループで新たに選択されたプライマリは、冗長イーサネット インターフェイス リンク上でプライマリ ロールの変更をネットワーク デバイスに通知するために、gratuitous ARP要求を送信できません。

  • IP アドレス監視:アップストリーム デバイスの障害は検出できません。

冗長グループは、両方のノード上のオブジェクトのコレクションを含む構成要素です。冗長グループは、1つのノードではプライマリであり、他方はバックアップされています。ノード上で、冗長グループがプライマリになっている場合、そのノード上のオブジェクトがアクティブになっています。冗長グループがフェイルオーバーすると、そのすべてのオブジェクトが一緒にフェイルオーバーされます。

アクティブ/アクティブシャーシクラスター構成で 1 ~ 128 の番号が付けられた1つまたは複数の冗長グループを作成できます。各冗長性グループには、1つ以上の冗長イーサネットインターフェイスが含まれています。冗長化されたイーサネットインターフェイスは、クラスターの各ノードからの物理インターフェイスを含む擬似インターフェイスです。冗長なイーサネット インターフェイスの物理インターフェイスは、高速イーサネットまたはギガビット イーサネットのいずれか、同じ種類である必要があります。ノード0で冗長グループがアクティブになっている場合、ノード0上のすべての関連する冗長イーサネットインターフェイスの子リンクがアクティブになります。冗長グループがノード1にフェイルオーバーすると、ノード1上のすべての冗長イーサネットインターフェイスの子リンクがアクティブになります。

注:

アクティブ/アクティブシャーシクラスター構成では、冗長化グループの最大数は、構成した冗長イーサネットインターフェイスの数と同じになります。アクティブ/バックアップシャーシクラスター構成では、サポートされる冗長グループの最大数は2つです。

レイヤー2透過モードでデバイスに冗長イーサネットインターフェイスを構成することは、レイヤー3ルートモードのデバイスに冗長化されたイーサネットインターフェイスを構成するのと似ています。これは、次のような違いがあります。レイヤー2透過モードのデバイスの冗長イーサネットインターフェイスは、レイヤー 2論理インタフェースとして構成されています。

冗長化されたイーサネットインターフェイスは、アクセスインターフェイス (インターフェイスで受信したタグなしパケットに1つの VLAN ID が割り当てられる) またはトランクインターフェイスとして設定できます (インターフェイスで受け付けられた VLAN id のリストと、必要に応じてネイティブ vlan idタグなしのパケットを受信しています)。物理インターフェイス (シャーシクラスター内の各ノードから1つ) は、親の冗長化イーサネットインターフェイスに子インターフェイスとしてバインドされます。

レイヤー2透過モードでは、MAC ラーニングは冗長化されたイーサネットインターフェイスをベースにしています。MAC テーブルは、シャーシクラスターデバイスのペアとの間で、冗長化されたイーサネットインターフェイスとサービス処理ユニット (SPUs) に同期しています。

IRB インターフェイスは、管理トラフィックのみに使用されます。また、冗長イーサネットインターフェイスや冗長構成グループに割り当てることはできません。

単一の非クラスター化デバイスに対して使用可能なすべて Junos OS スクリーンオプションは、レイヤー2透過モードシャーシクラスターのデバイスで使用できます。

注:

レイヤー2透過モードでは、スパニングツリープロトコル (STPs) はサポートされていません。導入トポロジにループ接続が存在しないことを確認する必要があります。

SRX デバイスでのアウトオブバンド管理の設定

レイヤー 2 インターフェイスがデバイスで定義されている場合でも、SRX シリーズ デバイスのアウトオブバンド管理インターフェイスをレイヤー fxp0 3 インターフェイスとして設定できます。インターフェイスを除き、デバイスのネットワーク ポートでレイヤー 2 およびレイヤー fxp0 3 インターフェイスを定義できます。

注:

SRX300、SRX320、srx550m での各デバイスに fxp0 のアウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。

イーサネット スイッチング

イーサネットスイッチングは、イーサネット MAC アドレス情報を使用して、LAN セグメント (または VLAN) 内またはその内部でイーサネットフレームを転送します。SRX1500 デバイスでのイーサネットスイッチングは、ASICs を使用してハードウェアで実行されます。

Junos OS リリース 15.1 X49-D40 では、このset protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用してレイヤー2透過型ブリッジモードとイーサネットスイッチングモードを切り替えます。モードを切り替える後、設定を有効にするためにデバイスを再起動する必要があります。 表 2 では、これらのデバイスにおけるデフォルトのレイヤー 2 グローバル モードについてSRX シリーズ説明します。

表 2: SRX シリーズデバイス上のデフォルトレイヤー2グローバルモード

Junos OS リリース

プラットフォーム

デフォルトレイヤー2グローバルモード

説明

Junos OS リリース 15.1 X49 の前-D50

および

Junos OS リリース 17.3 R1 以降

SRX300、SRX320、SRX340、SRX345

スイッチングモード

なし

Junos OS リリース 15.1 X49-D50 to Junos OS Release 15.1 X49-D90

SRX300、SRX320、SRX340、SRX345

スイッチングモード

デバイスでレイヤー2グローバルモード構成を削除すると、デバイスは透過的なブリッジモードになります。

Junos OS リリース 15.1 X49-D100 以降

SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M で

スイッチングモード

デバイスでレイヤー2グローバルモード構成を削除すると、デバイスはスイッチングモードになります。透過型set protocols l2-learning global-mode transparent-bridgeブリッジモードに[edit]切り替えるには、階層レベル下でコマンドを設定します。デバイスを再起動して設定を有効にします。

Junos OS リリース 15.1 X49-D50 以降

SRX1500

透過型ブリッジモード

なし

スイッチングモードでサポートされているレイヤー2プロトコルは、リンクアグリゲーション制御プロトコル (LACP) です。

冗長化されたイーサネットインターフェイスでレイヤー2透過モードを構成できます。冗長化されたイーサネットインターフェイスを定義するには、以下のコマンドを使用します。

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX シリーズデバイスでのレイヤー2スイッチングの例外

SRX シリーズデバイス上のスイッチング機能は、ジュニパーネットワークス MX シリーズルーターのスイッチング機能に似ています。ただし、MX シリーズルーターの以下のレイヤー2ネットワーク機能は SRX シリーズデバイスではサポートされていません。

  • レイヤー 2 制御プロトコル —これらのプロトコルは、VPLS ルーティング インスタンスの カスタマー エッジ インターフェイスにある MX シリーズ ルーターで、RSTP(Rapid Spanning Tree Protocol)または MSTP(Multiple Spanning Tree Protocol)に使用されます。

  • 仮想スイッチ ルーティング インスタンス — 仮想スイッチング ルーティング インスタンスは、MX シリーズ VLAN をグループ化するために使用されます。

  • VPLS(仮想プライベートLANサービス)ルーティング インスタンス — VPLSルーティング インスタンスはMX シリーズルーター上で、VPN内の一連のサイト間にポイントアンドマルチポイントLANを実装するために使用されます。

ユニキャストについて

Unicastingは、ネットワークのノード間でデータを送信する行為です。対照的に、マルチキャスト伝送では、1つのデータノードから他の複数のデータノードへのトラフィックが送信されます。

不明なユニキャストトラフィックは、不明な宛先 MAC アドレスを持つユニキャストフレームで構成されます。デフォルトでは、vlan 内で移動しているこれらのユニキャストフレームは、スイッチによってすべてのインターフェイスに対して、すべてに所属しています。このタイプのトラフィックをスイッチ上のインターフェイスに転送すると、セキュリティ上の問題が発生する可能性があります。ネットワークのパフォーマンスが低下したり、ネットワークサービスの完全な損失が発生したりすることを招く不要なトラフィックが発生して、パケットが大量にあふれ、LAN が急増しています。これはトラフィックストームとして知られています。

落雷を防止するために、1つの VLAN またはすべての Vlan を構成して、不明なユニキャストトラフィックを特定のトランクインターフェイスに転送することで、不明なユニキャストパケットをすべてのインターフェイスに氾濫させることができます。(これにより、不明なユニキャストトラフィックが単一のインターフェイスにチャネルします)。

スイッチ上でのレイヤー2ブロードキャストについて

レイヤー2ネットワークでは、ブロードキャストとは、ネットワーク上のすべてのノードにトラフィックを送信することを意味します。

レイヤー2ブロードキャストトラフィックは、ローカルエリアネットワーク (LAN) の境界内に留まります。ブロードキャストドメインとして知られています。レイヤー2ブロードキャストトラフィックは、FF の MAC アドレス (ff: ff: ff: ff) を使用してブロードキャストドメインに送信されます。ブロードキャストドメイン内のすべてのデバイスは、この MAC アドレスを認識し、ブロードキャストドメイン内の他のデバイスに転送トラフィックを渡します (該当する場合)。ブロードキャストは、unicasting (1 つのノードにトラフィックを送信する) またはマルチキャスト (トラフィックを同時にノードのグループに配信する) と比較することができます。

ただし、レイヤー3ブロードキャストトラフィックは、ブロードキャストネットワークアドレスを使用して、ネットワーク内のすべてのデバイスに送信されます。たとえば、ネットワークアドレスが10.0.0.0 の場合、ブロードキャストネットワークアドレスは10.255.255.255 になります。この場合、10.0.0.0 ネットワークに属するデバイスのみがレイヤー3ブロードキャストトラフィックを受信します。このネットワークに属していないデバイスは、トラフィックを破棄します。

ブロードキャストは、以下の状況で使用されています。

  • アドレス解決プロトコル (ARP) では、ブロードキャストを使用して MAC アドレスを IP アドレスにマッピングします。ARP は IP アドレス (論理アドレス) を適切な MAC アドレスに動的に結合します。IP ユニキャストパケットを送信する前に、IP アドレスが設定されているイーサネットインターフェイスによって使用される MAC アドレスを検出します。

  • 動的ホスト構成プロトコル (DHCP) では、ブロードキャストを使用して、ネットワークセグメントまたはサブネット上のホストに IP アドレスを動的に割り当てます。

  • ルーティングプロトコルは、ブロードキャストを使用してルートをアドバタイズします。

過剰なブロードキャストトラフィックによってブロードキャストストームが生じることがあります。ブロードキャストストームが発生するのは、メッセージがネットワーク上でブロードキャストされているときに、各メッセージがネットワーク上で自身のメッセージをブロードキャストすることによって、受信側ノードに応答していることを示します。これにより、snowball エフェクトを作成するために、さらに応答を求めるプロンプトが表示されます。ネットワークのパフォーマンスが低下したり、ネットワークサービスの完全な損失が発生したりすることを招く不要なトラフィックが発生して、パケットが大量にあふれ、LAN が急増しています。

拡張レイヤー2ソフトウェア CLI を使用する

拡張レイヤー 2 Software (ELS) は、QFX シリーズスイッチ、EX シリーズスイッチ、その他のジュニパーネットワークスデバイス (MX シリーズルーターなど) 上でレイヤー2の機能を構成および監視するための統一された CLI を提供します。ELS では、これらのジュニパーネットワークスデバイスのレイヤー2機能を同じように構成できます。

このトピックでは、プラットフォームが ELS を実行しているかどうかを確認する方法について説明します。また、ELS 形式の構成を使用していくつかの一般的な作業を実行する方法についても説明します。

ELS をサポートするデバイスについて

デバイスが、それをサポートする Junos OS リリースを実行している場合、ELS が自動的にサポートされます。ELS を有効にするためにアクションを実行する必要はありません。また、ELS を無効にすることもできません。どのプラットフォームとリリースが ELS でサポートされるかについては、『 Feature Explorer 』を参照してください。

ELS を使用してレイヤー2の機能を構成する方法について

ELS は統一された CLI を提供するため、以下のタスクを同様の方法でサポートされるデバイスで実行できます。

VLAN の構成

レイヤー2ブリッジングを実行するように1つ以上の Vlan を構成できます。レイヤー2ブリッジング機能には、1つのインターフェイス上でレイヤー2ブリッジングおよびレイヤー 3 IP ルーティングをサポートする統合ルーティングおよびブリッジング (IRB) が含まれています。EX シリーズおよび QFX シリーズスイッチは、レイヤー2スイッチとして機能します。それぞれが、複数のブリッジを使用するか、同一レイヤー2ネットワークに参加するドメインをブロードキャストします。また、VLAN のレイヤー3ルーティングのサポートを構成することもできます。

VLAN を構成するには、次のようにします。

  1. 次のように、一意の VLAN 名を設定し、VLAN ID を構成することで、VLAN を作成します。

    [VLAN ID リスト] オプションを使用すると、必要に応じて VLAN Id の範囲を指定できます。

  2. 少なくとも1つのインターフェイスを VLAN に割り当てます。

ネイティブ VLAN 識別子の構成

EX シリーズおよび QFX シリーズスイッチは、ルーティングまたはブリッジドイーサネットフレームの受信と転送をサポートし、802.1 Q VLAN タグを使用します。通常、スイッチを相互に接続し、タグ付けされていないコントロールパケットを受け入れますが、タグなしデータパケットは受け入れないようにするトランクポートです。タグ化されていないデータパケットを受信するインターフェイス上でネイティブ VLAN ID を構成することにより、トランクポートがタグなしデータパケットを受け入れられるようにすることができます。

ネイティブ VLAN ID を設定するには、次のようにします。

  1. タグなしデータパケットを受信するインターフェイスで、インターフェイスモードをtrunk設定し、インターフェイスが複数の vlan にあることを指定し、異なる vlan 間のトラフィックを多重化することができます。
  2. ネイティブ vlan ID を設定し、インターフェイスをネイティブ VLAN ID に割り当てます。
  3. インターフェイスをネイティブ VLAN ID に割り当てるには、次のようにします。

レイヤー2インターフェイスの構成

最適なパフォーマンスが得られるように高トラフィックネットワークを調整するには、スイッチのネットワークインターフェイスでいくつかの設定を明示的に構成します。

ギガビットイーサネットインターフェイスまたは10ギガビットイーサネットインターフェイスをtrunkインターフェイスとして構成するには、次のようにします。

ギガビットイーサネットインターフェイスまたは10ギガビットイーサネットインターフェイスをaccessインターフェイスとして構成するには、次のようにします。

VLAN にインターフェイスを割り当てるには、次のようにします。

レイヤー3インターフェイスの構成

レイヤー3インターフェイスを構成するには、IP アドレスをインターフェイスに割り当てる必要があります。インターフェイスにアドレスを割り当てるには、プロトコルファミリを構成するときにアドレスを指定します。inetまたはファミリinet6には、インターフェイス IP アドレスを構成します。

32ビット IP バージョン 4 (IPv4) アドレス、およびオプションで宛先プレフィックス (サブネットマスクと呼ばれる場合もある) を持つインターフェイスを構成できます。IPv4 アドレスは、4オクテットのドット10進表記法 (192.168.1.1 など) を使用します。宛先プレフィックスを持つ IPv4 アドレスは、宛先プレフィックス (192.168.1.1/16 など) を付加した4オクテット10進表記法を使用します。

論理ユニットの IP4 アドレスを指定するには、次のようにします。

16ビット値のコロン区切りのリストを使用して、IP バージョン 6 (IPv6) アドレスを16進表記で表します。インターフェイスに128ビット IPv6 アドレスを割り当てます。

論理ユニットの IP6 アドレスを指定するには、次のようにします。

IRB インターフェイスの設定

統合型ルーティングおよびブリッジング (IRB) は、同一インターフェイス上でレイヤー2ブリッジングとレイヤー 3 IP ルーティングをサポートします。IRB では、パケットを別のルーティングインターフェイスや、レイヤー3プロトコルが構成された別の VLAN にルーティングできます。IRB のインターフェイスを使用すると、ローカルアドレスに送信されているパケットをデバイスで認識できるため、可能なときにブリッジ (スイッチ) され、必要な場合にのみルーティングされます。パケットをルーティングせずに交換できる場合は、いくつかの処理レイヤーが不要になります。Irb という名前のインターフェイスは、VLAN 用レイヤー3論理インタフェースを構成できる論理ルーターとして機能します。冗長性を確保するために、ブリッジおよび仮想プライベート LAN サービス (VPLS) 環境の両方で、IRB インターフェイスを仮想ルーター冗長プロトコル (VRRP) の実装と組み合わせることができます。

IRB のインターフェイスを構成するには、次のようにします。

  1. 次の名前と VLAN ID を割り当て、レイヤー 2 VLAN を作成します。
  2. IRB 論理インタフェースを作成します。
  3. IRB インターフェイスを VLAN に関連付けます。

集合イーサネットインターフェイスを構成し、そのインターフェイス上で LACP を構成する

リンクアグリゲーション機能を使用して、1つまたは複数のリンクを集約して、仮想リンクまたはリンクアグリゲーショングループ (LAG) を形成します。MAC クライアントは、この仮想リンクを単一リンクとして扱い、帯域幅を拡大し、障害発生時のグレースフルパフォーマンスを提供し、可用性を向上させることができます。

集合イーサネットインターフェイスを構成するには、次のようにします。

  1. 作成する集合イーサネットインターフェイスの数を指定します。
  2. リンクアグリゲーショングループインターフェイスの名前を指定します。
  3. ラベル付けするアグリゲート イーサネット インターフェイス(aex)–(定義済みバンドル)の最小リンク数を指定 します
  4. アグリゲート型イーサネットバンドルのリンク速度を指定します。
  5. アグリゲート型イーサネットバンドルに含めるメンバーを指定します。
  6. アグリゲート型イーサネット・バンドルのインターフェイス・ファミリーを指定します。

デバイスのアグリゲート型イーサネットインターフェイスでは、リンクアグリゲーション制御プロトコル (LACP) を設定できます。LACP は、1つの論理インタフェースを形成するために複数の物理インターフェイスをバンドルしています。LACP を有効にするか、または使用せずに、アグリゲートイーサネットを設定できます。

LACP が有効になっている場合、アグリゲートイーサネットのローカルおよびリモート側は、リンクの状態に関する情報を含む exchange プロトコルデータユニット (Pdu) をリンクします。イーサネットリンクをアクティブに送信するように構成することも、パッシブに送信するようにリンクを構成して、受動的に転送したり、他のリンクから受信したときにのみ LACP Pdu を送信したりすることもできます。リンクの片側は、リンクをアップするためにアクティブになるように設定されている必要があります。

LACP を構成するには

  1. アグリゲート型イーサネットリンクの一方の側をアクティブとして有効にする:

  2. インターフェイスが LACP パケットを送信する間隔を指定します。

ELS の構成ステートメントとコマンドの変更について

EX9200 スイッチの Junos OS リリース 12.3 R2 で導入されました。ELS は、サポートされている EX シリーズおよび QFX シリーズスイッチ上のレイヤー2の一部の機能について CLI を変更します。

以下のセクションでは、この CLI の拡張作業の一環として、EX シリーズスイッチで新しい階層レベルに移行された既存のコマンドのリストを示します。これらのセクションは、高レベルの参考資料としてのみ提供されています。これらのコマンドの詳細については、記載されている構成ステートメントへのリンクを使用するか、技術資料を参照してください。

イーサネットスイッチングオプションの階層レベルの変更

このセクションでは、階層レベルethernet-switching-optionsの変更について概説します。

注:

ethernet-switching-options階層レベルは名前が変更さswitch-optionsれています。

表 3: イーサネットスイッチングオプション階層の名前変更

元の階層

変更された階層

ethernet-switching-options {
    authentication-whitelist {
        ...
    }
}
switch-options {
    ...
    authentication-whitelist {
        ...
    }
}
ethernet-switching-options {
     interfaces interface-name {
        no-mac-learning;
        ...
    }
}
switch-options {
     interfaces interface-name {
         no-mac-learning;
        ...
    }
}
ethernet-switching-options {
    unknown-unicast-forwarding {
        (...)
        }
}
switch-options {
    unknown-unicast-forwarding {
        (...)
        }
}
ethernet-switching-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
switch-options {
     voip {
         interface (all | [interface-name | access-ports]) {
             forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
             vlan vlan-name;
                ...
        }
    }
}
表 4: RTG ステートメント

元の階層

変更された階層

ethernet-switching-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
switch-options {
    redundant-trunk-group {
        group name {
            description;
            interface interface-name {
                primary;
            }
            preempt-cutover-timer seconds;
            ...
        }
    }
}
表 5: 削除されたステートメント

元の階層

変更された階層

ethernet-switching-options {
    mac-notification {
        notification-interval seconds;
        ...
    }
}

明細書はswitch-options階層から削除されています。

ethernet-switching-options {
     traceoptions {
        file filename <files number> <no-stamp> <replace> 
<size size> <world-readable | no-world-readable>;
        flag flag <disable>;
        ...
    }
}

明細書はswitch-options階層から削除されています。

ethernet-switching-options {
    port-error-disable {
        disable-timeout timeout;
        ...
    }
}
注:

port-error-disable文は新しい文に置き換えられました。

interfaces interface-name family ethernet-switching {
    recovery-timeout seconds;
}

ポートミラーリング階層レベルの変更

注:

明細書は、 ethernet-switching-options階層レベルからforwarding-options階層レベルに移動されました。

表 6: ポートミラーリング階層

元の階層

変更された階層

ethernet-switching-options {
    analyzer   {
         name {
            ...
        }
    }
}
forwarding-options {
    analyzer   {
         name {
            ...
        }
    }
}

レイヤー2制御プロトコル階層レベルの変更

レイヤー2制御プロトコルステートメントは、 ethernet-switching-options階層構造からprotocols階層構造に移行されました。

表 7: レイヤー2制御プロトコル

元の階層

変更された階層

ethernet-switching-options {
     bpdu-block {
        ...
    }
}
protocols {
     layer2-control {
        bpdu-block {
            ...
        }
    }
}

Dot1q-トンネリングステートメントの変更点

このdot1q-tunnelingステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。

表 8: dot1q-tunneling

元の階層

変更された階層

ethernet-switching-options {
     dot1q-tunneling {
         ether-type (0x8100 | 0x88a8 | 0x9100);
            ...
    }
}
interfaces interface-name {
    ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}
interfaces interface-name {
    aggregated-ether-options {
        ethernet-switch-profile {
            tag-protocol-id [tpids];
        }
    }
}

L2 の学習プロトコルの変更

このmac-table-aging-timeステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。

表 9: mac-テーブル-エージング時ステートメント

元の階層

変更された階層

ethernet-switching-options {
    mac-table-aging-time seconds;
        ...
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

無着陸ブリッジングへの変更

このnonstop-bridgingステートメントは、別の階層レベルに移行しました。

表 10: 無着陸のブリッジングステートメント

元の階層

変更された階層

ethernet-switching-options {
    nonstop-bridging;
}
protocols {
    layer2-control {
        nonstop-bridging {
        }
    }
}

ポートのセキュリティと DHCP スヌーピングの変更

ポートセキュリティと DHCP スヌーピングステートメントは、さまざまな階層レベルに移行しています。

注:

ステートメントexamine-dhcpは変更された階層に存在しません。VLAN 上で他の DHCP セキュリティー機能が有効になっている場合、DHCP スヌーピングが自動的に有効になります。詳細については、「ポートセキュリティ (ELS) の構成」を参照してください。

表 11: ポートセキュリティーステートメント

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port {
         interface (all | interface-name) {
            (dhcp-trusted | no-dhcp-trusted );
             static-ip  ip-address {
                 mac mac-address; 
                 vlan  vlan-name;
            }
        }
         vlan (all | vlan-name) {
            (arp-inspection | no-arp-inspection );
             dhcp-option82 {
                disable;
                     circuit-id {
                     prefix hostname;
                     use-interface-description;
                     use-vlan-id;
                }
                 remote-id {
                     prefix (hostname | mac | none);
                     use-interface-description;
                     use-string string;
                }
                 vendor-id [string];
            }
            (examine-dhcp | no-examine-dhcp);
            }
            (ip-source-guard | no-ip-source-guard);
        }
    }
vlans vlan-name forwarding-options{
    dhcp-security {
        arp-inspection; 
        group group-name {
            interfaceiinterface-name {
                static-ip ip-address {
                    mac mac-address;
                }
            }
            overrides {
                no-option82; 
                trusted; 
            }
        }
        ip-source-guard; 
        no-dhcp-snooping; 
        option-82 {
            circuit-id {
                prefix {
                    host-name; 
                    routing-instance-name;
                }
                use-interface-description (device | logical); 
                use-vlan-id; 
            }
            remote-id {
                host-name; 
                use-interface-description (device | logical); 
                use-string string;
            }
            vendor-id {
                use-string string;
            }
        }
    }
ヒント:

許可された mac 構成では、 set ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8元の階層ステートメントは ELS コマンドに置き換えられるset interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8

注:

DHCP スヌーピングステートメントは別の階層レベルに移行しました。

表 12: DHCP スヌーピングステートメント

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port {
        dhcp-snooping-file {
            location local_pathname | remote_URL;
            timeout seconds;
            write-interval seconds;
        }
system [
    processes [
        dhcp-service
            dhcp-snooping-file local_pathname | remote_URL;
                write-interval interval;
            }
    }

Vlan の構成の変更

Vlan を構成するための文は、別の階層レベルに移行しました。

注:

Junos OSおよび14.1X53-D10 EX4300およびEX4600スイッチのJunos OSリリースリリースから 、xSTPを有効にするときに、VLANに含まれる一部またはすべてのインターフェイスで有効にできます。たとえば、MSTP/0/0、ge 0/0/1、および ge-0/0/2 のインターフェイスを含むように VLAN 100 を設定し、インターフェイス ge 0/0/0/0/2 を有効にする場合、 set protocols mstp interface ge-0/0/0 and set protocols mstp interface ge-0/0/2コマンドを指定することができます。この例では、interface ge-0/0/1 で明示的に MSTP を有効にしていませんでした。そのため、MSTP はこのインターフェイスで有効ではありません。

表 13: VLAN 階層

元の階層

変更された階層

 ethernet-switching-options {
     secure-access-port vlan (all | vlan-name{
        mac-move-limit
    }
vlans vlan-name  switch-options {
    mac-move-limit
}
ethernet-switching-options {
    static {
        vlan vlan-id {
            mac mac-address next-hop interface-name;
            ...
        }
    }
}
注:

ステートメントは新しいステートメントと置き換えられ、別の階層レベルに移行しました。

vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                static-mac mac-address;
                    ...
            }
        }
    }
}
vlans {
    vlan-name {
        interface interface-name { 
            egress;
            ingress;
            mapping (native (push | swap) | policy | tag (push | swap));
            pvlan-trunk;
            ...
        }
    }
}

これらのステートメントは削除されています。[edit interfaces interface-name unit logical-unit-number family ethernet-switching vlan members vlan-name]階層を使用して、VLAN にインターフェイスを割り当てることができます。

vlans {
    vlan-name {
        isolation-id id-number;
            ...
    }
}

ステートメントが削除されています。

vlans {
    vlan-name {
        interface vlan.logical-interface-number;
            ...
    }
}
注:

構文が変更されています。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
vlans {
    vlan-name {
        l3-interface-ingress-counting layer-3-interface-name; 
            ...
    }
}

ステートメントは削除されます。受信トラフィックは自動的に追跡されます。

vlans {
    vlan-name {
        no-local-switching;
            ...
    }
}

ステートメントは削除されます。

vlans {
    vlan-name {
        no-mac-learning;
            ...
    }
}

ステートメントは別の階層に移動されました。

vlans {
    vlan-name {
        switch-options {
            no-mac-learning limit 
                ...
        }
    }
}
vlans {
    vlan-name {
        primary-vlan vlan-name;
            ...
    }
}

ステートメントが削除されています。

vlans {
    vlan-name {
        vlan-prune;
            ...
    }
}

ステートメントは削除されます。

vlans {
    vlan-name {
        vlan-range vlan-id-low-vlan-id-high;
            ...
    }
}
注:

ステートメントは新しいステートメントに置き換えられています。

vlans {
    vlan-name {
        vlan-id-list [vlan-id-numbers];
            ...
    }
}
vlans {
    vlan-name {
        l3-interface vlan.logical-interface-number;
            ...
    }
}
注:

構文が変更されています。

vlans {
    vlan-name {
        interface irb.logical-interface-number;
            ...
    }
}
表 14: 別の階層に移動したステートメント

元の階層

変更された階層

vlans {
    vlan-name {
        dot1q-tunneling {
            customer-vlans (id | native | range);
            layer2-protocol-tunneling all | protocol-name {
                drop-threshold number;
                shutdown-threshold number;
                    ...
            }
        }
    }
}

dot1q-tunneling:

interface interface-name {
    encapsulation extended-vlan-bridge; 
    flexible-vlan-tagging; 
    native-vlan-id number; 
    unit logical-unit-number {
        input-vlan-map action; 
        output-vlan-map action;
        vlan-id number;
        vlan-id-list [vlan-id vlan-idvlan-id];
    }
}

For layer2-protocol-tunneling (インターフェイスで MAC リライトが有効になっている場合):

protocols {
    layer2-control {
        mac-rewrite {
            interface interface-name {
                protocol {
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        filter{
            input  filter-name
            output  filter-name;
            ...
        }
    }
}
vlans {
    vlan-name {
        forwarding-options {
            filter{
                input  filter-name
                output  filter-name;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        mac-limit limit action action;
            ...
    }
}
vlans {
    vlan-name {
        switch-options {
            interface-mac-limit limit {
                packet-action action;
                ...
            }
        }
    }
}
vlans {
    vlan-name {
        switch-options {
            interface interface-name {
                interface-mac-limit limit {
                    packet-action action;
                    ...
                }
            }
        }
    }
}
vlans {
    vlan-name {
        mac-table-aging-time seconds;
            ...
    }
}
protocols {
     l2-learning {
        global-mac-table-aging-time seconds;
            ...
    }
}

嵐の制御プロファイルの変更

嵐の制御は2つのステップで構成されています。最初のステップは、 [edit forwarding-options]階層レベルでストーム制御プロファイルを作成することです。2番目のステップは、プロファイルを階層レベルの[edit interfaces]論理インターフェイスにバインドすることです。例をご覧ください。EX シリーズスイッチのネットワーク停止を回避するように、ストーム制御を設定して、手順を変更しました。

表 15: ストーム制御プロファイル階層レベルの変更

元の階層

変更された階層

ethernet-switching-options {
    storm-control {
        (...)
        }
}
forwarding-options {
    storm-control-profiles profile-name {
        (...)
        }
    }
interfaces interface-name unit number family ethernet-switching {
    storm-control storm-control-profile;
}

インターフェイス階層の変更

注:

ステートメントは別の階層に移動されました。

表 16: インターフェイス階層の変更

元の階層

変更された階層

interfaces interface-name {
    ether-options {
        link-mode mode;
        speed (auto-negotiation | speed)
    }
}
interfaces interface-name {
    link-mode mode;
    speed speed)
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            native-vlan-id vlan-id 
        }
    }
}
interfaces interface-name {
    native-vlan-id vlan-id
}
interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            port-mode mode 
        }
    }
}
注:

ステートメントは新しいステートメントに置き換えられています。

interfaces interface-name {
    unit logical-unit-number {
        family ethernet-switching {
            interface-mode mode 
        }
    }
}
interfaces vlan
注:

ステートメントは新しいステートメントに置き換えられています。

interfaces irb

IGMP スヌーピングの変更

表 17: IGMP スヌーピング階層

元の階層

変更された階層

protocols {
    igmp-snooping {
        traceoptions  {
            file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
            flag flag <flag-modifier> <disable>;
        }
        vlan (all | vlan-identifier) {
            disable;
            data-forwarding {
                receiver {
                    install;
                    source-vlans vlan-name;
                }
                source {
                    groups ip-address;
                }
            }
            immediate-leave;
            interface (all | interface-name) {
                multicast-router-interface;
                static {
                    group multicast-ip-address;
                }
            }
            proxy {
                source-address ip-address;
            }
            robust-count number;
        }
    }
}
protocols {
    igmp-snooping {
        vlan vlan-name {
                data-forwarding {
                    receiver {
                        install;
                        source-list vlan-name;
                        translate;
                    }
                    source {
                        groups ip-address;
                    }
                }
            immediate-leave;
                interface (all | interface-name) {
                    group-limit <1..65535>
                    host-only-interface
                    multicast-router-interface;
                    immediate-leave;
                    static {
                        group multicast-ip-address {
                            source <>
                        }
                    }
                }
            }
            l2-querier {
                source-address ip-address;
            }
            proxy {
                source-address ip-address;
            }
            query-interval number;
            query-last-member-interval number;
            query-response-interval number;
            robust-count number;
            traceoptions  {
                file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
                flag flag <flag-modifier>;
            }
        }
    }
}

セキュリティデバイスの拡張レイヤー 2 CLI 構成ステートメントとコマンドの変更

Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 から、一部のレイヤー 2 CLI 設定ステートメントが拡張され、一部のコマンドが変更されます。に、この機能拡張作業の一環として新しい階層に移動またはSRX シリーズ既存のコマンドのリスト 表 18表 19 CLIします。テーブルは高レベルのリファレンスとしてのみ提供されています。これらのコマンドの詳細については、 CLI エクスプローラーを参照してください。

表 18: 拡張レイヤー2構成文の変更

元の階層

変更された階層

階層レベル

変更の説明

bridge-domains bridge-domain--name {
    ...
    }
}
vlans vlans-name {
    ...
    }
}

[edit]

階層名が変更されます。

bridge-domains bridge-domain--name {
    vlan-id-list [vlan-id] ;
}
vlans vlans-name {
    vlan members [vlan-id] ;
}

[vlans 名前 の編集]

ステートメントの名前が変更されます。

bridge-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}
switch-options {
    interface interface-name { 
        encapsulation-type;
        ignore-encapsulation-mismatch;
        pseudowire-status-tlv;
        static-mac mac-address {
            vlan-id vlan-id;
        }
    }
    mac-table-aging-time seconds;
    mac-table-size {
        number;
        packet-action drop;
    }
}

[vlans 名前 の編集]

ステートメントの名前が変更されます。

bridge {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}
ethernet-switching {
    block-non-ip-all;
    bpdu-vlan-flooding;
    bypass-non-ip-unicast;
    no-packet-flooding {
        no-trace-route;
    }
}

[セキュリティフローの編集]

ステートメントの名前が変更されます。

family {
    bridge {
        bridge-domain-type (svlan| bvlan);
    ...
family {
    ethernet-switching {
    ...

[edit interfaces interface-name] ユニット ユニット番号

階層名が変更されます。

...
routing-interface  irb.0;
...
...
l3-interface  irb.0;
...

[vlans 名前 の編集]

ステートメントの名前が変更されます。

表 19: 拡張レイヤー2オペレーショナルコマンドの変更

元の運用コマンド

変更された運用コマンド

ブリッジ mac テーブルのクリア

イーサネットスイッチングテーブルのクリア

クリアブリッジ mac-テーブルの永続化-学習

クリアイーサネットスイッチングテーブル持続学習

ブリッジドメインを表示

vlan の表示

ブリッジ mac テーブルを表示

イーサネットスイッチングテーブルを表示

l2 学習インターフェイスを表示

イーサネットスイッチングインターフェイスを表示します。

注:

SRX300、SRX320、SRX500HM の各デバイスに fxp0 のアウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。

ACX シリーズ用レイヤー2次世代モード

レイヤー2の次世代モードは、拡張レイヤー2ソフトウェア (ELS) とも呼ばれています。 ACX5048、ACX5096、ACX5448 の各ルーターは、レイヤー1の機能を構成するためにサポートしています。ACX5048、ACX5096、ACX5448 ルーターのレイヤー 2 CLI 設定および show コマンドは、他の ACX シリーズルーター (ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000) および MX シリーズルーターのものとは異なります。

表 20は、レイヤー2の次世代モードにおけるレイヤー1機能を構成するための CLI 階層の違いを示しています。

表 20: レイヤー2次世代モードのレイヤー2機能の CLI 階層の違い

機能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000、ACX5448、MX シリーズルーター

ACX5048 および ACX5096 ルーター

ブリッジドメイン

[edit bridge-domains bridge-domain-name]

[edit vlans vlan-name]

家族bridge

[edit interfaces interface-name unit unit-number family bridge]

[edit interfaces interface-name unit unit-number family ethernet-switching]

レイヤー2オプション

[edit bridge-domains bridge-domain-name bridge-options]

[edit vlans vlan-name switch-options]

イーサネットオプション

[edit interfaces interface-name gigether-options]

[edit interfaces interface-name ether-options]

Integrated Routing and Bridging(IRB)

[edit bridge-domains bridge-domain-name] routing-interface irb.unit;

[edit vlans vlan-name] l3-interface irb.unit;

ストーム制御

[edit vlans vlan-name forwarding-options flood filter filter-name]

[edit forwarding-options storm-control-profiles]

[edit interfaces interface-name ether-options] storm-control name; recovery-timeout interval;

インターネットグループ管理プロトコル (IGMP) スヌーピング

[edit bridge-domains bridge-domain-name protocols igmp-snooping]

[edit protocols igmp-snooping vlan vlan-name]

ファミリー bridgeファイアウォールフィルター

[edit firewall family bridge]

[edit firewall family ethernet-switching]

表 21は、レイヤー 2 show次世代モードのレイヤー2機能のコマンドの違いを示しています。

表 21: レイヤー2次世代モードのレイヤー2機能の show コマンドの違い

機能

ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000、MX シリーズルーター

ACX5048、ACX5096、ACX5448 ルーター

VLAN

show bridge-domain

show vlans

MAC テーブル

show bridge mac-table

show ethernet-switching table

MAC テーブルのオプション

show bridge mac-table

(MAC アドレス、ブリッジ-ドメイン名、インターフェイス、VLAN ID、インスタンス)

show ethernet-switching table

VLAN の割り当てによるスイッチポートのリスト

show l2-learning interface

show ethernet-switching interfaces

フラッシュデータベースのカーネル状態

show route forwarding-table family bridge

show route forwarding-table family ethernet-switching

リリース履歴テーブル
リリース
説明
15.1X49-D40
Junos OS リリース 15.1 X49-D40 では、このset protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用してレイヤー2透過型ブリッジモードとイーサネットスイッチングモードを切り替えます。
15.1X49-D10
Junos OS のリリース 15.1 X49 ~ D10 および Junos OS Release 17.3 R1 では、いくつかのレイヤー 2 CLI 構成文が拡張され、一部のコマンドが変更されています。