レイヤー 2 ネットワーキング
レイヤー2ネットワークの概要
データリンク層としても知られるレイヤー2は、ネットワークプロトコル設計の7層OSI参照モデルの第2レベルです。レイヤー2は、TCP/IPネットワークモデルのリンクレイヤー(最下層)に相当します。レイヤー2は、広域ネットワーク内の隣接するネットワークノード間、または同じ広域ネットワーク上のノード間でデータを転送するのに使用されるネットワーク層です。
フレームは、レイヤー2ネットワーク上のビットの最小単位であるプロトコルデータユニットです。フレームは、同一のLAN(ローカルエリアネットワーク)上のデバイス間で送受信されます。ビットとは異なり、フレームは定義された構造を有しており、エラー検出やコントロールプレーンのアクティビティなどに使用できます。すべてのフレームがユーザーデータを転送するわけではありません。ネットワークは、複数のフレームを使用してデータリンク自体を制御します。
レイヤー2では、ユニキャストは1つのノードから別の1つのノードにフレームを送信することを指します。マルチキャストは1つのノードから複数のノードにトラフィックを送信することを指します。また、ブロードキャストは、ネットワーク内のすべてのノードにフレームを転送することを指します。ブロードキャストドメインは、ネットワークの論理的な区分です。このネットワークのすべてのノードは、ブロードキャストによってレイヤー2でアクセスできます。
LANのセグメントは、ブリッジを使用してフレームレベルでリンクできます。ブリッジングは、LAN上に個別のブロードキャストドメインを作成し、VLANを作成します。これらは、関連するデバイスを独立したネットワークセグメントにグループ化する独立した論理ネットワークです。VLAN上のデバイスのグループ化は、デバイスが物理的にLAN内のどこに配置されているかには依存しません。ブリッジングとVLANを使用しない場合、イーサネットLAN上のすべてのデバイスが1つのブロードキャストドメインに含まれ、すべてのデバイスがLAN上のすべてのパケットを検知します。
フォワーディングとは、ネットワーク内のノードにより、ネットワークセグメント間でパケットを中継することです。VLANでは、送信元と宛先が同じVLAN内にあるフレームは、ローカルVLAN内でのみ転送されます。ネットワークセグメントは、各デバイスが同一の物理層を使用して通信するコンピューターネットワークの一部です。
レイヤー2には2つのサブレイヤーが含まれます。
LLC(論理リンク制御)サブレイヤーは、通信リンクの管理とフレームトラフィックの処理を行います。
MAC(メディアアクセス制御)サブレイヤーは、物理ネットワークメディアへのプロトコルアクセスを制御します。スイッチ上のすべてのポートに割り当てられているMACアドレスを使用することで、同じ物理リンク上の複数のデバイスが相互に一意に識別できます。
スイッチのポート(またはインターフェイス)は、アクセスモード、タグ付きアクセス、またはトランクモードのいずれかで動作します。
アクセスモードポートは、デスクトップコンピューター、IP電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は1つのVLANに属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。
タグ付きアクセスモードポートは、デスクトップコンピューター、IP電話、プリンター、ファイルサーバー、セキュリティカメラなどのネットワークデバイスに接続します。ポート自体は1つのVLANに属しています。アクセスインターフェイスを介して送信されるフレームは、通常のイーサネットフレームです。デフォルトでは、スイッチ上のすべてのポートがアクセスモードになっています。タグ付きアクセスモードは、クラウドコンピューティング、特に仮想マシンや仮想コンピューターなどのシナリオに対応します。1台の物理サーバーに複数の仮想マシンを実装できるため、1台のサーバーによって生成されるパケットには、そのサーバー上のさまざまな仮想マシンからのVLANパケットのアグリゲーションが含まれる場合があります。このような状況に対応するために、タグ付きアクセスモードは、パケットの宛先アドレスがそのダウンストリームポートで学習された場合に、同じダウンストリームポート上の物理サーバーにパケットを戻します。宛先がまだ学習されていない場合、パケットはダウンストリームポートの物理サーバーにも戻されます。そのため、3つ目のインターフェイスモード、タグ付きアクセスには、アクセスモードとトランクモードの特性があります。
トランクモードポートは、複数のVLANのトラフィックを処理し、同一の物理接続を介してこれらすべてのVLANのトラフィックを多重化します。トランクインターフェイスは通常、スイッチを他のデバイスやスイッチと相互接続するために使用します。
ネイティブVLANが設定されていると、VLANタグを持たないフレームはトランクインターフェイスを介して送信されます。パケットがアクセスモードでデバイスからスイッチに渡される状況で、これらのパケットをスイッチからトランクポート経由で送信する必要がある場合は、ネイティブVLANモードを使用します。スイッチのポート(アクセスモードになっている)の単一VLANをネイティブVLANとして構成します。これにより、スイッチのトランクポートが、これらのフレームを他のタグ付きパケットとは異なる方法で処理するようになります。たとえば、トランクポートに3つのVLAN(VLAN10、VLAN20、VLAN30)が属し、VLAN10がネイティブVLANの場合、トランクポートのもう一方の終端を離れたVLAN10のフレームには、802.1Qヘッダー(タグ)は含まれません。ネイティブVLANのオプションはもう1つあります。タグ付けされていないパケットに対し、スイッチの追加とタグの削除ができます。そのためにはまず、エッジ上のデバイスに接続されたポートで、1つのVLANをネイティブVLANとして設定します。次に、デバイスに接続されたポートで、1つのネイティブVLANにVLANIDタグを割り当てます。最後に、VLANIDをトランクポートに追加します。これで、スイッチがタグなしパケットを受信すると、指定されたIDを追加し、そのVLANを受け入れるように設定されたトランクポートでタグ付きパケットを送受信するようになります。
サブレイヤーを含め、QFXシリーズのレイヤー2は、以下の機能をサポートしています。
ユニキャスト、マルチキャスト、ブロードキャストトラフィック
ブリッジング
VLAN802.1Q-VLANタグ付けとしても知られるこのプロトコルは、イーサネットフレームにVLANタグを追加することにより、複数のブリッジネットワークが同じ物理ネットワークリンクを透過的に共有することを可能にします。
STP(スパニングツリープロトコル)を使用した複数のスイッチ間でレイヤー2VLANを拡張することで、ネットワーク全体でのループを防止します。
MACラーニング(VLAN単位のMACラーニングとレイヤー2ラーニング抑制を含む)- このプロセスを通して、ネットワーク上のすべてのノードのMACアドレスを取得します。
リンクアグリゲーション-物理層でイーサネットインターフェイスをグループ化し、単一のリンク層インターフェイスを形成するプロセスで、リンクアグリゲーショングループ(LAG)またはLAGバンドルとも呼ばれます。
注:リンクアグリゲーションは、NFX150デバイスではサポートされていません。
ユニキャスト、マルチキャスト、ブロードキャスト用の物理ポートのストーム制御
注:ストーム制御はNFX150デバイスではサポートされていません。
802.1d、RSTP、MSTP、およびルートガードを含むSTPのサポート
関連項目
VLANを理解する
VLAN(仮想LAN)は、個別のブロードキャストドメインを形成するためにグループ化されたネットワークノードのコレクションです。単一LANであるイーサネットネットワークでは、すべてのトラフィックがLAN上のすべてのノードに転送されます。VLANでは、発信元と宛先が同じVLANにあるフレームは、ローカルVLAN内でのみ転送されます。ローカルVLAN用が宛先でないフレームが、他のブロードキャストドメインに転送される唯一のフレームです。こうしてVLANは、LAN全体を流れるトラフィック量を制限し、VLAN内とLAN全体で発生するコリジョン数とパケット再送回数を削減します。
イーサネットLANでは、すべてのネットワーク ノードが同じネットワークに物理的に接続されている必要があります。VLANでは、ノードの物理場所は重要ではありません。したがって、部門またはビジネス機能、ネットワークノードのタイプ、または物理場所別など、組織にとって意味があればどのような方法でもネットワークデバイスをグループ化できます。各VLANは、単一のIPサブネットワークと、標準化されたIEEE 802.1Qカプセル化によって識別されます。
トラフィックがどのVLANに属しているかを識別するために、IEEE 802.1Q標準で定義されている通り、イーサネットVLAN上のすべてのフレームがタグで識別されます。これらのフレームは、タグ付けされ、802.1Qタグでカプセル化されています。
単一のVLANしかないシンプルなネットワークでは、すべてのトラフィックに同じ802.1Qタグが付いています。イーサネットLANが複数のVLANに分割されている場合、各VLANは固有の802.1Qタグにより識別されます。タグは、フレームを受信するネットワークノードが、フレームがどのVLANに属しているかを把握できるよう、すべてのフレームに適用されます。複数のVLAN間でトラフィックを多重化するトランクポートは、タグを使用してフレームの送信元と転送先を決定します。
関連項目
イーサネットスイッチングおよびレイヤー2透過モードの概要
レイヤー2透過モードによって、既存のルーティングインフラストラクチャを変更せずに、ファイアウォールを導入できます。ファイアウォールは、複数のVLANセグメントを備えたレイヤースイッチとして導入され、VLANセグメント内でセキュリティサービスを提供します。セキュアワイヤーは、bump-in-wire導入を可能にするレイヤー2透過モードの特別バージョンです。
レイヤー2インターフェイスとして定義されているインターフェイスがある場合、デバイスは透過モードで動作します。デバイスは、レイヤー2インターフェイスとして設定された物理インターフェイスがない場合、ルートモード(デフォルトモード)で動作します。
SRXシリーズのファイアウォールの場合、透過モードは、レイヤー2スイッチング機能用の完全なセキュリティサービスを提供します。これらSRXシリーズのファイアウォールでは、1つ以上のVLANがレイヤー2スイッチングを実行するように設定できます。VLANは、同じフラッディングまたはブロードキャスト特性を共有する一連の論理インターフェイスのセットです。VLAN(オンラインLAN)と同様に、VLANは複数のデバイスの1つ以上のポートにわたります。そのため、SRX シリーズのファイアウォールは、同じレイヤー 2 スイッチに参加する複数の VLAN を持つレイヤー 2 スイッチとして機能できます。
透過モードでは、SRX シリーズのファイアウォールは、IP パケット ヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP 設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。
透過モードでは、デバイス上のすべての物理ポートはレイヤー2インターフェイスに割り当てられます。デバイスを介してレイヤー3トラフィックをルーティングしないでください。レイヤー2ゾーンは、レイヤー2インターフェイスをホストするように設定でき、セキュリティポリシーはレイヤー2ゾーン間で定義できます。パケットがレイヤー2ゾーン間を移動する際に、セキュリティポリシーをこれらのパケットに適用できます。
表 1 は、レイヤー2スイッチングの透過モードでサポートされていないセキュリティ機能を示しています。
モードタイプ |
対応 |
サポートされていません |
|---|---|---|
透過モード |
|
|
SRX300、SRX320、SRX340、SRX345、および SRX550Mデバイスでは、DHCPサーバー伝播はレイヤー2透過モードではサポートされません。
さらに、SRXシリーズのファイアウォールは、レイヤー2透過モードで次のレイヤー2機能をサポートしていません。
STP(スパニングツリープロトコル)、RSTP、または MSTP—フラッディングループがネットワークトポロジーに存在しないようにするのはユーザーの責任です。
IGMP(インターネットグループ管理プロトコル)スヌーピング—マルチキャストグループメンバーシップを隣接するルーターに報告し、IPマルチキャスト中にグループメンバーがいるかどうかを判断するために使用されるIPv4のホストツールーターシグナリングプロトコル。
802.1Qパケット内でカプセル化された二重タグ付きVLANまたはIEEE 802.1Q VLAN識別子(“Q in Q” VLANタギングとも呼ばれます)—SRXシリーズのファイアウォールでは、タグなしまたは単一タグ付きのVLAN識別子しかサポートされていません。
VLAN内での学習にMACアドレスのみを使用する非認定VLAN学習—SRXシリーズのファイアウォール上のVLAN学習は認定されます。つまり、VLAN識別子とMACアドレスの両方が使用されます。
また、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、またはSRX650デバイスでは、一部の機能はサポートされていません。(プラットフォームサポートは、インストールされたJunos OSリリースによって異なります)。以下の機能は、前述したデバイス上のレイヤー2透過モードではサポートされていません。
レイヤー2インターフェイス上のG-ARP
すべてのインターフェイス上のIPアドレス監視
IRBを介してトラフィックを通過します
ルーティングインスタンス内のIRBインターフェイス
レイヤー3トラフィックのIRBインターフェイス処理
注:IRBインターフェイスは疑似インターフェイスであり、rethインターフェイスおよび冗長性グループに属しません。
- SRX5000シリーズのモジュールポートコンセントレータ上でのレイヤー2透過モード
- セキュリティデバイス上の透過モードでのIPv6フローの理解
- セキュリティデバイス上のレイヤー2透過モードシャーシクラスターの理解
- SRXシリーズのファイアウォールで帯域外管理を設定する
- イーサネットスイッチング
- SRXシリーズデバイス上のレイヤー2スイッチング例外
SRX5000シリーズのモジュールポートコンセントレータ上でのレイヤー2透過モード
SRX5000 シリーズ モジュール ポート コンセントレータ(SRX5K-MPC)は、レイヤー 2 透過モードをサポートしており、レイヤー 2 透過モードで SRX シリーズのファイアウォールが設定されている場合、トラフィックを処理します。
SRX5K-MPCがレイヤー2モードで動作している場合、SRX5K-MPC上のすべてのインターフェイスがレイヤー2スイッチングポートとしてレイヤー2トラフィックをサポートするように設定できます。
SPU(セキュリティ処理ユニット)は、レイヤー2スイッチング機能のすべてのセキュリティサービスをサポートしており、MPC はイングレスパケットをSPUに提供し、SPUによってカプセル化されたエグレスパケットを送信インターフェイスに転送します。
SRXシリーズのファイアウォールがレイヤー2透過モードで設定されている場合、 としてファミリーアドレスタイプがある物理インターフェイス上の1つ以上の論理ユニットを定義することで、MPC上のインターフェイスがレイヤー2モードで動作できるようにできますEthernet switching。後で、透過モードでレイヤー2セキュリティゾーンの設定とセキュリティポリシーの設定を進めることができます。これが完了すると、ネクストホップトポロジーがイングレスエグレスパケットとエグレスパケットを処理するように設定されます。
セキュリティデバイス上の透過モードでのIPv6フローの理解
透過モードでは、SRXシリーズのファイアウォールは、パケットMACヘッダー内の送信元または宛先情報を変更せずにデバイスを通過するパケットをフィルターします。透過モードは、ルーターまたは保護されたサーバーのIP 設定を再設定する必要がないため、主に信頼された送信元からトラフィックを受信するサーバーを保護するのに便利です。
デバイス上のすべての物理インターフェイスがレイヤー2インターフェイスとして設定されている場合、デバイスが透過モードで動作します。論理インターフェイスは [edit interfaces interface-name unit unit-number family] 階層レベルで オethernet-switchingプションで設定されている場合、物理インターフェイスがレイヤー2インターフェイスとなります。デバイス上で透過モードを定義または有効にするコマンドはありません。デバイスは、レイヤー2インターフェイスとして定義されたインターフェイスがある場合透過モードで動作します。すべての物理インターフェイスがレイヤー3インターフェイスとして設定されている場合、デバイスはルートモード(デフォルトモード)で動作します。
デフォルトでは、IPv6フローはセキュリティデバイス上で破棄されます。ゾーン、スクリーン、ファイアウォールポリシーなどのセキュリティ機能による処理を有効にするには、[edit security forwarding-options family inet6] 階層レベルで mode flow-based設定オプションを使用してIPv6トラフィックのフローベース転送を有効にする必要があります。モードを変更した場合、デバイスを再起動する必要があります。
透過モードでは、レイヤー2ゾーンがレイヤー2インターフェイスをホストするように設定し、レイヤー2ゾーン間のセキュリティポリシーを定義できます。パケットがレイヤー2ゾーン間を移動する際に、セキュリティポリシーをこれらのパケットに適用できます。以下のセキュリティ機能は、透過モードのIPv6トラフィックでサポートされています。
レイヤー2セキュリティゾーンとセキュリティポリシー。レイヤー2セキュリティゾーンを理解するおよび透過モードでのセキュリティポリシーを理解するをご覧ください。
ファイアウォールユーザー認証。透過モードでのファイアウォールユーザー認証を理解するをご覧ください。
レイヤー2透過モードシャーシクラスター。
サービスクラス機能。透過モード概要のサービスクラス機能を参照してください。
以下のセキュリティ機能は、透過モードのIPv6 フローに対応していません。
論理システム
IPv6 GTPv2
J-Webインタフェース
NAT
IPsec VPN
DNS、FTP、およびTFTP ALGを除き、他のすべてのALGはサポートされていません。
IPv6フロー用のVLANおよびレイヤー2論理インターフェイスの設定は、IPv4フロー用のVLANおよびレイヤー2論理インターフェイスの設定と同じです。オプションで、VLAN内の管理トラフィックに IRB(統合型ルーティングおよびブリッジング)インターフェイスを設定できます。IRBインターフェイスは、透過モードで許可された唯一のレイヤー3インターフェイスです。SRXシリーズのファイアウォール上のIRBインターフェイスは、トラフィック転送またはルーティングをサポートしません。IRBインターフェイスは、IPv4およびIPv6アドレスの両方で設定できます。[edit interfaces irb unit number family inet6] 階層レベルで address設定ステートメントを使用してIRBインターフェイスにIPv6アドレスを割り当てることができます。[edit interfaces irb unit number family inet] 階層レベルで address設定ステートメントを使用してIRBインターフェイスにIPv4アドレスを割り当てることができます。
SRXシリーズのファイアウォール上のイーサネットスイッチング機能は、ジュニパーネットワークスのMXシリーズルーターにあるイーサネットスイッチング機能と類似しています。しかしながら、MXシリーズルーターでサポートされているすべてのレイヤー2ネットワーキング機能が、SRXシリーズのファイアウォールでサポートされているわけではありません。イーサネットスイッチングとレイヤー2透過モードの概要をご覧ください。
SRXシリーズのファイアウォールは、各レイヤー2 VLANのMACアドレスと関連づけられたインターフェイスが含まれる転送テーブルを維持します。IPv6フロー処理は、IPv4フローと似ています。「VLAN のレイヤー 2 学習と転送の概要」を参照してください。
セキュリティデバイス上のレイヤー2透過モードシャーシクラスターの理解
レイヤー2透過モード内の SRXシリーズのファイアウォールのペアは、シャーシクラスターで接続して、ネットワークノード冗長性を提供します。シャーシクラスターで設定されると、1つのノードがプライマリデバイスとして機能し、もう1つはセカンダリデバイスとして機能します。これにより、システムまたはハードウェアに障害が発生した場合に、プロセスとサービスのステートフェイルオーバーを確保します。プライマリデバイスに障害が発生した場合、セカンダリデバイスがトラフィックの処理を引き継ぎます。
レイヤー2透過モードシャーシクラスターでプライマリデバイスに障害が発生した場合、障害が発生したデバイス内の物理ポートは、再びアクティブになる(起動する)前に、数秒間にわたって非アクティブになります(ダウンします)。
シャーシクラスターを形成するため、同じ種類のSRXシリーズのファイアウォールが組み合わせられ、同じ全般的なセキュリティを適用する単一のシステムとして機能します。
レイヤー2透過モード内のデバイスは、アクティブ/バックアップおよびアクティブ/アクティブクラスター設定で導入できます。
以下のシャーシクラスター機能は、レイヤー2透過モード内のデバイスではサポートされていません。
無償ARP—冗長性グループ内の新しく選択されたプライマリは、無償ARPリクエストを送信して、冗長イーサネットインターフェイスリンク上のプライマリロールの変更をネットワークデバイスに通知することはできません。
IPアドレス監視—アップストリーム デバイスの障害は検知できません。
冗長性グループは、両方のノード上のオブジェクトの集合を含む構成です。冗長性グループは、1つのノード上ではプライマリであり、もう1つのノードではバックアップです。冗長性グループがノード上でプライマリである場合、そのノード上のオブジェクトがアクティブになります。冗長性グループがフェイルオーバーすると、すべてのオブジェクトが一緒にフェールオーバーします。
アクティブ/アクティブクラスター設定に対して、1~128の番号が割り当てられた1つ以上の冗長性グループを作成できます。各冗長性グループには、1つ以上の冗長イーサネットインターフェイスが含まれます。冗長イーサネットインターフェイスは、クラスターの各ノードからの物理インターフェイスを含む疑似インターフェイスです。冗長イーサネットインターフェイス内の物理インターフェイスは、同じ種類(ファストイーサネットまたはギガビットイーサネット)である必要があります。冗長性グループがノード0上でアクティブである場合、ノード0上のすべての関連する冗長イーサネットインターフェイスの子リンクがアクティブになります。冗長性グループがノード1にフェイルオーバーする場合、ノード1上のすべての冗長イーサネットインターフェイスの子リンクがアクティブになります。
アクティブ/アクティブクラスター設定では、冗長性グループの最大数が、設定した冗長イーサネットインターフェイスの数と同じになります。アクティブ/バックアップシャーシクラスター設定では、サポートされている冗長性グループの最大数は2つです。
レイヤー2透過モード内のデバイス上での冗長イーサネットインターフェイスの設定は、レイヤー3ルートモード内のデバイス上での冗長イーサネットインターフェイスの設定と類似していますが、以下の点が異なります。レイヤー2透過モード内のデバイス上の冗長イーサネットインターフェイスは、レイヤー2論理インターフェイスとして設定されます。
冗長イーサネットインターフェイスは、アクセスインターフェイス(インターフェイス上で受信されたタグなしパケットに1つのVLAN IDがある) として、またはトランクインターフェイス(インターフェイス上で受け入れられたVLAN IDと、オプションで、インターフェイス上で受信された タグなしパケットのnative-vlan-idのリスト)として設定できます。物理インターフェイス(シャーシクラスター内の各ノードからそれぞれ1つずつ)は、親冗長イーサネットインターフェイスに対する子インターフェイスとしてバインドされます。
レイヤー2透過モードでは、MAC学習は冗長イーサネットインターフェイスに基づきます。MACテーブルは、シャーシクラスターデバイスのペア間の冗長イーサネットインターフェイスと SPU(サービス処理ユニット)間で同期されます。
IRBインターフェイスは管理トラフィックにのみ使用され、冗長イーサネットインターフェイスまたは冗長性グループに割り当てることはできません。
単一の非クラスターデバイスで使用可能な Junos OS スクリーンオプションはすべて、レイヤー2透過モードシャーシクラスター内のデバイスで使用できます。
STP(スパニングツリープロトコル)は、レイヤー2透過モードではサポートされていません。導入トポロジーにループ接続がないようにする必要があります。
SRXシリーズのファイアウォールで帯域外管理を設定する
デバイス上でレイヤー 2 インターフェイスが定義されている場合でも、fxp0SRX シリーズのファイアウォール上の アウトオブバンド管理インターフェイスをレイヤー 3 インターフェイスとして設定できます。fxp0インターフェイスを除き、デバイスのネットワーク ポート上のレイヤー2およびレイヤー3インターフェイスを定義できます。
SRX300、SRX320、およびSRX550Mデバイス上のfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
イーサネットスイッチング
イーサネットスイッチングは、イーサネットMACアドレス情報を使用して、LANセグメント(またはVLAN)内またはLANセグメント間でイーサネットフレームを転送します。SRX1500デバイス上のイーサネットスイッチングは、ASICを使用してハードウェアで実行されます。
Junos OSリリース15.1X49-D40以降では、 set protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。モードを切り替えた後、設定を有効にするには、デバイスを再起動する必要があります。表 2 は、SRXシリーズのファイアウォール上のデフォルトレイヤー2グローバルモードについて説明します。
Junos OSリリース |
プラットフォーム |
デフォルトレイヤー2グローバル モード |
詳細 |
|---|---|---|---|
Junos OSリリース15.1X49-D50以前 と Junos OSリリース17.3R1以降 |
SRX300、SRX320、SRX340、SRX345 |
スイッチングモード |
なし |
Junos OSリリース15.1X49-D50からJunos OSリリース15.1X49-D90 |
SRX300、SRX320、SRX340、SRX345 |
スイッチングモード |
デバイス上のレイヤー2グローバルモード設定を削除すると、デバイスは透過ブリッジモードになります。 |
Junos OSリリース15.1X49-D100以降 |
SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M |
スイッチングモード |
デバイス上のレイヤー2グローバル モード設定を削除すると、デバイスはスイッチングモードになります。 |
Junos OSリリース15.1X49-D50以降 |
SRX1500 |
透過ブリッジモード |
なし |
スイッチングモードでサポートされているレイヤー2プロトコルは、LACP(リンクアグリゲーション制御プロトコル)です。
冗長イーサネットインターフェイス上でレイヤー 2 透過モードを設定できます。以下のコマンドを使用して、冗長イーサネットインターフェイスを定義します。
set interfaces interface-name ether-options redundant-parent reth-interface-nameset interfaces reth-interface-name redundant-ether-options redundancy-group number
SRXシリーズデバイス上のレイヤー2スイッチング例外
SRXシリーズのファイアウォール上のスイッチング機能は、ジュニパーネットワークスのMXシリーズルーターにあるイーサネットスイッチング機能と類似しています。しかし、MX シリーズ ルーター上の以下のレイヤー 2 ネットワーキング機能は、SRX シリーズのファイアウォールではサポートされていません。
レイヤー2制御プロトコル—これらのプロトコルは、VPLSルーティングインスタスのカスタマーエッジインターフェイスのRSTP(ラピッドスパニングツリープロトコル)または MSTP(マルチプルスパニングツリープロトコル)の MXシリーズルーターで使用されます。
仮想スイッチルーティングインスタンス—仮想スイッチングルーティングインスタンスは、1つ以上のVLANをグループ化するためにMXシリーズルーターで使用されます。
VPLS(仮想プライベートLANサービス)ルーティングインスタンス—VPLSルーティングインスタンスは、VPN内の一連のサイト間のポイントツーマルチポイントLAN実装のためMXシリーズルーターで使用されます。
関連項目
ユニキャストの理解
ユニキャストとは、ネットワークの1ノードから別のノードにデータを送信する行為です。反対に、マルチキャストトランスミッションは、1 つのデータノードから複数のデータノードにトラフィックを送信します。
不明のユニキャストトラフィックは、不明の宛先MACアドレスを持つユニキャストフレームで構成されています。デフォルトでは、スイッチはVLANで移動するユニキャスト フレームを、VLANメンバーのすべてのインターフェイスにフラッディングします。スイッチ上でこのタイプのトラフィックをインターフェースに転送すると、セキュリティの問題をトリガーすることができます。LANは突然、パケットでいっぱいになり、ネットワークパフォーマンスの低下や、ネットワークサービスの完全な損失につながる不要なトラフィックを生成します。これはトラフィックストームとして知られています。
ストームを防ぐために、1 つの VLANまたはすべての VLANが不明のユニキャストトラフィックを特定のトランク インターフェースに転送するよう設定することで、すべてのインターフェイスへの不明ユニキャストパケットのフラッディングを無効にすることができます。(これは、不明のユニキャストトラフィックを単一のインターフェイスにチャネルします。)
関連項目
スイッチ上のレイヤー2ブロードキャストについて
レイヤー2ネットワークでは、ブロードキャストはネットワーク上のすべてのノードにトラフィックを送信することを指します。
レイヤー2ブロードキャストトラフィックは、ブロードキャストドメインとして知られる、ローカルエリアネットワーク(LAN)の境界内に留まります。レイヤー2ブロードキャストトラフィックは、MAC アドレスFF:FF:FF:FF:FF:FFを使用して、ブロードキャストドメインに送信されます。ブロードキャストドメインの全てのデバイスは、MAC アドレスを認識し、ブロードキャストドメイン内の他のデバイスにブロードキャストトラフィックを渡します(該当する場合)。ブロードキャストは、ユニキャスト(1つのノードにトラフィックを送信)やマルチキャスト(トラフィックを同時にノードグループに配信)と比較することができます。
ただし、レイヤー3ブロードキャストトラフィックは、ブロードキャスト ネットワークアドレスを使用してネットワーク内のすべてのデバイスに送信されます。例えば、ネットワークアドレスが10.0.0.0の場合、ブロードキャスト ネットワークアドレスは10.255.255.255になります。このケースでは、10.0.0.0ネットワークに属するデバイスのみが、レイヤー3ブロードキャストトラフィックを受信します。このネットワークに属しないデバイスは、トラフィックを破棄します。
ブロードキャストは以下の状況で使用されます。
アドレス解決プロトコル(ARP)は、ブロードキャストを使用してMAC アドレスをIPアドレスにマッピングします。ARPは、IPアドレス(論理アドレス)をMAC アドレスに動的にバインドします。IPユニキャストパケットを送信する前に、ARPはIPアドレスが設定されているイーサネットインターフェイスで使用するMAC アドレスを検出します。
ダイナミックホスト構成プロトコル(DHCP)は、ブロードキャストを使用して、ネットワークセグメントまたはサブネット上のホストにIPアドレスを動的に割り当てます。
ルーティングプロトコルは、ブロードキャストを使用してルートをアドバタイズします。
過剰なブロードキャストトラフィックにより、ブロードキャストストームが発生する場合があります。ブロードキャストストストームは、メッセージがネットワーク上でブロードキャストされる時に発生します。各メッセージは、受信ノードに対してネットワーク上で自身のメッセージをブロードキャストすることによって、応答するように促します。これにより、さらに応答が促され、雪だるま効果が生まれます。LANは突然、パケットでいっぱいになり、ネットワークパフォーマンスの低下や、ネットワークサービスの完全な損失につながる不要なトラフィックを生成します。
関連項目
拡張レイヤー2ソフトウェアCLIの使用
拡張レイヤー2ソフトウェア(ELS)は、QFXシリーズスイッチ、EXシリーズスイッチ、およびその他のジュニパーネットワークスデバイスのレイヤー2機能を設定し、監視するための統一CLIを提供します。ELSによって、これらのジュニパーネットワークスデバイスでレイヤー2機能を同じ方法で設定できます。
このトピックでは、プラットフォームがELSを実行しているかどうかを知る方法を説明します。設定のELSスタイルを使用して一般的なタスクを実行する方法についても説明します。
ELSをサポートするデバイスの理解
デバイスがサポートしているJunos OSリリースを実行している場合、ELSは自動的にサポートされます。ELSを有効にするためには特に操作は不要です。ELSは無効にすることはできません。ELSをサポートするプラットフォームとリリースの詳細については、 機能エクスプローラを参照してください。
ELSを使用してレイヤー2機能を設定する方法の理解
ELSは統一CLIを提供するため、サポートされているデバイスで以下のタスクを同じ方法で実行できるようになります。
- VLANの設定
- ネイティブVLAN識別子の設定
- レイヤー2インターフェイスの設定
- レイヤー3インターフェイスの設定
- IRBインターフェイスの設定
- 集合型イーサネットインターフェイスの設定と、そのインターフェイス上のLACPの設定
VLANの設定
レイヤー2ブリッジングを実行する1つ以上のVLANを設定できます。レイヤー2ブリッジング機能には、同一インターフェイス上のレイヤー2ブリッジングとレイヤー3IPルーティングをサポートするIRB(統合型ルーティングおよびブリッジング)が含まれます。EXシリーズおよびQFXシリーズスイッチは、レイヤー2スイッチとして、それぞれ同じレイヤー2ネットワークに参加する複数のブリッジングまたはブロードキャストドメインとともに機能できます。VLANのレイヤー3ルーティングサポートを設定することもできます。
VLANを設定するには:
ネイティブVLAN識別子の設定
EXシリーズおよびQFXシリーズスイッチは、802.1QVLANタグがあるルーティングまたはブリッジングされた受信および転送イーサネットフレームをサポートします。通常、スイッチを相互に接続するトランクポートは、タグなし制御パケットを受信しますが、タグなしのデータパケットは受信しません。タグなしデータパケットを受信したいインターフェイスでネイティブVLANIDを設定することで、トランクポートは、タグなしのデータパケットを受信することができます。
ネイティブVLANIDを設定するには:
レイヤー2インターフェイスの設定
パフォーマンスが最適になるように高トラフィックネットワークが調整されるようにするには、スイッチのネットワークインターフェイスにいくつかの設定を明示的に設定します。
trunkインターフェイスとしてギガビットイーサネットインターフェイスまたは10ギガビットインターフェイスを設定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode trunk
accessインターフェイスとしてギガビットイーサネットインターフェイスまたは10ギガビットインターフェイスを設定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family ethernet-switching interface-mode access
VLANにインターフェイスを割り当てるには:
[edit interfaces] user@host# set interface-name unit logical-unit-number family ethernet-switching vlan members [all | vlan-names | vlan-ids]
レイヤー3インターフェイスの設定
レイヤー3インターフェイスを設定するには、インターフェイスにIPアドレスを割り当てる必要があります。プロトコルファミリーを設定する際にアドレスを指定することで、インターフェイスにアドレスを割り当てます。inetまたはinet6ファミリーの場合は、インターフェイスIPアドレスを設定します。
32ビットIPバージョン4(IPv4)アドレスでインターフェイスを設定し、オプションで宛先プレフィックス(サブネットマスクとも呼ばれる)を設定することもできます。IPv4アドレスは、4オクテットドット付き10進アドレス構文(例えば192.168.1.1.1)を使用します。宛先プレフィックスがあるIPv4アドレスは、宛先プレフィックス(例えば、192.168.1.1/16)を追加した4オクテットドット付き10進アドレス構文を使用します。
論理ユニットにIP4アドレスを指定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet address ip-address
16ビット値のコロン区切りのリストを使用して、IPバージョン6(IPv6)アドレスを16進法で表します。インターフェイスに128ビットIPv6アドレスを割り当てます。
論理ユニットのIP6アドレスを指定するには:
[edit] user@host# set interfaces interface-name unit logical-unit-number family inet6 address ip-address
IRBインターフェイスの設定
統合型ルーティングおよびブリッジング(IRB)は、同じインターフェイス上のレイヤー2ブリッジングとレイヤー3IPルーティングをサポートしています。IRBでは、パケットを別のルーテッドインターフェイスや、レイヤー3プロトコルが設定されている別のVLANにルーティングできます。IRBインターフェイスによって、デバイスはローカルアドレスに送信されているパケットを認識でき、可能な限りブリッジング(スイッチング)され、必要に応じてルーティングされるようになります。パケットをルーティングせずにスイッチングできる場合は、いくつかの処理レイヤーが不要になります。irbという名前のインターフェイスは、VLANのレイヤー3論理ルーターを設定できる論理ルーターとして機能します。ブリッジ環境とVPLS(仮想プライベートLANサービス)環境の両方で、冗長性を確保するために、IRBインターフェイスをVRRP(仮想ルーター冗長プロトコル)の実装と組み合わせることができます。
IRBインターフェイスの設定:
集合型イーサネットインターフェイスの設定と、そのインターフェイス上のLACPの設定
リンクアグリゲーション機能を使用して1つ以上のリンクを集約し、仮想リンクまたはLAG(リンクアグリゲーショングループ)を形成します。MACクライアントは、この仮想リンクを単一リンクのように扱うことで、帯域幅を拡大し、障害発生時に緩やかな劣化を提供し、可用性を高めることができます。
集合型イーサネットインターフェイスを設定するには:
デバイス上の集合型イーサネットインターフェイスでは、LACP(リンクアグリゲーション制御プロトコル)を設定できます。LACPは、複数の物理インターフェイスをバンドルして、1つの論理インターフェイスを形成します。LACPを有効にしたかどうかに関わらず、集合型イーサネットは設定できます。
LACPを有効にすると、集合型イーサネットリンクのローカルおよびリモート側が、リンクの状態に関する情報を含むPDU(プロトコルデータユニット)を交換します。イーサネットリンクがPDUを能動的に送信するように設定したり、リンクが受動的に送信するように設定したりして、他のリンクあkらの受信時にのみLACPPDUを送信するように設定できます。リンクの片側はリンクを立ち上げるためにアクティブとして設定する必要があります。
LACPを設定するには:
集合型イーサネットリンクの片側をアクティブとして有効にします。
[edit interfaces] user@host# set aex aggregated-ether-options lacp active
インターフェイスがLACPパケットを送信する間隔を指定します。
[edit interfaces] user@host# set aex aggregated-ether-options lacp periodic interval
ELS設定ステートメントとコマンド変更の理解
EX9200スイッチのJunos OSリリース12.3R2でELSが導入されました。ELSは、サポートされているEXシリーズおよびQFXシリーズスイッチのレイヤー2機能の一部のCLIを変更します。
以下のセクションは、CLI強化取り組みの一環として新しい階層レベルに移動されたか、EXシリーズスイッチで変更される既存のコマンドの一覧を示しています。これらのセクションは、ハイレベルのリファレンスとしてのみ提供されます。これらのコマンドの詳細については、提供された設定ステートメントへのリンクを使用するか、技術ドキュメントを参照してください。
- ethernet-switching-options階層レベルへの変更
- ポートミラーリング階層レベルの変更
- レイヤー2制御プロトコル階層レベルの変更
- dot1q-tunnelingステートメントの変更
- L2学習プロトコルの変更
- ノンストップブリッジングの変更
- ポートセキュリティとDHCPスヌーピングの変更
- VLANの設定に対する変更
- ストーム制御プロファイルの変更
- インターフェイス階層の変更
- IGMPスヌーピングの変更
ethernet-switching-options階層レベルへの変更
このセクションでは、ethernet-switching-options階層レベルへの変更について概説します。
ethernet-switching-options階層レベルはswitch-optionsという名前に変更されました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
authentication-whitelist {
...
}
}
|
switch-options {
...
authentication-whitelist {
...
}
}
|
ethernet-switching-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
switch-options {
interfaces interface-name {
no-mac-learning;
...
}
}
|
ethernet-switching-options { unknown-unicast-forwarding { (...) } } |
switch-options {
unknown-unicast-forwarding {
(...)
}
}
|
ethernet-switching-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
switch-options {
voip {
interface (all | [interface-name | access-ports]) {
forwarding-class (assured-forwarding | best-effort | expedited-forwarding | network-control);
vlan vlan-name;
...
}
}
}
|
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
switch-options {
redundant-trunk-group {
group name {
description;
interface interface-name {
primary;
}
preempt-cutover-timer seconds;
...
}
}
}
|
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
mac-notification {
notification-interval seconds;
...
}
}
|
ステートメントは |
ethernet-switching-options {
traceoptions {
file filename <files number> <no-stamp> <replace>
<size size> <world-readable | no-world-readable>;
flag flag <disable>;
...
}
}
|
ステートメントは |
ethernet-switching-options {
port-error-disable {
disable-timeout timeout;
...
}
}
|
注:
interfaces interface-name family ethernet-switching {
recovery-timeout seconds;
}
|
ポートミラーリング階層レベルの変更
レイヤー2制御プロトコル階層レベルの変更
レイヤー2制御プロトコルステートメントはethernet-switching-options階層からprotocols階に移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
bpdu-block {
...
}
}
|
protocols {
layer2-control {
bpdu-block {
...
}
}
}
|
dot1q-tunnelingステートメントの変更
dot1q-tunnelingステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
dot1q-tunneling {
ether-type (0x8100 | 0x88a8 | 0x9100);
...
}
}
|
interfaces interface-name {
ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
interfaces interface-name {
aggregated-ether-options {
ethernet-switch-profile {
tag-protocol-id [tpids];
}
}
}
|
L2学習プロトコルの変更
mac-table-aging-timeステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
mac-table-aging-time seconds;
...
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
ノンストップブリッジングの変更
nonstop-bridgingステートメントは別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options {
nonstop-bridging;
}
|
protocols {
layer2-control {
nonstop-bridging {
}
}
}
|
ポートセキュリティとDHCPスヌーピングの変更
ポートセキュリティとDHCPスヌーピングステートメントは、別の階層レベルに移動しました。
examine-dhcpステートメントは変更された階層に存在しません。VLAN上で他のDHCPセキュリティ機能が有効になっている場合、DHCPスヌーピングが自動的に有効になりました。その他の情報については、ポートセキュリティの設定(ELS)を参照してください。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port { interface (all | interface-name) { (dhcp-trusted | no-dhcp-trusted ); static-ip ip-address { mac mac-address; vlan vlan-name; } } vlan (all | vlan-name) { (arp-inspection | no-arp-inspection ); dhcp-option82 { disable; circuit-id { prefix hostname; use-interface-description; use-vlan-id; } remote-id { prefix (hostname | mac | none); use-interface-description; use-string string; } vendor-id [string]; } (examine-dhcp | no-examine-dhcp); } (ip-source-guard | no-ip-source-guard); } } |
vlans vlan-name forwarding-options{
dhcp-security {
arp-inspection;
group group-name {
interfaceiinterface-name {
static-ip ip-address {
mac mac-address;
}
}
overrides {
no-option82;
trusted;
}
}
ip-source-guard;
no-dhcp-snooping;
option-82 {
circuit-id {
prefix {
host-name;
routing-instance-name;
}
use-interface-description (device | logical);
use-vlan-id;
}
remote-id {
host-name;
use-interface-description (device | logical);
use-string string;
}
vendor-id {
use-string string;
}
}
}
|
許可されたmac設定では、元の階層ステートメントset ethernet-switching-options secure-access-port interface ge-0/0/2 allowed-mac 00:05:85:3A:82:8がELSコマンドset interfaces ge-0/0/2 unit 0 accept-source-mac mac-address 00:05:85:3A:82:8に置き換えられます。
DHCPスヌーピングステートメントは、別の階層レベルに移動しました。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port { dhcp-snooping-file { location local_pathname | remote_URL; timeout seconds; write-interval seconds; } |
system [
processes [
dhcp-service
dhcp-snooping-file local_pathname | remote_URL;
write-interval interval;
}
}
|
VLANの設定に対する変更
VLANを設定するステートメントは、別の階層レベルに移動しました。
EX4300およびEX4600スイッチのJunos OSリリース14.1X53-D10以降、xSTPを有効にした場合、VLANに含まれる一部のまたはすべてのインターフェイスでそれを有効にできるようになりました。例えば、VLAN100がインターフェイスge-0/0/0、ge-0/0/1、およびge-0/0/2を含むように設定し、インターフェイスge-0/0/0およびge-0/0/2でMSTPを有効にしたい場合、set protocols mstp interface ge-0/0/0およびset protocols mstp interface ge-0/0/2コマンドを指定できます。この例では、インターフェイスge-0/0/1ではMSTPを明示的に有効にしませんでした。そのため、このインターフェイスではMSTPは有効になっていません。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { secure-access-port vlan (all | vlan-name{ mac-move-limit } |
vlans vlan-name switch-options {
mac-move-limit
}
|
ethernet-switching-options {
static {
vlan vlan-id {
mac mac-address next-hop interface-name;
...
}
}
}
|
注:
ステートメントは新しいステートメントに置き換えられ、別の階層レベルに移動しました。 vlans {
vlan-name {
switch-options {
interface interface-name {
static-mac mac-address;
...
}
}
}
}
|
vlans {
vlan-name {
interface interface-name {
egress;
ingress;
mapping (native (push | swap) | policy | tag (push | swap));
pvlan-trunk;
...
}
}
}
|
これらのステートメントは削除されました。 |
vlans {
vlan-name {
isolation-id id-number;
...
}
}
|
ステートメントは削除されました。 |
vlans {
vlan-name {
interface vlan.logical-interface-number;
...
}
}
|
注:
構文が変更されました。 vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
vlans {
vlan-name {
l3-interface-ingress-counting layer-3-interface-name;
...
}
}
|
ステートメントが削除されます。Ingressトラフィックが自動的に追跡されます。 |
vlans {
vlan-name {
no-local-switching;
...
}
}
|
ステートメントが削除されます。 |
vlans {
vlan-name {
no-mac-learning;
...
}
}
|
ステートメントは別の階層に移動しました。 vlans {
vlan-name {
switch-options {
no-mac-learning limit
...
}
}
}
|
vlans {
vlan-name {
primary-vlan vlan-name;
...
}
}
|
ステートメントは削除されました。 |
vlans {
vlan-name {
vlan-prune;
...
}
}
|
ステートメントが削除されます。 |
vlans {
vlan-name {
vlan-range vlan-id-low-vlan-id-high;
...
}
}
|
注:
ステートメントは新しいステートメントに置き換えられました。 vlans {
vlan-name {
vlan-id-list [vlan-id-numbers];
...
}
}
|
vlans {
vlan-name {
l3-interface vlan.logical-interface-number;
...
}
}
|
注:
構文が変更されました。 vlans {
vlan-name {
interface irb.logical-interface-number;
...
}
}
|
元の階層 |
変更された階層 |
|---|---|
vlans {
vlan-name {
dot1q-tunneling {
customer-vlans (id | native | range);
layer2-protocol-tunneling all | protocol-name {
drop-threshold number;
shutdown-threshold number;
...
}
}
}
}
|
interface interface-name {
encapsulation extended-vlan-bridge;
flexible-vlan-tagging;
native-vlan-id number;
unit logical-unit-number {
input-vlan-map action;
output-vlan-map action;
vlan-id number;
vlan-id-list [vlan-id vlan-id–vlan-id];
}
}
protocols {
layer2-control {
mac-rewrite {
interface interface-name {
protocol {
...
}
}
}
}
}
|
vlans {
vlan-name {
filter{
input filter-name
output filter-name;
...
}
}
}
|
vlans {
vlan-name {
forwarding-options {
filter{
input filter-name
output filter-name;
...
}
}
}
}
|
vlans {
vlan-name {
mac-limit limit action action;
...
}
}
|
vlans {
vlan-name {
switch-options {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
vlans {
vlan-name {
switch-options {
interface interface-name {
interface-mac-limit limit {
packet-action action;
...
}
}
}
}
}
|
vlans {
vlan-name {
mac-table-aging-time seconds;
...
}
}
|
protocols {
l2-learning {
global-mac-table-aging-time seconds;
...
}
}
|
ストーム制御プロファイルの変更
ストーム制御は、2つのステップで設定されます。最初のステップは[edit forwarding-options]階層レベルでストーム制御プロファイルを作成し、2つ目のステップは[edit interfaces]階層レベルでプロファイルを論理インターフェイスにバインドすることです。変更された手順については、「例:EXシリーズスイッチのネットワーク障害を防止するストーム制御の設定をご覧ください。
元の階層 |
変更された階層 |
|---|---|
ethernet-switching-options { storm-control { (...) } } |
forwarding-options {
storm-control-profiles profile-name {
(...)
}
}
interfaces interface-name unit number family ethernet-switching {
storm-control storm-control-profile;
}
|
インターフェイス階層の変更
ステートメントは別の階層に移動しました。
元の階層 |
変更された階層 |
|---|---|
interfaces interface-name { ether-options { link-mode mode; speed (auto-negotiation | speed) } } |
interfaces interface-name {
link-mode mode;
speed speed)
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { native-vlan-id vlan-id } } } |
interfaces interface-name {
native-vlan-id vlan-id
}
|
interfaces interface-name { unit logical-unit-number { family ethernet-switching { port-mode mode } } } |
注:
ステートメントは新しいステートメントに置き換えられました。 interfaces interface-name {
unit logical-unit-number {
family ethernet-switching {
interface-mode mode
}
}
}
|
interfaces vlan |
注:
ステートメントは新しいステートメントに置き換えられました。 interfaces irb |
IGMPスヌーピングの変更
元の階層 |
変更された階層 |
|---|---|
protocols {
igmp-snooping {
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier> <disable>;
}
vlan (all | vlan-identifier) {
disable;
data-forwarding {
receiver {
install;
source-vlans vlan-name;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
multicast-router-interface;
static {
group multicast-ip-address;
}
}
proxy {
source-address ip-address;
}
robust-count number;
}
}
}
|
protocols {
igmp-snooping {
vlan vlan-name {
data-forwarding {
receiver {
install;
source-list vlan-name;
translate;
}
source {
groups ip-address;
}
}
immediate-leave;
interface (all | interface-name) {
group-limit <1..65535>
host-only-interface
multicast-router-interface;
immediate-leave;
static {
group multicast-ip-address {
source <>
}
}
}
}
l2-querier {
source-address ip-address;
}
proxy {
source-address ip-address;
}
query-interval number;
query-last-member-interval number;
query-response-interval number;
robust-count number;
traceoptions {
file filename <files number> <no-stamp> <replace> <size maximum-file-size> <world-readable | no-world-readable>;
flag flag <flag-modifier>;
}
}
}
}
|
セキュリティデバイス用の拡張レイヤー2CLI構成ステートメントおよびコマンドの変更点
Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 から、一部のレイヤー 2 CLI 構成ステートメントが拡張され、一部のコマンドが変更されています。表 18 と 表 19 に、この CLI 拡張の一環として、SRX シリーズのファイアウォールで新しい階層に移動されたり、変更されたりした既存コマンドのリストを示します。この表は、全体像を俯瞰するための参考資料としてのみ提供されています。これらのコマンドの詳細については、CLIエクスプローラを参照してください。
元の階層 |
変更された階層 |
階層レベル |
変更の説明 |
|---|---|---|---|
bridge-domains bridge-domain--name {
...
}
}
|
vlans vlans-name {
...
}
}
|
[編集] |
名前が変更された階層。 |
bridge-domains bridge-domain--name {
vlan-id-list [vlan-id] ;
}
|
vlans vlans-name {
vlan members [vlan-id] ;
}
|
[editvlansvlans-name] |
名前が変更されたステートメント。 |
bridge-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
switch-options {
interface interface-name {
encapsulation-type;
ignore-encapsulation-mismatch;
pseudowire-status-tlv;
static-mac mac-address {
vlan-id vlan-id;
}
}
mac-table-aging-time seconds;
mac-table-size {
number;
packet-action drop;
}
}
|
[editvlansvlans-name] |
名前が変更されたステートメント。 |
bridge {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
|
[edit security flow] |
名前が変更されたステートメント。 |
family {
bridge {
bridge-domain-type (svlan| bvlan);
...
|
family {
ethernet-switching {
...
|
[editinterfacesinterface-name]ユニットunit-number |
名前が変更された階層。 |
... routing-interface irb.0; ... |
... l3-interface irb.0; ... |
[editvlansvlans-name] |
名前が変更されたステートメント。 |
元の操作コマンド |
変更された操作コマンド |
|---|---|
clear bridge mac-table |
clearethernet-switching table |
clear bridge mac-table persistent-learning |
clear ethernet-switching table persistent-learning |
show bridge domain |
showvlans |
show bridge mac-table |
show ethernet-switching table |
showl2-learning interface |
show ethernet-switching interface |
SRX300、SRX320、およびSRX500HMデバイスにfxp0アウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
関連項目
ACXシリーズ向けのレイヤー2次世代モード
レイヤー2次世代モードは、拡張レイヤー2ソフトウェア(ELS)とも呼ばれ、レイヤー2機能を設定するため ACX5048、ACX5096、および ACX5448ルーターでサポートされています。ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、ACX7509ルーターのレイヤー2 CLI設定とshowコマンドは、他のACXシリーズルーター(ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000)およびMXシリーズルーターとは異なります。
表 20は、レイヤー2次世代モードでレイヤー2機能を設定するためのCLI階層の違いを示しています。
機能 |
ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000およびMXシリーズルーター |
ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、およびACX7509ルーター |
|---|---|---|
ブリッジドメイン |
[ |
[ |
ファミリー |
[ |
[ |
レイヤー2オプション |
[ |
[ |
イーサネットオプション |
[ |
[ |
Integrated Routing and Bridging(IRB) |
[ |
|
ストーム制御 |
[ |
[ [ |
Internet Group Management Protocol(IGMP)スヌーピング |
[ |
[ |
ファミリー |
[ |
[ |
表 21は、レイヤー2次世代モードでのレイヤー2機能向けのshowコマンドの違いを示します。
機能 |
ACX1000、ACX1100、ACX2000、ACX2100、ACX2200、ACX4000およびMXシリーズルーター |
ACX5048、ACX5096、ACX5448、ACX710、ACX7100、ACX7024、ACX7332、ACX7348、およびACX7509ルーター |
|---|---|---|
VLAN |
|
|
MACテーブル |
|
|
MACテーブルオプション |
|
|
VLAN割り当てによるスイッチポートリスト |
|
|
フラッシュデータベースのカーネル状態 |
|
|
関連項目
ACX7000シリーズルーターのサービスプロバイダおよびエンタープライズ設定スタイルをサポートする柔軟なイーサネットサービスのカプセル化
フレキシブルイーサネットサービスは、物理インターフェイスが論理インターフェイスレベルでイーサネットカプセル化を指定できるようにするカプセル化のタイプです。各論理インターフェイスは、異なるイーサネットカプセル化を持つことができます。ユニットあたりの複数のイーサネットカプセル化を定義すると、同じ物理インターフェイスに接続された複数のホストにイーサネットベースサービスを簡単にカスタマイズできます。
フレキシブルイーサネットサービスでカプセル化されず、レイヤー2モードで動作するイーサネットインターフェイスは、1つの論理インターフェイスユニット(0)に制限されます。ブリッジングは、ユニット 0のインターフェイスファミリーとしてethernet-switching設定することで、インターフェイスで有効にされます。 ethernet-switchingファミリーは、論理インターフェイスユニット 0でのみ設定でき、そのインターフェイスで他の論理ユニットを定義することはできません。
ただし、一部のスイッチング機能は、論理インターフェイスユニット 0では設定できません。 Q-in-Qトンネリングなどの機能は、VLANタグ付きフレームを送信する論理インターフェイスを必要とします。一致するVLAN IDがタグ付きイーサネットフレームを受信および転送できるように論理インターフェイスを有効にするには、論理インターフェイスをそのVLANにバインドする必要があります。VLAN IDをユニット 0にバインドできないため、これらの機能は 0以外の論理インターフェイスユニットで設定する必要があります。
フレキシブルイーサネットサービスを使用してインターフェイスをカプセル化すると、 0以外の論理インターフェイスユニットを設定できますfamily ethernet-switching。また、異なるタイプのイーサネットカプセル化を持つ同じインターフェイスに他の論理インターフェイスを設定することもできます。これにより、VLAN IDにバインドされた論理インターフェイスが、設定された論理インターフェイスと共存できるようになりますfamily ethernet-switching。
flexible-ethernet-servicesステートメントは、サービスプロバイダスタイル論理インターフェイスとエンタープライズスタイル論理インターフェイスの両方を設定できます。
例えば、Q-in-Qトンネリングを設定している同じ物理インターフェイスにPVLANを設定すると、Q-in-Qトンネリングのカプセル化と併用して、フレキシブルイーサネットサービスを使用することで、PVLANの設定エンタープライズスタイルをfamily ethernet-switchingサポートできますvlan-bridge。
ハードウェアVTEPとして機能するデバイスを設定するときは、グループを使用して以下のステートメントを設定することをお勧めします。
-
設定インターフェイスinterface-nameflexible-vlan-tagging
-
設定インターフェイスinterface-nameのカプセル化 extended-vlan-bridge
-
設定インターフェイスinterface-namenative-vlan-id vlan-id
サービスプロバイダ設定スタイル
サービスプロバイダ設定スタイルをサポートするようにインターフェイスを設定するには:
エンタープライズ設定スタイル
エンタープライズ設定スタイルをサポートするようにインターフェイスを設定するには:
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
set protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用すると、レイヤー2ブリッジモードとイーサネットスイッチングモードが切り替わります。