Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS リリース 21.1R1 の主な機能

このビデオを使用して 、Junos OS リリース 21.1R1 で導入された主な機能を簡単に確認できます。

このリリースのすべての主要な機能の一覧を次に示します。フィーチャの詳細については、フィーチャの説明でリンクをクリックします。

  • フロー セッションの監視とトラブルシューティングの強化(SRX シリーズ):Junos OS リリース 21.1R1 以降、show security flow session 運用コマンドに追加のフィルターを導入しました。追加のフィルターを使用すると、フロー セッションを簡単に監視できるように、リストに指定された出力を生成できます。また、show security flow sessionをかなり紹介し、セキュリティフローセッションプラグインの運用コマンドを表示して、フローセッションに関する詳細情報を表示します。

    また、monitor security packet-drop 運用コマンドを使用して、設定をコミットせずにパケット ドロップ情報をトレースすることもできます。このコマンド出力は、Ctrl+c キーを押すか、セキュリティ デバイスが要求されたパケット ドロップ数を収集するまで、画面に表示されます。コマンドには、要件ごとに出力フィールドを生成するさまざまなフィルターが含まれています。

    [セキュリティ フローセッションの表示セキュリティフローセッションの美しい表示セキュリティフローセッションプラグインの表示セキュリティパケットドロップの監視を参照してください。

  • EVPN-VXLAN トンネル インスペクション(SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX)—Junos OS リリース 21.1R1 以降、SRX シリーズ デバイスの VXLAN サポートに次の機能強化が導入されました。

    • SRX4000 シリーズおよび vSRX に加えて、SRX5000 シリーズ デバイスをサポート

    • レイヤー 4 またはレイヤー 7 セキュリティ サービスをトンネル トラフィックに適用することで、VXLAN カプセル化トラフィックのトンネル インスペクションを強化。サポートされるサービスは次のとおりです。

      • アプリケーション識別
      • IDP
      • Juniper Advanced Threat Prevention(ATP Cloud)
      • 統合脅威管理(UTM)

    レイヤー7セキュリティサービスは、アプリケーションレベルのセキュリティを提供し、VXLANトンネルを介してセキュリティ上の脅威からユーザーを保護します。

    [ トンネル トラフィック インスペクションの設定を参照してください。

  • IS-IS リンク遅延測定およびアドバタイズメント(MX シリーズ):Junos OS リリース 21.1R1 以降では、複数の IS-IS プローブ メッセージを使用して、IP ネットワークのさまざまなパフォーマンス メトリックを拡張性に基づき測定およびアドバタイズできます。これらのメトリックを使用して、ネットワーク パフォーマンスに基づいてパス選択を決定できます。

    [IS-IS、遅延測定、遅延メトリックにおけるリンク遅延測定およびアドバタイズメントを有効にする方法を参照してください。

  • ルーテッド インターフェイスおよび reth インターフェイス上の LLDP(SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800)—Junos OS リリース 21.1R1 以降では、ルーティングおよび冗長イーサネット(reth)インターフェイスを含むすべての物理インターフェイスで LLDP を有効にすることができます。LLDPは、ネットワークデバイスが機能、アイデンティティ、その他の情報をLANにアドバタイズするために使用するリンクレイヤープロトコルです。

    [ LLDP の概要を参照してください。

  • MVPNライブライブソリューションサポート(MXシリーズ):Junos OSリリース21.1R1以降、マルチキャストLDPポイントツーマルチポイント(P2MP)プロバイダトンネルを使用して、次世代マルチキャストVPN(MVPN)のMVPNライブライブ機能を有効にするサポートを追加しました。この機能は、ネットワークを常に稼働し続けるのに役立ちます。

    MVPN ライブ ライブ ソリューションを有効にするには、以下の手順に従います。

    • コマンドを sender-based-rpf 実行してオプションを set routing-instances routing-instance-name protocols mvpn sender-based-rpf 設定します。このオプションはデフォルトで無効になっています。
    • コマンドを hot-root-standby 実行してオプションを set routing-instances routing-instance-name protocols mvpn hot-root-standby 設定します。このオプションは、送信者ベースの RPF が有効になっている場合にのみ設定できます。

    この設定を有効にすると、プライマリ パスから顧客ネットワークにトラフィックを転送中に障害が発生した場合、受信 PE は自動的にバックアップ パスに切り替わります。プライマリ パスからバックアップ パスへの移行は 50 ミリ秒未満で行われます。

    以前の Junos OS リリースでは、RSVP-TE および IR プロバイダ トンネルのみのサポートを提供しました。

    [ 送信者ベースの rpfホットルート スタンバイを参照してください。

  • BGP クラスフル トランスポート プレーン(BGP-CT)により、色付きトンネル(ACX シリーズ、PTX シリーズ、MX シリーズ)へのサービス マッピングが容易になります。Junos OS リリース 21.1R1 以降では、ネットワーク内の色付きトランスポート トンネル(RSVP、IS-IS フレキシブル アルゴリズム)をトランスポート クラスに分類し、サービス ルートを意図したトランスポート クラス上にマッピングできます。また、BGP Classful Transport(BGP CT)と呼ばれる新しい BGP トランスポート アドレス ファミリーを使用して、複数のドメイン(AS または IGP エリア)にまたがるトランスポート トンネルを拡張することもできます。

    この機能は、ネットワーク スライシングの基盤となり、各ドメインで使用されるトランスポート シグナリング プロトコルに関係なく、さまざまなドメインを相互運用できます。

    [ BGP クラスフル トランスポート プレーンの概要を参照してください。

  • Express Path(SRX5400、SRX5600、SRX5800)に対するパケットベースの ECMP サポート—以前のリリースでは、Express Path はセッションベースの ECMP トラフィックのみをサポートしていました。Express Path は、Junos OS リリース 21.1R1 以降、SRX シリーズ デバイスのさまざまなネットワーク プロセッサーからのパケットベースの ECMP トラフィックもサポートしています。パケットベースの ECMP モードでは、SPU は一度に複数のネットワーク プロセッサー上に複数のネットワーク プロセッサー セッションを作成します。この機能はデフォルトで有効になっています。

    [ Express Path を参照してください。

  • BGP番号なしネイバー(MXシリーズ、PTX1000、PTX10008、QFX5120-32C、QFX5200、QFX5210、QFX10008)に対応 しています。Junos OSリリース21.1R1以降、IPv6ネイバー検出プロトコル(NDP)を使用してBGP番号なしのネイバー機能をサポートしています。この機能により、BGPは、IPv6 NDPを使用して直接接続されたネイバールーターのリンクローカルIPv6アドレスを使用して、ピアネイバーセッションを自動的に作成できます。

  • BGP MVPN のサポート(プロバイダ エッジ向け Junos fusion):Junos OS リリース 21.1R1 以降、プロバイダ エッジ向け Junos Fusion は BGP マルチキャスト VPN(MVPN)をサポートしています。BGP MVPN は、BGP MPLS レイヤー 3 VPN を介してマルチプロトコル マルチキャスト サービスを実装するための方法です。プロバイダ エッジ向け Junos Fusion は、プロバイダ エッジ向け Junos Fusion のサテライト デバイスの拡張ポート上で、BGP ベースの MVPN カスタマー エッジ(CE)デバイスの接続をサポートします。

    [ Junos Fusion Provider Edge Supported Protocols をご覧ください。

  • IS-IS(ACX シリーズ、MX シリーズ、PTX シリーズ)の複数の独立した IGP インスタンスの設定をサポート—Junos OS リリース 21.1R1 以降では、IS-IS の複数の独立した IGP インスタンスをルーター上で同時に設定および実行できます。

    メモ:

    Junos OS は、IS-IS の複数の IGP インスタンスで同じ論理インターフェイスの設定をサポートしていません。

    [ IS-IS の複数の独立した IGP インスタンスを設定する方法を参照してください。

  • syslog(MS-MPC、MS-MIC、MX-SPC3 を備えた MX シリーズ ルーター)にタイムスタンプを表示するサポート:Junos OS リリース 21.1R1 以降では、ローカル システム タイムスタンプ形式または UTC 形式でシステム ログ(syslog)タイムスタンプを有効にできます。

    MS-MPC を使用するルーターでは、階層レベルで新しいステートメントを設定することで、 syslog-local-system-timestampデフォルトの UTC タイムスタンプ形式をローカル システム タイムスタンプ形式に edit interfaces ms-interface\ams-interfaceservices-options オーバーライドできます。

    MX-SPC3カードを搭載したルーターでは、既存のステートメントutc-timestampを階層レベルまたは階層レベルで設定することで、 edit interfaces vms-interface\ams-interfaceservices-options syslogのデフォルトのローカルシステムタイムスタンプを [edit services service-set-namesyslog UTC形式にオーバーライドできます。

    MX-SPC3 カードを搭載したルーターの場合、リリース 21.1R1 以降では、階層レベルでステートメントをedit interfaces vms-interface\ams-interfaceservices-options設定utc-timestampできます。以前のリリースでは、このステートメントは階層レベルで[edit services service-set-namesyslogサポートされています。

    [ syslog(サービス サービス セット)を参照してください。

  • EVPN-MPLS(プロバイダ エッジ向け Junos fusion)のサポート:Junos OS リリース 21.1R1 以降、プロバイダ エッジ向け Junos Fusion は EVPN-MPLS をサポートしています。EVPN-MPLS は、レイヤー 2 VPN サービスを MPLS ネットワーク経由で拡張するソリューションです。プロバイダ エッジ向け Junos Fusion は、EVPN-MPLS ネットワーク内のサテライト デバイスの拡張ポート上の顧客エッジ(CE)デバイスの接続をサポートします。

    [ Junos Fusion Provider Edge Supported Protocols をご覧ください。

  • VLAN および VXLAN(QFX5110 および QFX5120)でのマイクロセグメンテーションのサポート:Junos OS リリース 21.1R1 以降では、VLAN と VXLAN の両方の導入でレイヤー 2 およびレイヤー 3 の一致条件を使用してエグレス フィルターを設定できます。Junos OS は、イングレス方向のレイヤー 2 照合条件でのフィルタリングをすでにサポートしています。

    VXLAN のマイクロセグメンテーションにエグレス フィルタを使用するには、階層レベルでステートメントを[edit chassis]有効にepacl-firewall-optimizationし、フィルタする一致条件を使用してファイアウォール ルールを作成します。VLAN でのエグレス フィルタリングでは、有効にするepacl-firewall-optimization必要はありません。QFX5110 と QFX5120 はどちらも、VLAN と VXLAN のエグレス フィルタリングをサポートし、次の一致条件を使用します。

    • ip-source-address
    • ip-destination-address
    • destination-port
    • destination-mac-address
    • user-vlan-id
    • ip-protocol
    • source-mac-address

    これらのルールに対する有効なアクションは acceptcountおよび discardです。

    [ ファイアウォール フィルタの概要(QFX シリーズ)ファイアウォール フィルタの一致条件についてを参照してください。

  • IS-IS-SRv6 ネットワーク(MPC7E、MPC8E、MPC9E ライン カードを備えた MX シリーズ)でマイクロループを回避 します。Junos OS リリース 21.1R1 以降では、デバイス上でコンバージェンス後のパス計算を有効にして、SRv6 ネットワークのリンクやメトリック変更が発生してもマイクロループを回避できます。マイクロループ回避は、TI-LFA(トポロジ非依存型ループフリー代替)などのローカル修復メカニズムに代わるものではありません。これは、ローカル障害を非常に高速に検出し、事前計算されたループフリーの代替パスをアクティブ化します。

    SRv6 ネットワークでマイクロループ回避を設定するには、階層レベルで microloop avoidance post-convergence-path delay milliseconds ステートメントを [edit protocols isis spf-options] 含めます。

    [SRv6 ネットワークで IS-IS のマイクロループ回避を構成する方法を参照してください。

  • プロバイダ間およびキャリアオブキャリア VPN(プロバイダ エッジ向け Junos Fusion)のサポート:Junos OS リリース 21.1R1 以降、プロバイダ エッジ向け Junos Fusion はプロバイダ間およびキャリアオブキャリア VPN をサポートします。キャリアオブキャリアVPNサービスは、階層型VPN(再帰的VPNとしても知られる)モデルを表し、あるキャリア(VPNサービス顧客)が別のキャリアのVPN(VPNサービスプロバイダ)内でVPNトラフィックを転送します。プロバイダ エッジ向け Junos Fusion は現在、VPN サービスのお客様向けの PE(プロバイダ エッジ)ルーターをサポートしています。Junos OS リリース 21.1R1 では、VPN サービス プロバイダと VPN サービスのお客様向けの PE ルーターのサポートを紹介しています。

    プロバイダ間 VPN は、個別の自律システム(AS)を使用している異なるサービス プロバイダ間や、地域ごとに異なる AS を使用しているサービス プロバイダ間の接続を提供します。プロバイダ間VPNの場合、プロバイダエッジ向けJunos Fusionは、拡張ポートへのASBR(ASBR)境界ルーター上のAS内接続のみをサポートします。

    [ Junos Fusion Provider Edge Supported Protocols をご覧ください。

  • PWHT(EVPN-VPWS 経由、トランスポート論理インターフェイス上)と加入者管理(BNG)サービス論理インターフェイス(MX シリーズ ルーター)のサポート:Junos OS リリース 21.1R1 以降、EVPN-VPWS を実行するアグリゲーション ネットワークに接続されたブロードバンド ネットワーク ゲートウェイ(BNG)を導入できます。pseudowire 加入者インターフェイス上にあるトランスポート論理インターフェイスで、PWHT(PseudoWire ヘッドエンド 終端)を設定します。BNG は EVPN ヘッダーと VPWS ヘッダーをポップし、レイヤー 2 で加入者を終端します。

    この機能には、以下のサポートが含まれます。

    • すべてのブロードバンド機能は、MX シリーズ ルーターの PWHT で利用できます。
    • 論理トンネル(LT)インターフェイスに固定された PseudoWire 加入者インターフェイスを備えたシングルホーム EVPN-VPWS
    • 制御語を使用するかどうかの選択

  • Snort IPS シグネチャ(SRX シリーズおよび NFX シリーズ)のサポート:Junos OS リリース 21.1R1 以降、ジュニパーネットワークス IDP は Snort IPS シグネチャをサポートしています。IDP は、攻撃の検出に役立つシグネチャを使用してネットワークを保護します。Snortは、オープンソースの侵入防御システム(IPS)です。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをジュニパーIDPカスタム攻撃シグネチャに変換できます。これらのルールは、悪意のある攻撃の検出に役立ちます。

    • JIST はデフォルトで Junos OS に含まれています。このツールは、Snort バージョン 2 およびバージョン 3 のルールをサポートしています。
    • JIST は、snort-id を使用する Snort ルールを、Junos OS の同等のカスタム攻撃シグネチャに変換し、それぞれの snort-id をカスタム攻撃名として使用します。
    • Snort IPS ルールを使用して request コマンドを実行すると、JIST は Snort IPS ルールに相当するコマンドを生成 set します。コマンドを request security idp jist-conversion 使用して、コマンドを set CLI 出力として生成します。コマンドを set ロードするには、ステートメントを使用するか、コマンドを load set terminal 設定モードでコピーアンドペーストしてからコミットします。次に、変換されたカスタム攻撃シグネチャを使用して既存のIDPポリシーを設定できます。
    • 変換されていない Snort IPS ルール ファイルはすべて /tmp/jist-failed.rules に書き込まれます。変換時に生成されたエラー ログ ファイルは /tmp/jist-error.log に書き込まれます。
    • jist-package バージョンを表示するには、コマンドを show security idp jist-package-version 使用します。

    [ Snort IPS シグネチャの理解 セキュリティ idp jist-conversion のリクエスト セキュリティ idp jist-package-version の表示 を参照してください。

  • 厳格なSPFおよびIGPショートカット(ACX710、MX960、MX10008、 MX2020、PTX5000、PTX1000):Junos OS リリース 21.1R1 以降、セグメント ルーティング アルゴリズム 1(厳密な SPF)を設定し、IS-IS リンク状態 PDU(LSPDU)で SID をアドバタイズし、これらの SID を使用して SR-TE トンネルを作成し、最短の IGP パスを使用してトンネルに到達してトンネルに到達します。また、トラフィックを特定の宛先にリダイレクトできるトンネルに基づいて、インポート ポリシーに一連のプレフィックスを指定することもできます。SPRING(Source Packet Routing in Networking)が有効になっている場合は、デフォルトでアルゴリズム1(ストリクトSPF)とアルゴリズム0(デフォルトSPF)を使用できます。

    [ 厳密な SPF SID と IGP ショートカットプレフィックス セグメント送信元パケット ルーティングを有効にする方法を参照してください。

  • VRRP(PTX1000、PTX10002、PTX10008、PTX10016)のサポート:Junos OS リリース 21.1R1、PTX1000、PTX10002、PTX10008、PTX100016 ルーターは VRRP をサポートしています。ただし、これらのルーターは次の VRRP 機能をサポートしていません。

    • IRB の VRRP
    • デュアルタギング
    • GRES
    • 論理トンネル(LT)インターフェイス上のVRRP
    • レイヤー 2 VRRP

    [ VRRP についてを参照してください。

  • ポリシーベースの脅威プロファイリング(SRXシリーズデバイスおよびvSRX):Junos OSリリース21.1R1以降、ユーザーソースアイデンティティ(ユーザー名)をセキュリティポリシーに追加してセキュリティフィードを生成できます。

    Juniper ATPクラウドサービスは、SRXシリーズデバイスから生成されたフィードを統合し、重複した結果をそのセキュリティデバイスと共有します。セキュリティ デバイスはフィードを使用して、指定されたトラフィックに対してアクションを実行します。セキュリティ デバイスがフィードを使用できるようにするには、フィードを一致条件としてセキュリティ ポリシーを設定します。トラフィックがポリシー条件に一致すると、デバイスはポリシー アクションを適用します。

    [ セキュリティ ポリシーの脅威プロファイリングサポートを参照してください]