Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OSリリース21.1R1の主な機能

このビデオでは 、Junos OSリリース21.1R1で導入された主な機能のいくつかを簡単にご紹介します。

このリリースのすべての主要機能の一覧を次に示します。機能の詳細については、機能の説明のリンクをクリックしてください。

  • フロー セッションの監視とトラブルシューティングの強化(SRX シリーズ)—Junos OS リリース 21.1R1 以降、show security flow session 操作コマンドに追加のフィルターが導入されました。追加のフィルターを使用すると、指定した出力をリストで生成できるため、フロー セッションを簡単に監視できます。また、フロー セッションに関する詳細情報を表示するために、show security flow session preyとshow security flow session plugins操作コマンドも導入しました。

    また、monitor security packet-drop 操作コマンドを使用して、設定をコミットせずにパケットドロップ情報をトレースすることもできます。このコマンドの出力は、Ctrl+c を押すまで、またはセキュリティ デバイスが要求されたパケット ドロップ数を収集するまで、画面に表示されます。コマンドには、要件ごとに出力フィールドを生成するためのさまざまなフィルターが含まれています。

    [show security flow session、show security flow session pretty、show security flow session plugins、およびmonitor security packet-dropを参照してください。

  • EVPN-VXLANトンネルインスペクション(SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800、vSRX)—Junos OS リリース 21.1R1 より、SRX シリーズ デバイスの VXLAN サポートに次の拡張機能が導入されました。

    • SRX4000シリーズとvSRXに加え、SRX5000シリーズをサポート

    • レイヤー 4 またはレイヤー 7 セキュリティ サービスをトンネル トラフィックに適用することで、VXLAN カプセル化トラフィックのトンネル インスペクションが強化されます。サポートされているサービスは次のとおりです。

      • アプリケーション識別
      • Idp
      • Juniper Advanced Threat Prevention(ATPクラウド)
      • 統合脅威管理(UTM)

    レイヤー 7 セキュリティ サービスは、アプリケーション レベルのセキュリティを提供し、VXLAN トンネルを通じてセキュリティ上の脅威からユーザーを保護します。

    [ トンネル トラフィック インスペクションの設定を参照してください。

  • セグメントルーティング-トラフィックエンジニアリング(SR-TE)(ACXシリーズ)向けIS-ISの柔軟なアルゴリズムのサポート:Junos OSリリース21.1R1以降、要件に応じてさまざまなパラメーターとリンク制約を使用してパスを計算する柔軟なアルゴリズムを定義することで、ネットワークをシンスライスできるようになりました。例えば、IGPメトリックを最小化するパスを計算する柔軟なアルゴリズムと、トラフィック制御メトリックに基づいてパスを計算する別の柔軟なアルゴリズムを定義して、ネットワークを別々のプレーンに分割することができます。この機能により、コントローラのないネットワークでトラフィック制御を設定し、デバイスのセグメントルーティング機能を利用することができます。

    柔軟なアルゴリズムを定義するには、階層レベルで ステートメントを含め flex-algorithm ます [edit routing-options] 。柔軟なアルゴリズムに参加するようデバイスを設定するには、 階層レベルで ステートメントを含め flex-algorithm ます [edit protocols isis segment routing]

    [ セグメントルーティングのためのIS-ISフレキシブルアルゴリズムを理解するを参照してください。]

  • IS-ISリンク遅延の測定と広告(MXシリーズ)—Junos OSリリース21.1R1以降、複数のIS-ISプローブメッセージを使用することで、拡張性のあるIPネットワークのさまざまなパフォーマンスメトリックを測定およびアドバタイズできます。これらのメトリックは、ネットワークパフォーマンスに基づいてパス選択を決定するために使用できます。

    [IS-IS、遅延測定、および遅延メトリックでリンク遅延測定とアドバタイズを有効にする方法を参照してください。]

  • ルーティングおよびrethインターフェイス(SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、およびSRX5800)でのLLDP:Junos OSリリース21.1R1以降、ルーティングおよび冗長イーサネット(reth)インターフェイスを含むすべての物理インターフェイスでLLDPを有効にできます。LLDPは、機能、ID、その他の情報をLANにアドバタイズするためにネットワークデバイスが使用するリンク層プロトコルです。

    [ LLDPの概要を参照してください。]

  • MVPNライブライブソリューションサポート(MXシリーズ):Junos OSリリース21.1R1以降、マルチキャストLDPポイントツーマルチポイント(P2MP)プロバイダートンネルを備えた次世代マルチキャストVPN(MVPN)でMVPNライブライブ機能を有効にするサポートが追加されました。この機能は、ネットワークを常に稼働状態に保つのに役立ちます。

    MVPNライブライブソリューションを有効にするには:

    • コマンドを実行してset routing-instances routing-instance-name protocols mvpn sender-based-rpfsender-based-rpfオプションを設定します。このオプションはデフォルトで無効になっています。
    • コマンドを実行してset routing-instances routing-instance-name protocols mvpn hot-root-standbyhot-root-standbyオプションを設定します。このオプションは、送信者ベースの RPF が有効になっている場合にのみ設定できます。

    この設定を有効にすると、プライマリ パスからカスタマー ネットワークへのトラフィックの転送中に障害が発生した場合、受信側 PE は自動的にバックアップ パスに切り替わります。プライマリパスからバックアップパスへの移行は、50ミリ秒未満で行われます。

    以前のJunos OSリリースでは、RSVP-TEおよびIRプロバイダートンネルのみサポートを提供していました。

    [ sender-based-rpfhot-root-standbyを参照]

  • BGPクラスフルトランスポートプレーン(BGP-CT)によるカラー付きトンネル(ACXシリーズ、PTXシリーズ、MXシリーズ)を介したサービスマッピングを円滑化:Junos OSリリース21.1R1以降、ネットワーク内のカラー付きトランスポートトンネル(RSVP、IS-ISフレキシブルアルゴリズム)をトランスポートクラスに分類し、目的のトランスポートクラス上にサービスルートをマッピングできるようになりました。また、BGP CT(BGP Classful Transport)と呼ばれる新しいBGPトランスポートアドレスファミリーを使用することで、トランスポートトンネルを拡張して複数のドメイン(ASまたはIGP領域)にまたがることもできます。

    この機能は、ネットワーク スライシングの基礎を築き、各ドメインで使用されているトランスポート シグナリング プロトコルに関係なく、異なるドメインの相互運用を可能にします。

    [ BGPクラスフルトランスポートプレーンの概要を参照してください。]

  • Express Path (SRX5400、SRX5600、および SRX5800)のパケットベースの ECMP のサポート: 以前のリリースでは、Express Path はセッションベースの ECMP トラフィックのみをサポートしていました。Junos OS リリース 21.1R1 以降、Express Path では、SRX シリーズ デバイスのさまざまなネットワーク プロセッサからのパケットベースの ECMP トラフィックもサポートされます。パケットベース ECMP モードでは、SPU は一度に複数のネットワーク・プロセッサー上に複数のネットワーク・プロセッサー・セッションを作成します。この機能はデフォルトで有効になっています。

    [ Express Path を参照してください。

  • BGP番号なしネイバー(MXシリーズ、PTX1000、PTX10008、QFX5120-32C、QFX5200、QFX5210、QFX10008)のサポート— Junos OSリリース21.1R1以降、IPv6ネイバー検出プロトコル(NDP)を使用したBGP番号なしネイバー機能がサポートされています。この機能により、BGPは、IPv6 NDPを使用して、直接接続されたネイバールーターのリンクローカルIPv6アドレスを使用して、ピアネイバーセッションを自動的に作成できます。

  • BGP MVPN(Junos fusion for provider edge)のサポート—Junos OS Release 21.1R1以降、Junos Fusion for Provider EdgeはBGPマルチキャストVPN(MVPN)に対応しています。BGP MVPN は、BGP MPLS レイヤー 3 VPN 上でマルチプロトコル マルチキャスト サービスを実装する方法です。Junos Fusion for Provider Edgeは、Junos fusion for Provider Edgeのサテライト デバイスの拡張ポート上で、BGP ベースの MVPN カスタマー エッジ(CE)デバイスの接続をサポートします。

    [ Junos Fusion Provider Edge Supported Protocolsを参照してください。]

  • IS-IS (ACX シリーズ、MX シリーズ、PTX シリーズ)の複数の独立した IGP インスタンスの設定のサポート-Junos OS リリース 21.1R1 以降、IS-IS の複数の独立した IGP インスタンスをルーター上で同時に設定および実行できます。

    メモ:

    Junos OSは、IS-ISの複数のIGPインスタンスで同じ論理インターフェイスを設定することをサポートしていません。

    [ IS-ISの複数の独立したIGPインスタンスを設定する方法を参照してください。]

  • syslogでのタイムスタンプ表示のサポート(MS-MPC、MS-MIC、およびMX-SPC3を搭載したMXシリーズルーター)—Junos OSリリース21.1R1以降、ローカルシステムのタイムスタンプ形式またはUTC形式のシステムログ(syslog)タイムスタンプを有効にできるようになりました。

    MS-MPCを搭載したルーターでは、 階層レベルで新しいステートメント 、 を設定することで、 syslog-local-system-timestampデフォルトのUTCタイムスタンプをローカルシステムのタイムスタンプフォーマットに edit interfaces ms-interface\ams-interfaceservices-options 上書きすることができます。

    MX-SPC3カードを搭載したルーターでは、 階層レベルまたは [edit services service-set-namesyslog 階層レベルで既存のステートメントutc-timestampを設定することで、edit interfaces vms-interface\ams-interfaceservices-optionssyslogのデフォルトローカルシステムのタイムスタンプをUTC形式に上書きできます。

    MX-SPC3カードを搭載したルーターの場合、リリース21.1R1以降、階層レベルでステートメントutc-timestampedit interfaces vms-interface\ams-interfaceservices-optionsを設定できます。以前のリリースでは、このステートメントは [edit services service-set-namesyslog 階層レベルでサポートされていました。

    [ syslog (サービス サービス セット)を参照してください。

  • EVPN-MPLS(Junos fusion for Provider edge)のサポート-Junos OS Release 21.1R1以降、Junos Fusion for Provider EdgeはEVPN-MPLSをサポートしています。EVPN-MPLSは、レイヤー2 VPNサービスをMPLSネットワーク上に拡張するソリューションです。Junos Fusion Provider Edgeは、EVPN-MPLSネットワーク内のサテライトデバイスの拡張ポート上のCE(カスタマーエッジ)デバイスの接続をサポートします。

    [ Junos Fusion Provider Edge Supported Protocolsを参照してください。]

  • VLANとVXLAN(QFX5110およびQFX5120)でのマイクロセグメンテーションのサポート:Junos OSリリース21.1R1以降、VLANとVXLANの両方の展開で、レイヤー2とレイヤー3の一致条件でエグレスフィルターを設定できます。Junos OSは、イングレス方向のレイヤー2一致条件でのフィルタリングをすでにサポートしています。

    VXLAN のマイクロセグメンテーションにエグレス フィルターを使用するには、階層のレベルで ステートメント[edit chassis]を有効にepacl-firewall-optimizationし、フィルタリングする一致条件を持つファイアウォール ルールを作成します。VLANのエグレスフィルタリングの場合、を有効にする必要はありませんepacl-firewall-optimization。QFX5110と QFX5120 はどちらも、以下の一致条件で、VLAN と VXLAN のエグレス フィルタリングをサポートしています。

    • ip-source-address
    • ip-destination-address
    • destination-port
    • destination-mac-address
    • user-vlan-id
    • ip-protocol
    • source-mac-address

    これらのルールの有効なアクションはacceptcountdiscardです。

    [ファイアウォールフィルター の概要(QFXシリーズ) および ファイアウォールフィルターの一致条件を理解するを参照してください。]

  • IS-IS-SRv6ネットワーク(MPC7E、MPC8E、MPC9Eラインカードを使用したMXシリーズ)でマイクロループを回避 :Junos OSリリース21.1R1以降、デバイスでコンバージェンス後のパス計算を有効にして、SRv6ネットワークでリンクまたはメトリックが変更された場合にマイクロループを回避できます。マイクロループ回避は、トポロジーに依存しないループフリーの代替ルート(TI-LFA)などのローカル修復メカニズムに代わるものではないことに注意してください。トポロジーに依存しないループフリーの代替パスは、非常に高速に検出して、事前に計算されたループフリーの代替パスをアクティブにします。

    SRv6ネットワークでマイクロループ回避を設定するには、階層レベルでステートメント microloop avoidance post-convergence-path delay milliseconds を含めます [edit protocols isis spf-options]

    [SRv6ネットワークにおけるIS-ISのマイクロループ回避を設定する方法を参照してください。]
  • プロバイダ間およびキャリアオブキャリアVPNのサポート(プロバイダエッジ向けJunos Fusion)—Junos OSリリース21.1R1以降、プロバイダエッジ向けJunos Fusion では、プロバイダ間VPNとキャリアオブキャリアVPNがサポートされています。キャリアオブキャリアVPNサービスは、あるキャリア(VPNサービス顧客)が別のキャリアのVPN(VPNサービスプロバイダー)内でVPNトラフィックを伝送する階層型VPN(再帰的VPNとも呼ばれます)モデルを表しています。Junos Fusion for Provider Edgeは現在、VPNサービスのお客様向けのPE(プロバイダエッジ)ルーターをサポートしています。Junos OS リリース 21.1R1 では、VPN サービス プロバイダおよび VPN サービスのお客様向けに PE ルーターのサポートを導入しています。

    プロバイダ間VPNは、別々の自律システム(AS)を使用している異なるサービスプロバイダ間、または地理的に異なる場所に異なるASを使用している1つのサービスプロバイダ間の接続を提供します。プロバイダ間VPNの場合、プロバイダエッジ向けJunos Fusionは、AS境界ルーター(ASBR)上の拡張ポートへのAS内接続のみをサポートします。

    [ Junos Fusion Provider Edge Supported Protocolsを参照してください。]

  • 加入者管理(BNG)サービス論理インターフェイス(MXシリーズルーター)によるPWHT(EVPN-VPWS経由、トランスポート論理インターフェイス上)のサポート—Junos OSリリース21.1R1以降、EVPN-VPWSを実行するアグリゲーションネットワークに接続されたブロードバンドネットワークゲートウェイ(BNG)を導入できます。疑似回線加入者インターフェイス上にあるトランスポート論理インターフェイスで擬似回線ヘッドエンド終端(PWHT)を設定します。BNGは、EVPNおよびVPWSヘッダーをポップし、レイヤー2で加入者を終端します。

    この機能には、次のサポートが含まれます。

    • MXシリーズルーターのPWHTで利用可能なすべてのブロードバンド機能
    • 疑似回線加入者インターフェイスを論理トンネル(LT)インターフェイスに固定したシングルホームEVPN-VPWS
    • 制御語を使用するかどうかの選択
  • Snort IPS シグネチャ(SRX シリーズおよび NFX シリーズ)のサポート:Junos OS リリース 21.1R1 以降、ジュニパーネットワークスの IDP は Snort IPS シグネチャをサポートしています。IDPは、攻撃の検出に役立つシグネチャを使用してネットワークを保護します。Snortはオープンソースの侵入防御システム(IPS)です。Juniper Integration of Snort Tool(JIST)を使用して、Snort IPSルールをJuniper IDPカスタム攻撃シグネチャに変換できます。これらのルールは、悪意のある攻撃の検出に役立ちます。

    • JISTはデフォルトでJunos OSに含まれています。このツールは、Snort バージョン 2 およびバージョン 3 のルールをサポートしています。
    • JISTは、snort-idsを使用したSnortルールを、Junos OS上で同等のカスタム攻撃シグネチャに変換し、それぞれのsnort-idをカスタム攻撃名として使用します。
    • Snort IPS ルールを使用してコマンドを実行すると request 、JIST は Snort IPS ルールと同等のコマンドを生成します setrequest security idp jist-conversion コマンドを使用して、コマンドを CLI 出力として生成します set 。コマンドを set 読み込むには、 ステートメントを使用するか load set terminal 、設定モードでコマンドをコピーして貼り付け、コミットします。その後、変換されたカスタム攻撃シグネチャを使用して既存のIDPポリシーを構成できます。
    • 変換されなかったすべての Snort IPS ルールファイルは、/ tmp/jist-failed.rules に書き込まれます。変換中に生成されたエラーログファイルは、/ tmp/jist-error.log に書き込まれます。
    • jist-package のバージョンを表示するには、 コマンドを使用します show security idp jist-package-version

    [Snort IPS シグネチャについて、 セキュリティ idp jist-conversion をリクエストし、 security idp jist-package-version を表示するを参照してください。]

  • 厳密なSPFおよびIGPショートカット(ACX710、MX960、MX10008、MX2020、PTX5000、およびPTX1000)のサポート-Junos OSリリース21.1R1以降、セグメントルーティングアルゴリズム1(厳密なSPF)を設定し、そのSIDをIS-ISリンクステートPDU(LSPDU)でアドバタイズし、これらのSIDを使用してSR-TEトンネルを作成し、ループを回避しながらトンネルのエンドポイントに到達する最短IGPパスを使用してトラフィックを転送できます。また、インポートポリシーでプレフィックスのセットを指定して、トンネルがトラフィックを特定の宛先にリダイレクトすることもできます。Source Packet Routing in Networking(SPRING)が有効になっている場合、デフォルトでアルゴリズム1(厳密なSPF)とアルゴリズム0(デフォルトのSPF)の両方を使用できます。

    [ 厳格なSPF SIDとIGPショートカットプレフィックスセグメントソースパケットルーティングを有効にする方法を参照してください。]

  • VRRP(PTX1000、PTX10002、PTX10008、PTX10016)のサポート—Junos OS リリース 21.1R1 以降、PTX1000、PTX10002、PTX10008、および PTX10016 ルーターが VRRP をサポートしています。しかし、これらのルータは以下の VRRP 機能をサポートしていません。

    • IRB 上の VRRP
    • デュアルタギング
    • ティッカー
    • 論理トンネル(LT)インターフェイス上のVRRP
    • レイヤー 2 VRRP

    [ VRRP についてを参照してください。

  • ポリシーベースの脅威プロファイリング(SRXシリーズデバイスとvSRX)— Junos OSリリース21.1R1以降、ユーザーソースID(ユーザー名)をセキュリティポリシーに追加して、セキュリティフィードを生成できるようになりました。

    ジュニパーATPクラウドサービスは、SRXシリーズデバイスから生成されたフィードを統合し、複製された結果をそのセキュリティデバイスと共有します。セキュリティ デバイスは、フィードを使用して、指定されたトラフィックに対してアクションを実行します。フィードを一致条件としてセキュリティポリシーを設定することで、セキュリティデバイスがフィードを使用できるようにすることができます。トラフィックがポリシー条件に一致すると、デバイスはポリシー アクションを適用します。

    [ セキュリティポリシーの脅威プロファイリングサポートを参照してください。