サービスプロバイダスタイルのQ-in-QトンネリングによるDHCPセキュリティの設定
Junos OSは、サービスプロバイダスタイルとエンタープライズスタイルの2種類の設定スタイルをスイッチインターフェイスでサポートしています。サービスプロバイダスタイルは、より多くの設定が必要ですが、柔軟性が高くなります。エンタープライズ スタイルは、構成が簡単ですが、機能が少なくなります。
エンタープライズ スタイルの設定では、インターフェイス ファミリーとして ethernet-switching を指定することで、論理インターフェイスをレイヤー 2 モードに移行します。イーサネットスイッチングオプションは、単一の論理ユニット(ユニット0)でのみ設定できます。これらのインターフェイスは、さまざまなVLANタグを持つトラフィックをサポートするトランクモード、またはタグなしトラフィックをサポートするアクセスモードで動作するため、VLAN IDをユニット0にバインドすることはできません。
Q-in-Qトンネリングなど一部のスイッチング機能は、論理インターフェイスユニット0では設定できません。Q-in-Q トンネリングでは、VLAN タグ付きフレームを送信するために論理インターフェイスが必要です。論理インターフェイスがVLANタグ付きイーサネットフレームを受信および転送できるようにするには、論理インターフェイスをそのVLANにバインドする必要があります。エンタープライズスタイルではユニット0へのVLAN IDのバインディングが許可されていないため、サービスプロバイダスタイルを使用してQ-in-Qトンネリングを設定する必要があります。
Q-in-QトンネリングとともにDHCPセキュリティをサポートするため、サービスプロバイダスタイルを使用して、以下のDHCPセキュリティ機能を設定できます。
- DHCPスヌーピング(DHCPv4およびDHCPv6)
- ダイナミック ARP インスペクション
- ネイバー探索インスペクション
- DHCP オプション 82
- DHCPv6 オプション 18 およびオプション 37
- 軽量 DHCPv6 リレー エージェント
柔軟なイーサネットサービスカプセル化を使用して、同じ物理インターフェイス上でサービスプロバイダとエンタープライズの設定スタイルを組み合わせることができます。柔軟なイーサネットサービスのカプセル化により、物理インターフェイスレベルではなく、論理インターフェイスレベルでカプセル化を設定できます。ユニットごとに複数のイーサネットカプセル化を定義することで、同じ物理インターフェイスに接続された複数のホストに対して、イーサネットベースのサービスを簡単にカスタマイズできます。詳細については、 柔軟なイーサネットサービスのカプセル化 を参照してください。
EX4300スイッチは、同じ物理インターフェイス上でのサービスプロバイダスタイルとエンタープライズスタイルの設定をサポートしていません。
例:サービス プロバイダ スタイル設定を使用した DHCP セキュリティと Q-in-Q トンネリング
サービス プロバイダ スタイルのみをサポートするように物理インターフェイスを設定する場合は、ブリッジング機能をサポートするように extended-vlan-bridge カプセル化タイプを設定します。また、物理インターフェイスがトランクモードで動作し、複数のVLANのVLANタグ付きのイーサネットフレームを送信できるように、物理インターフェイスにネイティブVLANタギングを設定する必要があります。インターフェイスでフレキシブルVLANタギングを設定して、802.1Q VLANのシングルタグ付きおよびデュアルタグ付きフレームを含むパケットを送信します。
以下の設定例では、サービスプロバイダ設定用の物理インターフェイスge-0/0/11をカプセル化し、論理ユニット111を定義します。VLAN ID v111 はユニット 111 にバインドされており、Q-in-Q トンネリングは論理インターフェイス ge-0/0/11.111 に設定されています。この設定により、VLAN v111でDHCPスヌーピング、ダイナミックARPインスペクション、およびDHCPオプション82が有効になります。
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation extended-vlan-bridge set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
例:柔軟なイーサネット サービス カプセル化による DHCP セキュリティと Q-in-Q トンネリング
柔軟なイーサネットサービスカプセル化タイプにより、物理インターフェイスで両方のスタイルの設定をサポートできます。サービスプロバイダスタイルをサポートするため、柔軟なイーサネットサービスにより、物理インターフェイスではなく論理インターフェイスレベルでカプセル化を設定できます。エンタープライズスタイルをサポートするため、柔軟なイーサネットサービスにより、 ethernet-switching ファミリーを任意の論理インターフェイスユニット番号で設定できます。
以下の構成例では、物理インターフェイス ge-0/0/11 を flexible-ethernet-services でカプセル化し、サービスプロバイダとエンタープライズスタイルの設定をサポートします。物理インターフェイスには、サービス プロバイダ スタイル用のユニット 111 と、エンタープライズ スタイル用のユニット 0 の 2 つの論理ユニットが定義されています。 vlan-bridge カプセル化によりユニット111のブリッジング機能が有効化され、 ethernet-switching ファミリではユニット0のブリッジング機能が有効になります。Q-in-Q トンネリングは、論理インターフェイス ge-0/0/11.111 で設定されます。
VLAN v111はユニット111にバインドされており、次のDHCPセキュリティ機能を備えています。
- DHCP スヌーピング(オプション 82 およびトラステッド オーバーライド)
- ダイナミック ARP インスペクション
VLAN EP_v222はユニット0にバインドされており、次のDHCPセキュリティ機能を備えています。
- DHCP スヌーピング(オプション 82 使用時)
- ダイナミック ARP インスペクション
- ネイバー探索インスペクション
サービスプロバイダスタイル設定されたインターフェイスは、DHCPに対してデフォルトで信頼されません。エンタープライズ スタイル設定のインターフェイスでは、アクセス インターフェイスは信頼されず、トランク インターフェイスは信頼されます。
set interfaces ge-0/0/11 flexible-vlan-tagging set interfaces ge-0/0/11 native-vlan-id 112 set interfaces ge-0/0/11 encapsulation flexible-ethernet-services set interfaces ge-0/0/11 input-native-vlan-push enable set interfaces ge-0/0/11 unit 111 encapsulation vlan-bridge set interfaces ge-0/0/11 unit 111 vlan-id-list 111-112 set interfaces ge-0/0/11 unit 111 input-vlan-map push set interfaces ge-0/0/11 unit 111 output-vlan-map pop set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/11 unit 0 family ethernet-switching vlan members EP_V222 set vlans V111 interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security group TRUSTED overrides trusted set vlans V111 forwarding-options dhcp-security group TRUSTED interface ge-0/0/11.111 set vlans V111 forwarding-options dhcp-security arp-inspection set vlans V111 forwarding-options dhcp-security option-82 remote-id use-interface-description logical set vlans EP_V222 vlan-id 222 set vlans EP_V222 forwarding-options dhcp-security arp-inspection set vlans EP_V222 forwarding-options dhcp-security neighbor-discovery-inspection set vlans EP_V222 forwarding-options dhcp-security option-82 remote-id use-interface-description logical
例:スワッププッシュ/ポップスワップをサポートするDHCPセキュリティとQ-in-Qトンネリング
Q-in-QトンネリングとVLAN変換により、サービスプロバイダは2つの顧客サイト間にL2イーサネット接続を作成できます。プロバイダは、リンク上でさまざまな顧客のVLANトラフィックを分離できます。
L2スワッププッシュ/ポップスワップをサポートするQ-in-Qトンネリングは、カスタマーVLAN(C-VLAN)タグが inner-vlan-id タグとスワップされ、サービスプロバイダ定義のサービスVLAN(S-VLAN)タグがその上にプッシュされる特定のシナリオです(顧客からサービスプロバイダサイトに流れるトラフィックの場合)。このトラフィックは、二重タグ(S-VLAN + C-VLAN)でサービス プロバイダ ネットワークに送信されます。サービス プロバイダー ネットワークからカスタマー ネットワークに流れるトラフィックについては、S-VLAN タグが削除され、C-VLAN タグが UNI 論理インターフェイスで設定された VLAN ID に置き換えられます。
次の例は、swap-push/pop-swap デュアル タグ操作を示しています。
- スワッププッシュ—UNIから受信する単一のタグ付きフレームの場合、C-VLAN(VLAN ID 100)は論理インターフェイスで設定された内部VLAN ID(200)とスワップし、S-VLAN(VLAN ID 900)はフレームにプッシュします。二重タグ付きフレームは NNI から出力されます。
- ポップスワップ—NNIから二重タグ付きフレームを受信する場合、フレームからS-VLANタグがポップし(VLAN ID 900)、論理インターフェイスのVLAN ID 100がC-VLANタグに置き換わります。単一タグ付きフレームは UNI から出力されます。
Q-in-QトンネリングとともにDHCPセキュリティをサポートするために、次のDHCPセキュリティ機能を設定できます。
- DHCPスヌーピング(DHCPv4およびDHCPv6)
- ダイナミック ARP インスペクション
- DHCPv6 ソースガード
- ネイバー探索インスペクション
- DHCP オプション 82
- DHCPv6 オプション 37
set interfaces ge-0/0/1 description UNI set interfaces ge-0/0/1 flexible-vlan-tagging set interfaces ge-0/0/1 encapsulation flexible-ethernet-services set interfaces ge-0/0/1 unit 100 encapsulation vlan-bridge set interfaces ge-0/0/1 unit 100 vlan-id 100 set interfaces ge-0/0/1 unit 100 input-vlan-map swap-push set interfaces ge-0/0/1 unit 100 input-vlan-map vlan-id 900 set interfaces ge-0/0/1 unit 100 input-vlan-map inner-vlan-id 200 set interfaces ge-0/0/1 unit 100 output-vlan-map pop-swap set interfaces ge-0/0/2 description NNI set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 encapsulation flexible-ethernet-services set interfaces ge-0/0/2 unit 900 encapsulation vlan-bridge set interfaces ge-0/0/2 unit 900 vlan-id 900 set vlans vlan-900 interface ge-0/0/1.100 set vlans vlan-900 interface ge-0/0/2.900 set vlans vlan-900 forwarding-options dhcp-security arp-inspection set vlans vlan-900 forwarding-options dhcp-security ip-source-guard set vlans vlan-900 forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-900 forwarding-options dhcp-security ipv6-source-guard set vlans vlan-900 forwarding-options dhcp-security group trusted overrides trusted set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-option82 set vlans vlan-900 forwarding-options dhcp-security group trusted overrides no-dhcpv6-options set vlans vlan-900 forwarding-options dhcp-security group trusted interface ge-0/0/2.900
論理インターフェイスを VLAN ID リストで設定し、input-vlan-map と出力 vlan-map が swap-push/pop-swap として設定されている場合、UNI から回帰するトラフィックには VLAN ID リストからの元のカスタマー VLAN ID ではなく論理ユニット番号が設定されるため、望ましくない動作になります。