Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

スイッチ構成オプション

この情報を使用して、スイッチを設定します。

概要

スイッチ設定は、組織レベルまたはサイトレベルで入力できます。

  • 組織全体の設定を構成するには、Juniper Mist ポータルの左側のメニューから [組織 > スイッチ テンプレート ] を選択します。次に、テンプレートを作成し、1 つ以上のサイトまたはサイト グループに適用します。

  • サイト レベルでスイッチ設定を構成するには、Juniper Mist ポータルの左側のメニューから [サイト > スイッチ構成 ] を選択します。次に、セットアップするサイトを選択し、スイッチ設定を入力します。

    組織レベルのスイッチ テンプレートがサイトに割り当てられている場合、サイト構成は表示専用モードで表示されます。テンプレートの設定を保持することも、調整することもできます。ページの各セクションで、 [ コンフィグテンプレートのオーバーライド ] を選択し、変更を入力できます。これらの変更は、テンプレートではなく、このサイトにのみ適用されます。

    以下の例は、テンプレートを上書きし、サイト固有の root パスワードを設定する方法を示しています。

    Override Configuration Template Example
手記:

サイト変数による構成をサポートするフィールドには、その下にサイト変数の構成形式を示すヘルプ テキストがあります。サイト変数を設定するには、「 サイト変数の設定」に記載されている手順に従います。スイッチ設定プロセスとスイッチテンプレートの詳細については、「 スイッチの設定」を参照してください。

組織レベルとサイトレベルの両方で、スイッチの設定は、以下で説明するようにセクションにグループ化されます。

すべてのスイッチ

これらのオプションは、[組織>スイッチ テンプレート(Organization Switch Templates)] ページの [すべてのスイッチ(All Switches)] セクションと [サイト > スイッチの設定(Site Switch Configuration)] ページで設定します。

All Switches
表 1:すべてのスイッチ構成オプション
フィールド の説明
半径

ユーザー名とパスワード、証明書、またはユーザーから提供されたその他の認証要素を検証するための認証サーバーを選択します。

  • Mist Auth—スイッチ上のクラウドベースの認証サービスであるJuniper Mist Access Assuranceを設定します。このオプションを機能させるには、dot1x または MAB 認証でポートを使用する必要があります。詳細については、『 Juniper Mist Access Assuranceガイド』を参照してください。

  • RADIUS—スイッチレベルでdot1xポート認証を有効にするために、RADIUS認証サーバーとアカウンティングサーバーを設定するには、このオプションを選択します。dot1x ポート認証を機能させるには、dot1x 認証を使用するポート プロファイルも作成し、そのプロファイルをスイッチのポートに割り当てる必要があります。

    デフォルトのポート番号は次のとおりです。

    • 認証サーバーのポート1812

    • アカウンティングサーバーのポート1813

手記:

スイッチ管理アクセス(スイッチ CLI ログイン用)に RADIUS 認証を設定する場合は、テンプレートの [追加の CLI コマンド(Additional CLI Commands)] セクションに次の CLI コマンドを含める必要があります。

set system authentication-order radius
set system radius-server radius-server-IP port 1812
set system radius-server radius-server-IP secret secret-code
set system radius-server radius-server-IP source-address radius-Source-IP
set system login user remote class class

スイッチへのRADIUSまたはTACACS+ローカル認証の場合は、リモートユーザーアカウントまたは別のログインクラスを作成する必要があります。別の RADIUS 認証済みユーザーに異なるログイン クラスを使用するには、「追加の CLI コマンド」セクションにある次の CLI コマンドを使用して、Junos OS 設定で複数のユーザー テンプレートを作成します。

set system login user RO class read-only
set system login user OP class operator
set system login user SU class super-user
set system login user remote full-name "default remote access user template"
set system login user remote class read-only
TACACS+ TACACS+ を有効にして、ネットワークデバイスのユーザー認証を一元化します。

デバイス上でTACACS+ 認証を使用するには、ネットワーク上の 1 台以上の TACACS+ サーバーの情報を構成する必要があります。また、デバイス上でTACACS+アカウンティングを構成して、LANにログインまたはログアウトするユーザーに関する統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することもできます。

さらに、スイッチ設定内でTACACS+ 認証済みユーザーのユーザーロールを指定できます。使用可能なユーザーロールは、なし、管理者、読み取り、ヘルプデスクです。TACACs+が認証したユーザーに、ローカルデバイスでユーザーアカウントが設定されていない場合、Junosはデフォルトで「remote」という名前のユーザーアカウントを割り当てます。

TACACS+ およびアカウンティングサーバーでサポートされているポート範囲は 1 〜 65535 です。

手記:

TACACS+ がスイッチに対して認証を行うには、上記の RADIUS セクションで定義されたものと同様のログインユーザーを作成する必要があります。

NTP Network Time Protocol(NTP)サーバーのIPアドレスまたはホスト名を指定します。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。
DNS設定

ドメイン ネーム サーバー (DNS) の設定を構成します。最大 3 つの DNS IP アドレスとサフィックスをカンマ区切り形式で設定できます。

SNMP

スイッチでSNMP(簡易ネットワーク管理プロトコル)を設定し、ネットワークの管理とモニタリングをサポートします。SNMPv2 または SNMPv3 を設定できます。設定可能なSNMPオプションは次のとおりです。

  • SNMPv2(V2)でのオプション

    • 一般 - システムの名前、場所、管理連絡先情報、および管理対象システムの簡単な説明を指定します。SNMPv2を使用する場合、デバイスから送信されたSNMPトラップパケットの送信元アドレスを指定するオプションがあります。送信元アドレスを指定しない場合は、デフォルトで発信インターフェイスのアドレスが使用されます。

    • [クライアント(Client)]:SNMP クライアントのリストを定義します。複数のクライアントリストを追加できます。この構成には、クライアントリストの名前とクライアントのIPアドレス(カンマ区切り形式)が含まれます。各クライアントリストには、複数のクライアントを含めることができます。クライアントは、/32 マスクのプレフィックスです。

    • [トラップ グループ(Trap Group)]:指定されたトラップ通知を受信するホストの名前付きグループを作成します。SNMP トラップが送信されるには、少なくとも 1 つのトラップ グループが設定されている必要があります。設定には、次のフィールドが含まれます。

      • [グループ名(Group Name)]:トラップ グループの名前を指定します。

      • [カテゴリ(Categories)]:次のカテゴリのリストから選択します。複数の値を選択できます。

        • 認証

        • シャシ

        • 構成

        • リンク

        • リモート操作

        • ルーティング

        • サービス

        • スタートアップ

        • VRRP-イベント

      • [ターゲット(Targets)]:ターゲットの IP アドレスを指定します。複数のターゲットを指定できます。

      • バージョン—SNMPトラップのバージョン番号を指定します。

    • コミュニティ—SNMP コミュニティを定義します。SNMP コミュニティは、送信元 IP アドレスによって SNMP クライアントを認証するために使用されます。また、ビューで定義された特定のMIBオブジェクトのアクセシビリティとパーミッション(読み取り専用または読み取り書き込み)も決定します。コミュニティ設定に、クライアントリスト、認証情報、ビューを含めることができます。

    • ビュー(SNMPv2とSNMPv3の両方に適用可能)—MIBオブジェクトのグループを識別するMIBビューを定義します。ビュー内の各オブジェクトは、共通のオブジェクト識別子(OID)プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチおよびオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前と SNMP OID の集合で構成され、明示的に含めたり除外したりできます。

  • SNMPv3(V3)でのオプション

    • 一般 - システムの名前、場所、管理連絡先情報、および管理対象システムの簡単な説明を指定します。SNMPv2を使用する場合は、SNMPv3エンティティの一意の意のとして機能するエンジンIDを設定します。

    • USM—ユーザーベースのセキュリティモデル(USM)設定を行います。この構成には、ユーザー名、認証タイプ、および暗号化タイプが含まれます。USMには、ローカルエンジンまたはリモートエンジンを設定することができます。リモートエンジンを選択した場合は、エンジン識別子を16進形式で指定します。このIDは、リモートホスト上のユーザーに送信されたパケットを認証および暗号化するためのセキュリティダイジェストの計算に使用されます。「ローカル・エンジン」オプションを指定した場合は、「一般」タブで指定したエンジンIDが考慮されます。エンジンIDが指定されていない場合、 ローカルmist がデフォルト値として設定されます。

    • VACM—VACM(ビューベースのアクセス制御モデル)を定義します。VACM では、グループのアクセス権限を設定できます。定義済みのビューを使用して、読み取り、書き込み、および通知操作に利用可能なMIBオブジェクトをフィルタリングすることで、アクセスを制御することができます(最初に[ビュー]タブから必要なビューを定義する必要があります)。各ビューは、特定のセキュリティ モデル(v1、v2c、または usm)およびセキュリティ レベル(認証、プライバシー、またはなし)に関連付けることができます。また、セキュリティ設定(ここでは定義済みの USM 設定を使用するオプションがあります)を [セキュリティ] から [グループ] 設定からアクセス グループに適用することもできます。

    • [通知(Notify)]:通知の SNMPv3 管理ターゲットを選択し、通知タイプを指定します。これを設定するには、通知に名前を割り当て、通知を受信するターゲットまたはタグを選択し、トラップ(未確認)または通知(確認済み)のどちらにするかを指定します。

    • [ターゲット(Target)]:特定の管理ターゲットに通知を送信するためのメッセージ処理およびセキュリティ パラメーターを設定します。ここでターゲットIPアドレスを指定することもできます。

    • ビュー(SNMPv2とSNMPv3の両方に適用可能)—MIBオブジェクトのグループを識別するMIBビューを定義します。ビュー内の各オブジェクトは、共通のオブジェクト識別子(OID)プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチおよびオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前と SNMP OID の集合で構成され、明示的に含めたり除外したりできます。

詳細については、 スイッチで SNMP を設定するを参照してください。

静的ルート

スタティックルートを設定します。スイッチは、次の場合にスタティック ルートを使用します。

  • 優先値が良い(低い)ルートがない。

  • 目的地までのルートを特定できません。

  • ルーティングできないパケットを転送する必要があります。

Mistは、スタティック ルートの IPv4 および IPv6 アドレスをサポートします。IPv6 は、宛先アドレスとネクストホップアドレスで利用できます。

サポートされるスタティックルートのタイプ:

  • [サブネット(Subnet)]:このオプションを選択した場合は、宛先ネットワークとネクストホップの IP アドレスを指定します。

  • [ネットワーク(Network)]:このオプションを選択した場合は、VLAN(VLAN ID とサブネットを含む)とネクストホップ IP アドレスを指定します。

  • メトリック—静的ルートのメトリック値。この値は、宛先への複数のルートの中から最適なルートを決定するのに役立ちます。範囲: 0 から 4294967295。

  • [Preference]:優先値は、外部自律システム(AS)またはルーティングドメイン内の宛先へのルートを選択するために使用されます。AS内のルートはIGPによって選択され、そのプロトコルのメトリック値またはコスト値に基づきます。範囲: 0 から 4294967295。

  • [Discard]:このチェックボックスをオンにすると、この宛先宛てのパケットがドロップされます。破棄は他のパラメーターよりも優先されます。

詳細を指定したら、[ Add Static Route ] ウィンドウの右上にあるチェックマーク(✓)をクリックし、テンプレートに設定を追加します。

CLI設定

テンプレートの GUI で使用できない追加設定を行うには、 set CLI コマンドを使用します。

例えば、カスタムログインメッセージを設定して、ユーザーに警告を表示し、スイッチ上で直接CLIを変更しないようにアドバイスすることができます。以下はその方法の一例です。

set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.

すでに追加されているCLIコマンドを削除するには、次の例に示すように、 delete コマンドを使用します。

delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.
手記:

設定を成功させるには、必ず完全なCLIコマンドを入力してください。

OSPF このタイルから、次のことができます。
  • OSPF(Open Shortest Path First)エリアを定義します。OSPF は、IP ネットワーク内で IP パケットを転送するための最適なパスを決定するために使用されるリンクステート ルーティング プロトコルです。OSPFは、ネットワークをエリアに分割することで、拡張性を向上させ、ルーティング情報のフローを制御します。OSPF エリアの詳細については、Junos ドキュメント「 OSPF エリアの設定」を参照してください。

  • スイッチの OSPF 設定を有効または無効にします。

DHCP スヌーピング

DHCPスヌーピングオプションを有効にして、スイッチに接続されている信頼できないデバイスからのDHCPメッセージを監視します。DHCP スヌーピングは、これらのメッセージを追跡するためのデータベースを作成します。これにより、DHCPOFFERパケットが不正なDHCPサーバから発信されたと仮定して、信頼できないポートでDHCPOFFERパケットが受け入れられるのを防ぐことができます。

DHCP 構成には、次のオプションがあります。

  • [すべてのネットワーク(All Networks)]:[すべてのネットワーク(All Networks)] チェックボックスをオンにして、すべての VLAN で DHCP スヌーピングを有効にします。

  • [ネットワーク(Networks)]:特定のネットワークでのみ DHCP スヌーピングを有効にする場合は、[ネットワーク(Networks)] ボックスの [追加(Add)](+)をクリックし、必要な VLAN を追加します。

  • アドレス解決プロトコル(ARP)インスペクション:この機能を有効にすると、中間者攻撃がブロックされます。ARP インスペクションは、信頼できないポートで受信した ARP パケットの送信元 MAC アドレスを調べます。DHCP スヌーピング データベースと照合してアドレスを検証します。送信元MACアドレスの一致するエントリ(IP-MACバインディング)がデータベースにない場合、パケットはドロップされます。

    次の CLI コマンドを使用して、ARP 統計情報を確認できます。 show dhcp-security arp inspection statistics、および show log messages | match DAI

    デバイスは、各インターフェイスで受信した無効なARPパケットの数を、送信者のIPアドレスおよびMACアドレスとともに記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを検出できます。

  • IPソースガード:IPソースガードは、DHCPスヌーピングデータベースのエントリに対して、信頼できないポートで受信した送信元IPおよびMACアドレスを検証します。送信元アドレスのデータベース内に一致するエントリがない場合、IPソースガードはパケットを破棄します。

    手記:

    IPソース ガードは、シングル サプリカントの802.1Xユーザー認証モードでのみ機能します。

手記:
  • DHCPサーバが信頼できないアクセスポートに接続されている場合、DHCPは正しく機能しません。このような場合は、DHCP が意図したとおりに動作するように調整する必要があります。デフォルトでは、DHCP はすべてのトランク ポートを信頼できるものとみなし、すべてのアクセス ポートを信頼できないものとみなします。

  • DHCP スヌーピング設定を有効にするには、スイッチで VLAN を有効にする必要があります。そのため、VLANを含むポートプロファイル(このドキュメントで後述)を作成し、そのプロファイルをスイッチポートに適用する必要があります。

スイッチ上の信頼できないポートにデバイスを接続している場合、静的IPアドレスを持つデバイスは、DHCPスヌーピングデータベースで一致するMAC-IPバインディングを持たない可能性があります。スイッチのDHCPスヌーピングデータベースを確認し、バインディングを表示するには、CLIコマンド show dhcp-security bindingを使用します。このコマンドは、スヌーピング データベースに記録された DHCP バインディングに関する情報を提供します。

詳細については、 DHCPスヌーピングとポートセキュリティに関する考慮事項を参照してください。
手記:

[Successful Connect SLE]メトリックの下にスイッチのDHCPの問題を表示する場合は、この機能を有効にする必要があります。

SYSLOG

SYSLOG設定を構成して、システムログメッセージの処理方法を設定します。システムログメッセージをファイル、リモート接続先、ユーザー端末、またはシステムコンソールに送信するように設定することができます。

設定オプションの詳細については、「 システムログの設定」を参照してください。

ポートミラーリング

ポートミラーリングを設定します。

ポートミラーリングは、分析のためにパケットのコピーを外部のホストアドレスまたはパケットアナライザに送信するルーターの機能です。ポートミラーリング設定では、以下を指定できます。

  • 入力: 監視するトラフィックの送信元 (インターフェイスまたはネットワーク)。入力とともに、インターフェイスのイングレストラフィックとエグレストラフィックのどちらを監視するかMist指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに2つの入力エントリーを追加します。1つはイングレスフラグ、もう1つはエグレスフラグです。

  • 出力: トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェイスまたはネットワークを指定することはできません。

ルーティングポリシー

組織全体(組織>スイッチテンプレート)またはサイト(サイト>スイッチ設定)のルーティングポリシーを設定します。これらのルーティングポリシーは、BGPルーティングプロトコルに関連付けられている場合にのみ、スイッチ設定にプッシュされます。スイッチの「BGP」タブ内ですでに定義されているルーティング・ポリシーが、「ルーティング・ポリシー」タブに表示されます。ルーティングポリシーは、BGPやOSPFなどのプロトコルに関連付けられています。ルーティングポリシーフレームワークは、各ルーティングプロトコルのデフォルトルールで構成されています。これらのルールは、プロトコルがどのルートをルーティングテーブルに配置し、ルーティングテーブルからアドバタイズするかを決定します。ルーティングポリシーの設定では、一致ルートに適用する整合条件とアクションで構成される項を定義する必要があります。

ルーティングポリシーを設定するには、次の手順に従います。

  1. [ルーティング ポリシー] タイルの [ ルーティング ポリシーの追加 ] をクリックします。

  2. ポリシーに名前を付け、[ 用語の追加] をクリックします。

  3. 条件に名前を付け、次のような他の一致の詳細を指定します。

    • 接頭辞

    • ASパス

    • 議定書

    • コミュニティ—BGPが類似プロパティを持つルートを管理上グループ化するために使用するルート属性。

    • Then—一致するルートに適用されるThenアクション(AcceptまたはReject)。

    • [アクションの追加(Add Action)]:AS パスを先頭に追加する、コミュニティを設定する、ローカル設定を設定するなどの追加アクション。

  4. 用語の追加タイトルの右側にあるチェックマーク(✓)をクリックして、用語を保存します。用語は複数追加できます。

  5. 「追加」をクリックして、ルーティングポリシーを保存します。

管理

これらのオプションは、[組織>スイッチ テンプレート( Organization Switch Templates )] ページおよび [ サイト > スイッチの設定(Site Switch Configuration )] ページの [管理(Management)] セクションで設定します。

Management Section of the Configuration Page
表 2:管理設定オプション
オプション ノート

設定復帰タイマー

この機能は、設定変更によってスイッチが接続を失った場合に、スイッチとMistクラウド間の接続を復元するのに役立ちます。ユーザーが行った変更を自動的に元に戻し、指定した時間内にクラウドに再接続します。デフォルトでは、EXシリーズスイッチの場合、この時間は10分に設定されています。別の期間を指定できます。

rootパスワード

rootレベル ユーザー(ユーザー名が root)のプレーンテキスト パスワード。

ルーティングエンジンの保護

この機能を有効にすると、ルーティングエンジンは信頼できるシステムからのトラフィックのみを受け入れるようになります。この構成は、指定された信頼できる送信元からのパケットを除き、ルーティングエンジン宛ての すべてのトラフィックを破棄するステートレス ファイアウォール フィルターを作成します。ルーティングエンジンを保護するには、ルーターの lo0 インターフェイス上で受信トラフィックをフィルタリングする必要があります。ジュニパースイッチでルーティングエンジンの保護を有効にすることが、ベストプラクティスとして推奨されます。

ルーティングエンジンの保護が有効になっている場合、デフォルトでは、Mistは、BGP、BFD、NTP、DNS、SNMP、TACACS、RADIUS の各サービス(設定されている場合)がスイッチと通信できることを確認します。

スイッチにアクセスする必要のある追加のサービスが必要な場合は、[信頼できるネットワーク]または[サービス]セクションを使用できます。ssh 経由でスイッチへのアクセスを設定する場合は、[Trusted Services] で ssh オプションを選択します。スイッチがpingに応答できるようにする必要がある場合は、[Trusted Services]で[icmp]オプションを選択します。

スイッチにアクセスしたい他のセグメントがある場合は、[信頼できるネットワーク]または[信頼できるIP/ポート/プロトコル]で追加できます。

詳細については、 例:信頼できる送信元からのトラフィックを受け入れるステートレスファイアウォールフィルターの設定 および 例:TCPおよびICMPフラッドから保護するためのステートレスファイアウォールフィルターの設定を参照してください。

ローカルユーザー

デバイス管理用に、スイッチ上にローカルユーザーアカウントを作成します。ユーザーアカウントを作成するには、「 ユーザーの追加 」をクリックし、ユーザー名、ログインクラス(オペレーター、読み取り専用、スーパーユーザー、または権限なし)、およびパスワードを定義します。

アイドル タイムアウト

リモート・シェル・セッションをアイドル状態にできる最大時間 (分)。この制限に達すると、ユーザーはログアウトされます。(有効な範囲: 1 から 60)。

ログインバナー

ユーザーがスイッチにログインするときに表示するテキストを入力します。例: 「警告!このスイッチはJuniper Mistによって管理されます。CLI は変更しないでください。最大 2048 文字まで入力できます。

共有要素

これらのオプションは、[ 組織 > スイッチ テンプレート(Organization Switch Templates )] ページと [ サイト > スイッチの設定(Site Switch Configuration )] ページの [共有要素(Shared Elements)] セクションで設定します。

Shared Elements Section
表 3:共有要素の設定オプション
オプション ノート

ネットワーク

VLAN を追加または更新して、ポート プロファイルで使用できます。

VLANごとに、名前、VLAN ID、サブネットを入力します。サブネットの IPv4 または IPv6 アドレスを指定できます。その他のヒントについては、画面上の情報を参照してください。

このタイルでは、ユーザー定義のポートプロファイルまたはL3サブインターフェイスで使用されていないネットワークを非表示にするオプションがあります。この機能により、使用中のネットワークと使用されていないネットワークをすばやく識別できます。

ポートプロファイル

ポートプロファイルを追加または更新します。プロファイルオプションの詳細については、画面上のヒントと 「共有要素:ポートプロファイル」を参照してください。

このタイルには、ユーザーが定義した静的または動的ポート構成で使用されていないポート プロファイルを非表示にするオプションがあります。この機能により、使用中のポートプロファイルと使用されていないポートプロファイルをすばやく識別できます。

動的ポート構成

ダイナミックポートプロファイリングは、接続されたクライアントデバイスのデバイスプロパティのセットを使用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。

以下のパラメータに基づいて、動的ポートプロファイルを設定できます。

  • LLDP システム名

  • LLDPの説明

  • LLDPシャーシID

  • Radiusユーザー名

  • RADIUSフィルター-ID

  • MAC(イーサネット MAC アドレス)

この例では、ルールは指定されたLLDPシステム名を持つすべてのデバイスにポートプロファイルを適用します。

動的ポート設定を有効にするには、動的ポートとして機能するポートも指定する必要があります。これを行うには、スイッチ テンプレートの [Select Switches] セクションにある [Port Config] タブ、またはスイッチの詳細ページの [Port Configuration] セクションで [ Enable Dynamic Configuration ] チェックボックスを選択します。

クライアントが認識されてからポート プロファイルがポートに適用されるまでに数分かかり、その後、ポート プロファイルの割り当てステータスが Mist ポータルに表示されるまでに数分かかります。

スイッチの再起動またはスイッチ上のすべてのポートに影響するマス リンク アップまたはマス リンク ダウン イベントが発生した場合、すべてのポートが適切なプロファイルに割り当てられるまでに約 20 分かかります(すべてのポートでダイナミック ポート設定が有効になっていることが前提)。

スイッチの動的ポート構成は、IoTデバイス、AP、ユーザーポートエンドポイントへの接続を確立するためのものです。スイッチ、スイッチとルーター、スイッチとファイアウォール間の接続作成には使用しないでください。また、アップリンク ポートでダイナミック ポート設定を有効にしないでください。

VRF

VRF を使用すると、EXシリーズスイッチを複数の仮想ルーティングインスタンスに分割し、ネットワーク内のトラフィックを効果的に分離できます。VRF の名前を定義し、VRF に関連付けられているネットワークを指定し、必要な追加ルートを含めることができます。追加ルートの IPv4 または IPv6 アドレスを指定できます。

手記:

VRF にデフォルト ネットワーク(VLAN ID = 1)を割り当てることはできません。

共有要素:ポートプロファイル

[Shared Elements]セクションでは、ポートプロファイルを設定できます。これらのオプションは、[プロファイルの追加] をクリックするか、編集するプロファイルをクリックしたときに表示されます。

手記:
  • プロファイルの一般的な情報については、「 ポート プロファイルの概要」を参照してください。

  • サイトレベルで作業している場合、ポートプロファイル名の横にアスタリスク(*)が表示されることがあります。これらのポートプロファイルは、スイッチテンプレートで作成されています。クリックすると、表示専用モードで設定が表示されます。サイト固有の変更を行う(スイッチ テンプレート自体ではなく、このサイトにのみ影響する)には、[ テンプレート定義プロファイルの上書き(Override Template Defined Profile )] を選択し、設定を編集します。

表 4:ポート プロファイル設定オプション
オプション ノート
名前、有効なポート、および説明

ポートを識別して有効にするための基本設定。

モード
  • トランク—トランク インターフェイスは通常、LAN 上の他のスイッチ、AP、およびルーターに接続します。このモードでは、インターフェイスを複数のVLANに配置でき、異なるVLAN間でトラフィックを多重化できます。ポート ネットワーク、VoIP ネットワーク (該当する場合)、トランク ネットワークを指定します。

  • [アクセス(Access)]:デフォルト モード。通常、アクセス インターフェイスは、PC、プリンター、IP 電話、IP カメラなどのネットワーク デバイスに接続します。このモードでは、インターフェイスは 1 つの VLAN のみにすることができます。ポートネットワークとVoIPネットワークを指定します(該当する場合)。

  • [ポート ネットワーク(Port Network)] および [VoIP ネットワーク(VoIP Network)]:このポートの VLAN を選択します。

dot1x 認証を使用する

ポートベースのネットワーク アクセス コントロールの IEEE 802.1X 認証を有効にするには、このオプションを選択します。802.1X認証は、PVLAN(プライベートVLAN)のメンバーであるインターフェイスでサポートされています。

ポートでdot1x認証を有効にした場合、以下のオプションを使用できます。

  • [複数のサプリカントを許可(Allow Multiple Supplicants)]:複数のエンド デバイスにポートへの接続を許可するには、このオプションを選択します。各デバイスは個別に認証されます。

  • ダイナミックVLAN—RADIUSサーバー属性「tunnel-private-group-ID」または「Egress-VLAN-Name」から返されるダイナミックVLANを指定します。この設定により、ポートでダイナミックVLAN割り当てができるようになります。

  • [MAC 認証(MAC authentication)]:ポートの MAC 認証を有効にするには、このオプションを選択します。このオプションを選択すると、 認証プロトコルを指定することもできます。プロトコルを指定する場合、サプリカントはそのプロトコルを使用して認証資格情報を提供する必要があります。

  • [ゲスト ネットワークを使用(Use Guest Network)]:認証にゲスト ネットワークを使用するには、このオプションを選択します。次に、ドロップダウンリストから ゲストネットワーク を選択します。

  • [サーバーがダウンしているときに認証をバイパスする] - このオプションを選択すると、サーバーがダウンしている場合、クライアントは認証なしでネットワークに参加できます。

  • 再認証間隔—dot1x認証を使用するスイッチポートプロファイルでは、クライアントがRADIUSサーバーで自身を再認証する頻度を制御するタイマーを設定できます。推奨値は 6 から 12 時間 (21600 から 43200 秒) です。デフォルト値は65000秒です。

dot1x 認証を機能させるには、以下のことも行う必要があります。

  • テンプレートの [All Switches Configuration] セクションにある [Authentication Servers] タイルから、dot1x 認証用の RADIUS サーバーを設定します。

  • RADIUS 設定がスイッチにプッシュされるように、dot1x ポート プロファイルをスイッチ ポートに割り当てます。これは、テンプレートの [Select Switches Configuration] セクションにある [Port Config] タブから実行できます。

    ポートの上にマウスを置くと、[RADIUS-assigned VLAN]フィールドが表示されます。dot1x が有効になっているポートには、802.1x 認証が成功すると、RADIUS サーバーによって新しい VLAN が割り当てられます。このビューは、dot1x 認証後にポート上の特定の VLAN が変更されたかどうかを確認する場合に特に役立ちます。

    図 1: dot1x ポート Radius Assigned VLAN on a Dot1x Port で割り当てられた VLAN

速度

デフォルト設定の[自動]をそのまま使用するか、速度を選択します

二連式

デフォルト設定の [自動] をそのまま使用するか、[ハーフ] または [フル] を選択します。

MAC制限 インターフェイスが動的に学習できるMACアドレスの最大数を設定します。インターフェイスが設定された MAC 制限を超えると、フレームがドロップされます。MAC 制限があると、ログ エントリも作成されます。

デフォルト値は 0 です

サポート範囲: 0 から 16383

PoE

ポートが PoE(Power over Ethernet)をサポートできるようにします。

RSTPエッジ

ポートでBridge Protocol Data Unit(BPDU)ガードを有効にする場合は、ポートを Rapid Spanning Tree Protocol(RSTP)エッジ ポートとして設定します。RSTP は、RSTP に参加しないクライアントが接続されているポートで有効です。この設定により、ポートがエッジ ポートとして扱われ、BPDU の受信から保護されます。RSTP Edge で設定されたポートに非エッジ デバイスを接続すると、ポートは無効になります。さらに、[Switch Insights] ページでは [Port BPDU Blocked] イベントが生成されます。 [Switch Details ] のフロント パネルにも、このポートの [BPDU Error] が表示されます。

BPDU エラーのポートをクリアするには、フロント パネルでポートを選択し、[ BPDU エラーのクリア(Clear BPDU Errors)] をクリックします。

アップリンク ポートで RSTP Edge を有効にしないでください。

また、スイッチの詳細ページの [ポート プロファイル (Port Profile)] セクションから、スイッチ レベルで RSTP エッジを設定することもできます。

RSTP ポイントツーポイント

この設定により、インターフェイスモードがポイントツーポイントに変更されます。ポイントツーポイントリンクは、1つのポートと別のポートを接続する2つのネットワークノードまたはスイッチ間の専用リンクです。

RSTP ルート ポートなし

この設定では、インターフェイスがルート ポートになることはありません。

QoS

ポートのサービス品質(QoS)を有効にして、音声などの遅延の影響を受けやすいトラフィックをポート上の他のトラフィックよりも優先します。

手記:

最適な結果を得るには、ダウンストリーム (受信) とアップストリーム (送信) の両方のトラフィックに対してサービス品質 (QoS) を有効にすることが重要です。これにより、ネットワークが双方向のトラフィックに効果的に優先順位を付けて管理できるようになり、パフォーマンスと全体的なサービス品質が向上します。

WLAN 設定ページ(サイト > WLAN > WLAN )で QoS 設定を上書きするオプションがあります。QoS 設定を上書きするには、[ QoS の上書き(Override QoS)] チェックボックスをオンにして、ワイヤレス アクセス クラスを選択します。ダウンストリーム トラフィック(AP > クライアント)は、指定されたオーバーライド アクセス クラス値でマークされます。オーバーライド構成では、アップストリーム トラフィック (クライアント > AP) はサポートされていません。

QoS 設定」も参照してください。

ストーム制御 ストーム制御を有効にしてトラフィックレベルを監視し、トラフィックがトラフィックレベル(パーセントで指定)を超えた場合、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを自動的にドロップします。この指定されたトラフィック レベルは、ストーム制御レベルとして知られています。この機能により、パケットの拡散を積極的に防止し、LANのパフォーマンスを維持します。ストーム制御を有効にすると、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを監視から除外することもできます。

詳細については、「 ストーム制御について」を参照してください。

永続的(スティッキー)MAC 学習

永続的(スティッキー)MAC を有効にして、デバイスの再起動後も、インターフェイスによって学習された信頼できるワークステーションとサーバーの MAC アドレスを保持します。スタティック有線クライアント用にスティッキーMACを設定できます。スティッキー MAC は、Juniper Mist AP インターフェイスでの使用を意図しておらず、トランク ポートや 802.1X 認証で設定されたポートではサポートされていません。

スティッキーMACは、MAC制限(上記で説明)と組み合わせて使用することで、レイヤー2サービス拒否(DoS)攻撃、イーサネットスイッチングテーブルへのオーバーフロー攻撃、DHCPスターベーション攻撃から保護すると同時に、インターフェイスがMACアドレスを動的に学習できるようにします。Mist ポータルの [分析情報] ページでは、これらのイベントが MAC Limit Exceeded として報告されます。

スティッキーMACとMAC制限の両方を、スイッチのポートプロファイルの一部として設定します。一般的な手順は、次のビデオで説明されています。

Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29.

You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP.

We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles.

Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles.

When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud.

インターフェイスに関連付けるポートプロファイルの一部としてスティッキーMACを含めるには、ポートプロファイル設定ブロックの下部にある [永続的(スティッキー)MAC学習 ]オプションを明示的に有効にする必要があります。MAC 制限の場合、デフォルト値は 0(無制限、つまり無効)ですが、最大 16383 個の一意の MAC アドレスを許可する値を設定することで有効にできます。

Mist ポータルで [MAC Limit] または [MAC Count] に設定されている値を確認するには、[Switches] ページからスイッチを選択し、スイッチ ポートの上にマウスを置きます。インターフェイスに適用されている(ポート)プロファイルを確認し、拡張によってそのスティッキーMACステータスを知ることができます。

図2:スティッキーMACPort Details Showing Sticky MACを示すポートの詳細

インターフェイスでの動的学習が進むにつれて、設定されたMAC制限と学習されたMACの数が数分後に表示されます。Mist ダッシュボードには、最大 MAC アドレス数のみが表示されます。ただし、スイッチへの リモートシェル を開き、以下のJunos CLIコマンドを実行することで、特定のインターフェイスが学習したすべてのMACアドレスを確認できます。

show ethernet-switching table persistent-learning
show ethernet-switching table persistent-learning interface

MACカウントは、MACアドレスがクリアされるまで(またはポートプロファイルで無効になり、その設定がスイッチにプッシュされるまで)残る永続的な値です。

Mistダッシュボードから特定のインターフェイスのMACアドレスをクリアするには、ネットワーク管理者またはスーパーユーザーとしてログインする必要があります。次に、スイッチのフロントパネル(図1を参照)から必要なポートを選択し、表示される [Clear MAC [Dynamic/Persistent] ボタンをクリックします。

[Switch Insights] ページに、イベントが MAC Limit Reset イベントとして表示されます。

フロントパネルの詳細については、 スイッチの詳細を参照してください。

スイッチ設定の選択

スイッチの名前、役割、またはモデルに基づいて構成設定を適用するためのルールを作成します。

ルールをクリックして編集するか、[ ルールの追加] をクリックします。次に、各タブページを完成させます。設定を入力したら、右上のチェックマークをクリックして変更を保存します。また、既存のルールを複製して、スイッチ ルール エントリを作成することもできます。これを行うには、クローンボタンをクリックして、新しいルールに名前を付けるだけです。

Select Switches Configuration

さまざまなタブについては、以下の表で説明します。

表 5:[スイッチの選択(Select Switches)]:[情報(Info)] タブ
オプション ノート

名前

このルールを識別する名前を入力します。

スイッチ名に適用

指定した名前に一致するすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、テキストとオフセット文字数を入力します。たとえば、オフセットが 0 の状態で abc と入力すると、名前が abc で始まるスイッチにルールが適用されます。オフセットが 5 の場合、ルールはスイッチ名の最初の 5 文字を無視します。

スイッチ ロールに適用

同じロールを持つすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。小文字、数字、アンダースコア (_)、またはダッシュ (-) を使用して役割を入力します。

スイッチ モデルに適用

同じモデルのすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、モデルを選択します。

表 6:[Select Switches]:[Port Config] タブ
オプション ノート
構成リスト

[ポート設定の追加(Add Port Configuration)] をクリックするか、編集するポート設定を選択します。

Port Configuration Tab Showing List of Port Configurations

ポートIDと構成プロファイル

設定するポートと、それらに適用する構成プロファイルを入力します。

動的構成を有効にする

この機能を有効にすると、接続されたデバイスの定義済み属性に基づいてポートプロファイルが割り当てられます。デバイスが属性と一致する場合、Mistは一致する動的プロファイルをデバイスに割り当てます。ただし、デバイスが属性と一致しない場合は、指定されたVLANに配置されます。

次の例では、ポートに動的ポート割り当てが有効になり、制限付き VLAN が割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、ルーティング不可能なVLANやゲストVLANなどの制限されたVLANに配置されます。ポート アグリゲーションで有効になっているインターフェイスは、動的ポート構成をサポートしていません。

アップ/ダウンポートアラート

この機能をイネーブルにすると、Juniper Mist はこれらのポートのアップ状態とダウン状態の間の遷移を監視します。この機能を有効にした場合は、[Monitor > Alerts] > [Alerts Configuration] ページで [Critical Switch Port Up/Down] も有効にします。

ポート アグリゲーション

この機能を有効にすると、イーサネット インターフェイスがグループ化され、1 つのリンク層インターフェイスを形成します。このインターフェイスは、リンクアグリゲーショングループ(LAG)またはバンドルとも呼ばれます。

LAGにグループ化できるインターフェイスの数と、スイッチがサポートするLAGの総数は、スイッチのモデルによって異なります。LAG は、LACP を有効にした状態と無効にかかわらず使用できます。相手側のデバイスがLACPをサポートしていない場合は、ここでLACPを無効にできます。

また、スイッチの LACP 強制アップ状態を設定することもできます。この設定では、ピアのLACP機能が制限されている場合に、インターフェイスの状態がアップとして設定されます。

また、LACPパケットの送信間隔を設定することもできます。AE インターフェイスで LACP Periodic Slow オプションを設定すると、LACP パケットは 30 秒ごとに送信されます。デフォルトでは、間隔は高速に設定されており、パケットは毎秒送信されます。

スイッチポートオペレータにポートプロファイルの変更を許可する

この機能を有効にすると、スイッチ ポート オペレータ管理者ロールを持つユーザーは、この設定を表示および管理できます。
表 7:[Select Switches Configuration]:[IP Config] タブ
オプション ノート

ネットワーク(VLAN)リスト

インバンド管理トラフィック用のネットワークを選択します。または、[Add Network] をクリックし、この表の残りの行の説明に従って [New Network] フィールドに入力します。

Select Switches - IP Config Tab

名前

このネットワークを識別する名前を入力します。

VLAN ID

1 から 4094 までの VLAN ID を入力するか、サイト変数を入力して動的に ID を入力します。

サブネット

サブネットまたはサイトの変数を入力します。

[Select Switches]:[IP Config (OOB)] タブ

専用管理 VRF(アウトオブバンド)を有効または無効にします。Junosバージョン21.4以降を実行しているすべてのスタンドアロンデバイスまたはバーチャルシャーシの場合、この機能は管理インターフェイスをデフォルト以外の仮想ルーティングおよび転送(VRF)インスタンスに制限します。管理トラフィックは、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました。

[スイッチの選択(Select Switches)]:[ポート ミラーリング(Port Mirroring)] タブ

このタブには、すでに追加されているポートミラーリング設定のリストが表示されます。エントリをクリックして編集します。または 、[Add Port Mirror] をクリックしてポートミラーリングを有効にします。この機能を使用すると、ルールで指定されたスイッチ ロール、スイッチ名、スイッチ モデルなどのパラメーターに基づいて、スイッチにポート ミラーリングを動的に適用できます。この機能は通常、監視とトラブルシューティングに使用されます。ポートミラーリングが有効な場合、スイッチはミラーリングされたポートからモニタポートにネットワークパケットのコピーを送信します。構成オプションには、次のものが含まれます。

  • 入力—監視するトラフィックの送信元(インターフェイスまたはネットワーク)。入力とともに、インターフェイスのイングレストラフィックとエグレストラフィックのどちらを監視するかMist指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに2つの入力エントリーを追加します。1つはイングレスフラグ、もう1つはエグレスフラグです。

  • 出力—トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェイスまたはネットワークを指定することはできません。

[Select Switches Configuration]のルールは、グローバルポートミラーリング設定よりも優先されます。また、グローバルポートミラーリングが設定されている場合は、[Select Switches configuration]セクションにデフォルトルールとして表示され、読み取り専用として表示されます。グローバル レベルで編集できます。

[Select Switches]:[CLI Config] タブ

必要に応じて、追加のCLIコマンドを入力します。

スイッチポリシーラベル(ベータ)

このセクションでは、GBPタグを追加して、スイッチポリシーで参照するユーザーとリソースのグループを識別します。

手記:

Junos OS リリース 22.4R1以降を実行する次のデバイスのみがGBPをサポートしています:EX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Y。

次の例は、ユーザーが作成したタグと、それらを参照するポリシーを示しています。

Switch Policy Labels (Beta)
手記:

現在、この機能はベータ版の参加者のみご利用いただけます。

開始するには、[ GBPタグを追加]をクリックします。次に、名前を入力し、タイプを選択して、値を入力します。次に、画面の右下隅にある「追加」をクリックします。

タグを有効にすると、スタンドアロンスイッチとオンラインシャーシへの影響に関するアラートが画面に表示されます。先に進む前に、画面上の情報を読んでください。

手記:

マルチサプリカントモードで802.1X認証を設定すると、GBPタギングはMACベースになります。シングルサプリカントモードで802.1X認証を設定した場合、GBPタギングはポートベースになります。

表 8: スイッチ ポリシー ラベル(GBP タグ)の設定オプション
オプション ノート

動的または静的

デフォルトでは、Juniper Mist は [ダイナミック] オプションを選択します。「静的」を選択した場合は、GBPタグ・ソースを指定します。これは、MACアドレス、ネットワーク、またはIPサブネットです。

GBPタグ

ホスト発信パケットの値または GBP 送信元タグを入力します(範囲: 1〜65535)。

スイッチポリシー(ベータ)

キャンパスファブリックのIP Clos導入で使用できるグループベースのポリシー(GBP)を設定します。ポリシーを作成するときは、組織レベルとサイトレベルのラベル、および GBP タグ ([スイッチ ポリシー ラベル] セクションから) を使用して、指定したリソースにアクセスできるユーザーとアクセスできないユーザーを識別します。

手記:

Junos OS リリース 22.4R1以降を実行する次のデバイスのみがGBPをサポートしています:EX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Y。

次の図は、[Switch Policy Labels] セクションで定義されたタグを使用したサンプル ポリシーを示しています。

Switch Policy (Beta)

開始するには、「 スイッチ・ポリシーの追加」をクリックします。次に、次の表の説明に従って設定を入力します。

表 9: スイッチ ポリシー設定オプション
オプション ノート

ユーザー/グループ

[+] をクリックし、リソースにアクセスする必要があるユーザーまたはグループを追加します。GBTタグをすでに定義している場合は、ここで使用できます。

資源

[+] をクリックし、選択したユーザーまたはグループにマップする必要があるリソースを追加します。GBTタグをすでに定義している場合は、ここでも使用できます。

既定では、ユーザーには追加されたリソースへのアクセス権が付与されます。特定のリソースへのユーザー アクセスを拒否する場合は、追加した [リソース] ラベルをクリックし、アクセス を [拒否] に設定します。

Changing Access to Deny