スイッチ構成オプション
この情報を使用して、スイッチを設定します。
概要
スイッチ設定は、組織レベルまたはサイトレベルで入力できます。
-
組織全体の設定を構成するには、Juniper Mist ポータルの左側のメニューから [組織 > スイッチ テンプレート ] を選択します。次に、テンプレートを作成し、1 つ以上のサイトまたはサイト グループに適用します。
サイト レベルでスイッチ設定を構成するには、Juniper Mist ポータルの左側のメニューから [サイト > スイッチ構成 ] を選択します。次に、セットアップするサイトを選択し、スイッチ設定を入力します。
組織レベルのスイッチ テンプレートがサイトに割り当てられている場合、サイト構成は表示専用モードで表示されます。テンプレートの設定を保持することも、調整することもできます。ページの各セクションで、 [ コンフィグテンプレートのオーバーライド ] を選択し、変更を入力できます。これらの変更は、テンプレートではなく、このサイトにのみ適用されます。
以下の例は、テンプレートを上書きし、サイト固有の root パスワードを設定する方法を示しています。
組織レベルとサイトレベルの両方で、スイッチの設定は、以下で説明するようにセクションにグループ化されます。
すべてのスイッチ
これらのオプションは、[組織>スイッチ テンプレート(Organization Switch Templates)] ページの [すべてのスイッチ(All Switches)] セクションと [サイト > スイッチの設定(Site Switch Configuration)] ページで設定します。
フィールド | の説明 |
---|---|
半径 | ユーザー名とパスワード、証明書、またはユーザーから提供されたその他の認証要素を検証するための認証サーバーを選択します。
手記:
スイッチ管理アクセス(スイッチ CLI ログイン用)に RADIUS 認証を設定する場合は、テンプレートの [追加の CLI コマンド(Additional CLI Commands)] セクションに次の CLI コマンドを含める必要があります。 set system authentication-order radius set system radius-server radius-server-IP port 1812 set system radius-server radius-server-IP secret secret-code set system radius-server radius-server-IP source-address radius-Source-IP set system login user remote class class スイッチへのRADIUSまたはTACACS+ローカル認証の場合は、リモートユーザーアカウントまたは別のログインクラスを作成する必要があります。別の RADIUS 認証済みユーザーに異なるログイン クラスを使用するには、「追加の CLI コマンド」セクションにある次の CLI コマンドを使用して、Junos OS 設定で複数のユーザー テンプレートを作成します。 set system login user RO class read-only set system login user OP class operator set system login user SU class super-user set system login user remote full-name "default remote access user template" set system login user remote class read-only |
TACACS+ | TACACS+ を有効にして、ネットワークデバイスのユーザー認証を一元化します。 デバイス上でTACACS+ 認証を使用するには、ネットワーク上の 1 台以上の TACACS+ サーバーの情報を構成する必要があります。また、デバイス上でTACACS+アカウンティングを構成して、LANにログインまたはログアウトするユーザーに関する統計データを収集し、TACACS+アカウンティングサーバーにデータを送信することもできます。 さらに、スイッチ設定内でTACACS+ 認証済みユーザーのユーザーロールを指定できます。使用可能なユーザーロールは、なし、管理者、読み取り、ヘルプデスクです。TACACs+が認証したユーザーに、ローカルデバイスでユーザーアカウントが設定されていない場合、Junosはデフォルトで「remote」という名前のユーザーアカウントを割り当てます。 TACACS+ およびアカウンティングサーバーでサポートされているポート範囲は 1 〜 65535 です。
手記:
TACACS+ がスイッチに対して認証を行うには、上記の RADIUS セクションで定義されたものと同様のログインユーザーを作成する必要があります。 |
NTP | Network Time Protocol(NTP)サーバーのIPアドレスまたはホスト名を指定します。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。 |
DNS設定 | ドメイン ネーム サーバー (DNS) の設定を構成します。最大 3 つの DNS IP アドレスとサフィックスをカンマ区切り形式で設定できます。 |
SNMP | スイッチでSNMP(簡易ネットワーク管理プロトコル)を設定し、ネットワークの管理とモニタリングをサポートします。SNMPv2 または SNMPv3 を設定できます。設定可能なSNMPオプションは次のとおりです。
詳細については、 スイッチで SNMP を設定するを参照してください。 |
静的ルート | スタティックルートを設定します。スイッチは、次の場合にスタティック ルートを使用します。
Mistは、スタティック ルートの IPv4 および IPv6 アドレスをサポートします。IPv6 は、宛先アドレスとネクストホップアドレスで利用できます。 サポートされるスタティックルートのタイプ:
詳細を指定したら、[ Add Static Route ] ウィンドウの右上にあるチェックマーク(✓)をクリックし、テンプレートに設定を追加します。 |
CLI設定 | テンプレートの GUI で使用できない追加設定を行うには、 set CLI コマンドを使用します。 例えば、カスタムログインメッセージを設定して、ユーザーに警告を表示し、スイッチ上で直接CLIを変更しないようにアドバイスすることができます。以下はその方法の一例です。 set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. すでに追加されているCLIコマンドを削除するには、次の例に示すように、 delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.
手記:
設定を成功させるには、必ず完全なCLIコマンドを入力してください。 |
OSPF | このタイルから、次のことができます。
|
DHCP スヌーピング | DHCPスヌーピングオプションを有効にして、スイッチに接続されている信頼できないデバイスからのDHCPメッセージを監視します。DHCP スヌーピングは、これらのメッセージを追跡するためのデータベースを作成します。これにより、DHCPOFFERパケットが不正なDHCPサーバから発信されたと仮定して、信頼できないポートでDHCPOFFERパケットが受け入れられるのを防ぐことができます。 DHCP 構成には、次のオプションがあります。
手記:
スイッチ上の信頼できないポートにデバイスを接続している場合、静的IPアドレスを持つデバイスは、DHCPスヌーピングデータベースで一致するMAC-IPバインディングを持たない可能性があります。スイッチのDHCPスヌーピングデータベースを確認し、バインディングを表示するには、CLIコマンド
手記:
[Successful Connect SLE]メトリックの下にスイッチのDHCPの問題を表示する場合は、この機能を有効にする必要があります。 |
SYSLOG | SYSLOG設定を構成して、システムログメッセージの処理方法を設定します。システムログメッセージをファイル、リモート接続先、ユーザー端末、またはシステムコンソールに送信するように設定することができます。 設定オプションの詳細については、「 システムログの設定」を参照してください。 |
ポートミラーリング |
ポートミラーリングを設定します。 ポートミラーリングは、分析のためにパケットのコピーを外部のホストアドレスまたはパケットアナライザに送信するルーターの機能です。ポートミラーリング設定では、以下を指定できます。
|
ルーティングポリシー |
組織全体(組織>スイッチテンプレート)またはサイト(サイト>スイッチ設定)のルーティングポリシーを設定します。これらのルーティングポリシーは、BGPルーティングプロトコルに関連付けられている場合にのみ、スイッチ設定にプッシュされます。スイッチの「BGP」タブ内ですでに定義されているルーティング・ポリシーが、「ルーティング・ポリシー」タブに表示されます。ルーティングポリシーは、BGPやOSPFなどのプロトコルに関連付けられています。ルーティングポリシーフレームワークは、各ルーティングプロトコルのデフォルトルールで構成されています。これらのルールは、プロトコルがどのルートをルーティングテーブルに配置し、ルーティングテーブルからアドバタイズするかを決定します。ルーティングポリシーの設定では、一致ルートに適用する整合条件とアクションで構成される項を定義する必要があります。 ルーティングポリシーを設定するには、次の手順に従います。
|
管理
これらのオプションは、[組織>スイッチ テンプレート( Organization Switch Templates )] ページおよび [ サイト > スイッチの設定(Site Switch Configuration )] ページの [管理(Management)] セクションで設定します。
オプション | ノート |
---|---|
設定復帰タイマー |
この機能は、設定変更によってスイッチが接続を失った場合に、スイッチとMistクラウド間の接続を復元するのに役立ちます。ユーザーが行った変更を自動的に元に戻し、指定した時間内にクラウドに再接続します。デフォルトでは、EXシリーズスイッチの場合、この時間は10分に設定されています。別の期間を指定できます。 |
rootパスワード |
rootレベル ユーザー(ユーザー名が root)のプレーンテキスト パスワード。 |
ルーティングエンジンの保護 |
この機能を有効にすると、ルーティングエンジンは信頼できるシステムからのトラフィックのみを受け入れるようになります。この構成は、指定された信頼できる送信元からのパケットを除き、ルーティングエンジン宛ての すべてのトラフィックを破棄するステートレス ファイアウォール フィルターを作成します。ルーティングエンジンを保護するには、ルーターの lo0 インターフェイス上で受信トラフィックをフィルタリングする必要があります。ジュニパースイッチでルーティングエンジンの保護を有効にすることが、ベストプラクティスとして推奨されます。 ルーティングエンジンの保護が有効になっている場合、デフォルトでは、Mistは、BGP、BFD、NTP、DNS、SNMP、TACACS、RADIUS の各サービス(設定されている場合)がスイッチと通信できることを確認します。 スイッチにアクセスする必要のある追加のサービスが必要な場合は、[信頼できるネットワーク]または[サービス]セクションを使用できます。ssh 経由でスイッチへのアクセスを設定する場合は、[Trusted Services] で ssh オプションを選択します。スイッチがpingに応答できるようにする必要がある場合は、[Trusted Services]で[icmp]オプションを選択します。 スイッチにアクセスしたい他のセグメントがある場合は、[信頼できるネットワーク]または[信頼できるIP/ポート/プロトコル]で追加できます。 詳細については、 例:信頼できる送信元からのトラフィックを受け入れるステートレスファイアウォールフィルターの設定 および 例:TCPおよびICMPフラッドから保護するためのステートレスファイアウォールフィルターの設定を参照してください。 |
ローカルユーザー |
デバイス管理用に、スイッチ上にローカルユーザーアカウントを作成します。ユーザーアカウントを作成するには、「 ユーザーの追加 」をクリックし、ユーザー名、ログインクラス(オペレーター、読み取り専用、スーパーユーザー、または権限なし)、およびパスワードを定義します。 |
アイドル タイムアウト |
リモート・シェル・セッションをアイドル状態にできる最大時間 (分)。この制限に達すると、ユーザーはログアウトされます。(有効な範囲: 1 から 60)。 |
ログインバナー |
ユーザーがスイッチにログインするときに表示するテキストを入力します。例: 「警告!このスイッチはJuniper Mistによって管理されます。CLI は変更しないでください。最大 2048 文字まで入力できます。 |
共有要素
これらのオプションは、[ 組織 > スイッチ テンプレート(Organization Switch Templates )] ページと [ サイト > スイッチの設定(Site Switch Configuration )] ページの [共有要素(Shared Elements)] セクションで設定します。
オプション | ノート |
---|---|
ネットワーク |
VLAN を追加または更新して、ポート プロファイルで使用できます。 VLANごとに、名前、VLAN ID、サブネットを入力します。サブネットの IPv4 または IPv6 アドレスを指定できます。その他のヒントについては、画面上の情報を参照してください。 このタイルでは、ユーザー定義のポートプロファイルまたはL3サブインターフェイスで使用されていないネットワークを非表示にするオプションがあります。この機能により、使用中のネットワークと使用されていないネットワークをすばやく識別できます。 |
ポートプロファイル |
ポートプロファイルを追加または更新します。プロファイルオプションの詳細については、画面上のヒントと 「共有要素:ポートプロファイル」を参照してください。 このタイルには、ユーザーが定義した静的または動的ポート構成で使用されていないポート プロファイルを非表示にするオプションがあります。この機能により、使用中のポートプロファイルと使用されていないポートプロファイルをすばやく識別できます。 |
動的ポート構成 |
ダイナミックポートプロファイリングは、接続されたクライアントデバイスのデバイスプロパティのセットを使用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。 以下のパラメータに基づいて、動的ポートプロファイルを設定できます。
この例では、ルールは指定されたLLDPシステム名を持つすべてのデバイスにポートプロファイルを適用します。 動的ポート設定を有効にするには、動的ポートとして機能するポートも指定する必要があります。これを行うには、スイッチ テンプレートの [Select Switches] セクションにある [Port Config] タブ、またはスイッチの詳細ページの [Port Configuration] セクションで [ Enable Dynamic Configuration ] チェックボックスを選択します。 クライアントが認識されてからポート プロファイルがポートに適用されるまでに数分かかり、その後、ポート プロファイルの割り当てステータスが Mist ポータルに表示されるまでに数分かかります。 スイッチの再起動またはスイッチ上のすべてのポートに影響するマス リンク アップまたはマス リンク ダウン イベントが発生した場合、すべてのポートが適切なプロファイルに割り当てられるまでに約 20 分かかります(すべてのポートでダイナミック ポート設定が有効になっていることが前提)。 スイッチの動的ポート構成は、IoTデバイス、AP、ユーザーポートエンドポイントへの接続を確立するためのものです。スイッチ、スイッチとルーター、スイッチとファイアウォール間の接続作成には使用しないでください。また、アップリンク ポートでダイナミック ポート設定を有効にしないでください。 |
VRF |
VRF を使用すると、EXシリーズスイッチを複数の仮想ルーティングインスタンスに分割し、ネットワーク内のトラフィックを効果的に分離できます。VRF の名前を定義し、VRF に関連付けられているネットワークを指定し、必要な追加ルートを含めることができます。追加ルートの IPv4 または IPv6 アドレスを指定できます。
手記:
VRF にデフォルト ネットワーク(VLAN ID = 1)を割り当てることはできません。 |
共有要素:ポートプロファイル
[Shared Elements]セクションでは、ポートプロファイルを設定できます。これらのオプションは、[プロファイルの追加] をクリックするか、編集するプロファイルをクリックしたときに表示されます。
-
プロファイルの一般的な情報については、「 ポート プロファイルの概要」を参照してください。
-
サイトレベルで作業している場合、ポートプロファイル名の横にアスタリスク(*)が表示されることがあります。これらのポートプロファイルは、スイッチテンプレートで作成されています。クリックすると、表示専用モードで設定が表示されます。サイト固有の変更を行う(スイッチ テンプレート自体ではなく、このサイトにのみ影響する)には、[ テンプレート定義プロファイルの上書き(Override Template Defined Profile )] を選択し、設定を編集します。
オプション | ノート |
---|---|
名前、有効なポート、および説明 | ポートを識別して有効にするための基本設定。 |
モード |
|
dot1x 認証を使用する | ポートベースのネットワーク アクセス コントロールの IEEE 802.1X 認証を有効にするには、このオプションを選択します。802.1X認証は、PVLAN(プライベートVLAN)のメンバーであるインターフェイスでサポートされています。 ポートでdot1x認証を有効にした場合、以下のオプションを使用できます。
dot1x 認証を機能させるには、以下のことも行う必要があります。
|
速度 |
デフォルト設定の[自動]をそのまま使用するか、速度を選択します |
二連式 |
デフォルト設定の [自動] をそのまま使用するか、[ハーフ] または [フル] を選択します。 |
MAC制限 | インターフェイスが動的に学習できるMACアドレスの最大数を設定します。インターフェイスが設定された MAC 制限を超えると、フレームがドロップされます。MAC 制限があると、ログ エントリも作成されます。 デフォルト値は 0 です サポート範囲: 0 から 16383 |
PoE | ポートが PoE(Power over Ethernet)をサポートできるようにします。 |
RSTPエッジ | ポートでBridge Protocol Data Unit(BPDU)ガードを有効にする場合は、ポートを Rapid Spanning Tree Protocol(RSTP)エッジ ポートとして設定します。RSTP は、RSTP に参加しないクライアントが接続されているポートで有効です。この設定により、ポートがエッジ ポートとして扱われ、BPDU の受信から保護されます。RSTP Edge で設定されたポートに非エッジ デバイスを接続すると、ポートは無効になります。さらに、[Switch Insights] ページでは [Port BPDU Blocked] イベントが生成されます。 [Switch Details ] のフロント パネルにも、このポートの [BPDU Error] が表示されます。 BPDU エラーのポートをクリアするには、フロント パネルでポートを選択し、[ BPDU エラーのクリア(Clear BPDU Errors)] をクリックします。 アップリンク ポートで RSTP Edge を有効にしないでください。 また、スイッチの詳細ページの [ポート プロファイル (Port Profile)] セクションから、スイッチ レベルで RSTP エッジを設定することもできます。 |
RSTP ポイントツーポイント |
この設定により、インターフェイスモードがポイントツーポイントに変更されます。ポイントツーポイントリンクは、1つのポートと別のポートを接続する2つのネットワークノードまたはスイッチ間の専用リンクです。 |
RSTP ルート ポートなし |
この設定では、インターフェイスがルート ポートになることはありません。 |
QoS | ポートのサービス品質(QoS)を有効にして、音声などの遅延の影響を受けやすいトラフィックをポート上の他のトラフィックよりも優先します。
手記:
最適な結果を得るには、ダウンストリーム (受信) とアップストリーム (送信) の両方のトラフィックに対してサービス品質 (QoS) を有効にすることが重要です。これにより、ネットワークが双方向のトラフィックに効果的に優先順位を付けて管理できるようになり、パフォーマンスと全体的なサービス品質が向上します。 WLAN 設定ページ(サイト > WLAN > WLAN 名)で QoS 設定を上書きするオプションがあります。QoS 設定を上書きするには、[ QoS の上書き(Override QoS)] チェックボックスをオンにして、ワイヤレス アクセス クラスを選択します。ダウンストリーム トラフィック(AP > クライアント)は、指定されたオーバーライド アクセス クラス値でマークされます。オーバーライド構成では、アップストリーム トラフィック (クライアント > AP) はサポートされていません。 「 QoS 設定」も参照してください。 |
ストーム制御 | ストーム制御を有効にしてトラフィックレベルを監視し、トラフィックがトラフィックレベル(パーセントで指定)を超えた場合、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを自動的にドロップします。この指定されたトラフィック レベルは、ストーム制御レベルとして知られています。この機能により、パケットの拡散を積極的に防止し、LANのパフォーマンスを維持します。ストーム制御を有効にすると、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを監視から除外することもできます。 詳細については、「 ストーム制御について」を参照してください。 |
永続的(スティッキー)MAC 学習 | 永続的(スティッキー)MAC を有効にして、デバイスの再起動後も、インターフェイスによって学習された信頼できるワークステーションとサーバーの MAC アドレスを保持します。スタティック有線クライアント用にスティッキーMACを設定できます。スティッキー MAC は、Juniper Mist AP インターフェイスでの使用を意図しておらず、トランク ポートや 802.1X 認証で設定されたポートではサポートされていません。 スティッキーMACは、MAC制限(上記で説明)と組み合わせて使用することで、レイヤー2サービス拒否(DoS)攻撃、イーサネットスイッチングテーブルへのオーバーフロー攻撃、DHCPスターベーション攻撃から保護すると同時に、インターフェイスがMACアドレスを動的に学習できるようにします。Mist ポータルの [分析情報] ページでは、これらのイベントが MAC Limit Exceeded として報告されます。 スティッキーMACとMAC制限の両方を、スイッチのポートプロファイルの一部として設定します。一般的な手順は、次のビデオで説明されています。 Port profiles provide a convenient way to manually or automatically provision EX switch interfaces. Going into the EX4300, we'll first create VLANs. We'll make a camera network with VLAN ID 30 and an IoT network with VLAN ID 29. You can create as many networks as needed. You can create the profiles, for example, a camera, and map it to the camera network that we just created. Customize the settings as desired, such as PoE and STP. We'll repeat this process to create profiles for a corporate device enabling 802.1x authentication, an IoT device configured with PoE, and an access point configured as a trunk port. It's very simple to modify profiles to meet your specific requirements. Then we go into the port configuration section to associate the configurations with port profiles. Here we map ports 1 through 5 to be with an AP profile, ports 6 through 10 with a corporate device profile, ports 11 through 15 with IoT profiles, and ports 16 to 20 with the camera profile. This is how to create port profiles. We can also create port aggregation uplinks to be associated with the appropriate profiles. When you save all of your changes, this pushes the configuration to the particular switch. This covers how EX switches are manually provisioned with port profiles from the Juniper MIST Cloud. インターフェイスに関連付けるポートプロファイルの一部としてスティッキーMACを含めるには、ポートプロファイル設定ブロックの下部にある [永続的(スティッキー)MAC学習 ]オプションを明示的に有効にする必要があります。MAC 制限の場合、デフォルト値は 0(無制限、つまり無効)ですが、最大 16383 個の一意の MAC アドレスを許可する値を設定することで有効にできます。 Mist ポータルで [MAC Limit] または [MAC Count] に設定されている値を確認するには、[Switches] ページからスイッチを選択し、スイッチ ポートの上にマウスを置きます。インターフェイスに適用されている(ポート)プロファイルを確認し、拡張によってそのスティッキーMACステータスを知ることができます。
図2:スティッキーMACを示すポートの詳細
インターフェイスでの動的学習が進むにつれて、設定されたMAC制限と学習されたMACの数が数分後に表示されます。Mist ダッシュボードには、最大 MAC アドレス数のみが表示されます。ただし、スイッチへの リモートシェル を開き、以下のJunos CLIコマンドを実行することで、特定のインターフェイスが学習したすべてのMACアドレスを確認できます。
MACカウントは、MACアドレスがクリアされるまで(またはポートプロファイルで無効になり、その設定がスイッチにプッシュされるまで)残る永続的な値です。 Mistダッシュボードから特定のインターフェイスのMACアドレスをクリアするには、ネットワーク管理者またはスーパーユーザーとしてログインする必要があります。次に、スイッチのフロントパネル(図1を参照)から必要なポートを選択し、表示される [Clear MAC [Dynamic/Persistent] ボタンをクリックします。 [Switch Insights] ページに、イベントが MAC Limit Reset イベントとして表示されます。 フロントパネルの詳細については、 スイッチの詳細を参照してください。 |
スイッチ設定の選択
スイッチの名前、役割、またはモデルに基づいて構成設定を適用するためのルールを作成します。
ルールをクリックして編集するか、[ ルールの追加] をクリックします。次に、各タブページを完成させます。設定を入力したら、右上のチェックマークをクリックして変更を保存します。また、既存のルールを複製して、スイッチ ルール エントリを作成することもできます。これを行うには、クローンボタンをクリックして、新しいルールに名前を付けるだけです。
さまざまなタブについては、以下の表で説明します。
オプション | ノート |
---|---|
名前 |
このルールを識別する名前を入力します。 |
スイッチ名に適用 |
指定した名前に一致するすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、テキストとオフセット文字数を入力します。たとえば、オフセットが 0 の状態で abc と入力すると、名前が abc で始まるスイッチにルールが適用されます。オフセットが 5 の場合、ルールはスイッチ名の最初の 5 文字を無視します。 |
スイッチ ロールに適用 |
同じロールを持つすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。小文字、数字、アンダースコア (_)、またはダッシュ (-) を使用して役割を入力します。 |
スイッチ モデルに適用 |
同じモデルのすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、モデルを選択します。 |
オプション | ノート |
---|---|
構成リスト | [ポート設定の追加(Add Port Configuration)] をクリックするか、編集するポート設定を選択します。 |
ポートIDと構成プロファイル |
設定するポートと、それらに適用する構成プロファイルを入力します。 |
動的構成を有効にする |
この機能を有効にすると、接続されたデバイスの定義済み属性に基づいてポートプロファイルが割り当てられます。デバイスが属性と一致する場合、Mistは一致する動的プロファイルをデバイスに割り当てます。ただし、デバイスが属性と一致しない場合は、指定されたVLANに配置されます。 次の例では、ポートに動的ポート割り当てが有効になり、制限付き VLAN が割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、ルーティング不可能なVLANやゲストVLANなどの制限されたVLANに配置されます。ポート アグリゲーションで有効になっているインターフェイスは、動的ポート構成をサポートしていません。 |
アップ/ダウンポートアラート |
この機能をイネーブルにすると、Juniper Mist はこれらのポートのアップ状態とダウン状態の間の遷移を監視します。この機能を有効にした場合は、[Monitor > Alerts] > [Alerts Configuration] ページで [Critical Switch Port Up/Down] も有効にします。 |
ポート アグリゲーション |
この機能を有効にすると、イーサネット インターフェイスがグループ化され、1 つのリンク層インターフェイスを形成します。このインターフェイスは、リンクアグリゲーショングループ(LAG)またはバンドルとも呼ばれます。 LAGにグループ化できるインターフェイスの数と、スイッチがサポートするLAGの総数は、スイッチのモデルによって異なります。LAG は、LACP を有効にした状態と無効にかかわらず使用できます。相手側のデバイスがLACPをサポートしていない場合は、ここでLACPを無効にできます。 また、スイッチの LACP 強制アップ状態を設定することもできます。この設定では、ピアのLACP機能が制限されている場合に、インターフェイスの状態がアップとして設定されます。 また、LACPパケットの送信間隔を設定することもできます。AE インターフェイスで LACP Periodic Slow オプションを設定すると、LACP パケットは 30 秒ごとに送信されます。デフォルトでは、間隔は高速に設定されており、パケットは毎秒送信されます。 |
スイッチポートオペレータにポートプロファイルの変更を許可する |
この機能を有効にすると、スイッチ ポート オペレータ管理者ロールを持つユーザーは、この設定を表示および管理できます。 |
オプション | ノート |
---|---|
ネットワーク(VLAN)リスト |
インバンド管理トラフィック用のネットワークを選択します。または、[Add Network] をクリックし、この表の残りの行の説明に従って [New Network] フィールドに入力します。 |
名前 |
このネットワークを識別する名前を入力します。 |
VLAN ID |
1 から 4094 までの VLAN ID を入力するか、サイト変数を入力して動的に ID を入力します。 |
サブネット |
サブネットまたはサイトの変数を入力します。 |
- [Select Switches]:[IP Config (OOB)] タブ
- [スイッチの選択(Select Switches)]:[ポート ミラーリング(Port Mirroring)] タブ
- [Select Switches]:[CLI Config] タブ
[Select Switches]:[IP Config (OOB)] タブ
専用管理 VRF(アウトオブバンド)を有効または無効にします。Junosバージョン21.4以降を実行しているすべてのスタンドアロンデバイスまたはバーチャルシャーシの場合、この機能は管理インターフェイスをデフォルト以外の仮想ルーティングおよび転送(VRF)インスタンスに制限します。管理トラフィックは、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなりました。
[スイッチの選択(Select Switches)]:[ポート ミラーリング(Port Mirroring)] タブ
このタブには、すでに追加されているポートミラーリング設定のリストが表示されます。エントリをクリックして編集します。または 、[Add Port Mirror] をクリックしてポートミラーリングを有効にします。この機能を使用すると、ルールで指定されたスイッチ ロール、スイッチ名、スイッチ モデルなどのパラメーターに基づいて、スイッチにポート ミラーリングを動的に適用できます。この機能は通常、監視とトラブルシューティングに使用されます。ポートミラーリングが有効な場合、スイッチはミラーリングされたポートからモニタポートにネットワークパケットのコピーを送信します。構成オプションには、次のものが含まれます。
-
入力—監視するトラフィックの送信元(インターフェイスまたはネットワーク)。入力とともに、インターフェイスのイングレストラフィックとエグレストラフィックのどちらを監視するかMist指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに2つの入力エントリーを追加します。1つはイングレスフラグ、もう1つはエグレスフラグです。
-
出力—トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェイスまたはネットワークを指定することはできません。
[Select Switches Configuration]のルールは、グローバルポートミラーリング設定よりも優先されます。また、グローバルポートミラーリングが設定されている場合は、[Select Switches configuration]セクションにデフォルトルールとして表示され、読み取り専用として表示されます。グローバル レベルで編集できます。
[Select Switches]:[CLI Config] タブ
必要に応じて、追加のCLIコマンドを入力します。
スイッチポリシーラベル(ベータ)
このセクションでは、GBPタグを追加して、スイッチポリシーで参照するユーザーとリソースのグループを識別します。
Junos OS リリース 22.4R1以降を実行する次のデバイスのみがGBPをサポートしています:EX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Y。
次の例は、ユーザーが作成したタグと、それらを参照するポリシーを示しています。
現在、この機能はベータ版の参加者のみご利用いただけます。
開始するには、[ GBPタグを追加]をクリックします。次に、名前を入力し、タイプを選択して、値を入力します。次に、画面の右下隅にある「追加」をクリックします。
タグを有効にすると、スタンドアロンスイッチとオンラインシャーシへの影響に関するアラートが画面に表示されます。先に進む前に、画面上の情報を読んでください。
マルチサプリカントモードで802.1X認証を設定すると、GBPタギングはMACベースになります。シングルサプリカントモードで802.1X認証を設定した場合、GBPタギングはポートベースになります。
オプション | ノート |
---|---|
動的または静的 |
デフォルトでは、Juniper Mist は [ダイナミック] オプションを選択します。「静的」を選択した場合は、GBPタグ・ソースを指定します。これは、MACアドレス、ネットワーク、またはIPサブネットです。 |
GBPタグ |
ホスト発信パケットの値または GBP 送信元タグを入力します(範囲: 1〜65535)。 |
スイッチポリシー(ベータ)
キャンパスファブリックのIP Clos導入で使用できるグループベースのポリシー(GBP)を設定します。ポリシーを作成するときは、組織レベルとサイトレベルのラベル、および GBP タグ ([スイッチ ポリシー ラベル] セクションから) を使用して、指定したリソースにアクセスできるユーザーとアクセスできないユーザーを識別します。
Junos OS リリース 22.4R1以降を実行する次のデバイスのみがGBPをサポートしています:EX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Y。
次の図は、[Switch Policy Labels] セクションで定義されたタグを使用したサンプル ポリシーを示しています。
開始するには、「 スイッチ・ポリシーの追加」をクリックします。次に、次の表の説明に従って設定を入力します。
オプション | ノート |
---|---|
ユーザー/グループ |
[+] をクリックし、リソースにアクセスする必要があるユーザーまたはグループを追加します。GBTタグをすでに定義している場合は、ここで使用できます。 |
資源 | [+] をクリックし、選択したユーザーまたはグループにマップする必要があるリソースを追加します。GBTタグをすでに定義している場合は、ここでも使用できます。 既定では、ユーザーには追加されたリソースへのアクセス権が付与されます。特定のリソースへのユーザー アクセスを拒否する場合は、追加した [リソース] ラベルをクリックし、アクセス を [拒否] に設定します。 |