Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

スイッチ構成オプション

概要 この情報を使用して、スイッチを設定します。

概要

スイッチ設定は、組織レベルまたはサイト レベルで入力できます。

  • 組織全体の設定を構成するには、Juniper Mist ポータルの左側のメニューから [ 組織 > スイッチ テンプレート ] を選択します。次に、テンプレートを作成し、1 つ以上のサイトまたはサイト グループに適用します。

  • サイトレベルでスイッチ設定を構成するには、Juniper Mistポータルの左側のメニューから[ サイト > スイッチの構成 ]を選択します。次に、セットアップするサイトを選択し、スイッチ設定を入力します。

    組織レベルのスイッチ テンプレートがサイトに割り当てられている場合、構成は表示専用モードで表示されます。テンプレートの設定を保持することも、調整することもできます。ページの各セクションで、[ 構成テンプレートの上書き] を選択し、変更を入力できます。これらの変更はこのサイトにのみ適用され、テンプレート自体には適用されません。

    次の例は、テンプレートを上書きし、サイト固有の root パスワードを設定する方法を示しています。

    Override Configuration Template Example
メモ:

スイッチの構成プロセスとスイッチ テンプレートの詳細については、次を参照してください: スイッチの構成

組織レベルとサイト レベルの両方で、スイッチ設定は以下に説明するようにセクションにグループ化されます。

すべてのスイッチ

これらのオプションは、[ 組織 > スイッチ テンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [すべてのスイッチ] セクションで設定します。

All Switches
表1:すべてのスイッチ構成オプション
フィールド の説明
半径

ユーザーが提供するユーザー名とパスワード、証明書、またはその他の認証要素を検証するための認証サーバーを選択します。

  • Mist Auth—Mistのクラウドベース認証サービスであるJuniper Mist Access Assuranceをスイッチで設定する場合は、このオプションを選択します。このオプションを機能させるには、dot1x または MAB 認証でポートを使用する必要もあります。詳細については、この 製品アップデートページの「Mist Access Assuranceの紹介」セクションを参照してください。

    メモ:

    有線スイッチでのMist Authを使用するには、Junos 20.4R3-S7以上、22.3R3以上、22.4R2以上、または23.1R1以上が必要です。

    認証ポリシー、ポリシーラベル、証明書、IDプロバイダなどのMist Access Assurance機能を設定するには、[ 組織 > アクセス]に移動します。

  • RADIUS:スイッチ レベルで dot1x ポート認証を有効にするために、RADIUS 認証サーバーとアカウンティング サーバーを設定するには、このオプションを選択します。dot1x ポート認証を機能させるには、dot1x 認証を使用するポート プロファイルを作成し、そのプロファイルをスイッチのポートに割り当てる必要があります。

    デフォルトのポート番号は次のとおりです。

    • 認証サーバーのポート 1812

    • アカウンティング サーバーのポート 1813

メモ:

スイッチ管理アクセス(スイッチ CLI ログイン用)に dot1x 認証を設定する場合は、テンプレートの [追加の CLI コマンド(Add CLI Commands)] セクションに次の CLI コマンドを含める必要があります。

set system authentication-order radius
set system radius-server radius-server-IP port 1812
set system radius-server radius-server-IP secret secret-code
set system radius-server radius-server-IP source-address radius-Source-IP
TACACS+ TACACS+ を設定して、ネットワークデバイスでの一元的なユーザー認証を実現します。さらに、デバイスでTACACS+アカウンティングを有効にして、LANでのユーザーのログインとログアウトに関する統計データを収集し、このデータをTACACS+アカウンティングサーバーに送信できます。

TACACS+ およびアカウンティング サーバーでサポートされているポート範囲は、1 から 65535 です。

Ntp ネットワークタイムプロトコル(NTP)サーバーのIPアドレスまたはホスト名を指定します。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。
DNS 設定

ドメイン ネーム サーバー (DNS) 設定を構成します。最大 3 つの DNS IP アドレスとサフィックスをカンマ区切り形式で設定できます。

Snmp

ネットワーク管理とモニタリングをサポートするために、スイッチで簡易ネットワーク管理プロトコル(SNMP)を設定します。SNMPv2 または SNMPv3 を設定できます。設定できるSNMPオプションは次のとおりです。

  • SNMPv2(V2)のオプション

    • 一般—システムの名前、場所、管理上の連絡先情報、および管理下システムの簡単な説明を指定します。SNMPv2 を使用する場合、デバイスから送信される SNMP トラップ パケットの送信元アドレスを指定するオプションがあります。送信元アドレスを指定しない場合、デフォルトで発信インターフェイスのアドレスが使用されます。

    • クライアント:SNMP クライアントのリストを定義します。複数のクライアント リストを追加できます。この設定には、クライアント リストの名前とクライアントの IP アドレス(カンマ区切り形式)が含まれます。各クライアント・リストには、複数のクライアントを含めることができます。クライアントは、/32 マスクが付いたプレフィックスです。

    • トラップグループ:指定されたトラップ通知を受信するホストの名前付きグループを作成します。SNMP トラップを送信するには、少なくとも 1 つのトラップ グループを設定する必要があります。設定には、次のフィールドが含まれます。

      • グループ名—トラップグループの名前を指定します。

      • [カテゴリ] - 次のカテゴリのリストから選択します。複数の値を選択できます。

        • 認証

        • シャーシ

        • 構成

        • リンク

        • リモート操作

        • ルーティング

        • サービス

        • スタートアップ

        • VRRP イベント

      • ターゲット:ターゲット IP アドレスを指定します。複数のターゲットを指定できます。

      • バージョン—SNMPトラップのバージョン番号を指定します。

    • コミュニティ—SNMPコミュニティを定義します。SNMP コミュニティは、送信元 IP アドレスによって SNMP クライアントを承認するために使用されます。また、ビューで定義された特定の MIB オブジェクトに対するアクセシビリティとパーミッション(読み取り専用または読み取り/書き込み)も決定します。コミュニティ設定には、クライアントリスト、認証情報、およびビューを含めることができます。

    • ビュー(SNMPv2 と SNMPv3 の両方に適用)—MIB ビューを定義して、MIB オブジェクトのグループを識別します。ビュー内の各オブジェクトは、共通のオブジェクト識別子 (OID) プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチとオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前とSNMP OIDのコレクションで構成され、明示的に含めたり除外したりできます。

  • SNMPv3(V3)のオプション

    • 一般—システムの名前、場所、管理上の連絡先情報、および管理下システムの簡単な説明を指定します。SNMPv2 を使用する場合は、SNMPv3 エンティティの一意の識別子として機能するエンジン ID を設定します。

    • USM:ユーザーベースセキュリティモデル(USM)設定を行います。この設定には、ユーザー名、認証タイプ、および暗号化タイプが含まれます。USM 用にローカル エンジンまたはリモート エンジンを設定できます。リモートエンジンを選択する場合は、エンジン識別子を16進形式で指定します。このIDは、リモートホストでユーザーに送信されたパケットを認証して暗号化するためのセキュリティダイジェストの計算に使用されます。[ローカル エンジン] オプションを指定すると、[全般] タブで指定したエンジン ID が考慮されます。エンジンIDを指定しない場合、 ローカルミスト がデフォルト値として設定されます。

    • VACM - ビューベースアクセス制御モデル(VACM)を定義します。VACM を使用すると、グループのアクセス権限を設定できます。定義済みのビューを使用して、読み取り、書き込み、および通知操作に使用できるMIBオブジェクトをフィルタリングすることで、アクセスを制御できます(最初に[ビュー]タブから必要なビューを定義する必要があります)。各ビューは、特定のセキュリティ モデル(v1、v2c、または usm)とセキュリティ レベル(認証、プライバシー、またはなし)に関連付けることができます。また、[セキュリティ] から [グループ] 設定からアクセス グループにセキュリティ設定を適用することもできます (ここでは定義済みの USM 設定を使用するオプションがあります)。

    • 通知:通知用の SNMPv3 管理ターゲットを選択し、通知タイプを指定します。これを設定するには、通知に名前を割り当て、通知を受信するターゲットまたはタグを選択し、トラップ(未確認)通知かインフォーム(確認済み)通知かを指定します。

    • [ターゲット(Target)]:特定の管理ターゲットに通知を送信するためのメッセージ処理およびセキュリティ パラメータを設定します。ここでターゲット IP アドレスを指定することもできます。

    • ビュー(SNMPv2 と SNMPv3 の両方に適用)—MIB ビューを定義して、MIB オブジェクトのグループを識別します。ビュー内の各オブジェクトは、共通のオブジェクト識別子 (OID) プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチとオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前とSNMP OIDのコレクションで構成され、明示的に含めたり除外したりできます。

詳細については、次を参照してください: スイッチで SNMP を構成する

スタティックルート

スタティックルートを設定します。スイッチは、以下の場合にスタティック ルートを使用します。

  • より良い(より低い)プリファレンス値を持つルートはありません。

  • 宛先へのルートは決定できません。

  • ルーティングできないパケットを転送する必要があります。

サポートされるスタティックルートのタイプ:

  • サブネット:宛先ネットワークとネクストホップのIPアドレスが含まれます。

  • ネットワーク - VLAN(VLAN ID とサブネットを含む)とネクストホップ IP アドレスが含まれます。

詳細を指定したら、[ Add Static Route](スタティックルートの追加 )ウィンドウの右上にあるチェックマーク(✓)をクリックして、設定をテンプレートに追加します。

CLI設定

テンプレートの GUI で使用できない追加設定でも、 set CLI コマンドを使用して構成できます。

例えば、カスタムログインメッセージを設定して、ユーザーに警告を表示し、スイッチ上で直接CLI変更を行わないようにアドバイスすることができます。これを行う方法の例を次に示します。

set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.

すでに追加されている CLI コマンドを削除するには、次の例に示すように、 コマンドを使用します delete

delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes.
メモ:

設定を成功させるには、必ず完全なCLIコマンドを入力してください。

Ospf このタイルから、次のことができます。
  • オープン最短パスファースト(OSPF)エリアを定義します。OSPFは、IPネットワーク内でIPパケットを転送するための最適なパスを決定するために使用されるリンクステート型ルーティングプロトコルです。OSPFは、ネットワークをエリアに分割して拡張性を向上させ、ルーティング情報の流れを制御します。OSPFエリアの詳細については、このJunosのドキュメント「 OSPFエリアの設定」を参照してください。

  • スイッチの OSPF 設定を有効または無効にします。

DHCP スヌーピング

DHCP スヌーピング オプションを有効にして、スイッチに接続された信頼できないデバイスからの DHCP メッセージをモニタします。DHCP スヌーピングは、これらのメッセージを追跡するためのデータベースを作成します。これにより、許可されていないDHCPサーバーから発信されたと仮定して、信頼できないポートでのDHCPOFFERパケットの受け入れを防ぐことができます。

DHCP 構成には、次のオプションがあります。

  • すべてのネットワーク:すべてのVLANでDHCPスヌーピングを有効にするには、[すべてのネットワーク]チェックボックスをオンにします。

  • ネットワーク:特定のネットワークでのみDHCPスヌーピングを有効にする場合は、[ネットワーク]ボックスの[追加(+)]をクリックして、必要なVLANを追加します。

  • アドレス解決プロトコル(ARP)インスペクション:この機能を有効にして、中間者攻撃をブロックします。ARP インスペクションは、信頼できないポートで受信した ARP パケットの送信元 MAC アドレスを検査します。DHCP スヌーピング データベースに対してアドレスを検証します。送信元 MAC アドレスに一致するエントリ(IP-MAC バインディング)がデータベース内にない場合、パケットはドロップされます。

    ARP 統計を確認するには、次の CLI コマンドを使用します: show dhcp-security arp inspection statisticsおよび show log messages | match DAI

    デバイスは、各インターフェイスで受信した無効なARPパケットの数を、送信者のIPアドレスとMACアドレスとともに記録します。これらのログ メッセージを使用して、ネットワーク上の ARP スプーフィングを発見できます。

  • IP ソース ガード:IP ソース ガードは、信頼できないポートで受信した送信元 IP アドレスと MAC アドレスを DHCP スヌーピング データベースのエントリと照合します。送信元アドレスに一致するエントリがデータベース内にない場合、IP ソース ガードはパケットを破棄します。

    メモ:

    IPソース ガードは、シングル サプリカント 802.1X ユーザー認証モードでのみ動作します。

メモ:
  • 信頼されていないアクセス ポートに DHCP サーバーが接続されている場合、DHCP は正しく機能しません。このような場合は、DHCP が意図したとおりに動作するように調整する必要があります。デフォルトでは、DHCP はすべてのトランク ポートを信頼済みとみなし、すべてのアクセス ポートを信頼できないポートと見なします。

  • DHCP スヌーピング設定を有効にするには、スイッチ上の VLAN をイネーブルにする必要があります。そのため、ポートプロファイル(このドキュメントの後半で説明)をポートに適用する必要があります。

スイッチ上の信頼できないポートにデバイスを接続している場合、スタティック IP アドレスを持つデバイスは、DHCP スヌーピング データベースに一致する MAC-IP バインディングを持たない可能性があります。スイッチのDHCPスヌーピングデータベースを確認し、バインディングを表示するには、CLIコマンド show dhcp-security bindingを使用します。このコマンドは、スヌーピング データベースに記録された DHCP バインディングに関する情報を提供します。

詳細については、 DHCP スヌーピングとポート セキュリティに関する考慮事項を参照してください。
メモ:

[接続の成功SLE]メトリックでスイッチのDHCPの問題を表示する場合は、この機能を有効にする必要があります。

Syslog

SYSLOG 設定を構成して、システム ログ メッセージの処理方法を設定します。システム・ログ・メッセージをファイル、リモート宛先、ユーザー端末、またはシステム・コンソールに送信する設定ができます。SYSLOG 設定に使用できる設定オプションを次に示します。

  • ファイル - 指定されたファイルにログ メッセージを送信します。

  • ホスト - ログメッセージをリモートロケーションに送信します。これは、これらのログメッセージが生成されるたびに通知されるデバイスのIPアドレスまたはホスト名である可能性があります。

  • ユーザー - 特定のユーザーにログイベントを通知します。

  • コンソール:指定されたクラスと重大度のログメッセージをコンソールに送信します。ログ メッセージには、ログ メッセージのファシリティと重大度レベルに関する詳細を提供する優先度情報が含まれます。

  • アーカイブ:ログメッセージをアーカイブするためのパラメータを定義します。

  • [General]:ログ メッセージの時間形式、ルーティング インスタンス、送信元アドレスなどの一般情報を指定します。

ポートミラーリング

ポートミラーリングを設定します。

ポート ミラーリングとは、分析のためにパケットのコピーを外部のホスト アドレスまたはパケット アナライザに送信するルーターの機能です。ポートミラーリング設定では、以下を指定できます。

  • 入力:監視するトラフィックの送信元(インターフェイスまたはネットワーク)。入力に加えて、Mistがインターフェイスのイングレストラフィックまたはエグレストラフィックのどちらを監視するかを指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに 2 つの入力エントリを追加します。1 つは ingress フラグ、もう 1 つは egress フラグです。

  • 出力:トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェースまたはネットワークを指定することはできません。

ルーティングポリシー

組織全体(組織>スイッチテンプレート)またはサイト(サイト>スイッチ設定)のルーティングポリシーを設定します。これらのルーティング ポリシーは、BGP ルーティング プロトコルに関連付けられている場合にのみスイッチ構成にプッシュされます。スイッチの「BGP」タブ内ですでに定義されているルーティング・ポリシーが、「ルーティング・ポリシー」タブに表示されます。ルーティング ポリシーは、BGP や OSPF などのプロトコルに関連付けられています。ルーティングポリシーフレームワークは、各ルーティングプロトコルのデフォルトルールで構成されています。これらのルールは、プロトコルがルーティング テーブルに配置し、ルーティング テーブルからアドバタイズするルートを決定します。ルーティング ポリシーの設定では、一致条件と、一致するルートに適用するアクションで構成される用語を定義します。

ルーティングポリシーを設定するには:

  1. [ルーティング ポリシー] タイルの [ ルーティング ポリシーの追加 ] をクリックします。

  2. ポリシーに名前を指定し、[ 用語の追加] をクリックします。

  3. 用語に名前を指定し、次のようなその他の一致の詳細を指定します。

    • プレフィックス

    • ASパス

    • プロトコル

    • コミュニティ—BGPが類似プロパティを持つルートを管理上グループ化するために使用するルート属性。

    • その後、一致するルートに適用されるアクション(承認または拒否)

    • アクションの追加 - ASパスを先頭に追加する、コミュニティを設定する、ローカルプリファレンスを設定するなどの追加のアクション。

  4. [用語の追加] タイトルの右側にあるチェック マーク (✓) をクリックして、用語を保存します。複数の用語を追加できます。

  5. [ 追加(Add )] をクリックして、ルーティング ポリシーを保存します。

管理

これらのオプションは、[ 組織 > スイッチ テンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [管理] セクションで設定します。

Management Section of the Configuration Page
表 2: 管理構成オプション
オプション ノート

設定復帰タイマー

この機能は、設定変更によってスイッチが接続を失った場合に、スイッチとMist Cloud間の接続を復元するのに役立ちます。ユーザーが行った変更を自動的に元に戻し、指定された期間内にクラウドに再接続します。デフォルトでは、EXシリーズスイッチの場合、この時間は10分に設定されています。別の期間を指定できます。

rootパスワード

rootレベル ユーザー(ユーザー名が root)のプレーンテキスト パスワード。

ルーティングエンジンの保護

この機能を有効にすると、ルーティングエンジンは信頼できるシステムからのトラフィックのみを受け入れるようになります。この設定では、ステートレス ファイアウォール フィルターが作成され、指定された信頼できる送信元からの SSH および BGP プロトコル パケットを除く、ルーティング エンジン宛てのすべてのトラフィックを破棄します。詳細については、 例:信頼できる送信元からのトラフィックを受け入れるためのステートレスファイアウォールフィルターの設定を参照してください。

アイドル タイムアウト

リモートシェルセッションをアイドル状態にできる最大分数。この制限に達すると、ユーザーはログアウトされます。(有効な範囲: 1 から 60)。

ログインバナー

ユーザがスイッチにログインしたときに表示されるテキストを入力します。例: "警告!このスイッチはJuniper Mistによって管理されます。CLIは変更しないでください。最大 2048 文字まで入力できます。

共有要素

これらのオプションは、[ 組織 > スイッチ テンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [共有要素] セクションで設定します。

Shared Elements Section
表 3: 共有要素の構成オプション
オプション ノート

ネットワーク

VLAN を追加または更新すると、ポート プロファイルで使用できます。

VLAN ごとに、名前、VLAN ID、サブネットを入力します。その他のヒントについては、画面の情報を参照してください。

ポート プロファイル

ポートプロファイルを追加または更新します。プロファイル オプションの詳細については、画面上のヒントと 「共有要素 - ポート プロファイル」を参照してください。

ダイナミックポート設定

ダイナミックポートプロファイリングは、接続されたクライアントデバイスのデバイスプロパティセットを使用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。

ダイナミックポートプロファイルは、次のパラメータに基づいて設定できます。

  • LLDPシステム名

  • LLDPの説明

  • LLDPシャーシID

  • Radiusユーザー名

  • 半径フィルター-ID

  • MAC(イーサネット MAC アドレス)

この例では、ルールは、指定されたLLDPシステム名を持つすべてのデバイスにポートプロファイルを適用します。

動的ポート設定を有効にするには、動的ポートとして機能するポートも指定する必要があります。これを行うには、スイッチ テンプレートの スイッチの選択 セクションにある ポート 構成 タブ、またはスイッチの詳細ページの ポート 構成 セクションにある 動的 構成の有効化 チェックボックスを選択します。

クライアントが認識されてからポートプロファイルがポートに適用されるまでに数分かかり、その後、ポートプロファイルの割り当てステータスがMistポータルに表示されるまでに数分かかります。

スイッチが再起動したり、スイッチ上のすべてのポートに影響するマス リンク アップまたはダウン イベントが発生した場合、すべてのポートが適切なプロファイルに割り当てられるまでに約 20 分かかります(すべてのポートでダイナミック ポート設定が有効になっていると仮定します)。

Vrf

VRFでは、EXシリーズスイッチを複数の仮想ルーティングインスタンスに分割し、ネットワーク内のトラフィックを効果的に分離できます。VRF の名前を定義し、VRF に関連するネットワークを指定し、必要な追加ルートを含めることができます。

メモ:

デフォルト ネットワーク(VLAN ID = 1)を VRF に割り当てることはできません。

共有要素—ポートプロファイル

[共有要素] セクションでは、ポート プロファイルを設定できます。これらのオプションは、[プロファイルの追加] をクリックするか、編集するプロファイルをクリックすると表示されます。

メモ:
  • プロファイルの一般的な情報については、 ポートプロファイルの概要を参照してください。

  • サイト レベルで作業している場合は、ポート プロファイル名の横にアスタリスク (*) が表示されることがあります。これらのポート プロファイルは、スイッチ テンプレートで作成されました。それらをクリックすると、表示専用モードで設定が表示されます。サイト固有の変更(スイッチ テンプレート自体ではなく、このサイトのみに影響する)を行うには、[ テンプレート定義済みプロファイルの上書き ]を選択し、設定を編集します。

表 4: ポート プロファイル設定オプション
オプション ノート
名前、有効なポート、および説明

ポートを識別して有効にするための基本設定。

モード
  • トランク:トランク インターフェイスは通常、LAN 上の他のスイッチ、AP、およびルーターに接続します。このモードでは、インターフェイスを複数の VLAN にすることができ、異なる VLAN 間のトラフィックを多重化できます。ポート ネットワーク、VoIP ネットワーク (該当する場合)、およびトランク ネットワークを指定します。

  • アクセス - デフォルト モード。通常、アクセス インターフェイスは、PC、プリンター、IP 電話、IP カメラなどのネットワーク デバイスに接続します。このモードでは、インターフェイスは単一のVLANにのみ存在できます。ポートネットワークとVoIPネットワーク(該当する場合)を指定します。

  • ポートネットワークとVoIPネットワーク:このポートのVLANを選択します。

dot1x 認証を使用する

ポートベースのネットワークアクセス制御でIEEE 802.1X認証を有効にするには、このオプションを選択します。802.1X 認証は、プライベート VLAN(PVLAN)のメンバーであるインターフェイスでサポートされています。

ポートでdot1x認証を有効にすると、次のオプションを使用できます。

  • [複数のサプリカントを許可]:複数のエンド デバイスがポートに接続できるようにするには、このオプションを選択します。各デバイスは個別に認証されます。

  • ダイナミックVLAN—RADIUSサーバー属性の「トンネルプライベートグループID」または「Egress-VLAN-Name」から返されるダイナミックVLANを指定します。この設定により、ポートで動的VLAN割り当てを実行できます。

  • MAC 認証:ポートの MAC 認証を有効にするには、このオプションを選択します。このオプションを選択すると、 認証プロトコルを指定することもできます。プロトコルを指定する場合、サプリカントが認証クレデンシャルを提供するためにそのプロトコルを使用する必要があります。

  • [ゲスト ネットワークを使用(Use Guest Network)]:認証にゲスト ネットワークを使用するには、このオプションを選択します。次に、ドロップダウンリストから ゲストネットワーク を選択します。

  • [サーバーがダウンしている場合、認証をバイパスする] - このオプションを選択すると、サーバーがダウンしていても、クライアントは認証なしでネットワークに参加できます。

dot1x 認証を機能させるには、次の操作も行う必要があります。

  • テンプレートの すべてのスイッチ設定 セクションの認証サーバー タイルから、dot1x 認証用の RADIUS サーバーを設定します。

  • RADIUS 設定をスイッチにプッシュするために、dot1x ポート プロファイルをスイッチ ポートに割り当てます。これは、テンプレートの スイッチ構成の選択 セクションの ポート構成 タブから実行できます。

速度

デフォルト設定の[自動]をそのまま使用するか、速度を選択します

二重

既定の設定である [自動] をそのまま使用するか、[半分] または [完全] を選択します。

MAC 制限 インターフェイスで動的に学習できるMACアドレスの最大数を設定します。インターフェイスが設定されたMAC制限を超えると、フレームがドロップされます。MAC 制限もログ エントリになります。

デフォルト値: 0

サポートされている範囲: 0 から 16383

Poe

ポートがPoE(パワーオーバーイーサネット)をサポートできるようにします。

STPエッジ

ポートでブリッジプロトコルデータユニット(BPDU)ガードを有効にする場合は、ポートをスパニングツリープロトコル(STP)エッジポートとして設定します。この設定により、ポートがエッジ ポートとして扱われ、STP の制御メッセージである BPDU の受信が保護されます。STP Edge で設定されたポートに非エッジ デバイスを接続すると、ポートは無効になります。さらに、[スイッチ インサイト(Switch Insights)] ページでは、ポート BPDU ブロック イベントが生成されます。 スイッチの詳細 のフロントパネルにも、このポートのBPDUエラーが表示されます。

BPDU エラーのポートをクリアするには、フロント パネルでポートを選択し、[ BPDU エラーのクリア] をクリックします。

STP Edge は、スイッチの詳細ページの ポート プロファイル セクションから、スイッチ レベルで設定することもできます。

STPの詳細については、 スパニングツリープロトコルの仕組みを参照してください。

Qos

ポートのサービス品質(QoS)を有効にして、音声などの遅延の影響を受けやすいトラフィックを、ポート上の他のトラフィックよりも優先します。

メモ:

最適な結果を得るには、ダウンストリーム(受信)トラフィックとアップストリーム(送信トラフィック)の両方でサービス品質(QoS)を有効にすることが重要です。これにより、ネットワークは双方向のトラフィックを効果的に優先順位付けして管理できるため、パフォーマンスが向上し、全体的なサービス品質が向上します。

WLAN 設定ページで QoS 設定を上書きするオプションがあります(サイト > WLAN > WLAN 名)。QoS 設定を上書きするには、 QoS を上書き する チェックボックスを選択し、ワイヤレス アクセス クラスを選択します。ダウンストリームトラフィック(AP>クライアント)は、指定された上書きアクセスクラス値でマークされます。オーバーライド構成では、アップストリーム トラフィック(クライアント> AP)はサポートされていません。

QoS 構成」も参照してください。

ストーム制御 ストーム制御を有効にしてトラフィックレベルを監視し、トラフィックがトラフィックレベル(パーセンテージで指定)を超えた場合、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを自動的にドロップします。この指定されたトラフィック レベルは、ストーム制御レベルと呼ばれます。この機能は、パケットの拡散を積極的に防止し、LANのパフォーマンスを維持します。ストーム制御を有効にすると、ブロードキャスト、マルチキャスト、および不明なユニキャスト パケットを監視から除外することもできます。

詳細については、「 ストーム制御について」を参照してください。

永続的(スティッキー)MAC学習

永続的(スティッキー)MACを有効にして、許可されていないデバイスがネットワークに接続できないようにします。有効にすると、スイッチはポートに到着したデバイスのMACアドレスを学習してメモリに保存します。学習されたMACアドレスの数が上記で指定された「MAC制限」を超えると、ポートはフレームをドロップします。また、[分析情報] ページに [MAC 制限を超えました] イベントが表示されます。

スイッチの詳細ページのフロントパネルからポートにカーソルを合わせると、MAC制限とMACカウント(ポートが動的に学習したMACアドレスの数)を確認できます。

メモ:
  • トランク ポートまたは 802.1X 認証を使用するポートでは、Junos OS がこの機能をサポートしていないため、この機能を有効にすることはできません。

  • 静的有線クライアントに対してこの機能を有効にします。Mist APインターフェイスでは有効にしないでください。

Juniper Mistポータルには、インターフェイスが学習したMACアドレスは表示されません。最大MACアドレス数のみが表示されます。インターフェイスが学習した MAC アドレスを表示するには、スイッチの詳細ページで ユーティリティ > リモート シェル オプションを選択し、次のコマンドを実行します。

  • show ethernet-switching table persistent-learning
  • show ethernet-switching table persistent-learning interface

MACカウント値は、スイッチの詳細のフロントパネルからクリアするか、永続的(スティッキー)MAC学習機能を無効にするまでポートに残ります。ポートが学習した MAC アドレスをクリアするには、スイッチのフロント パネルでポートを選択し、[ MAC のクリア (動的/永続的)] をクリックします。このアクションにより、[スイッチ インサイト(Switch Insights)] ページに MAC 制限リセット イベントが生成されます。フロントパネルの詳細については 、スイッチの詳細をご覧ください。

スイッチ設定の選択

スイッチの名前、ロール、またはモデルに基づいて構成設定を適用するルールを作成します。

ルールをクリックして編集するか、[ ルールの追加] をクリックします。次に、各タブ付きページに入力します。設定を入力したら、右上のチェックマークをクリックして変更を保存します。

Select Switches Configuration

さまざまなタブについては、以下の個別の表で説明します。

表5:スイッチの選択—[情報]タブ
オプション ノート

名前

このルールを識別する名前を入力します。

スイッチ名に適用

指定した名前に一致するすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、テキストとオフセット文字数を入力します。たとえば、オフセット 0 を指定して abc と入力すると、名前が abc で始まるスイッチにルールが適用されます。オフセットが 5 の場合、ルールはスイッチ名の最初の 5 文字を無視します。

スイッチの役割に適用

同じ役割を持つすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。小文字、数字、アンダースコア (_)、またはダッシュ (-) を使用してロールを入力します。

スイッチ モデルに適用

同じモデルのすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、モデルを選択します。

表6:スイッチの選択—ポート設定タブ
オプション ノート
構成リスト

[ ポート構成の追加] をクリックするか、編集するポート構成を選択します。

Port Configuration Tab Showing List of Port Configurations

ポートIDと構成プロファイル

設定するポートと、それらに適用する構成プロファイルを入力します。

動的構成を有効にする

この機能を有効にすると、接続されたデバイスの定義済み属性に基づいてポート プロファイルが割り当てられます。デバイスが属性に一致する場合、Mistは一致する動的プロファイルをデバイスに割り当てます。ただし、デバイスが属性と一致しない場合は、指定されたVLANに配置されます。

次の例では、ポートは動的ポート割り当てで有効になっており、制限付きVLANが割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、そのデバイスはルーティング不可能なVLANやゲストVLANなどの制限付きVLANに配置されます。ポートアグリゲーションが有効になっているインターフェイスは、動的ポート設定をサポートしていません。

アップ/ダウンポートアラート

この機能を有効にすると、Juniper Mistはこれらのポートのアップ状態とダウン状態間の遷移を監視します。この機能を有効にする場合は、[モニター > アラート] > [アラートの構成] ページで [クリティカル スイッチ ポートのアップ/ダウン] も有効にします。

ポートアグリゲーション

この機能を有効にすると、イーサネット インターフェイスがグループ化され、1 つのリンク層インターフェイスを形成します。このインターフェイスは、LAG(リンクアグリゲーショングループ)またはバンドルとも呼ばれます。

LAGにグループ化できるインターフェイスの数とスイッチがサポートするLAGの総数は、スイッチのモデルによって異なります。LAG は、LACP を有効にしたかどうかに関係なく使用できます。もう一方の端末が LACP をサポートしていない場合は、ここで LACP を無効にできます。

スイッチの LACP フォースアップ状態を設定することもできます。この設定は、ピアの LACP 機能が制限されている場合に、インターフェイスの状態を up として設定します。

また、LACP パケットの送信間隔を設定することもできます。AEインターフェイスでLACP周期的低速オプションを設定した場合、LACPパケットは30秒ごとに送信されます。デフォルトでは、間隔は高速に設定されており、パケットは毎秒送信されます。

スイッチ ポート オペレータによるポート プロファイルの変更を許可する

この機能を有効にすると、スイッチ ポート オペレータ管理者ロールを持つユーザは、この設定を表示および管理できます。
表 7: スイッチ設定の選択—[IP Config]タブ
オプション ノート

ネットワーク (VLAN) リスト

インバンド管理トラフィックのネットワークを選択します。または、[ネットワークの追加(Add Network)] をクリックし、このテーブルの残りの行の説明に従って [新しいネットワーク] フィールドに入力します。

Select Switches - IP Config Tab

名前

このネットワークを識別する名前を入力します。

VLAN ID

1 から 4094 までの VLAN ID を入力するか、サイト変数を入力して ID を動的に入力します。

サブネット

サブネットまたはサイト変数を入力します。

スイッチの選択—IP 設定(OOB)タブ

専用管理 VRF を有効または無効にします。Junosバージョン21.4以降を実行するすべてのスタンドアロンデバイスまたはバーチャルシャーシでは、この機能は管理インターフェイスをデフォルト以外の仮想ルーティングおよび転送(VRF)インスタンスに限定します。管理トラフィックは、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなります。

スイッチの選択—[CLI 構成] タブ

必要に応じて、追加の CLI コマンドを入力します。

ポリシーラベルの切り替え(ベータ版)

このセクションでは、スイッチポリシーで参照するユーザーとリソースのグループを識別するGBPタグを追加します。

メモ:

GBPをサポートするのは、Junos OSリリース22.4R1以降を実行するEX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Yのみです。

次の例は、ユーザーが作成したタグと、それらを参照するポリシーを示しています。

Switch Policy Labels (Beta)
メモ:

この機能は現在、ベータ参加者のみが利用できます。

開始するには、[ GBPタグを追加]をクリックします。次に、名前を入力し、タイプを選択して、値を入力します。次に、画面の右下隅にある[追加]をクリックします。

タグを有効にすると、スタンドアロンスイッチとバーチャルシャーシへの影響に関するアラートが画面に表示されます。続行する前に、画面の情報をお読みください。

メモ:

マルチサプリカントモードで802.1X認証を設定した場合、GBPタギングはMACベースになります。シングルサプリカントモードで802.1X認証を設定した場合、GBPタギングはポートベースになります。

表 8: スイッチ ポリシー ラベル(GBP タグ)設定オプション
オプション ノート

動的または静的

デフォルトでは、Juniper Mistは[ダイナミック]オプションを選択します。「静的」を選択した場合は、GBP タグのソースを指定します。MAC アドレス、ネットワーク、または IP サブネットを指定できます。

英ポンドタグ

ホスト発信パケットの値またはGBPソースタグを入力します(範囲:1〜65535)。

スイッチポリシー(ベータ版)

キャンパスファブリックのIP Clos導入で使用できるグループベースのポリシー(GBP)を設定します。ポリシーを作成するときは、組織レベルとサイトレベルのラベルと GBP タグ ([ポリシーラベルの切り替え] セクションから) を使用して、指定したリソースにアクセスできるユーザーとアクセスできないユーザーを識別します。

メモ:

GBPをサポートするのは、Junos OSリリース22.4R1以降を実行するEX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Yのみです。

次の図は、[スイッチ ポリシー ラベル] セクションで定義されたタグを使用したサンプル ポリシーを示しています。

Switch Policy (Beta)

開始するには、[ スイッチ ポリシーの追加] をクリックします。次に、次の表の説明に従って設定を入力します。

表 9: スイッチ ポリシーの設定オプション
オプション ノート

ユーザー/グループ

[ + ] をクリックし、リソースにアクセスする必要があるユーザーまたはグループを追加します。GBT タグをすでに定義している場合は、ここで使用することができます。

リソース

[ + ] をクリックし、選択したユーザーまたはグループにマップする必要があるリソースを追加します。GBT タグをすでに定義している場合は、ここでも使用できます。

既定では、ユーザーには追加されたリソースへのアクセス権が付与されます。特定のリソースへのユーザー アクセスを拒否する場合は、追加した [リソース] ラベルをクリックし、アクセス を拒否に設定します。

Changing Access to Deny