スイッチ設定オプション |ミスト |ジュニパーネットワークス

概要

スイッチ設定は、組織レベルまたはサイトレベルで入力できます。

組織全体の設定を構成するには、Juniper Mist ポータルの左側のメニューから [ 組織 > スイッチテンプレート ] を選択します。次に、テンプレートを作成し、1 つ以上のサイトまたはサイトグループに適用します。
サイトレベルでスイッチ設定を構成するには、Juniper Mistポータルの左側のメニューから[ サイト > スイッチの構成 ]を選択します。次に、セットアップするサイトを選択し、スイッチ設定を入力します。

組織レベルのスイッチテンプレートがサイトに割り当てられている場合、サイト構成は表示専用モードで表示されます。テンプレートの設定を保持することも、調整することもできます。ページの各セクションで、[ 構成テンプレートの上書き] を選択し、変更を入力できます。これらの変更はこのサイトにのみ適用され、テンプレートには適用されません。

次の例は、テンプレートを上書きし、サイト固有の root パスワードを設定する方法を示しています。

手記：

サイト変数による構成をサポートするフィールドには、その下にサイト変数の構成形式を示すヘルプテキストがあります。サイト変数を構成するには、「サイト変数の構成」の手順に従います。スイッチの構成プロセスとスイッチテンプレートの詳細については、次を参照してください: スイッチの構成。

組織レベルとサイトレベルの両方で、スイッチ設定は以下に説明するようにセクションにグループ化されます。

すべてのスイッチ

これらのオプションは、[ 組織 > スイッチテンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [すべてのスイッチ] セクションで設定します。

表1:すべてのスイッチ構成オプション
フィールド	の説明
半径	ユーザーが提供するユーザー名とパスワード、証明書、またはその他の認証要素を検証するための認証サーバーを選択します。 Mist Auth—Mistのクラウドベース認証サービスであるJuniper Mist Access Assuranceをスイッチで設定する場合は、このオプションを選択します。このオプションを機能させるには、dot1x または MAB 認証でポートを使用する必要もあります。詳細については、この製品アップデートページの「Mist Access Assuranceの紹介」セクションを参照してください。手記：有線スイッチでのMist Authを使用するには、Junos 20.4R3-S7以上、22.3R3以上、22.4R2以上、または23.1R1以上が必要です。認証ポリシー、ポリシーラベル、証明書、IDプロバイダなどのMist Access Assurance機能を設定するには、[ 組織 > アクセス]に移動します。 RADIUS:スイッチレベルで dot1x ポート認証を有効にするために、RADIUS 認証サーバーとアカウンティングサーバーを設定するには、このオプションを選択します。dot1x ポート認証を機能させるには、dot1x 認証を使用するポートプロファイルを作成し、そのプロファイルをスイッチのポートに割り当てる必要があります。デフォルトのポート番号は次のとおりです。認証サーバーのポート 1812 アカウンティングサーバーのポート 1813 手記：スイッチ管理アクセス(スイッチのCLIログイン用)にRADIUS認証を設定する場合は、テンプレートの[追加のCLIコマンド]セクションに次のCLIコマンドを含める必要があります。 set system authentication-order radius set system radius-server `radius-server-IP` port 1812 set system radius-server `radius-server-IP` secret `secret-code` set system radius-server `radius-server-IP` source-address `radius-Source-IP` set system login user remote class `class` スイッチに対するRADIUSまたはTACACS+ローカル認証の場合、リモートユーザーアカウントまたは別のログインクラスを作成する必要があります。RADIUS 認証済みユーザーごとに異なるログインクラスを使用するには、[その他の CLI コマンド] セクションにある次の CLI コマンドを使用して、Junos OS 構成に複数のユーザーテンプレートを作成します。 set system login user RO class read-only set system login user OP class operator set system login user SU class super-user set system login user remote full-name "default remote access user template" set system login user remote class read-only
TACACS+	TACACS+ を設定して、ネットワークデバイスでの一元的なユーザー認証を実現します。さらに、デバイスでTACACS+アカウンティングを有効にして、LANでのユーザーのログインとログアウトに関する統計データを収集し、このデータをTACACS+アカウンティングサーバーに送信できます。 TACACS+ およびアカウンティングサーバーでサポートされているポート範囲は、1 から 65535 です。手記： TACACS+ がスイッチに対して認証を行うには、上記の RADIUS のセクションで定義されているのと同様のログインユーザーを作成する必要があります。
ティッカー	ネットワークタイムプロトコル(NTP)サーバーのIPアドレスまたはホスト名を指定します。NTPは、スイッチとインターネット上の他のハードウェアデバイスのクロックを同期するために使用されます。
DNS 設定	ドメインネームサーバー (DNS) 設定を構成します。最大 3 つの DNS IP アドレスとサフィックスをカンマ区切り形式で設定できます。
SNMP	ネットワーク管理とモニタリングをサポートするために、スイッチで簡易ネットワーク管理プロトコル(SNMP)を設定します。SNMPv2 または SNMPv3 を設定できます。設定できるSNMPオプションは次のとおりです。 SNMPv2(V2)のオプション一般—システムの名前、場所、管理上の連絡先情報、および管理下システムの簡単な説明を指定します。SNMPv2 を使用する場合、デバイスから送信される SNMP トラップパケットの送信元アドレスを指定するオプションがあります。送信元アドレスを指定しない場合、デフォルトで発信インターフェイスのアドレスが使用されます。クライアント:SNMP クライアントのリストを定義します。複数のクライアントリストを追加できます。この設定には、クライアントリストの名前とクライアントの IP アドレス(カンマ区切り形式)が含まれます。各クライアント・リストには、複数のクライアントを含めることができます。クライアントは、/32 マスクが付いたプレフィックスです。トラップグループ:指定されたトラップ通知を受信するホストの名前付きグループを作成します。SNMP トラップを送信するには、少なくとも 1 つのトラップグループを設定する必要があります。設定には、次のフィールドが含まれます。グループ名—トラップグループの名前を指定します。 [カテゴリ] - 次のカテゴリのリストから選択します。複数の値を選択できます。認証シャシ構成リンクリモート操作ルーティングサービススタートアップ VRRP イベントターゲット:ターゲット IP アドレスを指定します。複数のターゲットを指定できます。バージョン—SNMPトラップのバージョン番号を指定します。コミュニティ—SNMPコミュニティを定義します。SNMP コミュニティは、送信元 IP アドレスによって SNMP クライアントを承認するために使用されます。また、ビューで定義された特定の MIB オブジェクトに対するアクセシビリティとパーミッション(読み取り専用または読み取り/書き込み)も決定します。コミュニティ設定には、クライアントリスト、認証情報、およびビューを含めることができます。ビュー(SNMPv2 と SNMPv3 の両方に適用)—MIB ビューを定義して、MIB オブジェクトのグループを識別します。ビュー内の各オブジェクトは、共通のオブジェクト識別子 (OID) プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチとオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前とSNMP OIDのコレクションで構成され、明示的に含めたり除外したりできます。 SNMPv3(V3)のオプション一般—システムの名前、場所、管理上の連絡先情報、および管理下システムの簡単な説明を指定します。SNMPv2 を使用する場合は、SNMPv3 エンティティの一意の識別子として機能するエンジン ID を設定します。 USM:ユーザーベースセキュリティモデル(USM)設定を行います。この設定には、ユーザー名、認証タイプ、および暗号化タイプが含まれます。USM 用にローカルエンジンまたはリモートエンジンを設定できます。リモートエンジンを選択する場合は、エンジン識別子を16進形式で指定します。このIDは、リモートホストでユーザーに送信されたパケットを認証して暗号化するためのセキュリティダイジェストの計算に使用されます。[ローカルエンジン] オプションを指定すると、[全般] タブで指定したエンジン ID が考慮されます。エンジンIDを指定しない場合、ローカルミストがデフォルト値として設定されます。 VACM - ビューベースアクセス制御モデル(VACM)を定義します。VACM を使用すると、グループのアクセス権限を設定できます。定義済みのビューを使用して、読み取り、書き込み、および通知操作に使用できるMIBオブジェクトをフィルタリングすることで、アクセスを制御できます(最初に[ビュー]タブから必要なビューを定義する必要があります)。各ビューは、特定のセキュリティモデル(v1、v2c、または usm)とセキュリティレベル(認証、プライバシー、またはなし)に関連付けることができます。また、[セキュリティ] から [グループ] 設定からアクセスグループにセキュリティ設定を適用することもできます (ここでは定義済みの USM 設定を使用するオプションがあります)。通知:通知用の SNMPv3 管理ターゲットを選択し、通知タイプを指定します。これを設定するには、通知に名前を割り当て、通知を受信するターゲットまたはタグを選択し、トラップ(未確認)通知かインフォーム(確認済み)通知かを指定します。 [ターゲット(Target)]:特定の管理ターゲットに通知を送信するためのメッセージ処理およびセキュリティパラメータを設定します。ここでターゲット IP アドレスを指定することもできます。ビュー(SNMPv2 と SNMPv3 の両方に適用)—MIB ビューを定義して、MIB オブジェクトのグループを識別します。ビュー内の各オブジェクトは、共通のオブジェクト識別子 (OID) プレフィックスを共有します。MIBビューにより、エージェントはMIBツリー内の特定のブランチとオブジェクトへのアクセスをより詳細に制御できます。ビューは、名前とSNMP OIDのコレクションで構成され、明示的に含めたり除外したりできます。詳細については、次を参照してください: スイッチで SNMP を構成する。
スタティックルート	スタティックルートを設定します。スイッチは、以下の場合にスタティックルートを使用します。より良い(より低い)プリファレンス値を持つルートはありません。宛先へのルートは決定できません。ルーティングできないパケットを転送する必要があります。サポートされるスタティックルートのタイプ: [サブネット(Subnet)]:このオプションを選択した場合は、宛先ネットワークとネクストホップのIPアドレスを指定します。ネットワーク - このオプションを選択した場合は、VLAN(VLAN ID とサブネットを含む)とネクストホップ IP アドレスを指定します。メトリック—スタティックルートのメトリック値。この値は、宛先への複数のルートの中から最適なルートを決定するのに役立ちます。範囲: 0 から 4294967295。優先—優先値は、外部自律システム(AS)またはルーティングドメイン内の宛先へのルートを選択するために使用されます。AS内のルートはIGPによって選択され、そのプロトコルのメトリックまたはコスト値に基づきます。範囲: 0 から 4294967295。 [破棄(Discast)]:このチェックボックスをオンにすると、この宛先宛てのパケットはドロップされます。破棄は、他のパラメーターよりも優先されます。詳細を指定したら、[ Add Static Route](スタティックルートの追加 )ウィンドウの右上にあるチェックマーク(✓)をクリックして、設定をテンプレートに追加します。
CLI設定	テンプレートの GUI で使用できない追加設定を構成するには、 set CLI コマンドを使用できます。例えば、カスタムログインメッセージを設定して、ユーザーに警告を表示し、スイッチ上で直接CLI変更を行わないようにアドバイスすることができます。これを行う方法の例を次に示します。 set system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. すでに追加されている CLI コマンドを削除するには、次の例に示すように、 `delete` コマンドを使用します。 delete system login message \n\n Warning! This switch is managed by Mist. Do not make any CLI changes. 手記：設定を成功させるには、必ず完全なCLIコマンドを入力してください。
OSPF	このタイルから、次のことができます。オープン最短パスファースト(OSPF)エリアを定義します。OSPFは、IPネットワーク内でIPパケットを転送するための最適なパスを決定するために使用されるリンクステート型ルーティングプロトコルです。OSPFは、ネットワークをエリアに分割して拡張性を向上させ、ルーティング情報の流れを制御します。OSPFエリアの詳細については、このJunosのドキュメント「 OSPFエリアの設定」を参照してください。スイッチの OSPF 設定を有効または無効にします。
DHCP スヌーピング	DHCP スヌーピングオプションを有効にして、スイッチに接続された信頼できないデバイスからの DHCP メッセージをモニタします。DHCP スヌーピングは、これらのメッセージを追跡するためのデータベースを作成します。これにより、許可されていないDHCPサーバーから発信されたと仮定して、信頼できないポートでのDHCPOFFERパケットの受け入れを防ぐことができます。 DHCP 構成には、次のオプションがあります。すべてのネットワーク:すべてのVLANでDHCPスヌーピングを有効にするには、[すべてのネットワーク]チェックボックスをオンにします。ネットワーク:特定のネットワークでのみDHCPスヌーピングを有効にする場合は、[ネットワーク]ボックスの[追加(+)]をクリックして、必要なVLANを追加します。アドレス解決プロトコル(ARP)インスペクション:この機能を有効にして、中間者攻撃をブロックします。ARP インスペクションは、信頼できないポートで受信した ARP パケットの送信元 MAC アドレスを検査します。DHCP スヌーピングデータベースに対してアドレスを検証します。送信元 MAC アドレスに一致するエントリ(IP-MAC バインディング)がデータベース内にない場合、パケットはドロップされます。 ARP 統計を確認するには、次の CLI コマンド `show dhcp-security arp inspection statistics` および `show log messages \| match DAI` を使用します。デバイスは、各インターフェイスで受信した無効なARPパケットの数を、送信者のIPアドレスとMACアドレスとともに記録します。これらのログメッセージを使用して、ネットワーク上の ARP スプーフィングを発見できます。 IP ソースガード:IP ソースガードは、信頼できないポートで受信した送信元 IP アドレスと MAC アドレスを DHCP スヌーピングデータベースのエントリと照合します。送信元アドレスに一致するエントリがデータベース内にない場合、IP ソースガードはパケットを破棄します。手記： IPソースガードは、シングルサプリカント 802.1X ユーザー認証モードでのみ動作します。手記：信頼されていないアクセスポートに DHCP サーバーが接続されている場合、DHCP は正しく機能しません。このような場合は、DHCP が意図したとおりに動作するように調整する必要があります。デフォルトでは、DHCP はすべてのトランクポートを信頼済みとみなし、すべてのアクセスポートを信頼できないポートと見なします。 DHCP スヌーピング設定を有効にするには、スイッチ上の VLAN をイネーブルにする必要があります。そのため、ポートプロファイル(このドキュメントの後半で説明)をポートに適用する必要があります。スイッチ上の信頼できないポートにデバイスを接続している場合、スタティック IP アドレスを持つデバイスは、DHCP スヌーピングデータベースに一致する MAC-IP バインディングを持たない可能性があります。スイッチのDHCPスヌーピングデータベースを確認し、バインディングを表示するには、CLIコマンド `show dhcp-security binding`を使用します。このコマンドは、スヌーピングデータベースに記録された DHCP バインディングに関する情報を提供します。詳細については、 DHCP スヌーピングとポートセキュリティに関する考慮事項を参照してください。手記： [接続の成功SLE]メトリックでスイッチのDHCPの問題を表示する場合は、この機能を有効にする必要があります。
シスログ	SYSLOG 設定を構成して、システムログメッセージの処理方法を設定します。システム・ログ・メッセージをファイル、リモート宛先、ユーザー端末、またはシステム・コンソールに送信する設定ができます。SYSLOG 設定に使用できる設定オプションを次に示します。ファイル - 指定されたファイルにログメッセージを送信します。ホスト - ログメッセージをリモートロケーションに送信します。これは、これらのログメッセージが生成されるたびに通知されるデバイスのIPアドレスまたはホスト名である可能性があります。ユーザー - 特定のユーザーにログイベントを通知します。コンソール:指定されたクラスと重大度のログメッセージをコンソールに送信します。ログメッセージには、ログメッセージのファシリティと重大度レベルに関する詳細を提供する優先度情報が含まれます。アーカイブ:ログメッセージをアーカイブするためのパラメータを定義します。 [General]:ログメッセージの時間形式、ルーティングインスタンス、送信元アドレスなどの一般情報を指定します。
ポートミラーリング	ポートミラーリングを設定します。ポートミラーリングとは、分析のためにパケットのコピーを外部のホストアドレスまたはパケットアナライザに送信するルーターの機能です。ポートミラーリング設定では、以下を指定できます。入力:監視するトラフィックの送信元(インターフェイスまたはネットワーク)。入力に加えて、Mistがインターフェイスのイングレストラフィックまたはエグレストラフィックのどちらを監視するかを指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに 2 つの入力エントリを追加します。1 つは ingress フラグ、もう 1 つは egress フラグです。出力:トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェースまたはネットワークを指定することはできません。
ルーティングポリシー	組織全体(組織>スイッチテンプレート)またはサイト(サイト>スイッチ設定)のルーティングポリシーを設定します。これらのルーティングポリシーは、BGP ルーティングプロトコルに関連付けられている場合にのみスイッチ構成にプッシュされます。スイッチの「BGP」タブ内ですでに定義されているルーティング・ポリシーが、「ルーティング・ポリシー」タブに表示されます。ルーティングポリシーは、BGP や OSPF などのプロトコルに関連付けられています。ルーティングポリシーフレームワークは、各ルーティングプロトコルのデフォルトルールで構成されています。これらのルールは、プロトコルがルーティングテーブルに配置し、ルーティングテーブルからアドバタイズするルートを決定します。ルーティングポリシーの設定では、一致条件と、一致するルートに適用するアクションで構成される用語を定義します。ルーティングポリシーを設定するには: [ルーティングポリシー] タイルの [ ルーティングポリシーの追加 ] をクリックします。ポリシーに名前を指定し、[ 用語の追加] をクリックします。用語に名前を指定し、次のようなその他の一致の詳細を指定します。接頭辞 ASパス議定書コミュニティ—BGPが類似プロパティを持つルートを管理上グループ化するために使用するルート属性。その後:一致するルートに適用されるアクション(承認または拒否)。アクションの追加 - ASパスを先頭に追加する、コミュニティを設定する、ローカルプリファレンスを設定するなどの追加のアクション。 [用語の追加] タイトルの右側にあるチェックマーク (✓) をクリックして、用語を保存します。複数の用語を追加できます。 [ 追加(Add )] をクリックして、ルーティングポリシーを保存します。

管理

これらのオプションは、[ 組織 > スイッチテンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [管理] セクションで設定します。

Management Section of the Configuration Page

表 2: 管理構成オプション
オプション	ノート
設定復帰タイマー	この機能は、設定変更によってスイッチが接続を失った場合に、スイッチとMist Cloud間の接続を復元するのに役立ちます。ユーザーが行った変更を自動的に元に戻し、指定された期間内にクラウドに再接続します。デフォルトでは、EXシリーズスイッチの場合、この時間は10分に設定されています。別の期間を指定できます。
rootパスワード	rootレベルユーザー(ユーザー名が root)のプレーンテキストパスワード。
ルーティングエンジンの保護	この機能を有効にすると、ルーティングエンジンは信頼できるシステムからのトラフィックのみを受け入れるようになります。この設定では、ステートレスファイアウォールフィルターが作成され、指定された信頼できる送信元からの SSH および BGP プロトコルパケットを除く、ルーティングエンジン宛てのすべてのトラフィックを破棄します。詳細については、例:信頼できる送信元からのトラフィックを受け入れるためのステートレスファイアウォールフィルターの設定を参照してください。
アイドルタイムアウト	リモートシェルセッションをアイドル状態にできる最大分数。この制限に達すると、ユーザーはログアウトされます。(有効な範囲: 1 から 60)。
ログインバナー	ユーザがスイッチにログインしたときに表示されるテキストを入力します。例: "警告!このスイッチはJuniper Mistによって管理されます。CLIは変更しないでください。最大 2048 文字まで入力できます。

共有要素

これらのオプションは、[ 組織 > スイッチテンプレート ] ページおよび [サイト > スイッチの構成 ] ページの [共有要素] セクションで設定します。

表 3: 共有要素の構成オプション
オプション	ノート
ネットワーク	VLAN を追加または更新すると、ポートプロファイルで使用できます。 VLAN ごとに、名前、VLAN ID、サブネットを入力します。その他のヒントについては、画面の情報を参照してください。
ポートプロファイル	ポートプロファイルを追加または更新します。プロファイルオプションの詳細については、画面上のヒントと「共有要素 - ポートプロファイル」を参照してください。
ダイナミックポート設定	ダイナミックポートプロファイリングは、接続されたクライアントデバイスのデバイスプロパティセットを使用して、事前設定されたポートとネットワーク設定をインターフェイスに自動的に関連付けます。ダイナミックポートプロファイルは、次のパラメータに基づいて設定できます。 LLDPシステム名 LLDPの説明 LLDPシャーシID Radiusユーザー名半径フィルター-ID MAC(イーサネット MAC アドレス) この例では、ルールは、指定されたLLDPシステム名を持つすべてのデバイスにポートプロファイルを適用します。動的ポート設定を有効にするには、動的ポートとして機能するポートも指定する必要があります。これを行うには、スイッチテンプレートのスイッチの選択セクションにあるポート構成タブ、またはスイッチの詳細ページのポート構成セクションにある動的構成の有効化チェックボックスを選択します。クライアントが認識されてからポートプロファイルがポートに適用されるまでに数分、その後、ポートプロファイルの割り当てステータスがMistポータルに表示されるまでに数分かかります。スイッチが再起動したり、スイッチ上のすべてのポートに影響するマスリンクアップまたはダウンイベントが発生した場合、すべてのポートが適切なプロファイルに割り当てられるまでに約 20 分かかります(すべてのポートでダイナミックポート設定が有効になっていると仮定します)。
ティッカー	VRFでは、EXシリーズスイッチを複数の仮想ルーティングインスタンスに分割し、ネットワーク内のトラフィックを効果的に分離できます。VRF の名前を定義し、VRF に関連するネットワークを指定し、必要な追加ルートを含めることができます。手記：デフォルトネットワーク(VLAN ID = 1)を VRF に割り当てることはできません。

共有要素—ポートプロファイル

[共有要素] セクションでは、ポートプロファイルを設定できます。これらのオプションは、[プロファイルの追加] をクリックするか、編集するプロファイルをクリックすると表示されます。

手記：

プロファイルの一般的な情報については、ポートプロファイルの概要を参照してください。
サイトレベルで作業している場合は、ポートプロファイル名の横にアスタリスク (*) が表示されることがあります。これらのポートプロファイルは、スイッチテンプレートで作成されました。それらをクリックすると、表示専用モードで設定が表示されます。サイト固有の変更(スイッチテンプレート自体ではなく、このサイトのみに影響する)を行うには、[ テンプレート定義済みプロファイルの上書き ]を選択し、設定を編集します。

表 4: ポートプロファイル設定オプション
オプション	ノート
名前、有効なポート、および説明	ポートを識別して有効にするための基本設定。
モード	トランク:トランクインターフェイスは通常、LAN 上の他のスイッチ、AP、およびルーターに接続します。このモードでは、インターフェイスを複数の VLAN にすることができ、異なる VLAN 間のトラフィックを多重化できます。ポートネットワーク、VoIP ネットワーク (該当する場合)、およびトランクネットワークを指定します。アクセス - デフォルトモード。通常、アクセスインターフェイスは、PC、プリンター、IP 電話、IP カメラなどのネットワークデバイスに接続します。このモードでは、インターフェイスは単一のVLANにのみ存在できます。ポートネットワークとVoIPネットワーク(該当する場合)を指定します。ポートネットワークとVoIPネットワーク:このポートのVLANを選択します。
dot1x 認証を使用する	ポートベースのネットワークアクセス制御でIEEE 802.1X認証を有効にするには、このオプションを選択します。802.1X 認証は、プライベート VLAN(PVLAN)のメンバーであるインターフェイスでサポートされています。ポートでdot1x認証を有効にすると、次のオプションを使用できます。 [複数のサプリカントを許可]:複数のエンドデバイスがポートに接続できるようにするには、このオプションを選択します。各デバイスは個別に認証されます。ダイナミックVLAN—RADIUSサーバー属性の「トンネルプライベートグループID」または「Egress-VLAN-Name」から返されるダイナミックVLANを指定します。この設定により、ポートで動的VLAN割り当てを実行できます。 MAC 認証:ポートの MAC 認証を有効にするには、このオプションを選択します。このオプションを選択すると、認証プロトコルを指定することもできます。プロトコルを指定する場合、サプリカントが認証クレデンシャルを提供するためにそのプロトコルを使用する必要があります。 [ゲストネットワークを使用(Use Guest Network)]:認証にゲストネットワークを使用するには、このオプションを選択します。次に、ドロップダウンリストからゲストネットワークを選択します。 [サーバーがダウンしている場合、認証をバイパスする] - このオプションを選択すると、サーバーがダウンしていても、クライアントは認証なしでネットワークに参加できます。 dot1x 認証を機能させるには、次の操作も行う必要があります。テンプレートのすべてのスイッチ設定セクションの認証サーバータイルから、dot1x 認証用の RADIUS サーバーを設定します。 RADIUS 設定をスイッチにプッシュするために、dot1x ポートプロファイルをスイッチポートに割り当てます。これは、テンプレートのスイッチ構成の選択セクションのポート構成タブから実行できます。
速度	デフォルト設定の[自動]をそのまま使用するか、速度を選択します
二連式	既定の設定である [自動] をそのまま使用するか、[半分] または [完全] を選択します。
MAC 制限	インターフェイスで動的に学習できるMACアドレスの最大数を設定します。インターフェイスが設定されたMAC制限を超えると、フレームがドロップされます。MAC 制限もログエントリになります。デフォルト値: 0 サポートされている範囲: 0 から 16383
PoE	ポートがPoE(パワーオーバーイーサネット)をサポートできるようにします。
STPエッジ	ポートでブリッジプロトコルデータユニット(BPDU)ガードを有効にする場合は、ポートをスパニングツリープロトコル(STP)エッジポートとして設定します。この設定により、ポートがエッジポートとして扱われ、STP の制御メッセージである BPDU の受信が保護されます。STP Edge で設定されたポートに非エッジデバイスを接続すると、ポートは無効になります。さらに、[スイッチインサイト(Switch Insights)] ページでは、ポート BPDU ブロックイベントが生成されます。スイッチの詳細のフロントパネルにも、このポートのBPDUエラーが表示されます。 BPDU エラーのポートをクリアするには、フロントパネルでポートを選択し、[ BPDU エラーのクリア] をクリックします。 STP Edge は、スイッチの詳細ページのポートプロファイルセクションから、スイッチレベルで設定することもできます。 STPの詳細については、スパニングツリープロトコルの仕組みを参照してください。
QoS	ポートのサービス品質(QoS)を有効にして、音声などの遅延の影響を受けやすいトラフィックを、ポート上の他のトラフィックよりも優先します。手記：最適な結果を得るには、ダウンストリーム(受信)トラフィックとアップストリーム(送信トラフィック)の両方でサービス品質(QoS)を有効にすることが重要です。これにより、ネットワークは双方向のトラフィックを効果的に優先順位付けして管理できるため、パフォーマンスが向上し、全体的なサービス品質が向上します。 WLAN 設定ページで QoS 設定を上書きするオプションがあります(サイト > WLAN > WLAN 名)。QoS 設定を上書きするには、 QoS を上書きするチェックボックスを選択し、ワイヤレスアクセスクラスを選択します。ダウンストリームトラフィック(AP>クライアント)は、指定された上書きアクセスクラス値でマークされます。オーバーライド構成では、アップストリームトラフィック(クライアント> AP)はサポートされていません。「 QoS 構成」も参照してください。
ストーム制御	ストーム制御を有効にしてトラフィックレベルを監視し、トラフィックがトラフィックレベル(パーセンテージで指定)を超えた場合、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを自動的にドロップします。この指定されたトラフィックレベルは、ストーム制御レベルと呼ばれます。この機能は、パケットの拡散を積極的に防止し、LANのパフォーマンスを維持します。ストーム制御を有効にすると、ブロードキャスト、マルチキャスト、および不明なユニキャストパケットを監視から除外することもできます。詳細については、「ストーム制御について」を参照してください。
永続的(スティッキー)MAC学習	永続的(スティッキー)MACを有効にして、許可されていないデバイスがネットワークに接続できないようにします。有効にすると、スイッチはポートに到着したデバイスのMACアドレスを学習してメモリに保存します。学習されたMACアドレスの数が上記で指定された「MAC制限」を超えると、ポートはフレームをドロップします。また、[分析情報] ページに [MAC 制限を超えました] イベントが表示されます。スイッチの詳細ページのフロントパネルからポートにカーソルを合わせると、MAC制限とMACカウント(ポートが動的に学習したMACアドレスの数)を確認できます。手記：トランクポートまたは 802.1X 認証を使用するポートでは、Junos OS がこの機能をサポートしていないため、この機能を有効にすることはできません。静的有線クライアントに対してこの機能を有効にします。Mist APインターフェイスでは有効にしないでください。 Juniper Mistポータルには、インターフェイスが学習したMACアドレスは表示されません。最大MACアドレス数のみが表示されます。インターフェイスが学習した MAC アドレスを表示するには、スイッチの詳細ページでユーティリティ > リモートシェルオプションを選択し、次のコマンドを実行します。 `show ethernet-switching table persistent-learning` `show ethernet-switching table persistent-learning interface` MACカウント値は、スイッチの詳細のフロントパネルからクリアするか、永続的(スティッキー)MAC学習機能を無効にするまでポートに残ります。ポートが学習した MAC アドレスをクリアするには、スイッチのフロントパネルでポートを選択し、[ MAC のクリア (動的/永続的)] をクリックします。このアクションにより、[スイッチインサイト(Switch Insights)] ページに MAC 制限リセットイベントが生成されます。フロントパネルの詳細については、スイッチの詳細をご覧ください。

スイッチ設定の選択

スイッチの名前、ロール、またはモデルに基づいて構成設定を適用するルールを作成します。

ルールをクリックして編集するか、[ ルールの追加] をクリックします。次に、各タブ付きページに入力します。設定を入力したら、右上のチェックマークをクリックして変更を保存します。既存のルールを複製して、スイッチルールエントリを作成することもできます。これを行うには、クローンボタンをクリックして、新しいルールに名前を付けるだけです。

さまざまなタブについては、以下の個別の表で説明します。

表5:スイッチの選択—[情報]タブ
オプション	ノート
名前	このルールを識別する名前を入力します。
スイッチ名に適用	指定した名前に一致するすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、テキストとオフセット文字数を入力します。たとえば、オフセット 0 を指定して abc と入力すると、名前が abc で始まるスイッチにルールが適用されます。オフセットが 5 の場合、ルールはスイッチ名の最初の 5 文字を無視します。
スイッチの役割に適用	同じ役割を持つすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。小文字、数字、アンダースコア (_)、またはダッシュ (-) を使用してロールを入力します。
スイッチモデルに適用	同じモデルのすべてのスイッチにこのルールを適用する場合は、このオプションを有効にします。次に、モデルを選択します。

表6:スイッチの選択—ポート設定タブ
オプション	ノート
構成リスト	[ ポート構成の追加] をクリックするか、編集するポート構成を選択します。
ポートIDと構成プロファイル	設定するポートと、それらに適用する構成プロファイルを入力します。
動的構成を有効にする	この機能を有効にすると、接続されたデバイスの定義済み属性に基づいてポートプロファイルが割り当てられます。デバイスが属性に一致する場合、Mistは一致する動的プロファイルをデバイスに割り当てます。ただし、デバイスが属性と一致しない場合は、指定されたVLANに配置されます。次の例では、ポートは動的ポート割り当てで有効になっており、制限付きVLANが割り当てられています。この場合、接続されたデバイスが動的プロファイリング属性と一致しない場合、そのデバイスはルーティング不可能なVLANやゲストVLANなどの制限付きVLANに配置されます。ポートアグリゲーションが有効になっているインターフェイスは、動的ポート設定をサポートしていません。
アップ/ダウンポートアラート	この機能を有効にすると、Juniper Mistはこれらのポートのアップ状態とダウン状態間の遷移を監視します。この機能を有効にする場合は、[モニター > アラート] > [アラートの構成] ページで [クリティカルスイッチポートのアップ/ダウン] も有効にします。
ポートアグリゲーション	この機能を有効にすると、イーサネットインターフェイスがグループ化され、1 つのリンク層インターフェイスを形成します。このインターフェイスは、LAG(リンクアグリゲーショングループ)またはバンドルとも呼ばれます。 LAGにグループ化できるインターフェイスの数とスイッチがサポートするLAGの総数は、スイッチのモデルによって異なります。LAG は、LACP を有効にしたかどうかに関係なく使用できます。もう一方の端末が LACP をサポートしていない場合は、ここで LACP を無効にできます。スイッチの LACP フォースアップ状態を設定することもできます。この設定は、ピアの LACP 機能が制限されている場合に、インターフェイスの状態を up として設定します。また、LACP パケットの送信間隔を設定することもできます。AEインターフェイスでLACP周期的低速オプションを設定した場合、LACPパケットは30秒ごとに送信されます。デフォルトでは、間隔は高速に設定されており、パケットは毎秒送信されます。
スイッチポートオペレータによるポートプロファイルの変更を許可する	この機能を有効にすると、スイッチポートオペレータ管理者ロールを持つユーザは、この設定を表示および管理できます。

表 7: スイッチ設定の選択—[IP Config]タブ
オプション	ノート
ネットワーク (VLAN) リスト	インバンド管理トラフィックのネットワークを選択します。または、[ネットワークの追加(Add Network)] をクリックし、このテーブルの残りの行の説明に従って [新しいネットワーク] フィールドに入力します。
名前	このネットワークを識別する名前を入力します。
VLAN ID	1 から 4094 までの VLAN ID を入力するか、サイト変数を入力して ID を動的に入力します。
サブネット	サブネットまたはサイト変数を入力します。

スイッチの選択—IP 設定(OOB)タブ
スイッチの選択—[ポートミラーリング] タブ
スイッチの選択—[CLI 構成] タブ

スイッチの選択—IP 設定(OOB)タブ

専用管理 VRF(帯域外)を有効または無効にします。Junosバージョン21.4以降を実行するすべてのスタンドアロンデバイスまたはバーチャルシャーシでは、この機能は管理インターフェイスをデフォルト以外の仮想ルーティングおよび転送(VRF)インスタンスに限定します。管理トラフィックは、他の制御トラフィックやプロトコルトラフィックとルーティングテーブルを共有する必要がなくなります。

スイッチの選択—[ポートミラーリング] タブ

このタブには、すでに追加されているポートミラーリング設定のリストが表示されます。エントリをクリックして編集します。または、[ ポートミラーの追加(Add Port Mirror)] をクリックしてポートミラーリングを有効にします。この機能を使用すると、ルールで指定されたスイッチの役割、スイッチ名、スイッチモデルなどのパラメータに基づいて、ポートミラーリングをスイッチに動的に適用できます。この機能は、通常、監視とトラブルシューティングに使用されます。ポートミラーリングがイネーブルの場合、スイッチはミラーリングされたポートからモニタポートにネットワークパケットのコピーを送信します。構成オプションには、次のものがあります。

入力—監視対象のトラフィックのソース(インターフェイスまたはネットワーク)。入力に加えて、Mistがインターフェイスのイングレストラフィックまたはエグレストラフィックのどちらを監視するかを指定できます。イングレスとエグレスの両方のトラフィックを監視する場合は、同じインターフェイスに 2 つの入力エントリを追加します。1 つは ingress フラグ、もう 1 つは egress フラグです。
出力—トラフィックをミラーリングする宛先インターフェイス。入力フィールドと出力フィールドの両方に同じインターフェースまたはネットワークを指定することはできません。

[Select Switches Configuration]のルールは、グローバルポートミラーリング設定よりも優先されます。また、グローバルポートミラーリングが設定されている場合は、[Select Switches configuration](スイッチの選択)設定セクションにデフォルトルールとして表示され、読み取り専用として表示されます。グローバルレベルで編集できます。

スイッチの選択—[CLI 構成] タブ

必要に応じて、追加の CLI コマンドを入力します。

ポリシーラベルの切り替え(ベータ版)

このセクションでは、スイッチポリシーで参照するユーザーとリソースのグループを識別するGBPタグを追加します。

手記：

GBPをサポートするのは、Junos OSリリース22.4R1以降を実行するEX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Yのみです。

次の例は、ユーザーが作成したタグと、それらを参照するポリシーを示しています。

手記：

この機能は現在、ベータ参加者のみが利用できます。

開始するには、[ GBPタグを追加]をクリックします。次に、名前を入力し、タイプを選択して、値を入力します。次に、画面の右下隅にある[追加]をクリックします。

タグを有効にすると、スタンドアロンスイッチとバーチャルシャーシへの影響に関するアラートが画面に表示されます。続行する前に、画面の情報をお読みください。

手記：

マルチサプリカントモードで802.1X認証を設定した場合、GBPタギングはMACベースになります。シングルサプリカントモードで802.1X認証を設定した場合、GBPタギングはポートベースになります。

表 8: スイッチポリシーラベル(GBP タグ)設定オプション
オプション	ノート
動的または静的	デフォルトでは、Juniper Mistは[ダイナミック]オプションを選択します。「静的」を選択した場合は、GBP タグのソースを指定します。MAC アドレス、ネットワーク、または IP サブネットを指定できます。
英ポンドタグ	ホスト発信パケットの値またはGBPソースタグを入力します(範囲:1〜65535)。

スイッチポリシー(ベータ版)

キャンパスファブリックのIP Clos導入で使用できるグループベースのポリシー(GBP)を設定します。ポリシーを作成するときは、組織レベルとサイトレベルのラベルと GBP タグ ([ポリシーラベルの切り替え] セクションから) を使用して、指定したリソースにアクセスできるユーザーとアクセスできないユーザーを識別します。

手記：

GBPをサポートするのは、Junos OSリリース22.4R1以降を実行するEX4400、EX4100、EX4650、QFX5120-32C、QFX5120-48Yのみです。

次の図は、[スイッチポリシーラベル] セクションで定義されたタグを使用したサンプルポリシーを示しています。

開始するには、[ スイッチポリシーの追加] をクリックします。次に、次の表の説明に従って設定を入力します。

表 9: スイッチポリシーの設定オプション
オプション	ノート
ユーザー/グループ	[ + ] をクリックし、リソースにアクセスする必要があるユーザーまたはグループを追加します。GBT タグをすでに定義している場合は、ここで使用することができます。
資源	[ + ] をクリックし、選択したユーザーまたはグループにマップする必要があるリソースを追加します。GBT タグをすでに定義している場合は、ここでも使用できます。既定では、ユーザーには追加されたリソースへのアクセス権が付与されます。特定のリソースへのユーザーアクセスを拒否する場合は、追加した [リソース] ラベルをクリックし、アクセスを拒否に設定します。

このページの目次

スイッチ構成オプション

概要