ZTISの設定とテストの例
次の手順では、ZTIS機能のテストに使用する支社/拠点ラボの設定例について説明します。大まかに見ると、ジュニパー Mist クラウドによって生成および適用される実際の構成は異なる場合がありますが、ジュニパー Mistポータルを介して実行される構成は、EVPN-VXLANを使用したキャンパスファブリック導入の場合とまったく同じように見えます。
少なくとも2つのZTIS対応アクセススイッチが必要です。このラボでは、物理EX4100スイッチを使用します。各アクセススイッチは、少なくとも2つの有線クライアントに接続します。
EX4400分散型スイッチが2台のアクセススイッチを接続します。このスイッチは、アクセス スイッチ間で設定された VLAN を伝送し、すべての VLAN が集約される WAN ルーターへのアップリンクを提供します。
残りのコンポーネントは、物理スイッチに接続されたサーバー上に仮想マシンとして導入できますが、利用可能な場合は物理デバイスを使用することもできます。このラボの設定では、次のことを行います。
- 1つの仮想ジュニパー®セッションスマート® ルーターが、支社/拠点のWANルーターとして機能します。
- 4台の仮想マシンが有線クライアントをシミュレート。各VMはサーバー上の専用イーサネットポートを使用してアクセススイッチに接続し、有線クライアントの802.1X EAP認証のテストを可能にします。
図1:ZTIS支社の一般的なラボ
ブランチ設計では、次の 3 つの VLAN を設定して使用します。
| VLAN名 | VLAN ID | WANルーターゲートウェイIP | 以下に使用 |
|---|---|---|---|
| デフォルト | 1(ネイティブ) | 10.33.33.1/24 | インバンドスイッチとAP管理 |
| VLAN1099 | 1099 | 10.99.99.1/24 | 有線および無線クライアント用VLAN1 |
| VLAN1088 | 1088 | 10.88.88.1/24 | 有線および無線クライアント向けVLAN2 |
このサイトのスイッチテンプレート
すべてのZTIS設定は、スイッチテンプレートを使用して実行する必要があります。このアプローチにより、すべてのアクセス スイッチ上のZTIS設定が、特に次の項目について、一貫して同期された状態に保たれます。
- 静的GBPタグ割り当ての定義
- ZTISの適用に使用されるスイッチポリシーの適用。
オプションが利用可能な場合でも、上書きによるGBPタグの割り当てやスイッチポリシーの設定は避けてください。スイッチテンプレートを使用して設定の一貫性を維持することを強くお勧めします。
以下は、簡単にインポートして適用できるように、JSON 形式で提供されているスイッチ テンプレートです。このラボを再作成する場合は、エラーを最小限に抑え、設定ミスを防ぐために、テンプレートを使用することをお勧めします。
{
"additional_config_cmds": [],
"networks": {
"VLAN1088": {
"vlan_id": "1088",
"subnet": "",
"subnet6": ""
},
"VLAN1099": {
"vlan_id": "1099",
"subnet": "",
"subnet6": ""
}
},
"port_usages": {
"vlan1099-no-auth": {
"mode": "access",
"disabled": false,
"port_network": "VLAN1099",
"voip_network": null,
"stp_edge": false,
"port_auth": null,
"allow_multiple_supplicants": null,
"enable_mac_auth": null,
"mac_auth_only": null,
"guest_network": null,
"bypass_auth_when_server_down": null,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": null,
"reauth_interval": null,
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false
},
"vlan1088-no-auth": {
"disabled": false,
"mode": "access",
"port_network": "VLAN1088",
"voip_network": null,
"stp_edge": false,
"port_auth": null,
"allow_multiple_supplicants": null,
"enable_mac_auth": null,
"mac_auth_only": null,
"guest_network": null,
"bypass_auth_when_server_down": null,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": null,
"reauth_interval": null,
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false
},
"vlan1099-eap-auth": {
"mode": "access",
"disabled": false,
"port_network": "VLAN1099",
"voip_network": null,
"stp_edge": false,
"port_auth": "dot1x",
"allow_multiple_supplicants": false,
"enable_mac_auth": false,
"mac_auth_only": false,
"guest_network": null,
"bypass_auth_when_server_down": false,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": null,
"reauth_interval": "65000",
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false
},
"dynamic": {
"mode": "dynamic",
"reset_default_when": "link_down",
"rules": []
},
"vlan1088-eap-auth": {
"disabled": false,
"mode": "access",
"port_network": "VLAN1088",
"voip_network": null,
"stp_edge": false,
"port_auth": "dot1x",
"allow_multiple_supplicants": false,
"enable_mac_auth": false,
"mac_auth_only": false,
"guest_network": null,
"bypass_auth_when_server_down": false,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": null,
"reauth_interval": "65000",
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false
},
"vlan1033-noauth": {
"disabled": false,
"mode": "access",
"port_network": "default",
"voip_network": null,
"stp_edge": false,
"use_vstp": false,
"port_auth": null,
"allow_multiple_supplicants": null,
"enable_mac_auth": null,
"mac_auth_only": null,
"guest_network": null,
"bypass_auth_when_server_down": null,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"server_reject_network": null,
"server_fail_network": null,
"mac_auth_protocol": null,
"reauth_interval": null,
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false
},
"vlan1088-mab-auth": {
"disabled": false,
"mode": "access",
"port_network": "VLAN1088",
"voip_network": null,
"stp_edge": false,
"port_auth": "dot1x",
"allow_multiple_supplicants": true,
"enable_mac_auth": true,
"mac_auth_only": true,
"guest_network": null,
"bypass_auth_when_server_down": false,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": "pap",
"reauth_interval": "30",
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false,
"use_vstp": false,
"server_reject_network": null,
"server_fail_network": null
},
"vlan1099-mab-auth": {
"mode": "access",
"disabled": false,
"port_network": "VLAN1099",
"voip_network": null,
"stp_edge": false,
"port_auth": "dot1x",
"allow_multiple_supplicants": true,
"enable_mac_auth": true,
"mac_auth_only": true,
"guest_network": null,
"bypass_auth_when_server_down": false,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": "pap",
"reauth_interval": "30",
"all_networks": false,
"networks": null,
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false,
"use_vstp": false,
"server_reject_network": null,
"server_fail_network": null
},
"UAP-LINK": {
"mode": "trunk",
"disabled": false,
"port_network": "default",
"voip_network": null,
"stp_edge": false,
"use_vstp": false,
"port_auth": null,
"allow_multiple_supplicants": null,
"enable_mac_auth": null,
"mac_auth_only": null,
"guest_network": null,
"bypass_auth_when_server_down": null,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"server_reject_network": null,
"server_fail_network": null,
"mac_auth_protocol": null,
"reauth_interval": null,
"all_networks": false,
"networks": [
"VLAN1088",
"VLAN1099"
],
"speed": "auto",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": true,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": false,
"stp_disable": false,
"stp_required": false,
"mac_auth_preferred": null,
"bypass_auth_when_server_down_for_unknown_client": null
},
"access-point": {
"mode": "trunk",
"disabled": false,
"port_network": "default",
"voip_network": null,
"stp_edge": true,
"port_auth": null,
"allow_multiple_supplicants": null,
"enable_mac_auth": null,
"mac_auth_only": null,
"guest_network": null,
"bypass_auth_when_server_down": null,
"dynamic_vlan_networks": null,
"stp_p2p": false,
"stp_no_root_port": false,
"mac_auth_protocol": null,
"reauth_interval": null,
"all_networks": false,
"networks": [
"VLAN1088",
"VLAN1099"
],
"speed": "1g",
"duplex": "auto",
"mac_limit": 0,
"persist_mac": false,
"poe_disabled": false,
"enable_qos": false,
"storm_control": {},
"mtu": null,
"description": "",
"disable_autoneg": true,
"use_vstp": false,
"server_reject_network": null,
"server_fail_network": null,
"stp_disable": false,
"stp_required": false,
"mac_auth_preferred": null,
"bypass_auth_when_server_down_for_unknown_client": null,
"poe_legacy_pd": false,
"poe_priority": null,
"poe_keep_state_when_reboot": false
}
},
"disabled_system_defined_port_usages": [],
"extra_routes": {},
"extra_routes6": {},
"switch_mgmt": {
"config_revert_timer": 10,
"root_password": "",
"local_accounts": {},
"protect_re": {
"enabled": false
},
"tacacs": {
"enabled": false
},
"dhcp_option_fqdn": false
},
"mist_nac": {
"enabled": true,
"auth_servers_timeout": 5,
"auth_servers_retries": 3,
"fast_dot1x_timers": false,
"acct_interim_interval": 0,
"network": null,
"coa_enabled": false,
"coa_port": ""
},
"radius_config": {
"enabled": false,
"auth_servers": [],
"acct_servers": [],
"auth_servers_timeout": 5,
"auth_servers_retries": 3,
"fast_dot1x_timers": false,
"acct_interim_interval": 0,
"auth_server_selection": "ordered",
"coa_enabled": false,
"coa_port": ""
},
"vrf_config": {
"enabled": false
},
"remote_syslog": {
"enabled": false
},
"snmp_config": {
"enabled": false
},
"dhcp_snooping": {
"enabled": false
},
"bgp_config": null,
"routing_policies": {},
"dns_servers": [
"8.8.8.8",
"9.9.9.9"
],
"dns_suffix": [],
"ntp_servers": [
"192.168.10.1"
],
"acl_policies": [
{
"src_tags": [
"client1"
],
"actions": [
{
"dst_tag": "client1",
"action": "allow"
},
{
"dst_tag": "client2",
"action": "allow"
},
{
"dst_tag": "vlan1099",
"action": "allow"
},
{
"dst_tag": "vlan1088",
"action": "allow"
},
{
"dst_tag": "branch",
"action": "allow"
},
{
"dst_tag": "internet",
"action": "allow"
}
],
"name": "client1-policy"
},
{
"src_tags": [
"client2"
],
"actions": [
{
"dst_tag": "client1",
"action": "allow"
},
{
"dst_tag": "client2",
"action": "allow"
},
{
"dst_tag": "vlan1099",
"action": "allow"
},
{
"dst_tag": "vlan1088",
"action": "allow"
},
{
"dst_tag": "branch",
"action": "allow"
},
{
"dst_tag": "internet",
"action": "allow"
}
],
"name": "client2-policy"
}
],
"port_mirroring": {},
"acl_tags": {
"vlan1099": {
"type": "gbp_resource",
"subnets": [
"10.99.99.0/24"
],
"specs": [
{
"protocol": "any"
}
]
},
"vlan1088": {
"type": "gbp_resource",
"subnets": [
"10.88.88.0/24"
],
"specs": [
{
"protocol": "any"
}
]
},
"branch": {
"type": "gbp_resource",
"subnets": [
"10.0.0.0/8"
],
"specs": [
{
"protocol": "any"
}
]
},
"internet": {
"type": "gbp_resource",
"subnets": [
"0.0.0.0/0"
],
"specs": [
{
"protocol": "any"
}
]
},
"client1": {
"type": "dynamic_gbp",
"gbp_tag": 100
},
"client2": {
"type": "dynamic_gbp",
"gbp_tag": 200
}
},
"name": "uap-branch"
}
上記のJSONをインポートしない場合は、以下の参照用に、ジュニパーMistポータルから同じ設定を作成することもできます。次の手順を実行します:
組織->スイッチテンプレートに移動して、新しいスイッチテンプレートを作成します。テンプレートを作成ボタンをクリックし、一意の名前で新しいテンプレートを作成します。この例では、テンプレートの名前は「uap-branch」です。
サイトに割り当てオプションを選択して、ブランチ内のすべてのスイッチを含むサイトに新しいテンプレートを割り当てます。すべてのスイッチが同じサイトに属していることが重要です。そうすることで、スイッチは同期された設定を受け取り、同じVLANの認識を共有します。
図2:サイト
への割り当て
への割り当て
このケースでは、3つのスイッチすべてがプライマリサイトにあるため、以下の設定が表示されます。
図3:このテンプレート
のサイトを選択する
のサイトを選択する
次に、動的認証用に RADIUS サーバーを構成します。当社の場合、組み込みのジュニパー Mist NACソリューションを使用しました。これには次のもののみが必要です。
- 認証サーバー=
Mist Auth
ただし、別のRADIUSまたはNACソリューションベンダーを使用している場合は、個々の設定を適用します。
図4:RADIUS(NAC)スイッチの設定
次のステップでは、VLAN を表す個々のネットワークを作成します。上記の表を念頭に置いて、ネットワークで次の設定が行われます。
- 最初のネットワーク
- 既存の
defaultネットワークを再利用しています - VLAN ID=
1は、すべての収益ポートのネイティブVLAN IDです。これにより、支社/拠点のスイッチとAPを帯域内で管理できるようになりました。
- 既存の
- セカンドネットワーク
- 名前=
VLAN1088 - VLAN ID =
1088
- 名前=
- 第3のネットワーク
- 名前=
VLAN1099 - VLAN ID =
1099
- 名前=
図5:VLAN作成
次に、ラボ設計で使用するポートプロファイルを作成します。
次のポートプロファイルは、2台のアクセススイッチへのダウンリンクでWANルーターにアップリンクを接続するためにのみ、分散型スイッチで使用されます。
- 名前=
UAP-LINK - ポート有効=
Enabled - モード=
Trunk - ポートネットワーク=
default - トランクネットワーク
- すべてのネットワーク=
Unchecked/Disabled - Networks=
VLAN1088とVLAN1099
- すべてのネットワーク=
図6:ポートプロファイルUAPリンク
別々の有線クライアントで使用される2つのVLANについては、それぞれに3つのポートプロファイルを作成します。
- RADIUS(NAC)動的認証のないポートプロファイル。これにより、ラボ中に強制することなく最初の有線クライアントテストが可能になり、設定の検証に役立ちます。後で、静的 MACアドレスまたは静的 VLAN GBP タグの割り当てをテストに適用するために使用することもできます。テンプレートでは、これらのプロファイルは
-no-authで終わります。 - RADIUS(NAC)動的認証とMACアドレスベースのクライアント識別を使用するポートプロファイル。ラボでは、設定変更後最大10分ほど待たないように、再認証の間隔を30秒に短縮します。この短縮間隔は、実稼働環境では推奨されません。テンプレートでは、これらのプロファイルは
-mab-authで終わります。 - 有線クライアント向けに802.1X EAP-TLSによるRADIUS(NAC)動的認証を使用するポートプロファイル。EAP-MD5は証明書を回避するために使用することもできますが、APを介した無線クライアント認証はサポートしていません。テンプレートでは、これらのプロファイルは
-eap-authで終わります。
以下の6つのポートプロファイルを作成します。
- ポートプロファイル1
- 名前=
vlan1099-no-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1099
- 名前=
- ポートプロファイル2
- 名前=
vlan1099-mab-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1099 - dot1x 認証=
Checked/Enabledを使用します- 複数のサプリカントを許可=
Checked/Enabled - Mac 認証=
Checked/Enabled- Mac認証のみ=
Checked/Enabled - 認証プロトコル=
pap
- Mac認証のみ=
- 再認証間隔=
30注:本番環境ではこれを行わないでください。
- 複数のサプリカントを許可=
- 名前=
- ポートプロファイル3
- 名前=
vlan1099-eap-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1099 - dot1x認証を使用 =
Checked/Enabled
- 名前=
- ポートプロファイル4
- 名前=
vlan1088-no-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1088
- 名前=
- ポートプロファイル5
- 名前=
vlan1088-mab-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1088 - dot1x 認証=
Checked/Enabledを使用します- 複数のサプリカントを許可=
Checked/Enabled - Mac 認証=
Checked/Enabled- Mac認証のみ=
Checked/Enabled - 認証プロトコル=
pap
- Mac認証のみ=
- 再認証間隔=
30注:本番環境では行わないでください。
- 複数のサプリカントを許可=
- 名前=
- ポートプロファイル6
- 名前=
vlan1088-eap-auth - ポート有効=
Enabled - モード=
Access - ポートネットワーク=
VLAN1088 - dot1x認証を使用 =
Checked/Enabled
- 名前=
スクリーンショットの例を次に示します。
ポートプロファイル1の例:
図7:認証なし
のポートプロファイル
のポートプロファイル
ポートプロファイル2の例:
図8:ポートプロファイルMAB認証
ポートプロファイル3の例:
図9:ポートプロファイル802.1X EAP認証
スイッチテンプレートを保存して、スイッチに適用します。ZTIS設定は後のステップで適用します。
WANルーターの設定
以下の要件を満たす限り、この設定には任意のWANルーターを使用できます。
- 支社/拠点のディストリビューション スイッチとアクセス スイッチに接続されたインターフェイス上で設定されたすべての VLAN のデフォルト ゲートウェイとして機能することで、レイヤー 2 からレイヤー 3 までの境界を提供します。
- すべてのVLANのDHCPサーバーとして機能するため、有線および無線クライアント(インバンド管理を使用する場合はオプションでスイッチとAP)がDHCPリースを受け取ることができます。
- WANインターフェイスで送信元NATを実行し、すべてのVLANからのトラフィックが変換されたアドレスを使用してインターネットにアクセスできるようにします。
- 1つのネイティブVLANをサポートし、残りのVLANはダウンストリームのスイッチとAPに向けてタグ付けされます。これにより、支社/拠点環境に専用の帯域外管理ネットワークを必要とせずに、インバンドデバイスを管理できます。
ジュニパーネットワークス®のSRXシリーズファイアウォールを選択した場合、支社/拠点スイッチに使用されているのと同じジュニパーMistポータルからその設定を管理できます。設定例は、参照されたドキュメントに記載されており、この設定でも使用されました。
私たちのラボではセッションスマートルーターを使用しましたが、この JVDには構成例が含まれています。
以下に、簡単にインポートして導入できるように、JSON 形式で WAN Edge テンプレートを示します。
{
"type": "standalone",
"ip_configs": {
"vlan1033": {
"type": "static",
"ip": "10.33.33.1"
},
"vlan1088": {
"type": "static",
"ip": "10.88.88.1"
},
"vlan1099": {
"type": "static",
"ip": "10.99.99.1"
}
},
"dhcpd_config": {
"enabled": true,
"vlan1033": {
"type": "local",
"ip_start": "10.33.33.10",
"ip_end": "10.33.33.250",
"gateway": "10.33.33.1",
"dns_servers": [
"8.8.8.8",
"1.1.1.1"
],
"options": {},
"lease_time": 86400,
"fixed_bindings": {}
},
"vlan1088": {
"type": "local",
"ip_start": "10.88.88.10",
"ip_end": "10.88.88.250",
"gateway": "10.88.88.1",
"dns_servers": [
"8.8.8.8",
"1.1.1.1"
],
"options": {},
"lease_time": 86400,
"fixed_bindings": {}
},
"vlan1099": {
"type": "local",
"ip_start": "10.99.99.10",
"ip_end": "10.99.99.250",
"gateway": "10.99.99.1",
"dns_servers": [
"8.8.8.8",
"1.1.1.1"
],
"options": {},
"lease_time": 86400,
"fixed_bindings": {}
}
},
"ospf_areas": {},
"port_config": {
"ge-0/0/0": {
"name": "wan0",
"usage": "wan",
"aggregated": false,
"redundant": false,
"critical": false,
"disabled": false,
"wan_speedtest_mode": "enabled",
"wan_type": "broadband",
"ip_config": {
"type": "dhcp"
},
"disable_autoneg": false,
"wan_source_nat": {
"disabled": false
},
"wan_networks": [],
"wan_probe_override": {
"probe_profile": "broadband"
},
"vpn_paths": {}
},
"ge-0/0/2": {
"networks": [
"vlan1088",
"vlan1033",
"vlan1099"
],
"usage": "lan",
"aggregated": false,
"redundant": false,
"critical": false,
"disabled": false
}
},
"bgp_config": {},
"routing_policies": {},
"extra_routes": {},
"path_preferences": {
"WAN": {
"strategy": "ordered",
"paths": [
{
"name": "wan0",
"type": "wan"
}
]
},
"LAN": {
"strategy": "ordered",
"paths": [
{
"type": "local",
"networks": [
"vlan1033"
]
},
{
"type": "local",
"networks": [
"vlan1088"
]
},
{
"type": "local",
"networks": [
"vlan1099"
]
}
]
}
},
"service_policies": [
{
"name": "between-branch-vlans",
"tenants": [
"vlan1033",
"vlan1088",
"vlan1099"
],
"services": [
"branch"
],
"action": "allow",
"idp": {
"enabled": false
},
"local_routing": true
},
{
"name": "to-internet",
"tenants": [
"vlan1033",
"vlan1088",
"vlan1099"
],
"services": [
"any"
],
"action": "allow",
"path_preference": "WAN",
"idp": {
"enabled": false
}
}
],
"gateway_mgmt": {
"host_out_policies": {},
"host_in_policies": {},
"overlay_ip": {}
},
"vrf_instances": {},
"tunnel_configs": {},
"tunnel_provider_options": {
"jse": {},
"zscaler": {},
"prisma": {}
},
"oob_ip_config": {
"type": "dhcp",
"node1": {
"type": "dhcp"
}
},
"ospf_config": {
"enabled": false,
"areas": {}
},
"remote_syslog": {
"enabled": false
},
"name": "branch-wan-router-ssr"
}
SRXシリーズファイアウォールに精通しており、WANエッジを使用していない場合には、以下のラボでも使用できる簡単なJunos設定を提供します。
root@srx1> show configuration | display set | no-more set version 23.4R2-S7.4 set system host-name srx1 #set system root-authentication encrypted-password "<use-your-own>" set system services netconf ssh set system services ssh root-login allow set system services ssh protocol-version v2 set system services dhcp-local-server group default interface ge-0/0/2.1033 set system services dhcp-local-server group VLAN1088 interface ge-0/0/2.1088 set system services dhcp-local-server group VLAN1099 interface ge-0/0/2.1099 set system services dhcp-local-server requested-ip-interface-match set system name-server 8.8.8.8 set system name-server 1.1.1.1 set system syslog user * any emergency set system syslog file interactive-commands interactive-commands any set system syslog file messages any any set system syslog file messages authorization info set system license autoupdate url https://ae1.juniper.net/junos/key_retrieval set security screen ids-option untrust-screen icmp ping-death set security screen ids-option untrust-screen ip source-route-option set security screen ids-option untrust-screen ip tear-drop set security screen ids-option untrust-screen tcp syn-flood alarm-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood attack-threshold 200 set security screen ids-option untrust-screen tcp syn-flood source-threshold 1024 set security screen ids-option untrust-screen tcp syn-flood destination-threshold 2048 set security screen ids-option untrust-screen tcp syn-flood timeout 20 set security screen ids-option untrust-screen tcp land set security nat source rule-set SNAT from zone trust set security nat source rule-set SNAT to zone untrust set security nat source rule-set SNAT rule r1 match source-address 0.0.0.0/0 set security nat source rule-set SNAT rule r1 match destination-address 0.0.0.0/0 set security nat source rule-set SNAT rule r1 then source-nat interface set security policies from-zone trust to-zone trust policy default-permit match source-address any set security policies from-zone trust to-zone trust policy default-permit match destination-address any set security policies from-zone trust to-zone trust policy default-permit match application any set security policies from-zone trust to-zone trust policy default-permit then permit set security policies from-zone trust to-zone untrust policy default-permit match source-address any set security policies from-zone trust to-zone untrust policy default-permit match destination-address any set security policies from-zone trust to-zone untrust policy default-permit match application any set security policies from-zone trust to-zone untrust policy default-permit then permit set security policies from-zone untrust to-zone trust policy default-permit match source-address any set security policies from-zone untrust to-zone trust policy default-permit match destination-address any set security policies from-zone untrust to-zone trust policy default-permit match application any set security policies from-zone untrust to-zone trust policy default-permit then permit set security policies from-zone untrust to-zone untrust policy default-permit match source-address any set security policies from-zone untrust to-zone untrust policy default-permit match destination-address any set security policies from-zone untrust to-zone untrust policy default-permit match application any set security policies from-zone untrust to-zone untrust policy default-permit then permit set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic protocols all set security zones security-zone untrust interfaces ge-0/0/0.0 set security zones security-zone trust tcp-rst set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/2.1099 set security zones security-zone trust interfaces ge-0/0/2.1088 set security zones security-zone trust interfaces ge-0/0/2.1033 set interfaces ge-0/0/0 unit 0 family inet dhcp force-discover set interfaces ge-0/0/2 flexible-vlan-tagging set interfaces ge-0/0/2 native-vlan-id 1033 set interfaces ge-0/0/2 unit 1033 vlan-id 1033 set interfaces ge-0/0/2 unit 1033 family inet address 10.33.33.1/24 set interfaces ge-0/0/2 unit 1088 vlan-id 1088 set interfaces ge-0/0/2 unit 1088 family inet address 10.88.88.1/24 set interfaces ge-0/0/2 unit 1099 vlan-id 1099 set interfaces ge-0/0/2 unit 1099 family inet address 10.99.99.1/24 set interfaces fxp0 disable set interfaces fxp0 unit 0 family inet dhcp force-discover set access address-assignment pool default family inet network 10.33.33.0/24 set access address-assignment pool default family inet range default low 10.33.33.10 set access address-assignment pool default family inet range default high 10.33.33.250 set access address-assignment pool default family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool default family inet dhcp-attributes name-server 1.1.1.1 set access address-assignment pool default family inet dhcp-attributes router 10.33.33.1 set access address-assignment pool VLAN1088 family inet network 10.88.88.0/24 set access address-assignment pool VLAN1088 family inet range VLAN1088 low 10.88.88.10 set access address-assignment pool VLAN1088 family inet range VLAN1088 high 10.88.88.250 set access address-assignment pool VLAN1088 family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool VLAN1088 family inet dhcp-attributes name-server 1.1.1.1 set access address-assignment pool VLAN1088 family inet dhcp-attributes router 10.88.88.1 set access address-assignment pool VLAN1099 family inet network 10.99.99.0/24 set access address-assignment pool VLAN1099 family inet range VLAN1099 low 10.99.99.10 set access address-assignment pool VLAN1099 family inet range VLAN1099 high 10.99.99.250 set access address-assignment pool VLAN1099 family inet dhcp-attributes name-server 8.8.8.8 set access address-assignment pool VLAN1099 family inet dhcp-attributes name-server 1.1.1.1 set access address-assignment pool VLAN1099 family inet dhcp-attributes router 10.99.99.1 set protocols lldp interface all set protocols lldp-med interface all
アクセスおよび分散型スイッチの設定
スイッチに移動し、「プライマリサイト」を選択します。「リスト」ビューに切り替え、右上隅にあるハンバーガーメニューを開き、バージョンでフィルタリングします。スイッチにインストールされているJunosバージョンが表示されます。アクセス スイッチが ZTIS に対応していること、およびインストールされている Junos ファームウェアが ZTIS をサポートしていることを確認します。そうでない場合は、スイッチを交換するか、ファームウェアをアップグレードしてください。
図10:アクセススイッチのファームウェア
を確認する
を確認する
次に、 分散型スイッチ を選択し、以下のポートプロファイルで ポート を設定します。
- ポートプロファイル
- ポートID=
ge-0/0/0-2 - インターフェイス=
L2 Interface - 設定プロファイル=
UAP-Link
- ポートID=
図11:分散型スイッチ
のポート
のポート
次に、 Access Switch1 に移動し、以下のポートプロファイルで ポート を設定します。
- ポートプロファイル1
- ポートID=
mge-0/0/1 - インターフェイス=
L2 Interface - 設定プロファイル=
UAP-Link
- ポートID=
- ポートプロファイル2
- ポートID=
mge-0/0/3 - インターフェイス=
L2 Interface - 設定プロファイル=
vlan1099-no-auth
- ポートID=
- ポートプロファイル3
- ポートID=
ge-0/0/16 - インターフェイス=
L2 Interface - 設定プロファイル=
vlan1099-no-auth
- ポートID=
図12:access1スイッチ
のポート
のポート
次に、 Access Switch2 に移動し、以下のポートプロファイルで ポート を設定します。
- ポートプロファイル1
- ポートID=
mge-0/0/1 - インターフェイス=
L2 Interface - 設定プロファイル=
UAP-Link
- ポートID=
- ポートプロファイル2
- ポートID=
mge-0/0/3 - インターフェイス=
L2 Interface - 設定プロファイル=
vlan1088-no-auth
- ポートID=
- ポートプロファイル3
- ポートID=
ge-0/0/16 - インターフェイス=
L2 Interface - 設定プロファイル=
vlan1099-no-auth
- ポートID=
図13:access2スイッチ
のポート
のポート
RADIUS(NAC)設定
NACソリューションを使用した動的RADIUSベースの認証を通じて、ZTISにGBPタグを割り当てることを強くお勧めします。RADIUS access-acceptメッセージ内にGBPタグを割り当てるには、以下のジュニパーベンダー固有(ID 2636)属性のいずれかを使用する必要があります。標準RADIUS属性 Filter-ID (タイプ11)は使用できません。
- 古いジュニパー RADIUS VSA
Juniper-Switching-Filter(文字列としてタイプ48)を使用できます。この属性では、戻り値は次の例のような文字列である必要があります:apply action gbp-tag 100。 - または、新しいジュニパー RADIUS VSA
Juniper-Group-Based-Policy-Id(整数としてタイプ53)を使用することもできます。この属性では、戻り値は単にGBPタグ番号(例:100)です。
GBPタグの割り当てには、これらの属性のうち1つだけを使用できます。新しい属性を使用すると、同じaccess-acceptメッセージでレガシー属性を使用して、必要に応じて追加のACLフィルターを参照できるため、新しい属性を使用することをお勧めします。新しいVSAがRADIUSサーバー辞書でサポートされていない場合は、代わりにレガシー属性にフォールバックできます。以下の認証ポリシーラベルの例は、両方を使用する方法を示しています。
次のセクションでは、 FreeRADIUS サーバーのVSA設定例を示します。
# using new VSA for EAP authentication like EAP-MD5 (wired-only), PEAP or EAP-TTLS
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Group-Based-Policy-Id = "100"
# using new VSA for MAC-based client authentication
001094001199 Cleartext-Password := "001094001199"
Juniper-Group-Based-Policy-Id = "100"
# using old VSA for EAP authentication like EAP-MD5 (wired-only), PEAP or EAP-TTLS
PermEmp01 Auth-Type = EAP, Cleartext-Password := "gbp"
Juniper-Switching-Filter = "apply action gbp-tag 100"
# using old VSA for MAC-based client authentication
001094001199 Cleartext-Password := "001094001199"
Juniper-Switching-Filter = "apply action gbp-tag 100"
この例では組み込みのジュニパー NACソリューションを使用しているため、まず組織 ->認証ポリシーラベル に移動して、4つのラベル例を設定します。
- ラベル1は、MACアドレスベースの認証のために有線デスクトップVMを識別するために使用されます。私たちの環境にあるものはすべて、OUI
0x52:54:00から始まります。- ラベル名=
Wired-Client-VM - ラベルタイプ=
Client List - ラベル値=
52:54:00:*
- ラベル名=
- Label2は、新しいVSA for GBPタグ割り当てを使用してクライアント認証を成功させるための戻り値属性を定義するために使用されます。
- ラベル名=
GBP-100 - ラベルタイプ=
AAA Attribute - ラベル値=
GBP Tag - GBPタグ値=
100
- ラベル名=
- ラベル3は、GBPタグ割り当て用のレガシーVSAを使用してクライアント認証を成功させるための戻り値属性を定義するために使用されます。
- ラベル名=
GBP-200 - ラベルタイプ=
AAA Attribute - ラベル値=
Custom Vendor Specific Attribute - 属性1
- 名前=
Juniper-Switching-Filter - 値=
apply action gbp-tag 200
- 名前=
- ラベル名=
図14:割り当てるGBPタグ値を定義するためのラベル
これで、以下の認証ラベルが定義されます。
図15:このラボ
で定義されたラベル
で定義されたラベル
オプション:このラボでは、EAP-TLSが主に無線クライアント認証に使用されます。これは、クライアント証明書を発行できるエンタープライズルート認証機関を含む、公開鍵インフラストラクチャ(PKI)が利用可能であることを前提としています。必要なセットアップ手順は、別のJVDにすでに文書化されているため、ここでは繰り返しません。クライアント設定の例については、こちらのWindowsおよびLinuxクライアント向けJVDでも説明しています。
注:
有線クライアントにEAP-MD5またはMABを選択することで、証明書の作成と有線クライアントの登録の複雑さを回避できることに注意してください。
組織>認証ポリシーに移動することで、初期認証ルールセットを次のように定義します。
- ルール1
- 名前=
Wired-EAP - 一致条件=
EAP-TLS AND Wired - ポリシー=
Pass - 割り当てられたポリシー=
Network Access AllowedとGBP-200
- 名前=
- ルール2
- 名前=
Wired-MAB - 一致条件=
Wired-Client-VMANDMABANDWired - ポリシー=
Pass - 割り当てられたポリシー=
Network Access AllowedとGBP-100
- 名前=
完了すると、この設定は以下に示す例のようになります。
図16:ラボ
の認証ポリシー
の認証ポリシー
ZTIS設定の追加
注:
実稼働環境では、GBPポリシーを初めて追加するときにメンテナンスウィンドウをスケジュールする必要があります。
ラボの設定が完了したので、ZTIS 設定の追加に進むことができます。同じサイト(この例ではブランチサイト)内のすべてのアクセススイッチで一貫した同期された設定を確保するには、すべてのZTIS設定をスイッチテンプレートを通じて適用する必要があります。 Organization-> Switch Templates に移動し、前に作成したテンプレートを選択します。最初のステップは、以下の手順に従って、GBPタグの割り当てと宛先IPアドレスのルールを定義することです。
- GBPタグポリシー1
- 名前=
client1 - タグの割り当て=
Dynamic - GBPタグ=
100
- 名前=
- GBPタグポリシー2
- 名前=
client2 - タグの割り当て=
Dynamic - GBPタグ=
200
- 名前=
- GBPタグポリシー3
- 名前=
vlan1099 - タグの割り当て=
Static - GBP値の選択 from=
IP/Port/Protocol - 宛先IPアドレス=
10.99.99.0/24 - プロトコル=
Any - 宛先ポート=
<none> - GBPタグ=
<none>
- 名前=
- GBPタグポリシー4
- 名前=
vlan1088 - タグの割り当て=
Static - GBP値の選択 from=
IP/Port/Protocol - 宛先IPアドレス=
10.88.88.0/24 - プロトコル=
Any - 宛先ポート=
<none> - GBPタグ=
<none>
- 名前=
- GBPタグポリシー5
- 名前=
branch - タグの割り当て=
Static - GBP値の選択 from=
IP/Port/Protocol - 宛先IPアドレス=
10.0.0.0/8 - プロトコル=
Any - 宛先ポート=
<none> - GBPタグ=
<none>
- 名前=
- GBPタグポリシー6
- 名前=
internet - タグの割り当て=
Static - GBP値の選択 from=
IP/Port/Protocol - 宛先IPアドレス=
0.0.0.0/0 - プロトコル=
Any - 宛先ポート=
<none> - GBPタグ=
<none>
- 名前=
結果の構成は次のようになります。
図17:このラボ
でのGBPタグの割り当て
でのGBPタグの割り当て
他の静的GBP設定オプションを使用する場合は、以下の制限事項と推奨事項に留意してください。
- 静的 MACアドレスGBPタグの割り当ては、RADIUSサーバーが導入されていない場合にのみ使用してください。クライアント認証管理には中央の RADIUS サーバーを使用することを推奨します。これは、拡張性が高く、MACアドレスのOUIベンダーIDに基づくクライアント識別を使用できるからです。
- 静的なネットワーク割り当て(またはVLAN)は、上記のようにEX4400シリーズのみに制限されます。
- IPサブネットとは、送信元IPアドレスによるGBP割り当てを指します。これは支社/拠点の設計ではサポートされておらず、キャンパスファブリックの設計でのみ可能です。
図18:静的GBPタグ割り当てオプション
次のステップでは、適用に使用するGBPポリシーを作成します。宛先ルールを注文するときは、前述のガイドラインに従ってください。
- 宛先GBPタグに一致するすべてのルールをリストの先頭に表示する必要があります。これらのルールは、同じVLAN内のトラフィックにのみ適用されます。これはZTISの既知の制限です。
- 次に、IPプレフィックス宛先を最長のプレフィックスから最短のプレフィックスへと順に並べて(重複しないと仮定)、より具体的なルールをより一般的なルールの前に評価するようにします。/0プレフィックスが付いたインターネットトラフィックをカバーするルールは、特定のGBPソースタグに対して常に最後に配置する必要があります。宛先IPプレフィックスは、同じVLAN内のトラフィックにも使用できますが、他のVLANに向けられたトラフィックには必要です。
結果の構成例は以下のようになります。
- スイッチポリシー1
- 名前=
client1-policy - ソース=
client1 - 宛先1
- 宛先=
client1(ルールセットの最初の宛先GBPタグ) - トラフィック=
allow
- 宛先=
- 宛先2
- 宛先=
client2(ルールセットの最初の宛先GBPタグ) - トラフィック=
allow
- 宛先=
- 宛先3
- destination=
vlan1099(ルールセットの2番目の/24宛先IPアドレス) - トラフィック=
allow
- destination=
- 宛先4
- 宛先=
vlan1088(ルールセットの2番目の/24宛先IPアドレス) - トラフィック=
allow
- 宛先=
- 宛先5
- 宛先=
branch(ルールセットの3番目に/8宛先IPアドレス) - トラフィック=
allow
- 宛先=
- 宛先6
- 宛先=
internet(/0宛先IPアドレスはルールセットの最後になります) - トラフィック=
allow
- 宛先=
- 名前=
- スイッチポリシー2
- 名前=
client2-policy - ソース=
client2 - 宛先1
- 宛先=
client1(ルールセットの最初の宛先GBPタグ) - トラフィック=
allow
- 宛先=
- 宛先2
- 宛先=
client2(ルールセットの最初の宛先GBPタグ) - トラフィック=
allow
- 宛先=
- 宛先3
- 宛先=
vlan1099(ルールセットの2番目の/24宛先IPアドレス) - トラフィック=
allow
- 宛先=
- 宛先4
- 宛先=
vlan1088(ルールセットの2番目の/24宛先IPアドレス) - トラフィック=
allow
- 宛先=
- 宛先5
- 宛先=
branch(ルールセットの 3 番目に /8 宛先 IP アドレス) - トラフィック=
allow
- 宛先=
- 宛先6
- 宛先=
internet(/0宛先IPアドレスはルールセットの最後にあります) - トラフィック=
allow
- 宛先=
- 名前=
まず、監視機能を使用してトラフィックの流れを確認するため、ここではトラフィックをブロックしません。
すべての設定が完了すると、スイッチ ポリシーは次のようになります。
図19:このラボ
の初期GBPポリシー
の初期GBPポリシー
テンプレートを保存するときは、GBPポリシーが初めて適用されることに留意してください。前述のように、このGBPポリシー設定を初めて受信したすべてのスタンドアロンスイッチのパケット転送エンジンが再起動します。バーチャルシャーシが導入されている場合、GBPの初期設定を有効にするには、バーチャルシャーシ全体を手動で再起動する必要があります。
アクセス スイッチでは、結果として Junos 設定は以下の例のようになります。
root@access1> show configuration | display set | match gbp set groups top chassis forwarding-options gbp-pure-l2-profile set groups top firewall family any filter gbp_client1-policy term 01 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 01 from gbp-dst-tag 100 set groups top firewall family any filter gbp_client1-policy term 01 then count gbp_client1-policy_01 set groups top firewall family any filter gbp_client1-policy term 01 then accept set groups top firewall family any filter gbp_client1-policy term 02 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 02 from gbp-dst-tag 200 set groups top firewall family any filter gbp_client1-policy term 02 then count gbp_client1-policy_02 set groups top firewall family any filter gbp_client1-policy term 02 then accept set groups top firewall family any filter gbp_client1-policy term 03 from ip-version ipv4 ip-destination-address 10.99.99.0/24 set groups top firewall family any filter gbp_client1-policy term 03 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 03 then count gbp_client1-policy_03 set groups top firewall family any filter gbp_client1-policy term 03 then accept set groups top firewall family any filter gbp_client1-policy term 04 from ip-version ipv4 ip-destination-address 10.88.88.0/24 set groups top firewall family any filter gbp_client1-policy term 04 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 04 then count gbp_client1-policy_04 set groups top firewall family any filter gbp_client1-policy term 04 then accept set groups top firewall family any filter gbp_client1-policy term 05 from ip-version ipv4 ip-destination-address 10.0.0.0/8 set groups top firewall family any filter gbp_client1-policy term 05 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 05 then count gbp_client1-policy_05 set groups top firewall family any filter gbp_client1-policy term 05 then accept set groups top firewall family any filter gbp_client1-policy term 06 from ip-version ipv4 ip-destination-address 0.0.0.0/0 set groups top firewall family any filter gbp_client1-policy term 06 from gbp-src-tag 100 set groups top firewall family any filter gbp_client1-policy term 06 then count gbp_client1-policy_06 set groups top firewall family any filter gbp_client1-policy term 06 then accept set groups top firewall family any filter gbp_client2-policy term 01 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 01 from gbp-dst-tag 100 set groups top firewall family any filter gbp_client2-policy term 01 then count gbp_client2-policy_01 set groups top firewall family any filter gbp_client2-policy term 01 then accept set groups top firewall family any filter gbp_client2-policy term 02 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 02 from gbp-dst-tag 200 set groups top firewall family any filter gbp_client2-policy term 02 then count gbp_client2-policy_02 set groups top firewall family any filter gbp_client2-policy term 02 then accept set groups top firewall family any filter gbp_client2-policy term 03 from ip-version ipv4 ip-destination-address 10.99.99.0/24 set groups top firewall family any filter gbp_client2-policy term 03 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 03 then count gbp_client2-policy_03 set groups top firewall family any filter gbp_client2-policy term 03 then accept set groups top firewall family any filter gbp_client2-policy term 04 from ip-version ipv4 ip-destination-address 10.88.88.0/24 set groups top firewall family any filter gbp_client2-policy term 04 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 04 then count gbp_client2-policy_04 set groups top firewall family any filter gbp_client2-policy term 04 then accept set groups top firewall family any filter gbp_client2-policy term 05 from ip-version ipv4 ip-destination-address 10.0.0.0/8 set groups top firewall family any filter gbp_client2-policy term 05 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 05 then count gbp_client2-policy_05 set groups top firewall family any filter gbp_client2-policy term 05 then accept set groups top firewall family any filter gbp_client2-policy term 06 from ip-version ipv4 ip-destination-address 0.0.0.0/0 set groups top firewall family any filter gbp_client2-policy term 06 from gbp-src-tag 200 set groups top firewall family any filter gbp_client2-policy term 06 then count gbp_client2-policy_06 set groups top firewall family any filter gbp_client2-policy term 06 then accept
GBPポリシーに加えて、アクセススイッチは内部的には小型で隔離されたEVPNファブリックのように動作し、VXLANに基づくポリシー制御を行うため、他にも変更が加えられます。
mist@access1> show configuration | display set | no-more . set groups top chassis forwarding-options gbp-pure-l2-profile . # firewall policy ruleset from above . set groups top interfaces lo0 unit 0 family inet address 100.100.0.0/32 set groups top routing-options router-id 100.100.0.0 set groups top protocols evpn no-core-isolation set groups top protocols evpn encapsulation vxlan set groups top protocols evpn extended-vni-list all set groups top switch-options vtep-source-interface lo0.0 set groups top switch-options route-distinguisher 100.100.0.0:1 set groups top switch-options vrf-target target:100:100 . set groups top protocols unified-access-policy mac 5d:5b:35:ff:ff:01 set groups top protocols unified-access-policy key "<secret>" set protocols unified-access-policy interface mge-0/0/1 inter-switch-link . set vlans VLAN1088 vlan-id 1088 set vlans VLAN1088 no-arp-suppression set vlans VLAN1088 vxlan vni 11088 set vlans VLAN1099 vlan-id 1099 set vlans VLAN1099 no-arp-suppression set vlans VLAN1099 vxlan vni 11099 set vlans default vlan-id 1 set vlans default l3-interface irb.0 set vlans default no-arp-suppression set vlans default vxlan vni 10001
スイッチ上の追加 Junos CLI
このドキュメントを書いた時点では、ジュニパー Mist クラウドには、ZTIS対応スイッチ間のリンクを自動検出して設定する機能が備わっていました。したがって、システムをサポートし、追加のCLIを介してこれらのリンクを手動で設定します。
注:
すでに述べたように、ブランチ設計では、ZTIS対応スイッチ間で既知のポートを設定する必要はありません。その後、システムは自動的にL2ユニキャストではなくマルチキャストL2メッセージ伝搬に切り替わります。ZTISで知られているアップ/ダウンリンクを設定すると、アクセススイッチを接続する分散型スイッチにすでにGBPタグが表示されるという利点があります。
当ラボの ディストリビューションスイッチ で、Mist-CloudがスイッチがZTIS対応であることを検知してZTIS設定をプッシュし、追加のJunos CLIを介して設定を完了するために、アクセススイッチへのダウンリンクを指定するだけで済みました。
# if the distribution switch is ZTIS capable then
# configure the inter-switch-links as downlinks to access switch
set protocols unified-access-policy interface ge-0/0/1 inter-switch-link
set protocols unified-access-policy interface ge-0/0/2 inter-switch-link
アクセススイッチでは、ZTISアップリンクも設定する必要がありました。将来的には、これを回避するための自動検出メカニズムが計画されています。
# set the inter-switch-links as uplink to distribution switch when they are ZTIS capable
set protocols unified-access-policy interface mge-0/0/1 inter-switch-link
Testing Your ZTIS Design
ラボを実行するときは、最初にクライアント VM (および WAN ルーター) の MAC アドレスを把握し、以下に示すようなテーブルを作成する必要があります。
ネイティブ KVM を使用すると、以下のコマンドを使用できます。
root@aidelab-dc52-srv:~# virsh domiflist desktop1 Interface Type Source Model MAC ------------------------------------------------------------- vnet7 bridge br0 virtio 52:54:00:5d:5a:8d vnet8 bridge unusedd1 virtio 52:54:00:1e:bc:30 vnet9 bridge desktop1 virtio 52:54:00:79:a7:47 root@aidelab-dc52-srv:~# virsh domiflist desktop2 Interface Type Source Model MAC ------------------------------------------------------------- vnet10 bridge br0 virtio 52:54:00:41:ae:ed vnet11 bridge unusedd2 virtio 52:54:00:10:04:ac vnet12 bridge desktop2 virtio 52:54:00:ea:15:ed root@aidelab-dc52-srv:~# virsh domiflist ssr1 Interface Type Source Model MAC ------------------------------------------------------------- vnet9 bridge br0 virtio 52:54:00:bc:8a:b8 vnet10 bridge unuseds1 virtio 52:54:00:7e:60:72 vnet11 bridge uplink1 virtio 52:54:00:ef:18:36 vnet12 bridge unuseds2 virtio 52:54:00:3e:c3:6c vnet13 bridge unuseds3 virtio 52:54:00:b9:ab:b9 vnet14 bridge unuseds4 virtio 52:54:00:ab:59:9c
デスクトップVMでLinuxが実行されている場合は、デスクトップVM内で次の手順を実行できます。
root@desktop1:~# ip a
.
4: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 52:54:00:79:a7:47 brd ff:ff:ff:ff:ff:ff
inet 10.99.99.99/24 brd 10.99.99.255 scope global ens5
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:fee6:3ad7/64 scope link
valid_lft forever preferred_lft forever
.
# ping wan-router default GW
root@desktop1:~# ping -c3 10.99.99.1
PING 10.99.99.1 (10.99.99.1) 56(84) bytes of data.
64 bytes from 10.99.99.1: icmp_seq=1 ttl=64 time=1.31 ms
64 bytes from 10.99.99.1: icmp_seq=2 ttl=64 time=1.21 ms
64 bytes from 10.99.99.1: icmp_seq=3 ttl=64 time=1.21 ms
.
# review arp-table
root@desktop1:~# ip neighbor show
10.99.99.1 dev ens5 lladdr 52:54:00:ef:18:36 STALE
その知識があれば、次のテーブルを作成できます。
| VM | MACアドレス | IPアドレス | VLAN | 認証 | GBPタグ | スイッチ | ポート |
|---|---|---|---|---|---|---|---|
| デスクトップ1 | 52:54:00:79:a7:47 | 10.99.99.99/24 | 1099 | MAB | 100 | アクセス1 | MGE-0/0/3 |
| デスクトップ2 | 52:54:00:ea:15:ed | 10.88.88.88/24 | 1088 | MAB | 100 | アクセス2 | MGE-0/0/3 |
| デスクトップ3 | 52:54:00:c3:53:e1 | DHCPリース | 1099 | EAP | 200 | アクセス1 | ge-0/0/16 |
| デスクトップ4 | 52:54:00:db:53:a2 | DHCPリース | 1099 | EAP | 200 | アクセス2 | ge-0/0/16 |
| SSR1 | 52:54:00:ef:18:36 | 10.99.99.1/24 10.88.88.1/24 10.33.33.1/24 |
1099 1088 1 |
アクセス1+2 | MGE-0/0/1 |
新しいテスト演習を開始するときは、次のベスト プラクティスに従って、より迅速かつ一貫性のある結果を得ることをお勧めします。
- すべての有線クライアント仮想マシンをシャットダウンまたは停止します。これにより、MACアドレスがアクセススイッチからできるだけ早く古くなるようになります。
- 必要なGBP設定変更をスイッチテンプレートに適用します。
- アクセス スイッチ上の有線クライアント認証に必要なポート設定変更を行います。
- リモートシェルを介してアクセススイッチにアクセスし、
show ethernet-switching tableCLIコマンドを実行することで、学習したクライアントMACアドレスが存在しなくなったことを確認します。MACアドレスのエージングを待たない場合は、clear ethernet-switching tableコマンドを使用してテーブルを手動でクリアできます。 - クライアント仮想マシンの電源をオンにして、新しいラボを開始します。
以下の出力例は、ラボのクリーンな開始状態を示し、現在学習されているクライアントMACアドレスがないことを示しています。
root@access1> clear ethernet-switching table
.
root@access1> show ethernet-switching table
.
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
.
Ethernet switching table : 6 entries, 6 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
default 52:54:00:ef:18:36 D mge-0/0/1.0 <- Wan-router ssr
default 5c:5b:35:f1:6e:c8 D ge-0/0/16.0 <- local AP
default 5c:5b:35:f1:6f:00 D mge-0/0/1.0 <- remote AP
VLAN1088 52:54:00:ef:18:36 D mge-0/0/1.0 <- Wan-router ssr
VLAN1099 52:54:00:ef:18:36 D mge-0/0/1.0 <- Wan-router ssr
.
最初のラボでは、上の表に示した初期設定の有線クライアントを使用し始めましょう。わかりやすくするために、2台の有線クライアントはMACアドレスベースの認証を使用して認証されます。他の2つの有線クライアントはEAP認証を使用するため、EAP-TLSを使用します。この設定をサポートするには、アクセス スイッチの有線ポート設定を次のように変更する必要があります。
- アクセススイッチ=
access1- ポートプロファイルの割り当て1
- ポートID=
mge-0/0/3 - 設定プロファイル=
vlan1099-mab-auth
- ポートID=
- ポートプロファイルの割り当て2
- ポートID=
ge-0/0/16 - 設定プロファイル=
vlan1099-eap-auth
- ポートID=
- ポートプロファイルの割り当て1
- アクセススイッチ=アクセス2
- ポートプロファイルの割り当て1
- ポートID=
mge-0/0/3 - 設定プロファイル=
vlan1088-mab-auth
- ポートID=
- ポートプロファイルの割り当て2
- ポートID=
ge-0/0/16 - 設定プロファイル=
vlan1099-eap-auth
- ポートID=
- ポートプロファイルの割り当て1
私たちのラボでは、分散型スイッチがZTISをサポートしていないため、CLIコマンド show unified-access-policyを使用してレポートが正確かどうかを検証する必要があります。注:キャンパスファブリック環境では、すべての非IP Closファブリックについて、スイッチ間リンクはLAG aeインターフェイスとして設定し、単一のLLDPネイバーのみを表示する必要があります。これは、同じ送信元MACアドレスを共有するため(これはESI-LAGMACアドレスとは関係ありません)。
root@access1> show unified-access-policy
.
Unified Acces Policy Status : Enabled
.
Destination Mac : 5d:5b:35:ff:ff:01
Source Mac : d4:99:6c:d1:2a:0c
Robust Count : 3
.
Interface Link-Type Intf-Status UAP-LLDP Neighbor Count
ge-0/0/16 Access Point UP 0
mge-0/0/1 Inter Switch Link UP 0
すべての有線クライアントと無線クライアントがオンボーディングされたら、 組織>認証ポリシーにあるRADIUS NACレポートを確認します。
図20:認証ポリシーのヒットカウント
有線クライアントのNACイベントを確認すると、新しいVSA属性を使用して割り当てられたGBPタグ値が表示されます。
図21:有線クライアントMAB認証イベント
有線EAP-TLSクライアントのNACイベントを確認すると、EAP-TLS認証の実行時に古いVSA属性を使用して割り当てられたGBPタグ値が表示されます。
図22:有線クライアントEAP-TLS認証イベント
有線クライアントのMAB認証を確認するには、リモートシェルを介してスイッチに接続し、以下のCLIコマンドを使用します。
root@access1> show dot1x interface mge-0/0/3.0
802.1X Information:
Interface Role State MAC address User
mge-0/0/3.0 Authenticator Authenticated 52:54:00:79:a7:47 525400e63ad7
.
root@access1> show dot1x interface mge-0/0/3.0 detail
mge-0/0/3.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Mac Radius Authentication Protocol: PAP
Reauthentication: Enabled
Configured Reauthentication interval: 30 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: not configured
Last Mac-Learn Request: 1c:fd:08:75:c5:4f
Last Mac-Learn Time: 2026-02-09 15:20:34.518712
Authentication session limit: 100
Number of connected supplicants: 1
Supplicant: 525400e63ad7, 52:54:00:79:a7:47
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Mac Radius
Authentication Mode: Mac-Radius
Authenticated VLAN: VLAN1099
Group Based Policy Id: 100
Session Reauth interval: 30 seconds <- Do not do this in production
Reauthentication due in 17 seconds
Session Accounting Interim Interval: 600 seconds
Accounting Update due in 74 seconds
Eapol-Block: Not In Effect
Domain: Data
有線クライアントのEAP認証を確認するには、リモートシェルを介してスイッチに接続し、以下のCLIコマンドを使用します。
root@access1> show dot1x interface ge-0/0/16.0
802.1X Information:
Interface Role State MAC address User
ge-0/0/16.0 Authenticator Authenticated 52:54:00:C3:53:E1 user01@example.net
.
root@access1> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 65000 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: not configured
Last Mac-Learn Request: 52:54:00:bf:e3:ed
Last Mac-Learn Time: 2026-03-13 13:37:01.521638
Authentication session limit: 100
Number of connected supplicants: 1
Supplicant: user01@example.net, 52:54:00:C3:53:E1
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authentication Mode: EAP
Authenticated VLAN: VLAN1099
Dynamic Filter: apply action gbp-tag 200
Group Based Policy Id: 200
Session Reauth interval: 65000 seconds
Reauthentication due in 64436 seconds
Session Accounting Interim Interval: 600 seconds
Accounting Update due in 36 seconds
Eapol-Block: Not In Effect
Domain: Data
次に、両方のアクセス スイッチのイーサネット スイッチング テーブルを確認して、どの GBP タグが有線クライアントと無線クライアントに関連付けられているかを確認します。
Access1スイッチには、次のものが表示されます。
root@access1> show ethernet-switching table
.
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
.
Ethernet switching table : 13 entries, 13 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
default 52:54:00:ef:18:36 D mge-0/0/1.0
default 5c:5b:35:f1:6e:c8 D ge-0/0/16.0
default 5c:5b:35:f1:6f:00 D mge-0/0/1.0
default d4:99:6c:d1:2e:3e D mge-0/0/1.0
VLAN1088 52:54:00:ea:15:ed D 100 mge-0/0/1.0 <- remote desktop2
VLAN1088 d4:99:6c:d1:2e:3e D mge-0/0/1.0
VLAN1088 d4:99:6c:d1:2e:8c D mge-0/0/1.0
VLAN1099 52:54:00:c3:53:e1 D 200 ge-0/0/16.0 <- local desktop3
VLAN1099 52:54:00:db:53:a2 D 200 mge-0/0/1.0 <- remote desktop4
VLAN1099 52:54:00:79:a7:47 D 100 mge-0/0/3.0 <- local desktop1
VLAN1099 52:54:00:ef:18:36 D mge-0/0/1.0
VLAN1099 d4:99:6c:d1:2e:3e D mge-0/0/1.0
VLAN1099 d4:99:6c:d1:2e:8c D mge-0/0/1.0
Access2スイッチには、次のものが表示されます。
root@access2> show ethernet-switching table
.
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC,
B - Blocked MAC)
.
Ethernet switching table : 15 entries, 15 learned
Routing instance : default-switch
Vlan MAC MAC GBP Logical SVLBNH/ Active
name address flags tag interface VENH Index source
default 52:54:00:ef:18:36 D mge-0/0/1.0
default 5c:5b:35:f1:6e:c8 D mge-0/0/1.0
default 5c:5b:35:f1:6f:00 D ge-0/0/16.0
default d4:99:6c:d1:29:be D mge-0/0/1.0
default d4:99:6c:d1:2a:0c D mge-0/0/1.0
VLAN1088 52:54:00:ea:15:ed D 100 mge-0/0/3.0 <- local desktop2
VLAN1088 52:54:00:ef:18:36 D mge-0/0/1.0
VLAN1088 d4:99:6c:d1:29:be D mge-0/0/1.0
VLAN1088 d4:99:6c:d1:2a:0c D mge-0/0/1.0
VLAN1099 52:54:00:c3:53:e1 D 200 mge-0/0/1.0 <- remote desktop3
VLAN1099 52:54:00:db:53:a2 D 200 ge-0/0/16.0 <- local desktop4
VLAN1099 52:54:00:79:a7:47 D 100 mge-0/0/1.0 <- remote desktop1
VLAN1099 52:54:00:ef:18:36 D mge-0/0/1.0
VLAN1099 d4:99:6c:d1:29:be D mge-0/0/1.0
VLAN1099 d4:99:6c:d1:2a:0c D mge-0/0/1.0
これにより、GBPタグがローカルインターフェイスの mge-0/0/3 と ge-0/0/16 で期待どおりローカルで学習されるだけでなく、リモートデバイスを介しても学習されることが確認できます。以下を観察および検証できます。
- リモートアクセススイッチから学習した有線MABクライアントGBPタグは、分散型スイッチインターフェイス
mge-0/0/1を介して表示されます。 - リモートに接続されたアクセススイッチからの有線EAPクライアントGBPタグは、ディストリビューションスイッチインターフェイス
mge-0/0/1を介して学習されます。
評価の次のフェーズでは、desktop1 VMと各スイッチのローカルファイアウォールカウンターを使用して、構成されたポリシーを検証します。以下の個々のスイッチ構成を確認する場合にも、この動作に気付くでしょう。
図23:アクセススイッチポート
ページを下にスクロールすると、設定したルールのカウンターが表示されます。
図24:アクセススイッチ
のGBPポリシーヒットカウント
のGBPポリシーヒットカウント
ただし、これらのルールカウンターは長期監視を目的としており、約3分ごとに更新されます。すぐに結果が得られる必要があるラボテストでは、リモートシェルをアクセススイッチに使用し、カウンターをローカルで確認します。テストを実行する前に、まずカウンターをクリアすることをお勧めします。
root@access1> clear firewall all . root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 0 0 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0 . Filter: gbp_client2-policy Counters: Name Bytes Packets gbp_client2-policy_01 0 0 gbp_client2-policy_02 0 0 gbp_client2-policy_03 0 0 gbp_client2-policy_04 0 0 gbp_client2-policy_05 0 0 gbp_client2-policy_06 0 0
テスト1: 次に、Desktop1 VM(MABを使用)を使用して、同じVLAN内にあるが割り当てられている2つの有線EAPクライアントにpingを実行しましょう。
root@desktop1:~# ping -c3 10.99.99.50 PING 10.99.99.50 (10.99.99.50) 56(84) bytes of data. 64 bytes from 10.99.99.50: icmp_seq=1 ttl=64 time=102 ms 64 bytes from 10.99.99.50: icmp_seq=2 ttl=64 time=586 ms 64 bytes from 10.99.99.50: icmp_seq=3 ttl=64 time=46.6 ms . root@desktop1:~# ping -c3 10.99.99.51 PING 10.99.99.51 (10.99.99.51) 56(84) bytes of data. 64 bytes from 10.99.99.51: icmp_seq=1 ttl=64 time=8.41 ms 64 bytes from 10.99.99.51: icmp_seq=2 ttl=64 time=78.8 ms 64 bytes from 10.99.99.51: icmp_seq=3 ttl=64 time=192 ms . root@desktop1:~# ip neighbor show 10.99.99.51 dev ens5 lladdr 52:54:00:c3:53:e1 REACHABLE 10.99.99.50 dev ens5 lladdr 52:54:00:db:53:a2 REACHABLE 10.99.99.1 dev ens5 lladdr 52:54:00:ef:18:36 STALE
Access1スイッチのファイアウォールカウンターを確認すると、この双方向トラフィックに対応するアクティビティが観察されます。
gbp_client1-policy_02ICMPリクエストパケットを含む送信元GBPタグ100から宛先GBPタグ200に作成されるために使用されます。gbp_client2-policy_01ICMP応答パケットを含む送信元GBPタグ200から宛先GBPタグ100に作成されるために使用されます。root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 876 10 gbp_client1-policy_03 0 0 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0 . Filter: gbp_client2-policy Counters: Name Bytes Packets gbp_client2-policy_01 960 11 gbp_client2-policy_02 0 0 gbp_client2-policy_03 0 0 gbp_client2-policy_04 0 0 gbp_client2-policy_05 0 0 gbp_client2-policy_06 0 0
テスト2: ファイアウォールカウンターを再度リセットし、Desktop1 VMからWANルーターゲートウェイIPにpingを実行します。
root@desktop1:~# ping -c7 10.99.99.1 PING 10.99.99.1 (10.99.99.1) 56(84) bytes of data. 64 bytes from 10.99.99.1: icmp_seq=1 ttl=64 time=1.59 ms 64 bytes from 10.99.99.1: icmp_seq=2 ttl=64 time=1.37 ms 64 bytes from 10.99.99.1: icmp_seq=3 ttl=64 time=1.50 ms 64 bytes from 10.99.99.1: icmp_seq=4 ttl=64 time=1.19 ms 64 bytes from 10.99.99.1: icmp_seq=5 ttl=64 time=1.59 ms 64 bytes from 10.99.99.1: icmp_seq=6 ttl=64 time=1.18 ms 64 bytes from 10.99.99.1: icmp_seq=7 ttl=64 time=1.45 ms
Access1スイッチのファイアウォールカウンターを確認すると、以下のことがわかります。
- この
gbp_client1-policy_03は、宛先IPプレフィックスが10.99.99.0/24の送信元GBPタグ100に対して作成されたために適用されます。この場合、そのプレフィックスはクライアントのVLANとWANルーターの両方を表します。これにより、GBPタグの定義や割り当てができない同じVLAN内でクライアントのルールを作成できます。root@access1> show firewall Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 714 7 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0
テスト3: Access1 スイッチと Access2 スイッチのファイアウォール カウンターをリセットし、Desktop1 VM(vlan1099 の Access1 に配置)から Desktop2 VM(vlan1088 の Access2 に配置)に ping を実行します。
root@desktop1:~# ping -c7 10.88.88.88 PING 10.88.88.88 (10.88.88.88) 56(84) bytes of data. 64 bytes from 10.88.88.88: icmp_seq=1 ttl=63 time=2.01 ms 64 bytes from 10.88.88.88: icmp_seq=2 ttl=63 time=2.02 ms 64 bytes from 10.88.88.88: icmp_seq=3 ttl=63 time=1.98 ms 64 bytes from 10.88.88.88: icmp_seq=4 ttl=63 time=2.33 ms 64 bytes from 10.88.88.88: icmp_seq=5 ttl=63 time=2.29 ms 64 bytes from 10.88.88.88: icmp_seq=6 ttl=63 time=2.26 ms 64 bytes from 10.88.88.88: icmp_seq=7 ttl=63 time=2.20 ms
Access1 のスイッチ カウンターを確認すると、次のような出力が表示されます。
root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 0 0 gbp_client1-policy_04 714 7 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0
Access2スイッチカウンタを確認すると、次のような出力が表示されます。
root@access2> show firewall Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 714 7 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0
これは、双方向トラフィックが以下のフローを使用するためです。
- Access1スイッチでは、ICMPリクエストは、Desktop2 VMが配置されているVLANであるIPプレフィックス10.88.88.0/24を宛先とする送信元GBPタグ100の
gbp_client1-policy_04を使用します。 - Access2スイッチでは、ICMP応答は、Desktop1 VMが配置されているVLANである10.99.99.0/24のIPプレフィックス宛ての送信元GBPタグ100に対して
gbp_client1-policy_03を使用します。
TEST4: ファイアウォール カウンターを再度リセットし、Desktop1 VM からのインバンド管理のために vlan1033 のスイッチに ping を実行します。
root@desktop1:~# ping -c3 10.33.33.10 PING 10.33.33.10 (10.33.33.10) 56(84) bytes of data. 64 bytes from 10.33.33.10: icmp_seq=1 ttl=63 time=2.35 ms 64 bytes from 10.33.33.10: icmp_seq=2 ttl=63 time=2.25 ms 64 bytes from 10.33.33.10: icmp_seq=3 ttl=63 time=2.15 ms . root@desktop1:~# ping -c3 10.33.33.11 PING 10.33.33.11 (10.33.33.11) 56(84) bytes of data. 64 bytes from 10.33.33.11: icmp_seq=1 ttl=63 time=2.35 ms 64 bytes from 10.33.33.11: icmp_seq=2 ttl=63 time=2.01 ms 64 bytes from 10.33.33.11: icmp_seq=3 ttl=63 time=2.26 ms
Access1スイッチのファイアウォールカウンターを確認すると、以下のことがわかります。
gbp_client1-policy_05は、IPプレフィックス10.0.0.0/8を宛先とする送信元GBPタグ100に対して作成されたために適用されます。この場合、複数のVLANが存在する場合に同じブランチ内のトラフィックを制御するために使用され、より具体的なポリシーで明示的に定義されていないトラフィックに対する一般的なキャッチオールルールとして機能します。root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 0 0 gbp_client1-policy_04 0 0 gbp_client1-policy_05 612 6 gbp_client1-policy_06 0 0
テスト5: ファイアウォールカウンターを再度リセットし、Desktop1 VMから、Webページのダウンロードなど、インターネットへのトラフィックを作成します。
root@desktop1:~# wget www.google.com --2026-02-09 17:18:02-- http://www.google.com/ Resolving www.google.com (www.google.com)... 142.250.189.228, 2607:f8b0:4005:80e::2004 Connecting to www.google.com (www.google.com)|142.250.189.228|:80... connected. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: ‘index.html’ index.html [ <=> ] 17.14K --.-KB/s in 0s 2026-02-09 17:18:02 (167 MB/s) - ‘index.html’ saved [17550]
Access1スイッチのファイアウォールカウンターを確認すると、以下のことがわかります。
gbp_client1-policy_06は、IP プレフィックス 0.0.0.0/0 を宛先とする送信元 GBP タグ 100 に対して作成されたために適用されます。このルールは、インターネットを宛先とするすべての非ローカルファブリックトラフィックを対象としており、評価される最終ルールとして機能します。root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 0 0 gbp_client1-policy_03 0 0 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 709 8
設定済みのルールとその適用時期を理解したところで、必要に応じてルールを使用してトラフィックを制御またはブロックすることができます。
TEST6: 前回のラボを繰り返しますが、今回はインターネットへのトラフィックをブロックします。スイッチテンプレートに移動し、 internet を右クリックして「拒否」を選択します。
図25:ポリシールールセット
で「拒否」オプションを選択
で「拒否」オプションを選択
ルールの色が赤に変わります。最後に、アクセス スイッチに適用されるようにテンプレートを保存します。
図26:インターネットへのトラフィックのブロック 例
設定が変更されると、トラフィックは許可されなくなります。
root@access1> show configuration | display set | match "gbp_client1-policy term 06"
set groups top firewall family any filter gbp_client1-policy term 06 from ip-version ipv4 ip-destination-address 0.0.0.0/0
set groups top firewall family any filter gbp_client1-policy term 06 from gbp-src-tag 100
set groups top firewall family any filter gbp_client1-policy term 06 then count gbp_client1-policy_06
set groups top firewall family any filter gbp_client1-policy term 06 then discard
ファイアウォールカウンターを再度リセットし、Desktop1 VMから、Webページのダウンロードなど、インターネットへのトラフィックを作成します。ブロックするように設定を変更したため、トラフィックは失敗しています。
root@desktop1:~# wget www.google.com --2026-02-09 17:38:07-- http://www.google.com/ Resolving www.google.com (www.google.com)... failed: Temporary failure in name resolution. wget: unable to resolve host address ‘www.google.com’
ファイアウォールカウンターを確認すると、トラフィック試行のパケットカウントが表示されるので、GBPソースタグ100を持つクライアントがいつインターネットトラフィックにアクセスしようとするかを監視できます。
root@access1> show firewall
.
Filter: gbp_client1-policy
Counters:
Name Bytes Packets
gbp_client1-policy_01 0 0
gbp_client1-policy_02 0 0
gbp_client1-policy_03 0 0
gbp_client1-policy_04 0 0
gbp_client1-policy_05 0 0
gbp_client1-policy_06 1570 19
TEST7:同じVLAN内にある無線クライアントと有線クライアント間のトラフィックをブロックするには、TEST1に一致する双方向ポリシーを確認し、以下に示すようにブロックします。
図27:同じVLAN
内でGBP 100と200のタグクライアント間のトラフィックを禁止する
内でGBP 100と200のタグクライアント間のトラフィックを禁止する
Desktop1 VMから、同じVLAN内の無線クライアントにpingを実行します。
root@desktop1:~# ping -c3 10.99.99.50 PING 10.99.99.50 (10.99.99.50) 56(84) bytes of data. --- 10.99.99.50 ping statistics --- 3 packets transmitted, 0 received, 100% packet loss, time 2031ms root@desktop1:~# ping -c3 10.99.99.51 PING 10.99.99.51 (10.99.99.51) 56(84) bytes of data. --- 10.99.99.51 ping statistics --- 3 packets transmitted, 0 received, 100% packet loss, time 2051ms . root@desktop1:~# ip neighbor show 10.99.99.51 dev ens5 FAILED 10.99.99.50 dev ens5 FAILED 10.99.99.1 dev ens5 lladdr 52:54:00:ef:18:36 STALE
Access1スイッチのファイアウォールカウンターは、ICMPリクエストに一致するルール gbp_client1-policy_02 でのみ増加します。
root@access1> show firewall . Filter: gbp_client1-policy Counters: Name Bytes Packets gbp_client1-policy_01 0 0 gbp_client1-policy_02 996 12 gbp_client1-policy_03 0 0 gbp_client1-policy_04 0 0 gbp_client1-policy_05 0 0 gbp_client1-policy_06 0 0 . Filter: gbp_client2-policy Counters: Name Bytes Packets gbp_client2-policy_01 0 0 gbp_client2-policy_02 0 0 gbp_client2-policy_03 0 0 gbp_client2-policy_04 0 0 gbp_client2-policy_05 0 0 gbp_client2-policy_06 0 0