Professional Documents
Culture Documents
Junoshandsontrainingex 160720155953
Junoshandsontrainingex 160720155953
“EX/QFX” Course
Juniper Network, K.K.
03/2017 rev.1.2
はじめに
• 本資料にあるロードマップの内容は、資料作成時点における
ジュニパーネットワークスの予定を⽰したものであり、事前の通告無しに
内容が変更されることがあります。
• またロードマップに描かれている機能や構成は、購⼊時の条件になりません
ので、ご注意ください。
Legal Disclaimer:
This statement of product direction (formerly called“roadmap”) sets forth
Juniper Networks' current intention, and is subject to change at any time
without notice. No purchases are contingent upon Juniper Networks delivering
any feature or functionality depicted on this statement.
2
2 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS Basic
4
4 © 2016 Juniper Networks, Inc. All rights reserved.
Training Outline Ethernet Switching "EX/QFX" course
トレーニング内容(後半) 記載ページ
ジュニパーのイーサネット・スイッチポートフォリオ P.111
LAB.1 JUNOSの基本的な操作・設定 P.121
LAB.2 Interfaceの設定 P.135
LAB.3 Routingの設定 P.148
LAB.4 Firewall Filterの設定 P.155
Virtual Chassisとは P.161
Virtual Chassis Deep Dive P.176
LAB.5 Virtual Chassisの設定 P.195
Wrap up P.209
TIPs to be JUNOS Experts P.211
Appendix A: Virtual Chassis Fabric P.242
Appendix B: Multi-Chassis LAG P.253
5
5 Appendix C: Zero Touch Provisioning P.271
© 2016 Juniper Networks, Inc. All rights reserved.
ジュニパーネットワークス
会社紹介
6
ジュニパーネットワークス 会社概要
設⽴: 1996年
本社所在地: カリフォルニア州サニーベール
Juniper Networks (NYSE: JNPR)
CEO: Rami Rahim
事業概要: IP通信機器(ルータ・スイッチ)及び
セキュリティー製品(ファイアウォール・IPS)の製造販売
従業員: 約9,000名
拠点:46カ国 100拠点以上
年間売上規模:約5600億円
7
7 © 2016 Juniper Networks, Inc. All rights reserved.
ジュニパーネットワークスの戦略
Vision: ネットワークイノベーションにおけるリーダー
Go-To-Market: ハイパフォーマンスネットワーキングをビジネスの基盤と位置付けるお客様とパートナー様に価値を提供
パフォーマンスと⾃動化におけるバリュー CENTRALIZED
ü スケーラブル INTELLIGENCE AND
ü 信頼性 CONTROL
ü セキュリティ
ü ⾼コスト効率 ROUTING SWITCHING SECURITY
ü 俊敏性
ü ⾼効率
SILICON SYSTEMS SOFTWARE
8
8 © 2016 Juniper Networks, Inc. All rights reserved.
ジュニパーネットワークスの戦略
AUTOMATION
PERFORMANCE
9
9 © 2016 Juniper Networks, Inc. All rights reserved.
プロダクト・ポートフォリオ(カテゴリ別)
ROUTING SWITCHING SECURITY
NetScreen Series
NetScreen-5200
NetScreen-5400
Network Director
Security Director
10
10 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS: THE POWER OF ONE
Integrated Architecture
11
11 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS: THE POWER OF ONE
Integrated Architecture
12
12 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSとは
13
multiple operating systems vs. ONE approach
セキュリティもネットワークもカバーする
プラットフォーム毎に異なるOSと機能セット
業界唯⼀のシングル・ネットワークOS
14
14 © 2016 Juniper Networks, Inc. All rights reserved.
THE POWER OF ONE
LEARN ONCE, INTEGRATE ONCE, QUALIFY ONCE
プラットフォーム共通機能
§ Routing
§ Layer 2 Switching
§ Class of Service ベース・コンポーネント
§ IPv4 and IPv6 § Kernel and µKernel
§ Etc… § Chassis Management (chassisd)
§ IP Services (Telnet, SSH, NTP)
§ Network Management
– (AAA, CLI/mgd, XML/DMI, syslogd)
Cross-Portfolio Commonality
End-to-end Security
In-network Automation
15
15 © 2016 Juniper Networks, Inc. All rights reserved.
コントロールプレーンとフォワーディングプレーンの分離
Scale and Performance
§ 各Planeにおけるパフォーマンスを担保
§ より⾼いパフォーマンスをそれぞれの領域で独⽴して
開発することが可能に
Control Plane
Routing
Engine
Resilient
§ 独⽴したオペレーション
Data Plane
§ Routing Engine (RE)
§ Packet Forwarding Engine(PFE) Packet
Forwarding
§ 冗⻑化に対するさまざまなオプションをそれぞれに提供
Engine
16
16 © 2016 Juniper Networks, Inc. All rights reserved.
EVOLUTION OF ONE ARCHITECTURE
モジュラー型
Development
§ 拡張性とパフォーマンスを担保するコンポーネント APIʼS
NETCONF/XML Yang & DMI SDK
§ 冗⻑性、安定性、サービス拡張を効率的に提供するた
めの独⽴したオペレーション
Control Plane
Switching
Interface
Security
Routing
…
Scalable
§ Up: multi-core & 64-bit
§ Down: モジュラーごとのパッケージング
Kernel
Open
Data Plane
§ Hardware Abstraction Layer PFE Microkernel
§ Automation APIs & Junos SDK
17
17 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSのアプローチ・運⽤者/設計者にとって
ネットワーク停⽌の原因に対する調査
計画停⽌
JUNOSのCLIは、業界標準型CLIと
根本的に異なるアプローチを採⽤
障害やバグによる予期せぬ停⽌
コマンドは編集⽤ファイル
コマンドは1⾏毎に実⾏され、
のみ変更し、変更は意図し
変更は即時反映される
たタイミングで反映させる
⼈為的な要因
ミスや間違いも即時反映 ミスや間違いがあっても
致命的な影響となることも… 確認・修正してから適⽤
全体の70%は⼈為的なミスが原因で
ネットワークに悪影響
作業者の努⼒にたよるのではなく
ソフトウェアの仕組みでミスをなくすサポート
18
18 © 2016 Juniper Networks, Inc. All rights reserved.
CLASSIC
19
これまでの⼀般的なNW-OSの不便さ
Running Config Running Config
§ ⼀般的なネットワークOSの場合、管理者がコンソールなどで設定変更を⾏う際、
投⼊した設定が即座に実稼働のネットワーク設定へと反映されてしまう
§ このことにより、
– ヒューマンエラーが発⽣する余地がある
– 設定の復旧が困難
– 意図しない設定を⾏ってしまうと、機器への通信⾃体が不可能になってしまうケースがある
などの課題が存在する
20
20 © 2016 Juniper Networks, Inc. All rights reserved.
MODERN
21
JUNOSの場合
Candidate Config Active Config
check !
commit
• JUNOSの場合、管理者が設定変更を⾏うのは、あくまで設定ファイル
これを実ネットワークの設定へと投⼊するためにはJUNOSによるシステムチェックを⾏った後に、
”commit“というコマンドを投⼊することにより反映させる
• この仕組みにより、
• JUNOSのシステムチェックによるヒューマンエラーの予防
• 設定ファイルは過去50世代まで⾃動保存されるため、⼀瞬で過去の状態へと戻すことができる
• 作成した設定ファイルを、“ためしに”投⼊してみることも可能
• などのメリットを享受することができる。
22
22 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSのアプローチ :Human factors への対応
有効なJUNOSツール Benefits
• “commit” • Configミスによるダウンタイムの回避
• 設定変更を有効にするコマンド
• Config変更/ 切り戻し作業の時間短縮
• 有効時にconfigチェックをおこない,誤り(⽭盾)がなければ投⼊
した設定が有効となる
• “rollback”
• 設定の履歴管理,設定・OSの切り戻しを容易に
• 既存configを含み最⼤50世代までの管理が可能
• “Load”コマンドにより外部から設定ファイルを更新することも可能
• “JUNOScript” & “Event Policy”
• スクリプティングによる⾃動化ツール
• イベントをトリガーとした⾃動化機能
1 2 3
commit
load candidate validated active
rollback
configuration configuration configuration
commit
confirmed
commit commit 1
scripts validations 49
23
23 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS: THE POWER OF ONE
PTX Series
SRX5000 Series
MX Series
QFX10000 Series
SRX1400
SRX3000 Series
QFX5100 Series
SRX550
EX4600
vSRX SRX340 EX4300 Series
EX3300 Series
SRX300 SRX320
EX2200 Series
–API–
Module
Frequent Releases
x
branch core
24
24 © 2016 Juniper Networks, Inc. All rights reserved.
運⽤⾯からみたJUNOSのアドバンテージ
25
導⼊,運⽤,トラブルシュートに有効なJUNOS UTILITY群
JUNOSは導⼊、運⽤、トラブルシュートに有効な様々なツールを提供
• Commit
• 設定変更を有効にするコマンド
• check, confirmed, compareなど様々なOptionが使⽤可能
• Rollback
• 設定の履歴管理,切り戻しを容易にする機能
• Etc…
26
26 © 2016 Juniper Networks, Inc. All rights reserved.
”Commit & Rollback”
Configurationモードで⾏った設定変更は、Candidate Configurationとして保持され、
”Commit“するまで設定はActive Configurationとして反映されません。
万⼀間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。
commit
Candidate Active
configuration configuration
編集中の 稼動中の
コンフィグファイル コンフィグファイル
1 2 ...
0
rollback n
Candidate
Configuration Active
稼動中の
Configuration
Active
コマンド2つで 過去のconfigを呼び出し
delete
set 編集中の
xxxxxxxxxx
xxxxxxxxxx
切り戻しが完了!
0
コンフィグファイル
configuration
Candidate Configを編集 コンフィグファイル
set Candidate
delete
xxxxxxxxxx
xxxxxxxxxx
set xxxxxxxxxx
configuration
delete
set xxxxxxxxxx
xxxxxxxxxx
0
delete
set xxxxxxxxxx
xxxxxxxxxx
1 2 ...
rollback n
commitしたあとで
切り戻しが必要になった場合には、 commit時に⾃動的に過去のconfigを保存・世代管理
commit
Candidate Active
configuration configuration
編集中の 稼動中の
コンフィグファイル コンフィグファイル
1 2 ...
0
rollback n
メンテナンスタイムにCommitが⾃動的に実施されるため、
管理者が該当の時間に操作する必要はなし
xxxxx
xxxxx
xxxxx
...
設定間違いのままcommitしてしまいSSHなどが繋がらなくなってしまった後も、
⼀定時間のあと1つ前のconfigに⾃動復旧するため、リモートデバイスのポリシー変更時などに便利
xxxxx
xxxxx
xxxxx
誤ったアクセスコントロール設定 ...
Remote
WAN
XSLT / SLAXベースのスクリプト
運⽤者が起動するスクリプト システムが起動するスクリプト
(CLIやProvisioning System) (ルーティングなどのイベント)
32
32 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS:Event Policy/Script
• ネットワーク機器上のイベントやタイマーをトリガーとして、コマンドやスクリプトを実⾏
することで、運⽤の⾃動化が可能となります。
• イベントをトリガーとしたアクションを実⾏(Self-monitor)
• ルータ上の特定のイベントをトリガーとして、コマンドやスクリプトを実⾏
• タイマーをトリガーとしたアクションの実⾏
• インターバル設定や⽇時指定に応じて、コマンドやスクリプトを実⾏
Routing
(rpd) ルータの各コンポーネントのイベントを監視
Chassis
(chassisd) if
イベント監視
プロセス then
eventd rules
ユーザが設定したアクションに応じ
て運⽤コマンド、設定変更、スクリ
プトなどを実⾏
Management
(mgd)
33
33 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS: JUNOS Automation EXAMPLE
– EVENT base AUTOMATION
デバイスに発⽣したイベントに応じて、
⾃動的に発動されるプログラムを事前に設定しておくことが可能
§ イベントに応じて⾃動的にトラブルシュート⽤のLogを取得
§ イベントに応じて動的なアクションをデバイスに取らせる
event event
program Actions!!
Event Policyで取り得るアクション
§ イベントを無視
§ ファイルをアップロード
§ オペレーションコマンドの実⾏
§ コンフィグレーションコマンドの実⾏
§ SNMP Trapを送出
§ Event Script の実⾏
§ Etc…
イベントに対する⾃動的なレスポンスにより
ダウンタイムを削減したり必要なLog取得を⾃動的に実⾏することが可能!
34
34 © 2016 Juniper Networks, Inc. All rights reserved.
トレーニング・デバイスへのアクセス⽅法
35
Ethernet Switching "EX/QFX" course
Topology (Lab1) – グループ1 § 管理⽤IP(me0)
: 192.168.1.x/24
EX3400 Group1
.1 .2 • Tokyo-1: .1
Tokyo-1 Nagoya-1
ge-0/0/2
Tokyo-1
ge-0/0/1 ge-0/0/1
Nagoya-1
ge-0/0/2 • Nagoya-1: .2
me0 me0
• Osaka-1: .3
• Fukuoka-1: .4
ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10
MGMT Switch
me0 me0
ge-0/0/2 ge-0/0/2
36
36 © 2016 Juniper Networks, Inc. All rights reserved.
Ethernet Switching "EX/QFX" course
Topology (Lab1) – グループ2 § 管理⽤IP(me0)
: 192.168.1.x/24
EX3400 Group1
.5 .6 • Tokyo-1: .5
Tokyo-2 Nagoya-2
ge-0/0/2
Tokyo-1
ge-0/0/1 ge-0/0/1
Nagoya-1
ge-0/0/2 • Nagoya-1: .6
me0 me0
• Osaka-1: .7
• Fukuoka-1: .8
ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10
MGMT Switch
me0 me0
ge-0/0/2 ge-0/0/2
37
37 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSへのログイン
初期設定状態のEXにアカウントʼrootʼでログインします。
cliコマンドでJUNOSのOperationalモードを起動します。
– rootアカウントはserial console、またはssh接続時のみ使⽤可能です。
– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。
• Root Password: Juniper
– Tera TermからSSHv2接続で接続してください。
38
38 © 2016 Juniper Networks, Inc. All rights reserved.
CLIモードと各モード間の移動
39
CLI概要
• Junos CLIの3つのモード遷移について
40
40 © 2016 Juniper Networks, Inc. All rights reserved.
Operationalモード
• RootユーザでLoginするとShellモード(プロンプトが“%”)に⼊ります
• “cli”と投⼊することでShellモードからOperational モードへと移⾏します
login: root
Password:
• Rootユーザ以外でLoginすると、Operationalモード(プロンプトが>)に⼊ります
• “start shell”と投⼊することでOperationalモードからShellモードへと移⾏します
login: AAA
Password:
41
41 © 2016 Juniper Networks, Inc. All rights reserved.
Operationalモード
• Operationalモードではステータスの確認やシステム操作などに
⽤いるコマンドを提供しています。
clear Clear information in the system
configure Manipulate software configuration information
file Perform file operations
help Provide help information
monitor Show real-time debugging information
mtrace Trace multicast path from source to receiver
op Invoke an operation script
ping Ping remote target
quit Exit the management session
request Make system-level requests
restart Restart software process
set Set CLI properties, date/time, craft interface message
show Show system information
ssh Start secure shell on another host
start Start shell
telnet Telnet to another host
test Perform diagnostic debugging
traceroute Trace route to remote host
42
42 © 2016 Juniper Networks, Inc. All rights reserved.
Operationalモード
• コマンドは階層構造になっています
• 例: 経路情報(簡易版)を確認
clear configure monitor set show 確認コマンド ⼤項⽬
43
43 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationモード
• Operationalモードにてconfigureと投⼊することでConfigurationモード
へ移⾏します
root@lab> configure
Entering configuration mode
[edit]
root@lab#
• 他のユーザがconfigurationモードに⼊っていれば、以下の様に表⽰されます
root@lab> configure
Entering configuration mode
Current configuration users:
fbrooks terminal d0 on since 1999-10-14 07:11:29 UTC,
idle 00:00:49 [edit protocols ospf]
The configuration has been changed but not committed
[edit]
root@lab#
44
44 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationモード:オプション
• configure private コマンドを使⽤すると、ログインユーザー専⽤のcandidate
configurationが⽤意される Candidate 1
user 2
Candidate 2
46
show コマンド
• showコマンド: システム、ステータスに関する情報を表⽰します
47
47 © 2016 Juniper Networks, Inc. All rights reserved.
show コマンド: オプション
• terse, briefのオプションはオプションなしの出⼒結果と⽐べ、より簡易的な
情報を表⽰させます。
• detail, extensiveのオプションはオプションなしの際と⽐べ、より詳細な情報
を表⽰させます。
48
48 © 2016 Juniper Networks, Inc. All rights reserved.
show コマンド: オプション
49
49 © 2016 Juniper Networks, Inc. All rights reserved.
show コマンド: オプション
> show interfaces ge-0/0/2 (オプションなし)
> show interfaces ge-0/0/0
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 139, SNMP ifIndex: 504
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error:
None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:33 ago)
Input rate : 0 bps (0 pps)
Output rate : 0 bps (0 pps)
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled
50
50 © 2016 Juniper Networks, Inc. All rights reserved.
show コマンド: オプション
> show interfaces ge-0/0/0 detail
> show interfaces ge-0/0/0 detail
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Interface index: 139, SNMP ifIndex: 504, Generation: 142
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow
control: Enabled, Auto-negotiation: Enabled,
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
Link flags : None
CoS queues : 8 supported, 8 maximum usable queues
Hold-times : Up 0 ms, Down 0 ms
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:37 ago)
Statistics last cleared: Never
Traffic statistics:
Input bytes : 995586 0 bps
Output bytes : 1473366 0 bps
Input packets: 10870 0 pps
Output packets: 15732 0 pps
IPv6 transit statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Egress queues: 8 supported, 4 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 9262 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
7 network-cont 0 6470 0
Queue number: Mapped forwarding classes
0 best-effort
1 assured-forwarding
5 expedited-forwarding
7 network-control
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled
51
51 © 2016 Juniper Networks, Inc. All rights reserved.
show コマンド: オプション
> show interfaces ge-0/0/0
extensive
> show interfaces ge-0/0/0 extensive
Physical interface: ge-0/0/0, Enabled, Physical link is Up
Queue number:
0
Mapped forwarding classes
best-effort
Interface index: 139, SNMP ifIndex: 504, Generation: 142 1 assured-forwarding
Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC- 5 expedited-forwarding
REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, 7 network-control
Auto-negotiation: Enabled, Active alarms : None
Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Active defects : None
Disabled MAC statistics: Receive Transmit
Device flags : Present Running Total octets 995586 1473366
Interface flags: SNMP-Traps Internal: 0x4000 Total packets 10870 15732
Link flags : None Unicast packets 8989 9262
CoS queues : 8 supported, 8 maximum usable queues Broadcast packets 1876 1872
Hold-times : Up 0 ms, Down 0 ms Multicast packets 5 4598
Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 CRC/Align errors 0 0
Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:40 ago) FIFO errors 0 0
Statistics last cleared: Never MAC control frames 0 0
Traffic statistics: MAC pause frames 0 0
Input bytes : 995586 0 bps Oversized frames 0
Output bytes : 1473366 0 bps Jabber frames 0
Input packets: 10870 0 pps Fragment frames 0
Output packets: 15732 0 pps Code violations 0
IPv6 transit statistics: Autonegotiation information:
Input bytes : 0 Negotiation status: Complete
Output bytes : 0 Link partner:
Input packets: 0 Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK,
Output packets: 0 Link partner Speed: 1000 Mbps
Input errors: Local resolution:
Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes: Flow control: Symmetric, Remote fault: Link OK
0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0 Packet Forwarding Engine configuration:
Output errors: Destination slot: 0 (0x00)
Carrier transitions: 3, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO CoS information:
errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0 Direction : Output
Egress queues: 8 supported, 4 in use CoS transmit queue Bandwidth Buffer Priority
Queue counters: Queued packets Transmitted packets Dropped packets Limit
0 best-effort 0 9262 0 % bps % usec
1 assured-forw 0 0 0 0 best-effort 95 950000000 95 NA low
5 expedited-fo 0 0 0 none
7 network-cont 0 6470 0 7 network-control 5 50000000 5 NA low
none
Interface transmit statistics: Disabled
52
52 © 2016 Juniper Networks, Inc. All rights reserved.
コンソール画⾯出⼒に関する操作
• 画⾯に ---(more)--- promptが表⽰されているときは
以下のキーで操作します > show configuration
## Last commit: 2016-04-12 17:41:17 JST by lab
version 12.3X48-D20.4;
Space: 次画⾯に進む groups {
b: 前画⾯に戻る Japan_ENT_POC {
system {
d: ½画⾯進む host-name mino_srx240;
Enter: 1⾏進む backup-router 172.27.112.1;
time-zone Asia/Tokyo;
/string: 検索 dump-on-panic;
n: 再検索 root-authentication {
encrypted-password
q: プロンプトに戻る(出⼒のAbort) "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA
h: これらキーヘルプの表⽰ }
name-server {
208.67.222.222;
208.67.220.220;
}
login {
user lab {
uid 2000;
class super-user;
authentication {
---(more)---
53
53 © 2016 Juniper Networks, Inc. All rights reserved.
コンソール画⾯出⼒に関する操作 | no-more
• 通常、出⼒はCLIのスクリーンサイズを考慮して⾏われます。出⼒内容が多い場合、CLI画⾯
に---(more)---を表⽰し、出⼒を⼀時停⽌します。ログ取得時などは“ | no-more” オプ
ションを使⽤し、全て⼀度に表⽰することが可能です
[edit]
root@lab> show configuration | no-more
## Last commit: 2016-01-25 11:25:54 JST by root
version 10.4R7.5;
groups {
Japan_team {
system {
backup-router 172.16.1.1;
time-zone Asia/Tokyo;
dump-on-panic;
root-authentication {
encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/";
## SECRET-DATA
}
login {
user lab {
uid 2000;
"$1$4TDfGIs7$.wTBpcNviWRCebbvcSLzv."; ## SECRET-DATA
:
54
54 © 2016 Juniper Networks, Inc. All rights reserved.
パイプ “|” オプションの利⽤
• Unix同様のパイプ ”|” をサポート。configやshowコマンド等で有効利⽤
• root@lab> show configuration | display set
• root@lab> show log messages | no-more
• root@lab> show route | find 192.168.1.0
• root@lab# show interface | save interface_config.txt
55
55 © 2016 Juniper Networks, Inc. All rights reserved.
パイプ “|” 使⽤例
• Configurationの表⽰⽅法を変更する
• 階層表記に加え、⾏単位での表⽰も可能
状況に応じ、お好みの表記⽅法を選択可能
56
56 © 2016 Juniper Networks, Inc. All rights reserved.
パイプ “|” 使⽤例
• Configurationの⼀部を保存する
• 稼働中のconfigurationの⽅法
Operationalモードにてshow configuration | save <出⼒先+ファイル名>
• 編集中のconfigurationの出⼒⽅法
Configurationモードにてsave <出⼒先+ファイル名>
※保存先を指定しない場合、userのhome directoryに出⼒されます
57
57 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSファイルシステムの構成について
• JUNOSでは各種構成ファイルやLogファイルなどをファイルシステム上のディレ
クトリに管理しています
/config
使⽤中のコンフィグレーションと過去3世代までのコンフィグレーションを格納。
/var/db/config
4世代以降のコンフィグレーションを格納。gz形式に圧縮されて保存されているがfile showコマンドで表⽰可能。FreeBSDではzcatコマンドで表⽰可能。
/var/tmp
JUNOSソフトウェアアップグレード時など、image格納するディレクトリ。また、各デーモンのコアダンプファイルを格納。
/var/log
各種LogやTrace option機能にて取得したデバッグ情報ファイルを格納。
/var/home
各ユーザのホームディレクトリが作成される。
各ユーザがローカルに保存した情報は全て各ユーザのホームディレクトリに格納する。
例えば、現在使⽤中のコンフィグをsaveコマンドにて保存した場合など
58
58 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSファイルシステムの構成について
• 各ディレクトリに格納しているファイルの確認⽅法
> file list / <directory>/
root> file list /var/home/ /var/home配下の情報を表⽰
/var/home/: ユーザ(SAMPLE)のホームディレクトリが作成されている
SAMPLE/
• ディレクトリ配下のファイル内容の確認⽅法
> file show /<directory>/<file_name>
root> file show /var/home/SAMPLE/TEST_CONFIG ユーザ(SAMPLE)が作成した
## Last changed: 2016-03-30 17:34:10 UTC TEST_CONFIGを確認
version 12.3X48-D25.3;
system {
root-authentication {
encrypted-password "$1$73UgjTsC$EznYXp/4DfJIRTI6KnFYE1"; ## SECRET-DATA
~~~~~~~~~~~~~~~~~~~~~~~~~以下省略~~~~~~~~~~~~~~~~~~~~~~~~~~
59
59 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS運⽤管理コマンド
• JUNOSでは運⽤管理に必要な機能をサポートしています。
• Ping
• Traceroute
• telnet / ssh
• Monitor
Ping : ネットワークの疎通確認をする
>ping アドレス + オプション
例: 172.27.112.1へ512 byteのpingを3回実施
root> ping 172.27.112.1 count 3 size 512
PING 172.27.112.1 (172.27.112.1): 512 data bytes
520 bytes from 172.27.112.1: icmp_seq=0 ttl=64 time=1.037 ms
520 bytes from 172.27.112.1: icmp_seq=1 ttl=64 time=0.704 ms
520 bytes from 172.27.112.1: icmp_seq=2 ttl=64 time=0.741 ms
60
60 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS運⽤管理コマンド
Traceroute : ネットワークの経路確認をする
>traceroute アドレス + オプション
例: 8.8.8.8へge-0/0/0からtrace routeを実施
> traceroute 8.8.8.8 interface ge-0/0/0
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets
1 172.27.112.2 (172.27.112.2) 4.394 ms 1.814 ms 2.209 ms
(snip)
13 google-public-dns-a.google.com (8.8.8.8) 4.276 ms 4.286 ms 4.063 ms
srx300beta (ttyp0)
login:
61
61 © 2016 Juniper Networks, Inc. All rights reserved.
monitor コマンド
• monitorコマンド: 現在のI/F別トラフィック状況を表⽰します
• > monitor interface traffic
各Interfaceのトラフィックをリアルタイム表⽰する
62
62 © 2016 Juniper Networks, Inc. All rights reserved.
requestコマンド
• requestコマンド: システムの挙動に関するコマンドを実⾏します
• システムを再起動する
> request system reboot
• システムをシャットダウンする
> request system power-off
• 初期化する
> request system zeroize
• サポートに必要な情報を取得する
> request support information
• 基本となるConfigurationファイルを保存する(rescue configの保存)
> request system configuration rescue save
• OSをアップグレードする
> request system software add <ファイル名>
63
63 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSのソフトウエアアップグレード
• ソフトウエアアップグレード⼿順
1. 対象のJUNOS OSをダウンロードする。
https://www.juniper.net/support/downloads/group/?f=junos
2. CLIコマンドでJUNOSソフトウェアを
FTP/TFTPサーバからデバイス(/var/tmp)に保存
root> file copy ftp://abc@172.xx.xxx.xx/jinstall-
> file copy ftp://ログインID@アドレス/JUNOSパッケージ名/var/tmp ex-4200-11.4R1.6-domestic-signed.tgz /var/tmp
Password for abc@172.xx.xxx.xx:
/var/tmp//...transferring.file.........TfBx6L/100% of
3. デバイスに保存したパッケージをロード 381 MB 8099 kBps 00m00s
64
64 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS CLI操作
〜Configurationモード〜
65
commit コンセプト(アニメ)
• Configurationモードに⼊ると編集⽤configが⽤意されます
• 設定変更はすべて編集⽤のconfig上にのみ投⼊
• commit コマンドでactive configに反映されます
Candidate
Active
Configuration
commit AAA
BBB
CCC
DDD DDD
Active Configのコピー
66
66 © 2016 Juniper Networks, Inc. All rights reserved.
commit コンセプト
• Configurationモードに⼊ると編集⽤configが⽤意されます
• 設定変更はすべて編集⽤のconfig上にのみ投⼊
• commit コマンドでactive configに反映されます
Candidate Active
Configuration Configuration
AAA commit AAA
BBB BBB
CCC CCC
DDD DDD
Active Configのコピー
67
67 © 2016 Juniper Networks, Inc. All rights reserved.
rollback コンセプト(アニメ)
• commit実⾏時に、現在稼働中のconfigが履歴として⾃動的に保存されま
す
• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード
• 再度commit コマンドを実⾏して、active configに反映
Candidate rollback
Active 1
Configuration Configuration
AAA commit AAA
AAA
BBB BBB
BBB
CCC CCC
CCC
DDD DDD
DDD
0世代
rollback 2
rollback 1 Configuration
AAA
BBB
CCC
1〜49世代
68
68 © 2016 Juniper Networks, Inc. All rights reserved.
rollback コンセプト
• commit実⾏時に、現在稼働中のconfigが履歴として⾃動的に保存されま
す
• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード
• 再度commit コマンドを実⾏して、active configに反映
Candidate Active
Configuration Configuration
AAA commit AAA
BBB BBB
CCC CCC
DDD DDD
0世代
rollback 1 rollback 2
rollback 1 Configuration Configuration
AAA AAA
BBB BBB
CCC CCC
DDD
1世代 2世代
1〜49世代
69
69 © 2016 Juniper Networks, Inc. All rights reserved.
設定の追加(set)
• set コマンド:設定の追加変更を⾏います
• Commitするまでは設定は反映されません。
• Commitすることで初めて動作しているデバイスに設定追加の変更が反映されます。
user@lab# commit
configuration check succeeds
commit complete
70
70 © 2016 Juniper Networks, Inc. All rights reserved.
設定の変更(delete)
• delete コマンド:設定の削除変更を⾏います
• Commitするまでは設定は反映されません。
• やはりCommitすることで動作しているデバイスに設定削除の変更が反映されます。
user@lab# commit
configuration check succeeds
commit complete
71
71 © 2016 Juniper Networks, Inc. All rights reserved.
編集中の設定確認(show | compare)
• show | compare コマンド:編集中の設定と稼動中の設定を⽐較します
user@lab# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24
user@lab# show | compare
[edit interfaces]
+ ge-0/0/0 {
+ unit 0 { Active configと⽐較して、ge-0/0/0にIPアドレスが追加されている
+ family inet { +:追加
+ address 192.168.1.1/24; ー:削除
+ }
+ }
+ }
• 過去のconfigと編集中の設定を⽐較することも可能
user@lab# show | compare rollback [1-49]
Candidate Active
Configuration Configuration
# show | compare
(rollback 0)
72
72 © 2016 Juniper Networks, Inc. All rights reserved.
設定ファイルの復旧(rollback)
• rollback コマンド:設定ファイルの復旧を⾏います
• 変更した設定ファイルを破棄したい場合は、Rollbackコマンドを投⼊します。(rollbackはrollback 0の略)
user@lab# rollback
user@lab# rollback ?
Possible completions: <[Enter]> Execute this command
0 2016-07-14 08:41:21 JST by root via cli
1 2016-07-13 16:01:54 JST by root via cli
2 2016-07-13 15:59:51 JST by root via cli
3 2016-07-13 15:57:33 JST by root via cli
4 2016-07-13 15:57:20 JST by root via cli commit confirmed, rollback in 2mins
5 2016-07-12 15:21:37 JST by lab via netconf
6 2016-07-08 16:35:39 JST by lab via cli
7 2016-06-22 19:30:53 JST by lab via cli
8 2016-06-22 19:28:39 JST by lab via cli
9 2016-06-22 19:28:18 JST by lab via cli
…(snip)
73
73 © 2016 Juniper Networks, Inc. All rights reserved.
commit オプション(commit confirmed / at)
• commit confirmed コマンド:⼀時的に設定を反映します
• 変更を確定する場合は、時間内にcommitを実⾏します
• デフォルトでは10分(指定可能)
• 時間までにcommitされなければ、⾃動的にcommit前の状態に戻る
• commit at コマンド:⽇時を指定してcommitの実⾏を予約します
• hh:mm:[ss] または “yyyy-mm-dd hh:mm:[ss]”
user@lab# commit at "2016-04-20 00:00"
configuration check succeeds
commit at will be executed at 2016-04-20 00:00:00 JST
Exiting configuration mode
user@lab# load ?
Possible completions:
factory-default Override existing configuration with factory default
merge Merge contents with existing configuration
override Override existing configuration
patch Load patch file into configuration
replace Replace configuration data
set Execute set of commands on existing configuration
update Update existing configuration
• configファイルは外部のFTPサーバや機器内ディレクトリからロードすることも可能
user@lab# load merge /var/tmp/saved_config.txt
user@lab# load merge ftp://user:passwd@192.168.1.1/saved_config.txt
75
75 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationのロード(load set terminal)
• load set terminal コマンド:CLIで追加のsetコンフィグを貼り付けるときに使⽤
• setコマンドの⼤量コピー&ペースト時にconfigのとりこぼしが防げます
76
76 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationのロード(load merge terminal)
• load merge terminal コマンド:CLIで追加のconfigを貼り付けるときに使⽤
• ⼤量のコピー&ペースト時にもconfigのとりこぼしが防げます、最上位の階層から追加の
configを投⼊する階層までのパスが全部必要です
• relative オプションを付けると今いる階層に応じてconfigの階層もショートカットされます
[edit] [edit protocols ospf]
user@lab# load merge terminal lab# load merge terminal relative
[Type ^D at a new line to end input] [Type ^D at a new line to end input]
protocols { area 0.0.0.0 {
ospf { interface xe-1/0/0.0;
export static-route; }
area 0.0.0.0 { area 0.0.0.1 {
interface ge-0/0/0.0; stub default-metric 10 no-summaries;
interface ge-0/0/1.0; area-range 192.168.16.0/20;
interface ge-0/0/2.0; interface ge-0/0/3.0;
interface lo0.0 { }
passive; area 0.0.0.2 {
protocols ospfの階層
} interfaces, protocolsや nssa { に移動しareaのconfig
} policy-optionsなど最上位 default-lsa { だけ追加
} の構⽂から記述していく default-metric 20;
} metric-type 1; protocols { ospf { の
policy-options { type-7; 記述は不要
policy-statement static-route { }
from { no-summaries;
protocol static; area-range 172.16.12.0/22;
route-filter 10.1.1.0/24 longer; }
} area-range 192.168.48.0/20;
then accept; }
} load complete
} CTRL+D
CTRL+D load complete
77
77 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationモード:コマンドサマリー
• 設定&確認コマンド
• set : パラメータを設定する際に使⽤します
• delete : パラメータを削除する際に使⽤します
• show : 設定した内容を確認します
• show | compare : 編集中のconfigと稼働中のconfigを⽐較します
• 設定反映コマンド
• commit : 編集した設定をactive configに反映させます
• rollback : 過去のconfigをロードして編集内容を元に戻します
• load : 設定したファイルをロードする際に使⽤します
78
78 © 2016 Juniper Networks, Inc. All rights reserved.
便利なショートカットキー
• カーソルの移動
Ctrl-B 1⽂字戻る
Ctrl-F 1⽂字進む
Ctrl-A ⾏頭に移動
Ctrl-E ⾏末に移動
• ⽂字の削除
Delete/Backspace カーソル前の1⽂字を削除
Ctrl-D カーソル後の1⽂字を削除
Ctrl-K カーソルから⾏末までを削除
Ctrl-U ⾏をすべて削除
Ctrl-W 現在⼊⼒途中の単語または、カーソルより左側の1単語を削除
• その他
Ctrl-P or ↑ コマンド履歴の前を表⽰
Ctrl-N or ↓ コマンド履歴の次を表⽰
? 次に⼊⼒すべきコマンドやパラメータのヒント
79
79 © 2016 Juniper Networks, Inc. All rights reserved.
コマンド補完と構⽂エラー
• コマンド補完機能
• Spaceキー/ Tabキー:固定値を補完
• Tabキーはユーザが定義したpolicy名やFilter名の補完も可能
user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input T[tab]
• 構⽂エラーの通知
• 構⽂に誤りがあるとsyntax errorと表⽰される
• ^ マークはエラーとなる項⽬を⽰す
user@lab# load replase
^
syntax error, expecting <command>.
80
80 © 2016 Juniper Networks, Inc. All rights reserved.
Configurationモード: Operationalモードのコマンドを実⾏
• runコマンドにより、Configurationモードにおいてshowコマンド等を実⾏し、
status等確認することができます
• Operationalモードで確認可能な全てのコマンドの実⾏が可能
• Operationalモードに戻る必要なし
runコマンドを使⽤し、interfaceの状態を確認 interfaceの設定を確認
81
81 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSシステム設定
82
システム設定
• JUNOSデバイスのシステムに関する主な設定
• ユーザ設定
• ホスト名の設定
• 時刻設定
• DNS設定
• デバイスのサービス設定
• 管理インタフェース設定
• ログの設定
• SNMP設定
83
83 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• ユーザ設定
• rootユーザのパスワードを設定
root# set system root-authentication plain-text-password
New password:
Retype new password:
• rootユーザ以外のユーザアカウントを作成
• デフォルトでは3つのユーザクラスを選択可能
• read-only :view(show コマンドなど)
• operator :clear, network, reset, trace, view(デーモンの停⽌, ping/telnet, etc)
• super-user:all(すべて)
root# set system login user TEST class super-user authentication plain-text-password
New password:
Retype new password:
84
84 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• ホスト名の設定
root# set system host-name LAB
• 時刻設定
• Time zoneを指定する
root# set system time-zone Asia/Tokyo
• NTPサーバを指定する
root# set system ntp server 10.10.10.100
• DNS設定
root# set system name-server 192.168.1.100
85
85 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• デバイスのサービス設定
• telnet, sshによるアクセスを有効にする
root# set system services telnet
root# set system services ssh
root# set system services ssh root-login allow RootユーザとしてSSHでログインしたい場合に設定
• FTP, netconfのサービスを有効にする
root# set system services ftp
root# set system services netconf ssh
86
86 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• 管理インタフェース設定
• 例1:EXの管理インタフェース(me0)を設定
root# set interfaces me0 unit 0 family inet address 192.168.1.1/24
• 例2:MX, SRXの管理インタフェース(fxp0)を設定
root# set interfaces fxp0 unit 0 family inet address 192.168.1.1/24
me0
fxp0
※管理ポートは、
MX/SRXは”FXP0”、EXは”ME0”、QFXは”EM0”、 EX/QFXのVCでは”VME(Virtual ME)”と命名されています。
Branch SRXのLow End(SRX300/320)など、Out of Bandの管理ポートが存在しないモデルもあります。
87
87 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• ログの設定
• syslogサーバ、ファシリティ、ログレベルを指定
• 例:すべてのレベルのログを10.10.10.1へ送信する
root# set system syslog host 10.10.10.1 any any
■Syslogレベルについて
⾼ emergency: ソフトウェアコンポーネントの機能停⽌を招く状況のメッセージ
alert: データベースなどのデータ破損など、直ちに修復が必要な状況のメッセージ
critical: 物理的なエラーなど重⼤な問題がある状況のメッセージ
error: 上記よりも深刻度の低いエラー状況のメッセージ
warning: モニタリングの必要性がある状況のメッセージ
notice: エラーではないが、特別な処理が必要となる可能性がある状況のメッセージ
info: 対象のイベントまたは⾮エラー状況のメッセージ
低 any: すべてのレベルのメッセージ
88
88 © 2016 Juniper Networks, Inc. All rights reserved.
システム設定
• SNMP設定
• SNMPコミュニティを作成する
• 例:コミュニティ名をpublicに設定、読み込みのみ許可
root# set snmp community public authorization read-only
• SNMPトラップを設定する
• 例:トラップの送信元をLoopback 0に、宛先を10.10.10.1に設定
root# set snmp trap-options source-address lo0
root# set snmp trap-group <group-name> targets 10.10.10.1
89
89 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSインタフェース設定
90
インタフェースタイプの表記
• インタフェースタイプにより以下のように表記されます
Port number
• lo0: Loopbackインタフェース
xx-X/X/X FPC
PIC
Port
BOX型 Chassis 型
※BOX型におけるOn-Board Portは、xx-0/0/Xと表現されます
92
92 © 2016 Juniper Networks, Inc. All rights reserved.
インタフェース設定
• インタフェースの設定は物理プロパティの設定と論理プロパティの設定に分か
れます
• 物理プロパティの設定
• データリンクプロトコル
• リンクスピード、半/全2重通信 interfaces {
• MTU interface-name {
インタフェース名配下に
physical-properties; 物理プロパティを設定
[…]
• 論理プロパティの設定 unit unit-number {
• プロトコルファミリー logical-properties;
• inet (IPv4の設定) […] Unit#配下に
• inet6 (IPv6の設定) } 論理プロパティを設定
• mpls }
• ethernet-switching }
93
93 © 2016 Juniper Networks, Inc. All rights reserved.
物理/論理インタフェース設定例
ge-0/0/0 {
description TEST;
speed 1g;
mtu 1400;
ether-options {
no-auto-negotiation;
link-mode full-duplex;
} 物理プロパティ
unit 0 { 論理プロパティ
description TEST2;
family inet {
address 10.10.10.1/24;
}
}
unit 100 {
description TEST3;
family inet6 {
address 1::1/64;
}
}
}
94
94 © 2016 Juniper Networks, Inc. All rights reserved.
Unit ナンバーとは
• ロジカルプロパティを設定する際には”unit”とよばれる単位で設定します
• ⼀般的なネットワークOSであるサブインタフェースに相当するもの
• unit 0がメインインタフェースに相当
• 1つの物理インタフェースに複数作成することも可能
• インタフェースを動作させるために最低1つは必須
ge-0/0/0 {
L2設定
unit 0 {
Data IP ETH
unit 0 family ethernet-switching {
family interface-mode access;
ethernet- ge-0/0/0
switching }
}
}
95
95 © 2016 Juniper Networks, Inc. All rights reserved.
複数unitの設定例
• 1つの物理インタフェースに複数のunitを使⽤するケース
• unitごとにvlan-idを設定して振り分け
• IPアドレスやFirewall Filterもunitごとに個別に設定可能
ge-0/0/0 {
vlan-tagging;
unit 10 {
vlan-id 10;
family inet {
address 192.168.1.1/24;
unit 10 }
vlan-id 10
}
unit 20 {
Packet Vlan 10 vlan-id 20;
unit 20 ge-0/0/0 family inet {
Packet Vlan 20 vlan-id 20 address 172.16.1.1/24;
Packet Vlan 30 }
}
unit 30 unit 30 {
vlan-id 30
vlan-id 30;
family inet {
address 10.1.1.1/24;
}
}
}
96
96 © 2016 Juniper Networks, Inc. All rights reserved.
L3インタフェースの作り⽅
• EX/QFX/SRXでは、L3の設定を⼆通りの⽅法で⾏うことができます
• インタフェースに直接L3の設定を⾏う Routed Port
(Routed Port)
• ルーター寄りの設定
• “no switchport” のようなもの unit 0
family inet ge-0/0/0 ge-0/0/X
unit 0
family inet
• 1つのセグメントには1つのポートのみ 192.168.1.1 192.168.x.x
• VLANを受け、複数のセグメントを収容
したい場合はunitを複数作成する
(次ページ) set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24
• スイッチ寄りの設定 ge-0/0/1
192.168.10.1 192.168.x.x
ge-0/0/y
• 1つのセグメントに複数のポートが所属できる
• 1つのポートで複数のVLANを使いたい場合、 set vlans v10 vlan-id 10
trunkに設定し、所属するVLANを増やす
set vlans v10 l3-interface irb.10
set interfaces irb unit 10 family inet address 192.168.10.1/24
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v10
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v10
97
97 © 2016 Juniper Networks, Inc. All rights reserved.
管理者側から強制的にインタフェースを落とす⽅法
• Disableコマンドを使⽤してインタフェースを落とす
root# set interfaces ge-0/0/2 disable
[edit]
root# commit
commit complete
Admin(オペレーター)モードの操作の確認
root# show interfaces root# run show interfaces terse
ge-0/0/2 { Interface Admin Link Proto Local
disable; admin(オペレータ)の強制的な Remote
unit 0 { インタフェースのダウン ge-0/0/0 up up
family inet { ge-0/0/1 up down
address 140.0.0.12/24; ge-0/0/2 down down
• Disableコマンドを消去してインタフェースをあげる
root# delete interfaces ge-0/0/2 disable root# run show interfaces terse
[edit] Interface Admin Link Proto Local
root# commit Remote
commit complete ge-0/0/0 up up
ge-0/0/1 up down
ge-0/0/2 up up
98
98 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS経路設定
99
Static Routeの設定
• Static route設定
# set routing-options static route <あて先アドレス>next-hop <ネクストホップアドレス>
# set routing-options static route <あて先アドレス>オプション設定
設定例
[edit routing-options]
root# show
static {
route 0.0.0.0/0 next-hop 172.30.25.1; IPv4デフォルトルートの設定
route 172.28.102.0/24 {
next-hop 10.210.11.190;
no-readvertise;
}
}
経路を広報させないための設定
マネージメント⽤の経路などに利⽤
100
100 © 2016 Juniper Networks, Inc. All rights reserved.
制限付きネクストホップの設定
• 同じあて先にstatic routeを設定する場合はqualified-next-hopのオ
プションを利⽤しpreference(優先)の設定を施します
例: インターネット接続のためのデフォルトルートの設定
172.30.25.0/30
ge-0/0/1
.2 primary .1
Network A
172.29.100.0/24 .1 Internet
.6 secondary .5
ge-1/0/0
172.30.25.4/30
[edit routing-options]
root# show Primary route
static {
※Juniperのstatic routeのpreferenceは5
route 0.0.0.0/0 {
next-hop 172.30.25.1;
qualified-next-hop 172.30.25.5 {
preference 7;
} Secondary route
} ※preferenceを7に設定することで優先度を下げる
}
101
101 © 2016 Juniper Networks, Inc. All rights reserved.
Static Routeの確認
• showコマンドでstatic routeを確認する
root> show route protocol static
102
102 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filter (ACL) の設定
103
Firewall Filterの設定
• FWフィルタとは個々のパケットのフローを制御するためのステートレスなフィルタリング
ポリシーです(=ACL)
• FWフィルタではtermと呼ばれる条件付けのブロックを定義します
• フィルタ内のtermはtop→downの順番で精査されます
test-filter FW filter名
from then
match 適合条件:アドレスなど
no match
term <second-term>
from then アクション:許可、不許可など
no match
match
discard 各termに適合しなかった場合、discardします
※新しくtermを作成した際など、評価の順番を変更する際はinsertコマンドを利⽤して意図した順番にTermを⼊れ替えて下さい
104
104 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterの設定
例1: 10.10.10.0/24からの通信を許可しないFWフィルタを作成
root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
root# set firewall family inet filter FW-FILTER term BLOCK then discard
root# set firewall family inet filter FW-FILTER term PERMIT then accept
FW filter名
root# show firewall family inet filter FW-FILTER
term BLOCK { term名
from {
source-address { 適合条件:10.10.10.0/24からの通信
10.10.10.0/24;
}
}
then {
discard; アクション:不許可
}
}
term PERMIT {
then accept; 他のIPからの通信を許可
}
105
105 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterの設定
例1: 作成したFWフィルタをインタフェースへ適⽤
root# set interfaces ge-0/0/0 unit 0 family inet filter input FW-FILTER
※FWフィルタの設定を有効にする際(commitする際)にcommit confirmを利⽤すると万
が⼀設定を誤ってしまった場合にも切り戻しが可能になります
106
106 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterの設定
例2: Termの順序⼊れ替え
root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
root# set firewall family inet filter FW-FILTER term BLOCK then discard
root# set firewall family inet filter FW-FILTER term PERMIT then accept
root# set firewall family inet filter FW-FILTER term BLOCK2 from protocol udp
root# set firewall family inet filter FW-FILTER term BLOCK2 then discard
All permitのあとにtermがあるので
この順序だとこのtermはLookupされない
Termは設定した順番で設定ファイルに書き込みが⾏われます。
⼀⽅で、意図したフィルターを掛けるためには適切な順序でTermを記載する必要があります
(上記例では、all PERMIT termの後にBLOCK2が書かれているので、Lookupがされないことに注意)
OR
root# insert firewall family inet filter FW-FILTER term PERMIT after term BLOCK2
107
107 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterの設定
例2: Termの順序⼊れ替え
意図した順番でtermが記載されていることを確認した上で、commitを⾏います
root# show firewall family inet
filter FW-FILTER {
term BLOCK {
from {
source-address {
10.10.10.0/24;
}
}
then {
discard;
}
}
term BLOCK2 { insertコマンドによりterm BLOCK2がPERMITの前に移動している
from {
protocol udp;
}
then {
discard;
}
}
term PERMIT {
then accept;
}
}
108
108 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterの設定
例3: JUNOS製品へのマネージメント通信を制限する
1. FWフィルタを作成する
• 192.168.1.0/24のセグメントからSSHでの通信のみ許可
2. 作成したFWフィルタをlo0 (ループバックインタフェース)に適⽤する
root# show firewall family inet root# show interfaces Routing Engine
filter MANAGEMENT { lo0 {
term PERMIT { unit 0 {
from {
source-address {
family inet {
filter { CPU
192.168.1.0/24; input MANAGEMENT;
} }
protocol tcp; address
destination-port ssh; 10.10.10.1/24; lo0
} }
then accept; } マネージメント通信はlo0を経由する
} }
}
109
109 © 2016 Juniper Networks, Inc. All rights reserved.
Ethernet Switching
“EX/QFX” course
111
111 Appendix C: Zero Touch Provisioning P.271
© 2016 Juniper Networks, Inc. All rights reserved.
ジュニパーのイーサネットスイッチ・ポートフォリオ
112
ジュニパーのイーサネットスイッチングプラットフォーム
113
113 ※ 128 member support for Junos Fusion is Roadmap. FRS supports up to 64 members. © 2016 Juniper Networks, Inc. All rights reserved.
EX シリーズ 固定型スイッチ
§ 4/8/14 スロット(RE/Fabric含む)のシャーシモデル
§ 2台のVirtual Chassisをサポート
§ 冗⻑化されたファブリックとREモジュール
§ スロットあたり240Gbps のパフォーマンス
§ 40 ポート 10/100/1000BASE-T ラインカード
§ 40 ポート 1000BASE-X ラインカード 40x1G
EX9200
※ELS(Enhanced Layer2 Switching)モデル
116
116 © 2016 Juniper Networks, Inc. All rights reserved.
EXシリーズ・ラインナップ
Core
40 / 100 GbE
EX9200
EX4600
Aggregation
Performance
10 GbE
EX4550
1 GbE
EX4300
Access
EX3400
EX4200
EX2300-C EX2300 Modular
Hardware Resiliency
EX2200-C EX2200
117
117
Ports © 2016 Juniper Networks, Inc. All rights reserved.
EXシリーズ・バーチャルシャーシ
2台以上、10台以下のEX/QFXシリーズをソフトウェアの⼒で
1台のシャーシシステムとしてエミュレーションする仮想化スイッチング・テクノロジー
Virtual Chassis
・ ハイパフォーマンス
・広帯域バックプレーン
10 Slots
・ シャーシ型スイッチと同等の信頼性
・ シャーシ型スイッチと同等のHA機能
(GRES/NSR/NSB)
・シンプルなL2/L3ネットワークデザイン
・容易な管理性 Switch to
Manage
(Single Console/NSSU)
・物理的な制約からの解放
= 1!
Route Engine ~320Gbps
backplane
Line Card Admin
シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
118
118 © 2016 Juniper Networks, Inc. All rights reserved.
各種EXシリーズにおけるVC機能の⽐較
EX2200-VC Lite EX2300-VC Lite EX3300-VC EX3400-VC EX4200/4550-VC EX4300/4600-VC
Marketing
Virtual Chassis-Lite Virtual Chassis-Lite Virtual Chassis Virtual Chassis Virtual Chassis Virtual Chassis
Name
Backplane
Up to 8 Gbps Up to 80 Gbps Up to 80 Gbps Up to 160 Gbps + 128 Gbps 320 Gbps +
Speed
License for
Base(12.3以降) 要License Base Base Base Base
Virtual Chassis
Up to 10 mixed Up to 10 mixed
Virtual Chassis
Up to 4 Up to 4 Up to 10 Up to 10 Virtual Chassis with Virtual Chassis with
Members
EX4200/4500 EX4300/4600
119
119 © 2016 Juniper Networks, Inc. All rights reserved.
QFX-Series Multiple Fabric Architecture
for Datacenter ToR
Virtual Chassis Fabric
Up to 20 members
Qfabric/
Virtual Chassis JUNOS Fusion
Architectures
IP Fabric
MC-LAG w/ Overlay
Open
Architectures L3 Fabric
… QFX5100
120
120 © 2016 Juniper Networks, Inc. All rights reserved.
QFXシリーズ・ラインナップ
Datacenter Switching Portfolio
MODULAR
QFX10008 QFX10016
Up to 480 X 100 GE Ports
SPINE
QFX5110-32Q
FIXED
QFX5100-24Q QFX10002-72
QFX5110-48S QFX10002-36
LEAF
QFX5200
QFX5100
HIGH DENSITY HIGH DENSITY HIGH DENSITY
40GbE High Density 40/100GbE
10GbE 10/25/40/50/100GbE
121
121 © 2016 Juniper Networks, Inc. All rights reserved.
LAB.1 JUNOSの基本的な操作・設定
122
Ethernet Switching "EX/QFX" course
Topology (Lab.1:基本操作) – グループ1 § 管理⽤IP(me0)
: 192.168.1.x/24
EX3400 Group1
.1 .2 • Tokyo-1: .1
Tokyo-1 Nagoya-1 • Nagoya-1:.2
ge-0/0/2 ge-0/0/1 ge-0/0/1 ge-0/0/2 • Osaka-1: .3
Tokyo-1 Nagoya-1
• Fukuoka-1:.4
ge-0/0/2 ge-0/0/2
123
123 © 2016 Juniper Networks, Inc. All rights reserved.
Ethernet Switching "EX/QFX" course
Topology (Lab.1:基本操作) – グループ2 § 管理⽤IP(me0)
: 192.168.1.x/24
EX3400 Group1
.5 .6 • Tokyo-2: .5
Tokyo-2 Nagoya-2 • Nagoya-2:.6
ge-0/0/2 ge-0/0/1 ge-0/0/1 ge-0/0/2 • Osaka-2: .7
Tokyo-1 Nagoya-1
• Fukuoka-2:.8
ge-0/0/2 ge-0/0/2
124
124 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOSへのログイン
初期設定状態のEXにアカウントʼrootʼでログインします。
cliコマンドでJUNOSのOperationalモードを起動します。
– rootアカウントはserial console、またはssh接続時のみ使⽤可能です。
– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。
• Root Password: Juniper
– Tera TermからSSHv2接続で接続してください。
125
125 © 2016 Juniper Networks, Inc. All rights reserved.
Operationalモードのshowコマンド実⾏
構成やバージョンなど基本情報の確認を実施します。
– Active configurationを表⽰
root> show configuration
– ハードウェア情報を表⽰
root> show chassis hardware
– ソフトウェアバージョンの確認
root> show version
– インタフェースのステータス⼀覧の表⽰
root> show interface terse
– ルーティングテーブル表⽰
root> show route
– MACアドレステーブル表⽰
root> show ethernet-switching table
– サポートを受ける際に必要な機器情報(RSI)を⼀括取得
root> request support information
root> configure
root# set system root-authentication plain-text-password
(改⾏後パスワード⼊⼒)
root# commit
※rootパスワード設定は必須です。設定が存在しないとcommitに失敗します。
me0
show interfacesコマンドで、設定したme0インタフェースのconfigを確認します。
{master:0}[edit]
root# show interfaces
commit完了後、⼀度rootユーザのセッションをログアウトします。
root# set system login user lab class super-user
root# set system login user lab authentication plain-text-password
(改⾏後パスワード⼊⼒)
root# commit and-quit
root> exit
root@% exit
telnetで、作成したアカウントを使って正常にログインできることを確認します。
login: lab
Password:
ホスト名の作成
– Topologyを参照して、各⾃がログインしている機器のホスト名を設定します。
lab# set system host-name Tokyo-1
変更したconfigの差分を確認
– Active configと⽐較して、設定が正しく追加されたことを確認しcommitします。
lab# show | compare
lab# commit
FTPによるアクセス
– Windowsからコマンドプロンプトを⽴ち上げFTPでアクセスできることを確認します。
• ftp 192.168.1.xx
• Rootを使⽤してログイン
• Lsコマンドでユーザディレクトリを表⽰できることを確認
– 表⽰されない場合、Windows FirewallでFTP許可が必要
ブラウザからWeb GUI(J-Web)へのアクセス
– ブラウザからアクセスし、J-Webの画⾯が表⽰されることを確認します。
• http://192.168.1.xx/
– root、または作成したユーザ(lab)を使⽤してログイン
② Configurationモードから確認
編集中のcandidate configを表⽰します。
commit後に設定変更をしていなければ、Active configと同じ内容が表⽰されます。
lab@Tokyo-1> configure
Entering configuration mode
[edit]
lab@Tokyo-1# show
lab@Tokyo-1# show | display set 同じConfigを異なる形式で表⽰
① Configurationモードに⼊ります
lab@Tokyo-1> configure
② show interfacesコマンドを実⾏
以下の2つのコマンドを実⾏し、表⽰される内容を確認します。
lab@Tokyo-1# show interfaces
lab@Tokyo-1# run show interfaces
run
① Configurationモードに⼊ります
lab@Tokyo-1> configure
② show interfacesコマンドを実⾏
以下の2つのコマンドを実⾏し、表⽰される内容を確認します。
lab@Tokyo-1# show interfaces
lab@Tokyo-1# run show interfaces
run
③commit confirmed
commit confirmedオプションを使って、1分後に設定が戻るようにcommitします。
commit完了メッセージが表⽰された後、アクセス不能になりTera Termが切断されます。
lab@Tokyo-1# commit confirmed 1
④pingが応答が返ってきたら再度labでログインし、設定が戻っていることを確認
削除したme0の設定がもとに戻っていることを確認します。
lab@Tokyo-1> show configuration interfaces me0
{master:0}[edit]
lab@Tokyo-1# exit
Exiting configuration mode
/var/home/lab/:
.ssh/
lab1-end_YYMMDD
137
Ethernet Switching "EX/QFX" course
Topology (Lab.2:インタフェースの設定)
各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定
10.1.1.0/24 10.4.1.0/24
(VLAN ID:10) (VLAN ID:40) 172.16.2.0/24
172.16.1.0/24
(VLAN ID:100) ae0 ae0 (VLAN ID:200)
– LAGの作成(ae0)
# set interfaces ae0 unit 0 family ethernet-switching
– LAGへのinterface追加
# set interfaces ge-0/0/0 ether-options 802.3ad ae0
# set interfaces ge-0/0/10 ether-options 802.3ad ae0
*LAGの場合、論理インタフェースプロパティはaeインタフェースに対して設定します。
メンバーIFには設定しない(メンバーIFは論理IFを持たない)ことに留意してください。
139
139 © 2016 Juniper Networks, Inc. All rights reserved.
LAG(Link Aggregation Group)の作成 ②
LAGにLACPを設定します。
– LACPオプションの追加し、commitします。
# set interfaces ae0 aggregated-ether-options lacp active periodic fast
LAGの正常性を確認します。
– LAGの状態を確認
> show interfaces ae0
> show interface terse
– LACPの状態を確認
> show lacp interfaces ae0
• LACP protocolが以下の状態になっていること
– Receive State: Current
– Mux State: Collecting distributing
140
140 © 2016 Juniper Networks, Inc. All rights reserved.
VLANを作成し、アクセスポートを設定
VLANを作成し、インタフェースへの適⽤を⾏います。
– VLAN作成
• Topologyを参照し、機器が所属するVLAN を作成する
lab@Tokyo# set vlans vlan10 vlan-id 10
lab@Tokyo# set vlans vlan20 vlan-id 20
lab@Tokyo# set vlans vlan100 vlan-id 100
– インタフェースをaccess portに設定し、VLANに参加させる
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode access
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10
141
141 © 2016 Juniper Networks, Inc. All rights reserved.
Vlan & Interface : Sample Configuration
Tokyo set vlans vlan10 vlan-id 10
set vlans vlan20 vlan-id 20
set vlans vlan100 vlan-id 100
142
142 © 2016 Juniper Networks, Inc. All rights reserved.
Vlan & Interface : Sample Configuration
Osaka set vlans vlan10 vlan-id 10
set vlans vlan30 vlan-id 30
set vlans vlan100 vlan-id 100
143
143 © 2016 Juniper Networks, Inc. All rights reserved.
VLANにIRBインタフェースを追加
VLANにIRB(Integrated Routing and Bridging=L3 vlan interface)を設定します。
VLANインタフェースにアドレスを追加
§ Topologyを参照し、該当するVLAN interfaceを作成してアドレスを設定する
lab@Tokyo# set interfaces irb unit 10 family inet address 10.1.1.x/24
lab@Tokyo# set interfaces irb unit 20 family inet address 10.2.1.x/24
lab@Tokyo# set interfaces irb unit 100 family inet address 172.16.1.x/24
§ VLANに対してL3インタフェースをひもづける
lab@Tokyo# set vlans vlan10 l3-interface irb.10
lab@Tokyo# set vlans vlan20 l3-interface irb.20
lab@Tokyo# set vlans vlan100 l3-interface irb.100
RSTPのdisable
§ デフォルトで動作しているRSTPは必要なくなったため、設定を削除する
lab@Tokyo# delete protocols rstp
144
144 © 2016 Juniper Networks, Inc. All rights reserved.
IRB : Sample Configuration
Tokyo set vlans vlan10 l3-interface irb.10
set vlans vlan20 l3-interface irb.20
set vlans vlan100 l3-interface irb.100
Nagoya
set vlans vlan20 l3-interface irb.20
set vlans vlan40 l3-interface irb.40
set vlans vlan200 l3-interface irb.200
145
145 © 2016 Juniper Networks, Inc. All rights reserved.
IRB : Sample Configuration
Osaka set vlans vlan10 l3-interface irb.10
set vlans vlan30 l3-interface irb.30
set vlans vlan100 l3-interface irb.100
Fukuoka
set vlans vlan30 l3-interface irb.30
set vlans vlan40 l3-interface irb.40
set vlans vlan200 l3-interface irb.200
146
146 © 2016 Juniper Networks, Inc. All rights reserved.
インタフェース/VLAN/LACP動作確認
インタフェース, VLAN, LACPの確認コマンドで正常性を確認します。
> show interfaces (terse)
> show ethernet-switching interfaces
> show vlans (detail)
> show lacp interfaces
隣接機器に対してpingを実施し、応答があることを確認します。
• ping [隣接機器のIRB IPアドレス]
– Ctrl+Cで停⽌
147
147 © 2016 Juniper Networks, Inc. All rights reserved.
※参考: VLANを作成し、トランクポートを設定する場合
VLANを作成し、インタフェースへの適⽤を⾏います。
– VLAN作成
• VLAN を作成する
lab@Tokyo# set vlans vlan10 vlan-id 10
lab@Tokyo# set vlans vlan20 vlan-id 20
lab@Tokyo# set vlans vlan100 vlan-id 100
– インタフェースをtrunk portに設定し、複数のVLANを参加させる
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode trunk
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan20
lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan100
※本トレーニングコースのラボ構成にはTrunk Portの設定は出てきませんので、
ここでは参考までに設定の⽅法を記載しています。実機には投⼊しないでください。
148
148 © 2016 Juniper Networks, Inc. All rights reserved.
※参考: Legacy Layer2 Switchingモデルの場合
Legacy L2 Switchingモデル(SRX100〜650、EX2200〜EX4550など)の場合、
⼀部、L2設定周りのCLIが異なり、以下のような設定⽅法となります。
149
149 © 2016 Juniper Networks, Inc. All rights reserved.
LAB.3 Routingの設定
OSPF / Redistribute Static
150
Ethernet Switching "EX/QFX" course Loopback address
(全グループ共通)
1.1.1.1/32 2.2.2.2/32
.1 .2
Tokyo-X Nagoya-X
ge-0/0/2 ge-0/0/1 ge-0/0/1 ge-0/0/2
Tokyo-1 irb.20 Nagoya-1irb.200
irb.20
Passive irb.100
10.2.1.0/24 Passive
irb.10 (VLAN ID:20) irb.40
ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10
10.1.1.0/24 10.4.1.0/24
(VLAN ID:10) (VLAN ID:40)
172.16.1.0/24
ae0
OSPF ae0
172.16.2.0/24
(VLAN ID:100) (VLAN ID:200)
Area 0.0.0.0
151
151 © 2016 Juniper Networks, Inc. All rights reserved.
OSPFでのルーティング
OSPFの設定を⾏います。
– Loopbackアドレス(lo0)を設定する
lab@Tokyo# set interfaces lo0 unit 0 family inet address 1.1.1.1/32
– Router-idを設定する
lab@Tokyo# set routing-options router-id 1.1.1.1
– OSPFに参加させたいインタフェースを追加する
lab@Tokyo# set protocols ospf area 0 interface lo0.0
– lab@Tokyo# set protocols ospf area 0 interface irb.10
lab@Tokyo# set protocols ospf area 0 interface irb.20
– Passiveインタフェースを設定する
lab@Tokyo# set protocols ospf area 0 interface irb.100 passive
152
152 © 2016 Juniper Networks, Inc. All rights reserved.
OSPF : Sample Configuration
Tokyo set
set
interfaces lo0 unit 0 family inet address 1.1.1.1/32
routing-options router-id 1.1.1.1
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.10
set protocols ospf area 0 interface irb.20
set protocols ospf area 0 interface irb.100 passive
Nagoya set
set
interfaces lo0 unit 0 family inet address 2.2.2.2/32
routing-options router-id 2.2.2.2
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.20
set protocols ospf area 0 interface irb.40
set protocols ospf area 0 interface irb.200 passive
Osaka set
set
interfaces lo0 unit 0 family inet address 3.3.3.3/32
routing-options router-id 3.3.3.3
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.10
set protocols ospf area 0 interface irb.30
set protocols ospf area 0 interface irb.100 passive
Fukuoka set
set
interfaces lo0 unit 0 family inet address 4.4.4.4/32
routing-options router-id 4.4.4.4
set protocols ospf area 0 interface lo0.0
set protocols ospf area 0 interface irb.30
set protocols ospf area 0 interface irb.40
set protocols ospf area 0 interface irb.200 passive
153
153 © 2016 Juniper Networks, Inc. All rights reserved.
OSPFの動作確認①
OSPFのネイバーのステータスを確認
lab@Tokyo> show ospf neighbor
DR/BDRの確認
lab@Tokyo> show ospf interface
OSPF経由で学習した経路を表⽰
lab@Tokyo> show route
Loopbackアドレスを送信元にしてping, tracerouteを実⾏し全体に
疎通できることを確認します
lab@Tokyo> ping <宛先address> source <⾃機のLo0 address>
lab@Tokyo> traceroute <宛先address>
154
154 © 2016 Juniper Networks, Inc. All rights reserved.
OSPFの動作確認②
OSPF経由で学習した経路のみを表⽰
lab@Tokyo> show route protocol ospf
OSPFデータベース(AREAごと)
Tokyo>show ospf database area 0
ルータがアドバタイズしているLSAを表⽰
Tokyo>show ospf database router advertising-router <対向router-id> detail
155
155 © 2016 Juniper Networks, Inc. All rights reserved.
OSPFでのルーティング
Static RouteのOSPFへのRedistributeを⾏います。
– DummyのStatic Routeを設定する
lab@Tokyo# set routing-options static route 9.9.9.X discard
– Static RouteをExportするPolicyを作成する
lab@Tokyo# set policy-options policy-statement EXPORT-OSPF from protocol static
lab@Tokyo# set policy-options policy-statement EXPORT-OSPF then accept
– OSPFにExport Policyを適⽤する
lab@Tokyo# set protocols ospf export EXPORT-OSPF
156
156 © 2016 Juniper Networks, Inc. All rights reserved.
LAB.4 Firewall Filter (ACL) の設定
157
①各EXで図のようにEXからEXへ、
②その後、telnetアクセスを許可するフィ
Topology (Lab.4:アクセスリストの設定) ルターを追加してください
③me0にfilteringをかけて、
FTPアクセスを禁⽌してください
.1 .2
Tokyo-X Nagoya-X
ge-0/0/2 ge-0/0/1 ge-0/0/1 ge-0/0/2
Tokyo-1
irb.100 irb.20 Nagoya-1irb.200
irb.20
10.2.1.0/24
irb.10 (VLAN ID:20) irb.40
ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10
10.1.1.0/24 10.4.1.0/24
(VLAN ID:10) (VLAN ID:40) 172.16.2.0/24
172.16.1.0/24
(VLAN ID:100) ae0 ae0 (VLAN ID:200)
158
158 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filterチェック順序
• Firewall Filterのチェック順序
§ Port → VLAN → Routerの順序にてFFを実⾏し、Egressは逆の⼿順にてFFを実⾏する
• RouterのFFは、同⼀VLAN内のswitchパケットに適⽤できない
ge-1/0/5
Input Output
Rx Packet
Router FF Router FF Router FF
Port FF
Switch VLAN FF
VLAN FF VLAN FF
VLAN FF
Port FF
Port FF
Router FF Tx Packet
ge-1/0/0 ge-1/0/1 ge-1/0/3 ge-1/0/4
159
159 © 2016 Juniper Networks, Inc. All rights reserved.
Firewall Filter設定
Port/VLAN-based FF Router-based FF
firewall { firewall {
family ethernet-switching { family inet {
filter <filter-name> { filter <filter-name> {
term <term-name> { term <term-name> {
from { from {
<match conditions>; } <match conditions>;
} }
then <actions defined>; then <actions defined>;
} }
term implicit-rule { term implicit-rule {
then discard; then discard;
} }
} }
} }
} }
パケットは、termの上位からルックアップされる
マッチしたtermのactionを実⾏してぬける
最後に暗黙のdeny(implicit-rule)が隠れている
160
160 © 2016 Juniper Networks, Inc. All rights reserved.
①Firewall Filterを使⽤してtelnetを制御
Firewall Filterを設定します。
set firewall family ethernet-switching filter deny_telnet term t10 from ip-protocol tcp
set firewall family ethernet-switching filter deny_telnet term t10 from destination-port telnet
set firewall family ethernet-switching filter deny_telnet term t10 then discard
set firewall family ethernet-switching filter deny_telnet term t10 then count telnet_count
set firewall family ethernet-switching filter deny_telnet term t20 then accept
Filterをae0インタフェースへ適⽤します。
set interfaces ae0 unit 0 family ethernet-switching filter input deny_telnet
Filterが有効なことを確認するため、telnetで隣接機器にアクセスします。
lab@Tokyo> telnet 10.1.1.3
Trying 10.1.1.3...
[Ctrl+Cで停⽌]
telnet以外の通信(ping, OSPF)は依然可能なことを確認します。
Filterでdiscardされたtelnetのカウンタを確認します。
> show firewall
161
161 © 2016 Juniper Networks, Inc. All rights reserved.
②Firewall Filterを使⽤して管理インタフェースを制御
Firewall Filterを設定する
set firewall family inet filter deny_ftp term t10 from protocol tcp
set firewall family inet filter deny_ftp term t10 from destination-port ftp
set firewall family inet filter deny_ftp term t10 then discard
set firewall family inet filter deny_ftp term t10 then count ftp_count
set firewall family inet filter deny_ftp term t20 then accept
Filterをインタフェースへ適⽤する
set interfaces lo0 unit 0 family inet filter input deny_ftp
set interfaces me0 unit 0 family inet filter input deny_ftp
コマンドプロンプトからFTPで管理IPアドレスにアクセスできなくなったことを確認します。
Filterでdiscardされたtelnetのカウンタを確認します。
> show firewall
※EX, QFXシリーズ⾃⾝への通信を制御する場合、lo0およびme0(EX)・em0(QFX)へFFを適⽤する必要があります。
※SRX, MXシリーズ⾃⾝への通信を制御する場合、lo0のみにFirewall Filterを適⽤することで制御可能となります。
(管理インタフェースfxp0への適⽤は不要)
162
162 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisとは、
163
ジュニパーのイーサネット・ファブリック
ジュニパーの解決策:
ソフトウェアの⼒で仮想的にシャーシ型スイッチをエミュレート
仮想シャーシ型スイッチ シャーシ型スイッチをソフトウェアでエミュレートすることで
(イーサネット・ファブリック) ボックス型スイッチにシャーシ型スイッチと同等のメリットを付与し、
さらに物理的な制約を受けない仮想シャーシならではのメリットを提供
レガシーな
シャーシ型スイッチ
ン
エ ンジ L2/L3 Protocol HA
グ・
ティン & ISSU !!!
ルー
ク
リッ
ァブ
・フ
ング
ッチ Devices to Manage
スイ
ネットワーク管理者
164
164 © 2016 Juniper Networks, Inc. All rights reserved.
旧来のシャーシ型スイッチとVirtual Chassis技術
シャーシ型スイッチのメリット
ü ⾼信頼性ハードウェア
– 冗⻑ルーティングエンジン Max 480Gbps Backplane
Per line-card Virtual Chassis
– 冗⻑スイッチファブリック
– 冗⻑電源ユニット
LAG 1
– 冗⻑ファントレイ
ü 管理の簡便性
– シングルイメージ RE 0
– 単⼀のコンフィグファイル
RE 1 10 Slots
– 単⼀のマネージメントIPアドレス
ü パフォーマンスとスケーリング
– ハイパフォーマンス
– ⼤容量のバックプレーン
– モジュラー型構成
LAG 2
ü Virtual Chassisによる更なるメリット:
§ 物理配置の柔軟性
§ 低消費電⼒
§ 最⼩構成からスタート可能
Max 10 RU
§ 必要最低限のラックスペース確保
165
165 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisのトポロジー
最⼤10メンバーまでであれば、仮想バックプレーンによる接続を使⽤した⾃由なトポ
ロジーでL2/L3ファブリックを構成することが可能
166
166 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの仮想バックプレーン
前⾯・背⾯のファイバー・イーサネット・ポートを⾃由に
仮想バックプレーンに変換してVCを構成することが可能
EX3400シリーズ QFX5100シリーズ
EX4300シリーズ
167
167 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual ChassisのHigh Availability機能
Master REに障害が発⽣しても無停⽌でプロトコル継続運⽤が可能な
Non Stop Routing(NSR)およびNon Stop Bridging(NSB)
OSPF・BGP neighbor
Member3 :LC 3 (L3 Protocol)
Kernel、FowardingTable、interface info
L3 Protocol State & L2 Protocol State
Member2:RE 0
Master RE
Member1 :LC 2
Member0 :RE 1
Backup RE
LACP・xSTP neighbor
RE間で各種プロトコルのステータスをコピーし、フェイルオーバーに備えることで (L2 Protocol)
障害時におけるL2/L3プロトコルへの影響を最⼩化
168
168 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual ChassisのOSバージョンアップ
Non Stop Software Upgrade(NSSU)により管理者は、コマンド⼀⾏で
システムダウンタイムを約1秒以内の想定※でOSのバージョンアップを実⾏
Member2:RE 0
Master RE Reboot
4th
Member0 :RE 1
Backup RE Reboot
1st
管理者によるUpgradeコマンドの発呼後、各RE、Linecardと順に再起動して新OSを反映するため、
ラインカード跨ぎのインタフェースの保護構成を取ることとNSR/NSBとの併⽤でOSアップグレード時の影響を最⼩化することが可能
※すべての環境で1秒以内のダウンタイムを保証するものではありません。環境に応じた事前の検証をお勧めします。
169
169 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Mixed Mode
異なるメディアスピードのラインカードをVirtual Chassis内で収容可能なため
1GbE から 10GbE サーバーへのシームレスな移⾏をサポート
Devices to Manage
= 1 !!!
ネットワーク管理者
170
170 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの使⽤例@DCネットワーク :その1
コアVCと10 member Braid Ring VCによる2階層構成(コスト重視構成)
DC Switches to Manage
The Internet Interconnect = 3 !!!
(MPLS)
ネットワーク管理者
Load-Balancer
Core Switch
(QFX5100 VC)
異なるLCへの 異なるLCへの
NIC Teaming LAG
171
171 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの使⽤例@DCネットワーク :その2
コアVCと2 member VCによる2階層構成(パフォーマンス重視構成)
DC L2/L3冗⻑プロトコルの管理は必要なし!
The Internet e.g. xSTP,MC-LAG,TRILL,VRRP,OSPF,,,
Interconnect
(MPLS)
ネットワーク管理者
Load-Balancer Core Switch
(QFX5100 VC)
… …
異なるLCへの 異なるLCへの
NIC Teaming LAG
1G Server 10G Server
172
172 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの使⽤例@DCネットワーク :その3
管理セグメントのシンプル化 ZTPやオーケストレーションなど、
⾃動化の配備には管理セグメントの整備が重要!
Core Switch
(QFX5100 VC)
ネットワーク管理者
Access Switch
( QFX5100 VCs) …
…
Management Switch
( EX3400 VC)
10G POD
173
173 © 2016 Juniper Networks, Inc. All rights reserved.
中⼩エンタープライズ (450ユーザ位まで)における
キャンパスを⼀つのEX3400 Virtual Chassisで収容する例
Building 1 Building 2 Building 3 Building 4
EX3300
Virtual Chassis
Core
EX3400 Virtual Chassis
174
174 © 2016 Juniper Networks, Inc. All rights reserved.
EX4600 Virtual Chassis をキャンパスにおける
Aggregation/Coreスイッチとして使⽤する例
Building 1 Building 2
STP VRRP
EX4600
Virtual Chassis Core
EX4600 Virtual Chassis § 既存のアグリゲーション/コア・スイッチと⽐較して
圧倒的なコストパフォーマンス
§ 10GbE LAGによるワイヤリングクローゼットからのアップリンク § コストは1/8 に
§ 多数の3400バーチャル・シャーシを冗⻑性を持って収容 § パフォーマンスは4倍に
§ STP を排除したネットワークデザイン
§ VRRPや複雑なルーティング、VLANの管理が不要
175
175 © 2016 Juniper Networks, Inc. All rights reserved.
距離が離れたキャンパスネットワークを
1セットのVirtual Chassisで収容する例
Campus-C Campus-D Campus-E Campus-F
Virtual Chassis
EX4600 EX4600
Campus-A Campus-B
176
176 © 2016 Juniper Networks, Inc. All rights reserved.
まとめ:Virtual Chassisによるメリット
最⼤で10台のスイッチまでを Industry-
⼀つの仮想シャーシとして設定、管理運⽤が可能 only
Industry-
物理的に離れたデバイスであっても論理的に統合可能 only
異なるプラットフォーム間でのバーチャルシャーシ接続 Industry-
only
(e.g. QFX5100 + EX4300)
コア、1G/10G/40Gアクセス、マネジメント Industry-
規模やサービスレベルに応じた様々なVCを提供 only
これにより拡張し続けるデータセンターのネットワークをシンプルに管理運⽤することが可能に!
177
Virtual Chassis Deep Dive
178
Virtual Chassis™ Backplane Cabling
Option 1 – Dedicated Virtual Chassis Option 2 – Dedicated Virtual Chassis
Daisy-Chained Ring Braided Ring
5m 23 m
• Longest Virtual Chassis cable spans the entire § Longest Virtual Chassis cable spans three switches
Virtual Chassis • VCの⾼さ、幅を 約23mまで拡張する接続⽅法
– もっともシンプルな接続⽅法
– VCの⾼さ・幅はVCケーブルの最⼤⻑5m以内
179
179 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis™ Backplane Cabling
Option 3 – Extended Virtual Chassis
Up to 80 km
Dedicated Virtual
Chassis Backplane 10GbE or 40GbE Virtual Chassis Extension
180
180 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis™ Backplane Cabling
Option 4 –Virtual Chassis Mesh
Up to 70 km
181
181 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの接続⽅法について -1
VCを構成する際には、VCの仮想バックプレーン(VCP)同⼠を接続する必要があります。
プラットフォームによって⼯場出荷時の状態でVCPが設定されているものとそうでないものがあり
ます。
ファイバーのイーサネットポートをVCPにコンバートするコマンドは以下で実⾏可能です。
必要に応じてVCPの設定追加・削除をした上でVC接続を⾏ってください。
request virtual-chassis vc-port set pic-slot <pic-slot> port <port-number> member <member-id>
request virtual-chassis vc-port delete pic-slot <pic-slot> port <port-number> member <member-id>
182
182 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisのコンポーネント
“Master”, “Backup” および “Linecard”
– Master switch (active RE)
– 相互接続された VC switchの1つのスイッチがマスターになります。
JUNOSを起動しておりVirtual Chassisの管理を実施します。
• すべてのvirtual chassisを管理するデーモンおよびコントロールプロトコルを動作させる
• すべてのインタフェースを管理する、ハードウェアフォワーディングの管理を実施
183
183 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの構成⽅法について-1
VCを構成する際には、
Plug-and-PlayでのVC構成を提供する“Non-Preprovisioned mode”と
最低限の設定投⼊によりVCを構成する“Preprovisioned mode”から選択が可能です。
Non-preprovisoned Configuration
- マスター・セレクション・アルゴリズムにより⾃動的にVCを構成することが可能
Master-ship priority値や起動順序により、master/backup/linecardを決定
Master/BackupREは, master-ship priority 255を推奨
- REの障害時には、Linecard役の中から1台がREに昇格する
Preprovisoned Configuration
- 明⽰的にREやLinecardに指定したスイッチを作成することにより、より明⽰的な運⽤の実現とAdvanced Licenseの消費を抑える
ことが可能
※ NSSUはPreprovisioned Configurationでのみサポート
184
184 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの構成⽅法について-2
より簡易性が求められるネットワークへのデプロイ時には“Non-Preprovisioned mode”でVCを構
成します。“Non-Preprovisioned mode”では予め設定されたルールに基づき、どの筐体が
Routing Engineの役割を担うか⾃動的に計算されてVCが構成されます。
• マスターRE(RE0)選定
起動するときにはすべてのスイッチで以下項⽬⽐較の元、マスターの選定が⾏われる
Master 選定の優先順位:
1.マスターシップの優先順位が最も⾼い (0-255までの優先順位、デフォルト値は 128)
2.以前動作していたときにマスターに選定されていた
3.起動している時間が⻑い (起動している時間が1分以上違う場合)
4.MAC アドレスの⼩さいほう
※マスターが選定された後、マスターREと同じ選定⽅式により、バックアップREスイッチの選定が実施される
• Linecard
バーチャル・シャーシを構成する残りのスイッチは、ラインカードとして動作
マスター、バックアップが何らかの理由によりフェイルした場合、マスターREと同じ選定⽅式によりラインカードからバックアップスイッ
チの選定を実施
185
185 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの構成⽅法について-3
より⾼いSLAが求められるネットワークへのデプロイ時には“Preprovisioned mode”でのVC構成
を推奨されます。
“Preprovisioned mode”では設定によりシリアルでのハードウェアとRole管理によるより安定し
た運⽤と、OSアップグレード時にミニマムなダウンタイムでの実施完了を期待できる
NSSU(Non Stop Software Upgrade)サービスが提供されます。
186
186 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの確認⽅法について-1
lab@lab> show virtual-chassis?
187
187 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの確認⽅法について-2
“show virtual-chassis status”コマンドにて構成されたVCの状態を確認することが可能です。
root> show virtual-chassis status
188
188 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisの確認⽅法について-3
“show virtual-chassis vc-port”コマンドにてVCバックプレーンの状態を確認することが可能です。
root@Juniper> show virtual-chassis vc-port
fpc0:
--------------------------------------------------------------------------
Interface Type Trunk Status Speed Neighbor
or ID (mbps) ID Interface
PIC / Port
vcp-0 Dedicated 2 Up 32000 1 vcp-1
vcp-1 Dedicated 1 Up 32000 9 vcp-0
1/0 Configured -1 Up 1000 1 vcp-255/1/1
1/1 Configured -1 Up 1000 3 vcp-255/1/0
fpc1:
--------------------------------------------------------------------------
Interface Type Trunk Status Speed Neighbor
or ID (mbps) ID Interface
PIC / Port
vcp-0 Dedicated 2 Up 32000 2 vcp-1
vcp-1 Dedicated 1 Up 32000 0 vcp-0
1/0 Configured -1 Up 1000
1/1 Configured -1 Up 1000 0 vcp-255/1/0
fpc2:
--------------------------------------------------------------------------
…
189
189 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Mixed Mode
QFX5100,EX4600,EX4300などにおいては、異なるメディアのプラットフォームを1台の
VCとして構成させることも可能です。
その場合はVCに組み込む前に以下のコマンドでVCのMixed Modeを宣⾔して機器をReboot
する必要があります。
Mixed Mode VCはVCを構成するメンバー全ての筐体で宣⾔する必要が有ります。
QFX5100 EX4600
EX4300
190
190 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisへのアクセスについて -1
Virtual Chassisを構成すると、複数台のスイッチが1台の仮想シャーシ型スイッチとして動作しま
す。VCへのアクセスはConsole接続経由とネットワーク経由と⼆種類の選択肢がありますが、そ
れぞれ以下の様な概念で動作しています。
・コンソールアクセス
ネットワーク管理者は任意のラインカード上のコンソールポートに接続すると、接続コネクショ
ンが内部的にMaster REにリダイレクトされる。つまり物理的な場所を気にする必要なくREにア
クセスすることが可能です。
Console
Member3 :LC 3
ネットワーク管理者 Backup RE
Member4 :LC 4
191
191 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisへのアクセスについて -2
・ネットワークアクセス
仮想管理アドレスであるVME(Virtual Management Ethernet)にIPアドレスを付与することで
Master REがVMEアドレスへのアクセス要求に返答を⾏います。これによりひとつのIPアドレス
で仮想シャーシへのネットワークアクセスが提供されます。
set interface vme unit 0 family inet address <address/mask>
ケーブリングはMaster REになりうる2つの筐体でのみリンクアップさせておけば他は不要です。
管理セグメント
SSH,Telnet,FTP,etc… mgmt
Member2 :LC 2 Master RE
Member4 :LC 4
192
192 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual ChassisのHA機能について
Routing Engine(RE)の障害時に出来る限り⾼速な切り替わりを提供するためには、以下の4⾏
の設定投⼊をしておく必要があります。
VCの初期構成時点で使⽤しているL2/L3プロトコルの種類に限らずこの4⾏の設定は無条件に投⼊
しておくことをおすすめします。
EX3400/4300/EX4600/QFX5100シリーズ
KernelやInterface、L2/L3テーブルをRE間で同期
EX3300シリーズ
193
193 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis バックプレーン増強について
同⼀VCメンバー間で複数の仮想バックプレーン(VCP)が接続されたことをVCが認識すると、
その間は⾃動的にLAGが構成され、バックプレーン帯域がリンク数*Nへと増強されていきます。
この際、設定は特に必要ありません。
194
194 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisに関するドキュメント
以下にVirtual Chassisを解説する各種資料がありますので、必要に応じてご参照ください。
・Links
https://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathway-
pages/qfx-series/virtual-chassis.pdf
https://www.juniper.net/techpubs/en_US/junos14.1/topics/concept/virtual-chassis-ex-
qfx-series-mixed-understanding.html
・Whitepaper
http://www.juniper.net/us/en/local/pdf/whitepapers/2000427-en.pdf
195
195 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassisに関するドキュメント
• Virtual Chassis for Cloud Builders
hHp://www.slideshare.net/JuniperJapan/vc4-cb-201505
Virtual Chassisの使い⽅や内部動作詳細を⽇本語で解説!
196
196 © 2016 Juniper Networks, Inc. All rights reserved.
LAB.5 Virtual Chassis の設定
197
Ethernet Switching "EX/QFX" course
Topology (Lab.5:Virtual Chassisを構成)
Tokyo
● ●
VCP(Factory Default)
Nagoya
Osaka
0 1 2 3
Fukuoka 10GbE VCP
(xe-0/2/0-1) (xe-0/2/2-3 configured)
※EX3400シリーズは⼯場出荷状態では2つの40GbEインタフェースがVC Portとしてデフォルトで設定されています。
本トレーニングではケーブルの都合上、4つの10GbEインターフェイスのうち⽼番の2ポートをVC Portとして事前設定してあります。
198
198 © 2016 Juniper Networks, Inc. All rights reserved.
VC事前確認①
VCを構成する前に、単体のEXで以下のことを事前確認してください。
• Member-idが”0”であること
• Member ID for next new memberが”1” であること
• Mixed modeが”N”または”NA”となっていること
• Master priorityが”128”であること
> show virtual-chassis
Virtual Chassis ID: 2d90.26d8.22f2
Virtual Chassis Mode: Enabled
Mstr Mixed Neighbor List
Member ID Status Serial No Model prio Role Mode ID Interface
0 (FPC 0) Prsnt BR0208392392 ex4200-24t 128 Master* N
• Config上にvirtual-chassisに関連する設定が何も⼊っていないこと
# show virtual-chassis
EXのJunos SWバージョンが他のメンバーと同⼀であること
199
199 © 2016 Juniper Networks, Inc. All rights reserved.
VC事前確認② EX3400
VCに使⽤するポートの設定を確認します。
• 2つのポート2/2, 2/3がVC Portに設定されていること
• TypeがConfiguredと表⽰されていること
• StatusがAbsent, またはDownであること
200
200 © 2016 Juniper Networks, Inc. All rights reserved.
①VC Basic Setup (non pre-provisioned)
・Tokyo以外のスイッチで、電源をOFFにします。
・(Tokyoのみ)VC管理⽤インタフェースとしてme0の設定をvmeに移しておきます。
・TokyoとNagoyaのVC Portを接続し、Nagoyaの電源をONにします。
TokyoがMasterに選定されますので、TokyoのIPアドレスに接続しなおします。
・同様に、Osaka、Fukuokaをそれぞれ順に接続し、電源を起動します。
201
201 © 2016 Juniper Networks, Inc. All rights reserved.
①VC基本構成確認
以下のコマンドでVCのステータスを確認します。
以下のコマンドでVCメンバーの機器にログインできます。
> request session member <member-id>
202
202 © 2016 Juniper Networks, Inc. All rights reserved.
②mastership priorityの変更 (non pre-provisioned)
• Mastership Priorityを変更して、任意のEXをMaster RE、Backup REに指定します。
• 以下の設定はMasterとなっているスイッチで実⾏してください。
0
Master Priority =255
2
Master Priority =255
203
203 © 2016 Juniper Networks, Inc. All rights reserved.
②mastership priorityの変更 (non pre-provisioned)
Mastership Priorityが変更され、ステータスが更新されたことを確認します。
root> show virtual-chassis
root> show virtual-chassis vc-port statistics extensive
TokyoとNagoya間のVCケーブルを抜去し、ステータスやVCポートの遷移を確認します。
root> show virtual-chassis
0
Master Priority =255
2
Master Priority =255
204
204 © 2016 Juniper Networks, Inc. All rights reserved.
③Virtual Chassisのリセット
• VCを解体して、4台の個別なスイッチに戻す
• VCPケーブルを抜き、各スイッチでステータスを確認 0
Pre-Master RE
member-id 0
1 Pre line-card
member-id 1
2 Pre-Backup RE
member-id 2
3 Pre line-card
member-id 3
解体後、で以下コマンドを実⾏して各種VC情報を消去(以下はBackup-RE の例)
205
205 © 2016 Juniper Networks, Inc. All rights reserved.
④Pre-provisioning configuration 0
Role = Routing Engine
• VCをPreprovision Configurationで構成する
• Master REに以下の設定を投⼊後、各メンバーの 1
VCポートを接続
シリアル番号は適宜修正をしてください。
206
206 © 2016 Juniper Networks, Inc. All rights reserved.
⑤Virtual Chassis HA
• RE間のテーブルやプロトコルの同期設定を⾏うことで、RE障害のダウンタイムを軽減する
0
Role = Routing Engine
3
Role = Routing Engine
207
207 © 2016 Juniper Networks, Inc. All rights reserved.
⑤Virtual Chassis HA
• OSPFの設定をVC-1、VC-2に投⼊した後に、Master REをHaltしてNSRの効果を確認する
0 0
Role = Routing Engine Role = Routing Engine
1 Ae0(ge-1/0/23) Ae0(ge-1/0/23) 1
Ae0(ge-2/0/23) Ae0(ge-2/0/23)
2 2
Role = Routing Engine 3 Ae0 10.1.1.x/24 3 Role = Routing Engine
208
208 © 2016 Juniper Networks, Inc. All rights reserved.
⑤Virtual Chassis HA
• 設定サンプル
VC-1 (192.168.1.1)
VC-2 (192.168.1.5)
209
209 © 2016 Juniper Networks, Inc. All rights reserved.
⑤Virtual Chassis HA
• 確認⽅法
(VC-1のMaster REをRebootしたときに、対向のVC-2側のOSPF neighborが切れないことを確認)
VC-1 (192.168.1.1)
{master:0}[edit]
root@Tokyo-1# run request system reboot member 0 at now
Reboot the system at now? [yes,no] (no) yes
VC-2 (192.168.1.5)
{master:0}[edit]
root@Tokyo-2# run show ospf neighbor detail
Address Interface State ID Pri Dead
10.1.1.1 ae0.0 Full 1.1.1.1 128 38
Area 0.0.0.0, opt 0x52, DR 10.1.1.2, BDR 10.1.1.1
Up 00:03:24, adjacent 00:03:24
210
210 © 2016 Juniper Networks, Inc. All rights reserved.
⑥Virtual Chassis の⽬視での確認⽅法
• Virtual Chassisの状態はStatus LEDを⽬視することで状態の確認を⾏うことが可能です。
• 消灯:システムがパワーオフ、もしくはHalt状態
• 点灯:JUNOSがスイッチ上で動作している状態
• 点滅:以下のうちどれかの状態
• Virtual Chassis(VC)のメンバースイッチ
• Virtual Chassis Fabric(VCF)のメンバースイッチ
MST (Master)
• 消灯:VC/VCFのLinecardとして動作
• 点灯:以下のうちどれかの状態
• スタンドアローンスイッチ
• VCのMaster REスイッチ
• VCFのMaster REスイッチ
• 点滅:以下のうちどれかの状態
• VCのBackup REスイッチ
• VCFのBackup REスイッチ
211
211 © 2016 Juniper Networks, Inc. All rights reserved.
⑥Virtual Chassis の⽬視での確認⽅法
• Virtual Chassisの状態はStatus LEDを⽬視することで状態の確認を⾏うことが可能です。
• 点灯:JUNOSがスイッチ上で動作している状態
• 点滅:スイッチが起動中の状態
• 消灯:システムがパワーオフ、もしくはHalt状態
MST (Master)
• Standaloneの場合
• 消灯:システムがパワーオフ、もしくはHalt状態
• 点灯:JUNOSがスイッチ上で動作している状態
• Virtual Chassisの場合
• 点灯:VCのMaster REスイッチ
• 点滅:VCのBackup REスイッチ
• 消灯:VCのLinecardスイッチ、もしくはHalt状態
212
212 © 2016 Juniper Networks, Inc. All rights reserved.
TIPs to be JUNOS Experts
213
俳句の表⽰
検証作業やトラブルシュートに疲れたときには、JUNOSに前向きな気持ちの⾔葉を
表⽰させ、管理者の気持ちを和らげることが可能です
root> show version and haiku
root> show version and haiku root> show version and haiku root> show version and haiku
Model: ex2200-c-12p-2g Model: ex2200-c-12p-2g Model: ex2200-c-12p-2g
Junos: 14.1X53-D25.2 Junos: 14.1X53-D25.2 Junos: 14.1X53-D25.2
JUNOS EX Software Suite [14.1X53-D25.2] JUNOS EX Software Suite [14.1X53-D25.2] JUNOS EX Software Suite [14.1X53-D25.2]
JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2]
JUNOS Online Documentation [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2]
JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2]
JUNOS Web Management Platform Package JUNOS Web Management Platform Package JUNOS Web Management Platform Package
[14.1X53-D25.2] [14.1X53-D25.2] [14.1X53-D25.2]
※コマンドを打つ度、異なった前向きなポエムが表⽰される
214
214 © 2016 Juniper Networks, Inc. All rights reserved.
設定のコピー
• copy コマンドにより特定の設定をコピーすることが可能
ge-0/0/1の設定をge-0/0/0へコピー
215
215 © 2016 Juniper Networks, Inc. All rights reserved.
設定の書き換え
• rename コマンドにより設定したvariable やエレメントを書き換えることも可能
ge-0/0/0のaddressを192.168.2.1/26へ変更
root# rename interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/26 to address 192.168.2.1/26
216
216 © 2016 Juniper Networks, Inc. All rights reserved.
設定の項⽬の置換
• replace コマンドにより設定内の⽂字列を置換することも可能
ge-0/0/0のaddressを192.168.2.1/26へ変更
217
217 © 2016 Juniper Networks, Inc. All rights reserved.
activate/deactivate
• deactivateコマンドを使うことで、設定の⼀部を削除することなく無効にするこ
とが可能なので、障害時の切り分けなどに便利
192.168.1.2/24を無効化
root# deactivate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24
192.168.1.2/24の無効化を解除(有効化)
218
218 © 2016 Juniper Networks, Inc. All rights reserved.
wildcard range set/delete -1
• wildcard rangeコマンドを使⽤することで、インタフェースなど複数の対象に
対して同じ設定内容を適⽤することが簡単に可能
root# show interfaces
root#
ge-0/0/0-1,3,5のMTU設定が⼀括で投⼊されている
219
219 © 2016 Juniper Networks, Inc. All rights reserved.
wildcard range set/delete -2
• 同様にDeleteも可能
220
220 © 2016 Juniper Networks, Inc. All rights reserved.
interface-range -1
• interface-rangeを使⽤することで、複数のインタフェースをグループ化して
共通の設定を⾏う事が可能。この設定はwildcardと異なりコンフィグ内に保持
される為、⼀度作成してしまえば様々な設定に対する繰り返しの利⽤が可能
root# show interfaces
root#
221
221 © 2016 Juniper Networks, Inc. All rights reserved.
interface-range -2
• Range内の個別インタフェース毎に特有の設定を追加することも可能
root# show interfaces
interface-range CLIENTS {
member ge-0/0/3;
member-range ge-0/0/0 to ge-0/0/1;
mtu 9000;
}
例1: FWフィルタの設定(topの階層から設定)
# show firewall [edit]
family inet{ set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24
filter FW-FILTER{ set firewall family inet filter FW-FILTER term BLOCK from destination-address 192.168.1.0/24
term BLOCK{ set firewall family inet filter FW-FILTER term BLOCK from dscp cs5
from{ set firewall family inet filter FW-FILTER term BLOCK from port https
set firewall family inet filter FW-FILTER term BLOCK from port http
source-address{
10.10.10.0/24;
}
destination-address{
192.168.1.0/24; ※設定を投⼊する際は繰り返しset firewall family…fromと⼊⼒する必要がある
}
dscp cs5;
port[ https http ];
}
}
}
}
223
223 © 2016 Juniper Networks, Inc. All rights reserved.
階層間の移動 -2
例2: FWフィルタの設定(firewall filter FW-FILTER term BLOCK fromの階層から設定)
# show firewall
[edit firewall family inet filter FW-FILTER term BLOCK from]
family inet {
filter FW-FILTER { set source-address 10.10.10.0/24
term BLOCK { set destination-address 192.168.1.0/24
from { set dscp cs5
source-address { set port https
10.10.10.0/24; set from port http
}
destination-address {
192.168.1.0/24;
}
dscp cs5;
port [ https http ];
} ※設定を投⼊する際はfirewall family…fromまでを省略して⼊⼒することができる
}
}
} ※コマンド⼊⼒時、set や delete、show の前に top や up <階層数> を⼊れると
今いる階層から移動せずに今いる階層を無視して⼊⼒・表⽰することができる
224
224 © 2016 Juniper Networks, Inc. All rights reserved.
階層間の移動 -3
• 階層間は、editコマンドで移動することができます
• exit:直前にいたレベルに戻ります
• TOPでEXITを実⾏すると、Operationalモードに戻ります
• OperationalモードでEXITを実⾏すると、システムからLogoutします
• Shellモードから`cli`でOperationalモードに移動した場合は、Shellモードに戻ります
• up:⼀つ上のレベルに移動します
• top:最上位のレベルに移動します
# show firewall
Editで階層を指定
filter FW-FILTER{
upで⼀つ上へ
term BLOCK{
from{
source-address{
10.10.10.0/24;
Down }
destination-address{
192.168.1.0/24;
}
dscp cs5;
port[ https http ];
※top edit や up <階層数> edit と⼊れると1回の⼊⼒で }
今いる階層から任意の階層に移動することができる }
}
}
225
225 © 2016 Juniper Networks, Inc. All rights reserved.
Automatic Configuration Archival
• Automatic Configuration Archival機能を使⽤することで、⾃動的に最新のコ
ンフィグをリモートのFTP/SCPサーバにバックアップすることが可能
• アップロードのタイミングは、コミットの度もしくは⼀定時間毎のいずれか、
あるいは両⽅を選択可能
1. コミットの度にリモートのサーバにコンフィグをバックアップする設定:
2. ⼀定時間おきにリモートのサーバにコンフィグをバックアップする設定:
(例: 1440分 = 24時間おき)
[
user@Junos# set system archival configuration transfer-interval 1440
user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP-
server-ip/directory
226
226 © 2016 Juniper Networks, Inc. All rights reserved.
annotate
• annotateコマンドを使うと、⾃由に注釈をつけることが可能、
テスト時・運⽤時などに便利
今いる階層の直下にあるコンフィグアイテムが対象、注釈内容はコンフィグアイテムの上部に/* XXXX */と書かれる
root# annotate interfaces ge-0/0/0 “borrowed the cable directory from Yoshida-san”
227
227 © 2016 Juniper Networks, Inc. All rights reserved.
機器の初期化
Junos機器を初期化する⼿法は主に以下の3つ
• Configuration modeで load factory-default
• 実⾏すると、Candidate Configurationにデフォルトの設定がロードされる
• 実際に初期設定に戻すには、rootパスワードの設定とCommitが必要となる
• 設定のみを戻したいときに有効で、ログや過去のConfig(rollback)などは削除されない
• Operation modeで request system zeroize
• 実⾏すると、全ての設定やログ、ユーザの作成したファイルが削除され、再起動する
• システムファイルは削除されない
• USBメモリやCFからのFormat install
• USBメモリやCFにJunosイメージを書き込み、ブートローダーからJunosを再インストー
ルする
• システムファイルを含むディスク上の全てのデータが削除され、新たにJunosがインス
トールされる
• 実⾏⽅法は機種によって異なり、JTACから指⽰された場合を除き、⼀般的に使⽤する必
要はない
228
228 © 2016 Juniper Networks, Inc. All rights reserved.
コントロールパケットのキャプチャ
以下のコマンドを使⽤することにより、コントロールパケット(REが受信するパケット)をキャ
プチャする事が可能
root> monitor traffic interface xe-1/2/0.0
verbose output suppressed, use <detail> or <extensive> for full protocol decode
Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.
Address resolution timeout is 4s.
Listening on xe-1/2/0.0, capture size 96 bytes
• このコマンドでキャプチャできるパケットは、PFEで処理されずREで処理されるパケットに限られる
• ICMP Echo(ping)等、PFEによってオフロード処理されるパケットは表⽰されないので注意
• パケット内容の詳細まで確認したい場合は extensive オプションなどを使⽤する
229
229 © 2016 Juniper Networks, Inc. All rights reserved.
groups/apply-groups
設定の⼀部をgroupという形で切り出し、apply-groupsで任意の階層に適⽤する事が可能
• 例: 全てのOSPFインタフェースのHello-IntervalとDead-Intervalを変更
root# show groups
OSPF_COMMON { インタフェース名やエリア名、IPアドレス # show protocols ospf | display inheritance
protocols { 等のユーザが⾃由⼊⼒する値は<*>とする area 0.0.0.0 {
ospf { と全てに適⽤される interface st0.1 {
area <*> { ##
interface <st*> { ## '5' was inherited from group 'OSPF_COMMON'
hello-interval 5; 特定のインタフェースのみに適⽤したい場合 ##
dead-interval 20; などは、<st*> といったように⼀部の⽂字 hello-interval 5;
} 列を指定することも可能 ##
} ## '20' was inherited from group 'OSPF_COMMON'
} ##
} dead-interval 20;
} ⾃動的に共通設定が適⽤される }
interface st0.2 {
root# show protocols ospf ##
apply-groups OSPF_COMMON; ## '5' was inherited from group 'OSPF_COMMON'
area 0.0.0.0 { ##
interface st0.1; hello-interval 5;
interface st0.2; ##
interface lo0.0 { ## '20' was inherited from group 'OSPF_COMMON'
passive; ##
} dead-interval 20;
} }
interface lo0.0 {
passive;
}
}
※CommitしてもConfigはきちんとグループ化されたままとなる
実際に適⽤される設定を確認したい場合は、 show configuration | display inheritance コマンドを使⽤する
230
230 © 2016 Juniper Networks, Inc. All rights reserved.
prefix-list / apply-path
設定に含まれるIPアドレスから⾃動的にリストを⽣成し、Firewall Filterに適⽤することが可能
root# show protocols bgp root# show policy-options | display inheritance
group GROUP-A { prefix-list BGP-PEERS {
neighbor 1.1.1.1;
neighbor 2.2.2.2;
##
} ## apply-path was expanded to:
## 1.1.1.1/32;
root# show interfaces ## 2.2.2.2/32;
ge-0/0/0 { unit 0 { family inet { ##
address 1.1.1.0/30; apply-path "protocols bgp group <*> neighbor
} } } <*>";
ge-0/0/1 { unit 0 { family inet {
address 2.2.2.0/30; }
} } } prefix-list LOCALNETS {
fxp0 { unit 0 { family inet { IPアドレスが ##
address 192.168.1.10/24;
} } }
⾃動的コピーされる ## apply-path was expanded to:
## 1.1.1.0/30;
## 2.2.2.0/30;
root# show policy-options
prefix-list BGP-PEERS { ##
apply-path "protocols bgp group <*> neighbor <*>"; apply-path "interfaces <ge-*> unit <*>
} family inet address <*>";
prefix-list LOCALNETS { }
apply-path "interfaces <ge-*> unit <*> family inet
address <*>";
}
231
231 © 2016 Juniper Networks, Inc. All rights reserved.
show configuration groups junos-defaults
暗黙の初期コンフィグを確認することが可能
user@host> show configuration groups junos-defaults
#
# Defines the default for dynamic-profiles
#
dynamic-profiles {
<*> {
variables {
junos-interface-unit {
internal;
valid-path "interface_unit_number|unit-number unit interface interface-set";
}
junos-interface-ifd-name {
internal;
valid-path "interface_name|interface-name interface interface-set|underlying-
interface";
}
junos-underlying-interface-unit {
internal;
valid-path "interface_unit_number|unit-number unit interface interface-set";
}
junos-underlying-interface {
internal;
valid-path underlying-interface;
}
junos-subscriber-ip-address {
internal;
valid-path "source address inet|address demux-source inet|address source-address
from term fast-update-filter inet|address destination-address from term fast-update-filter inet|
destination route";
}
(snip)
232
232 © 2016 Juniper Networks, Inc. All rights reserved.
オンライン・マニュアル
• 豊富な機能の help コマンド
• help topic : プロトコルや機能の⼀般的な説明を表⽰
• help reference : プロトコルや機能の設定⽅法を表⽰(コマンド・レファレンス)
• help syslog : syslog メッセージの説明
233
233 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS : help topic
コマンドの概要を確認することが可能
If a router does not receive a hello packet from a neighbor within a fixed
amount of time, the router modifies its topological database to indicate
that the neighbor is nonoperational. The time that the router waits is
called the router dead interval. By default, this interval is 40 seconds
(four times the default hello interval).
To modify the router dead interval, include the dead-interval statement.
This interval must be the same for all routers on a shared network.
dead-interval seconds;
For a list of hierarchy levels at which you can include this statement,
see the statement summary section for this statement.
234
234 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS : help reference
• コマンドのオンラインマニュアルを参照することが可能
235
235 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS : help apropos
• 確実に覚えていないコマンド(うろ覚えの場合など)を⽂字列で検索することが可能
user@host# help apropos vstp ConfiguraNon mode
set logical-systems <name> protocols vstp
VLAN Spanning Tree Protocol options
set logical-systems <name> protocols vstp disable
Disable VSTP
set protocols vstp
VLAN Spanning Tree Protocol options
set protocols vstp disable
Disable VSTP
236
236 © 2016 Juniper Networks, Inc. All rights reserved.
CLI:Trace/充実したdebug機能
例: OSPF Trace-opNon
注⽬したいパケットタイプを細かく指定することが可能
237
237 © 2016 Juniper Networks, Inc. All rights reserved.
CLI:monitor/リアルタイムにトラフィックを監視
• monitorコマンドで現在のI/F別トラフィック状況を⾒ることが出来ます
• 表⽰はAUTOリフレッシュされるため、継続的なモニタリングが可能
• トラフィックの傾向や障害箇所の特定に役⽴ちます
238
238 © 2016 Juniper Networks, Inc. All rights reserved.
rescue configuration
• 基本となるconfigurationを予め定義(保存)することが可能
保存⽅法: > request system configuration rescue save
削除⽅法: > request system configuration rescue delete
• Rescue configurationの反映⽅法
• Rollbackコマンドからのロード
# rollback rescue
root# rollback rescue
load complete
root# commit
• ハードウェアからのロード
• SRXシリーズはRESET CONFIGボタンを押すことで • ⼀部のEXシリーズはLCDパネルでメンテナンスモードを
ハードウェアからロードすることができます。 操作することでハードウェアからロードすることができます。
※15秒以上押し続けるとfactory defaultがロードされます
例:
SRX300 例: EX3300
239
239 © 2016 Juniper Networks, Inc. All rights reserved.
vSRX on your laptop ~PCで始めるvSRX~
• 仮想Router/FirewallであるvSRXをLaptop PC上で動作させるための指南書
http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505
実際のデバイスと同様の設定作成や仕様確認をPC上で実施することが可能!
240
240 © 2016 Juniper Networks, Inc. All rights reserved.
Appendix
241
Appendix A
Virtual Chassis Fabric
242
Virtual Chassis Fabricとは
2台以上20台以下のQFX5100シリーズ/EX4300 スイッチを接続することで
仮想的に1台のシャーシ型システムとして動作させるL2/L3 イーサネット
ファブリックテクノロジー
Devices to Manage
= 1 !!!
Routing Engine
ネットワーク管理者
Line Card
Routing Engine
Line Card
シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
243
243 © 2016 Juniper Networks, Inc. All rights reserved.
旧来のシャーシ型スイッチとVirtual Chassis技術
シャーシ型スイッチのメリット
ü ⾼信頼性ハードウェア LAG 1
– 冗⻑ルーティングエンジン
– 冗⻑スイッチファブリック
– 冗⻑電源ユニット
– 冗⻑ファントレイ
ü 管理の簡便性
– シングルイメージ
– 単⼀のコンフィグファイル
– 単⼀のマネージメントIPアドレス
ü パフォーマンスとスケーリング
– ハイパフォーマンス
– ⼤容量のバックプレーン
– モジュラー型構成
LAG 2
244
Architectural Choice
– Virtual Chassis Fabric vs. Virtual Chassis
Virtual Chassis Virtual Chassis Fabric
Braid Ring
245
245 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricの構成オプション
2 or 4 Spine Node Deployments
2 Spine Nodes 4 Spine Nodes
40GbE 40GbE
1 X Switch to Manage 1 X Switch to Manage
1 2 1 2 3 4
QFX5100-24Q QFX5100-24Q
QFX5100-24Q
8 X uplinks QFX5100-96S
2 X uplinks QFX5100-48S
1 2 3 4 28
1 2 3 4 30
246
246 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricをサポートするプラットフォーム
10/40GbE Spine Nodes
QFX5100-48S QFX5100-24Q
(10GbE) (40GbE)
EX4300 (1GbE)
最⼤ 20 Members
247
247
(2x Spine + 18x Leaf or 4x Spine + 16x Leaf)
© 2016 Juniper Networks, Inc. All rights reserved.
Mixed Speed Fabric(1G to 40G)
異なるメディアスピードのスイッチをVirtual Chassis Fabric内で収容可能なため
1GbE から 10GbE, 40GbE 環境へのシームレスな移⾏をサポート
Devices to Manage
= 1 !!!
ネットワーク管理者
248
248 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricの使⽤例(1)@DCネットワーク
4x spine, 16x leaf による1G & 10G Mixed VCF構成 (Max 16 racks per VCF)
DC
The Internet Interconnect
(MPLS) Switches to Manage
Service Gateway
= 1 !!! For ~28 Racks
(SRX)
Spine Switch
(QFX5100-24Q x4) ネットワーク管理者
Access Switch
( EX4300-48T x8) Access Switch
( QFX5100-48T x8)
異なるLCへの 異なるLCへの
NIC Teaming LAG
1G Server 10G Server
249
249 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricの使⽤例(2)@DCネットワーク
奇数ラック、偶数ラックでのVCF分割による⾼可⽤設計 (Max 60 racks per 2x VCFs)
DC
Service Gateway The Internet Interconnect
(SRX)
(MPLS) Switches to Manage
Load-Balancer = 3 !!! For ~60 racks
DC Edge Router
(MX)
Core VC Switch
(QFX5100-24Q x2)
ネットワーク管理者
`
Spine Switch for Odd VCF Spine Switch for Even VCF
(QFX5100-24Q x2) (QFX5100-24Q x2)
Access Switch
( EX4300-48T x10) Access Switch
( QFX5100-48T x10)
異なるVCFへの
VCFまたぎの Teaming
Clustering
Cluster Important
Server Server
250
250 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricの構成⽅法について -1
QFX5100/EX4300の出荷時の状態では、スイッチの動作モードはVCモードとなっており、その
ままではVCFを構成することができません。
VCFを構成するにあたっては、VCFのライセンスを投⼊後、以下のコマンドを使⽤して、スイッチ
をVirtual Chassis Fabricモードに変更する必要があります。
251
251 © 2016 Juniper Networks, Inc. All rights reserved.
Virtual Chassis Fabricの構成⽅法について -2
VCFを構成する際には、
Plug-and-PlayでのVCF構成を提供する“Non-Preprovisioned mode”と、
Spineについての設定のみを投⼊する”Auto-Provisioned mode”、
最低限の設定投⼊によりVCを構成する“Preprovisioned mode”から選択が可能です。
⼀般的により⾼いSLAが求められるデータセンターへのデプロイ時には“Preprovisioned
mode”でのVCF構成を推奨します。これによりシリアルでのハードウェア管理による、より安定
した運⽤と、OSアップグレード時におけるNSSUサービスが提供されます。
…
252
252 © 2016 Juniper Networks, Inc. All rights reserved.
Appendix B
Multi-Chassis LAG
253
Juniperの提供する冗⻑化技術
筐体を跨いだLink Aggregation(LAG)が組める技術として、
主に以下のアーキテクチャを提供しています。
10台までを、
仮想的な1台のシャー型
スイッチとして管理
管理負荷を下げつつ、ハイパフォー
スパニングツリーなどを使⽤せずに マンスな転送を実現するSpine-Leaf
管理の負荷を下げつつ、柔軟なデ
標準化プロトコルでL2冗⻑を構成し 型のファブリックトポロジーを構成
ザインを実現したい⽅
たい⽅ したい⽅に
254
254 © 2016 Juniper Networks, Inc. All rights reserved.
アーキテクチャ選択
MC-LAG vs Virtual Chassis
それぞれが独⽴し
MC-LAG て動き、MAC、I/
Fの状態を交換 Virtual Chassis
REはHot-stanby
Configも常に同期
Active Active
1 2 1 10
管理 2台別々 10台まで
1台として管理
スイッチ台数が増え
設定同期 ⼿動(※Roadmap) ⾃動 てくると、管理⾯で
差が出てきます。
対向デバイスから⾒たL2ネイバー 1台に⾒える 1台に⾒える
MC-LAG
Active/Active構成
Active/Standby構成
VRRPとの組合せ
L2VPN(MPLS)との
組合せ
VPLSとの組合せ
256
256 © 2016 Juniper Networks, Inc. All rights reserved.
MC-LAG基本構成
• MC-LAGを構成する上での基本
MC-LAGを構成するスイッチはどちらもActive (Master/Backup等の関係では無
い)ので、ここではNode1、Node2と呼びます。
ICCP
Node1 Node2
• Node1・2の間はMACアドレスやLinkの
ステータスを同期しています。
(ICCP)
• MC-LAGにつながるLAG機器とはLACPで
LACP
ステータスを交換します。
257
257 © 2016 Juniper Networks, Inc. All rights reserved.
MC-LAG基本構成
Node1 Node2
• スイッチTOR1から⾒るとMC-LAGは単なる
LAGにしか⾒えません。
• LACPで⾒ても、どちらのMACも同じMAC
LACP
が⾒えます。
et-0/0/48.0 et-0/0/49.0
TOR1
TOR1でのLACPのステータス出⼒例
LACP info: Role System System Port Port Port
priority identifier priority number key
et-0/0/48.0 Actor 127 54:1e:56:69:4e:00 127 1 3
et-0/0/48.0 Partner 127 00:00:ae:00:00:02 127 2 1002
(Node1)
258
258 © 2016 Juniper Networks, Inc. All rights reserved.
⽤語の整理
• MC-LAGは各ベンダーで⽤語が異なりますが、ジュニパーでは以下の⽤語を使⽤します。
ICCP
• ICCP(Inter-chassis control protocol):
Node1 Node2 MACやLinkの状態をNode間で共有する為の制御通信
⽤途で、TCPセッションにより確⽴されます。
ICL
• ICL(Inter-Chassis Link):
スイッチ間の物理Link。ICL-PLとも⾔います。
出来る限りここをLAGで構成するデザインが推奨です。
• S-LINK(Single-homed Link):
冗⻑されてないLinkです。既存の収容、NW移⾏やメ
ンテ等で⼀時的にこの構成になりえます。
259
259 © 2016 Juniper Networks, Inc. All rights reserved.
⽤語の整理(つづき)
• 出来る限り、ICCPの接続⽤途で管理セグメントも使いましょう。
管理⽤セグメント
• ICCPが切れてしまう状況は、Sprit Brainという絶
ICCP 対に避けたい状況です。
Node1 Node2
• ICLのバックアップとして、管理セグメントを使った
ICCPのやりとりができます。(backup-liveness-
detection)
ICL
• ただし、ユーザパケットは転送しません。あくまで
Sprit状態を避ける為のラストリゾートです。
S-Link MC-AE
MC-links
ICL故障発⽣時の動作の詳細は以下で確認できます。
https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/
lag-multichassis-feature-summary.html#jd0e106
260
260 © 2016 Juniper Networks, Inc. All rights reserved.
L3の冗⻑構成は?
デフォルトGWの冗⻑について
VRRP⽅式の構成例
• ⽅式は2つあります。
別セグメント 別セグメント
– VRRP over IRB⽅式
• Node同⼠でVRRPを構成 Irb.2 Irb.2
261
261 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
設定項⽬ Node1 Node2 備考
※Node1の設定例
Node1設定コマンド
set chassis aggregated-devices ethernet device-count 10
set switch-options service-id 16384
set interfaces irb unit 4000 family inet address 192.168.254.26/24
set vlans VLAN4000 vlan-id 4000
set vlans VLAN4000 l3-interface irb.4000
例はNode1の設定例ですが、IRBのアドレス値を変えれば、Node2⽤の設定となります。
どちらか⼀⽅にだけ投⼊する設定はありません。
262
262 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
設定項⽬ Node1 Node2 備考
• 基礎設定その2 ICCP⽤IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので/
30とかでも可
ICL InterceのID ae0 ae0 aeはaggregated-ethernetの略で、
LAG⽤仮想I/F名
ae0に所属させる物 et-0/0/22 et-0/0/22
理I/F et-0/0/23 et-0/0/23
ICCP
Node1 その他 LACP Fastモード LACP Fastモード LACPとVlan4000をae0に設定
Node2 Vlan4000 Vlan4000
et-0/0/22
et-0/0/23
et-0/0/0 ae0 et-0/0/0
※Node1の設定例
Node2のアドレスを設定
set interfaces et-0/0/22 ether-options 802.3ad ae0
set interfaces et-0/0/23 ether-options 802.3ad ae0
set interfaces ae0 aggregated-ether-options lacp active periodic fast
set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk
set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN4000
263
263 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
設定項⽬ Node1 Node2 備考
※Node1の設定例
264
264 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
• 接続が間違えていなければ次のようにみえるはずです。
• よくあるうっかりミス:そもそもLAG(ae0)がUpしていない。
▶最初に使⽤するLAGの数を登録する必要があります。
10とするとae0〜ae9までI/Fが作られます。
265
265 © 2016 Juniper Networks, Inc. All rights reserved.
設定項⽬ Node1 Node2 備考
LACP system-id
ae1
00:00:ae:00:00:01
ae1
00:00:ae:00:00:01 同じ値を設定します。LAG毎に変
更します。
• MC-Linksの設定 LACP admin-key 1001 1001 同じ値を設定します。
LAG毎に変更します。
• 次にTORスイッチを収容する
mc-ae mc-ae-id 1001 1001 同じ値を設定します。
LAGを設定します。 LAG毎に変更します。
mc-ae chassis-id 0 1 Node毎に変えます。
※Node1の設定例
set interfaces et-0/0/0 ether-options 802.3ad ae1
set interfaces ae1 aggregated-ether-options lacp active periodic fast
set interfaces ae1 aggregated-ether-options lacp system-id 00:00:ae:00:00:01
set interfaces ae1 aggregated-ether-options lacp admin-key 1001
set interfaces ae1 aggregated-ether-options mc-ae mc-ae-id 1001
set interfaces ae1 aggregated-ether-options mc-ae chassis-id 0
set interfaces ae1 aggregated-ether-options mc-ae mode active-active
set interfaces ae1 aggregated-ether-options mc-ae status-control active
set interfaces ae1 aggregated-ether-options mc-ae init-delay-time 60
266
266 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
• MC-Linksの確認
対向との設定が合っていて、正しく接続されていれば、次の様に表⽰されます。
267
267 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
• Mc-linksへのVlanの組み込み
• VLAN1001をae1に追加します。ICL(ae0)にも追加するのを忘れないでください。
Node1 Node2
設定項⽬ Node1 Node2 備考
et-0/0/22
Vlan名 V1001 V1001
et-0/0/23
et-0/0/0 ae0 et-0/0/0
Vlan-id 1001 1001
ae1
※Node1の設定例
set vlans v1001 vlan-id 1001
set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk
set interfaces ae1 unit 0 family ethernet-switching vlan members v1001
set interfaces ae1 unit 0 family ethernet-switching storm-control default
set interfaces ae0 unit 0 family ethernet-switching vlan members v1001
268
268 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
• [Option]L3 Routing(Default Gateway)の設定
• Vlan1001にサーバのデフォルトゲートウェイとなるアドレスを設定します。
※Node1の設定例
set vlans v1001 l3-interface irb.1001
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 priority 100
set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 accept-data
269
269 © 2016 Juniper Networks, Inc. All rights reserved.
設定⽅法;
• L3 Routing(Default Gateway)の確認
• Default Gatewayアドレスが冗⻑されているか確認します。
Node1
実IP 192.168.1.253/24
仮想IP 192.168.1.254 Node2 • 下記の様になっていない場合
実IP 192.168.1.252/24 – ICL(ae0)にVLAN1001が設定されているか確認して下さい。
et-0/0/22
et-0/0/23
et-0/0/0 ae0 et-0/0/0
ae1
Node1
{master:0}[edit]
lab@node1# run show vrrp
Interface State Group VR state VR Mode Timer Type Address
irb.1001 up 1 master Active A 0.359 lcl 192.168.1.253
vip 192.168.1.254
Node2
lab@node2# run show vrrp
Interface State Group VR state VR Mode Timer Type Address
irb.1001 up 1 backup Active D 2.718 lcl 192.168.1.252
vip 192.168.1.254
mas 192.168.1.253
270
270 © 2016 Juniper Networks, Inc. All rights reserved.
Appendix C
Zero Touch Provisioning
271
ZTP(Zero-touch Provisioning)とは
• DCにToRスイッチを新設するオペレーションは簡単だが、⼤量のスイッチ
を展開することを考慮すると⼿間は膨⼤
• ZTPとは、スイッチの初期導⼊時においてJUNOSのバージョンとコンフィ
グを⾃動でプロビジョニングする機能 (Junos 12.2よりサポート)
• 主に海外のOTT, DC事業者などにおいて広く使われている
272
272 © 2016 Juniper Networks, Inc. All rights reserved.
ZTPと従来のオペレーションとの⽐較
Legacy
Ops
起動して
ネットワークに OSバージョン
開梱 コンソールからセッ 初期設定 サービスイン
接続 アップ・ダウン
トアップ
ネットワークに
開梱 ZTP サービスイン
接続して起動
ZTP
膨⼤な数のToRを設置しなくてはいけないDC等の場合には、
ZTPによるOPEXの削減効果は絶⼤!
273
273 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS ZTP Overview – Components
⾃動的なプロビジョニングを前提としたDC向けイーサネット・スイッチの実装
• ⾃動的なOSアップグレード – 管理者の⼿をわずらわせない実装
• ⾃動的なベースコンフィグレーションの投⼊ – 管理者の⼿をわずらわせない実装
• JUNOS12.2よりすべてのJuniperスイッチ(EX,QFX,OCX)でサポート
⼯場出荷状態のスイッチ
DHCP Server:
• ⾃動プロビジョニングの動作を指定
• OSイメージと設定ファイルの配備場所を指定
HTTP/FTP/TFTP Server
• OSイメージと設定ファイルの格納場所
Physical Connectivity
Clients Servers
LAN Network
OR Servers (DHCP,
Mgmt Network FTP, TFTP etc)
Juniper QFX/EX Switch with
Factory Default Configuration
274
274 © 2016 Juniper Networks, Inc. All rights reserved.
ZTPのコンポーネント
§ ゼロタッチ:装置にコンソールなどでのログインが不要
§ 電源を⼊れるだけ!
§ ⽤意するのはDHCPサーバとファイルサーバの2つ
§ ネットワーク経由で⾃動的にOSや設定情報を装置に転送し反映
§ ⼯場出荷状態で動作するため特別な設定は不要
- 装置にIPアドレスを付与
- TFTPサーバのアドレスを通知
- 取得すべきConfigファイル名を通知
DHCPサーバ
EX/QFXスイッチ - Configファイル
-OSファイル
ファイルサーバ
275
275 © 2016 Juniper Networks, Inc. All rights reserved.
動作シーケンス
§ スイッチはシリアルとMACアドレスを含むDHCPリクエストを送信
§ DHCP OptionでTFTPサーバのIPアドレスとOS/Configのファイル名を通知
- 装置にIPアドレスを付与
1. デフォルト設定で起動 - TFTPサーバのアドレスを通知
- 取得すべきConfigファイル名を通知
ZTPスタート! 2. DHCP Discover/Request
DHCPサーバ
3. DHCP Offer/ACK
(ファイルサーバ+ファイル名)
EX/QFXスイッチ
- Configファイル
4. File Request -OSファイル
(指定されたファイル名)
276
276 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS ZTP の流れ
スイッチはDHCPサーバからIPア
スイッチが Auto image
ドレス、DGW、FTP/TFTP AIUプロセスがJunos Imageと
installation (AIU) プロセスを開
Server、Junos Image と Config fileをダウンロード
始する
Configのファイル名を受け取る
指定されたバー
新しいOSイメージをインストー ジョンのOSが既
ブートアップ完了後、スイッチ ル に⼊っている
がDHCPリクエストをアクティブ NO か?
リンクから送信する
新しい設定をCommit
YES
スイッチをネットワークに接続
して、電源を投⼊する (⼯場出
荷状態のスイッチ) 再起動 新しい設定をCommit
START END
277
277 © 2016 Juniper Networks, Inc. All rights reserved.
筐体の識別
DHCPサーバの設定 筐体背⾯⼜は底⾯のシールに筐体のMACが記載
ddns-update-style none;
opNon opNon-66 code 66 = string;
opNon space NEW_OP;
opNon NEW_OP.config-file-name code 1 = text; 筐体のMACアドレス
opNon NEW_OP-encapsulaNon code 43 = encapsulate NEW_OP;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.1 192.168.1.200;
default-lease-Nme 6000;
max-lease-Nme 7200;
opNon routers 192.168.1.1;
opNon subnet-mask 255.255.255.0;
host switch1 {
hardware ethernet 2c:6b:f5:3a:6e:41;
fixed-address 192.168.1.11;
opNon NEW_OP.config-file-name "switch1.cfg";
opNon opNon-66 "192.168.1.100";
}
host switch2 { 筐体のMACアドレスに+1したものを設定に記述
hardware ethernet 64:87:88:B7:45:81;
fixed-address 192.168.1.12;
opNon NEW_OP.config-file-name "switch2.cfg";
opNon opNon-66 "192.168.1.100";
}
}
278
278 © 2016 Juniper Networks, Inc. All rights reserved.
JUNOS ZTP
– DHCP Server Configuration(サンプル)
Vendor Specific options
option space NEW_OP;
(Auto image upgradeに
option NEW_OP.image-file-name code 0 = text;
option NEW_OP.config-file-name code 1 = text; 必要)
option NEW_OP-encapsulation code 43 = encapsulate NEW_OP;
group {
option tftp-server-name "17.176.31.71";
option log-servers 17.176.31.72; Syslog and NTP servers
option ntp-servers 17.176.31.73;
option NEW_OP.image-file-name "/images/jinstall-qfx.tgz";
option NEW_OP.transfer-mode "ftp";
投⼊されるOSイメージ
host tor-qfx5100-1 {
hardware ethernet 88:e0:f3:71:a0:82; シンボリックリンクを指定
fixed-address 172.16.31.19; することも可能
option host-name "tor-qfx5100-1";
option NEW_OP.config-file-name “tor-qfx5100-1.config";
}
host tor-qfx5100-1 { Auto configurationで指定
hardware ethernet f8:c0:01:c6:96:81; される設定ファイル
fixed-address 172.16.31.20;
option host-name “tor-qfx5100-2";
option NEW_OP.config-file-name “tor-qfx5100-2.config";
} MACアドレスから IPアド
} レスおよびシステムのホス
トネームへのマッピング
279
279 © 2016 Juniper Networks, Inc. All rights reserved.
ZTPが提供するもの
効率 ⼀貫性 可⽤性
Any EX & QFX Switches Any EX & QFX Switches Any EX & QFX Switches
導⼊にかかる 機器故障時の
時間を削減 設定ミスの削減 交換にかかる時間を削減
280
280 © 2016 Juniper Networks, Inc. All rights reserved.
ZTP + Script
MACアドレス/Serialベースではなく、ネットワークの情報を元にConfigを投⼊
ZTP
Clients
①Fetch ba スイッチXのポートYと繋がっている
se configu
ration (w/S ポートにはXXXを追加!
cript)
③Fetch ad
with Neigh ditional configuration
bor inform
ation
②LLDP等
Port Y Config
Server
Switch X
282
283