Juniper Networks (日本), profile picture
Uploaded byJuniper Networks (日本)
PDF, PPTX23,079 views

【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース

本資料はジュニパーネットワークス主催のJUNOSハンズオントレーニングで使用されている資料です。 JUNOS ハンズオントレーニングの情報は以下をご覧ください。 http://www.juniper.net/jp/jp/dm/junos-handson/

Embed presentation

Download as PDF, PPTX
1 / 281
2 / 281
3 / 281
4 / 281
5 / 281
6 / 281
7 / 281
8 / 281
9 / 281
10 / 281
11 / 281
12 / 281
13 / 281
14 / 281
15 / 281
16 / 281
17 / 281
18 / 281
19 / 281
20 / 281
21 / 281
22 / 281
23 / 281
24 / 281
25 / 281
26 / 281
27 / 281
28 / 281
29 / 281
30 / 281
31 / 281
32 / 281
33 / 281
34 / 281
35 / 281
36 / 281
37 / 281
38 / 281
39 / 281
40 / 281
41 / 281
42 / 281
43 / 281
44 / 281
45 / 281
46 / 281
47 / 281
48 / 281
49 / 281
50 / 281
51 / 281
52 / 281
53 / 281
54 / 281
55 / 281
56 / 281
57 / 281
58 / 281
59 / 281
60 / 281
61 / 281
62 / 281
63 / 281
64 / 281
65 / 281
66 / 281
67 / 281
68 / 281
69 / 281
70 / 281
71 / 281
72 / 281
73 / 281
74 / 281
75 / 281
76 / 281
77 / 281
78 / 281
79 / 281
80 / 281
81 / 281
82 / 281
83 / 281
84 / 281
85 / 281
86 / 281
87 / 281
88 / 281
89 / 281
90 / 281
91 / 281
92 / 281
93 / 281
94 / 281
95 / 281
96 / 281
97 / 281
98 / 281
99 / 281
100 / 281
101 / 281
102 / 281
103 / 281
104 / 281
105 / 281
106 / 281
107 / 281
108 / 281
109 / 281
110 / 281
111 / 281
112 / 281
113 / 281
114 / 281
115 / 281
116 / 281
117 / 281
118 / 281
119 / 281
120 / 281
121 / 281
122 / 281
123 / 281
124 / 281
125 / 281
126 / 281
127 / 281
128 / 281
129 / 281
130 / 281
131 / 281
132 / 281
133 / 281
134 / 281
Most read
135 / 281
136 / 281
137 / 281
138 / 281
139 / 281
140 / 281
141 / 281
142 / 281
143 / 281
144 / 281
145 / 281
146 / 281
147 / 281
148 / 281
149 / 281
150 / 281
151 / 281
152 / 281
153 / 281
154 / 281
155 / 281
156 / 281
157 / 281
158 / 281
159 / 281
160 / 281
161 / 281
162 / 281
163 / 281
164 / 281
165 / 281
166 / 281
167 / 281
168 / 281
169 / 281
170 / 281
171 / 281
172 / 281
173 / 281
174 / 281
175 / 281
176 / 281
177 / 281
178 / 281
179 / 281
180 / 281
181 / 281
182 / 281
183 / 281
184 / 281
185 / 281
186 / 281
187 / 281
188 / 281
189 / 281
190 / 281
191 / 281
192 / 281
193 / 281
Most read
194 / 281
195 / 281
196 / 281
197 / 281
198 / 281
199 / 281
200 / 281
201 / 281
202 / 281
203 / 281
204 / 281
205 / 281
206 / 281
207 / 281
208 / 281
209 / 281
210 / 281
211 / 281
212 / 281
213 / 281
214 / 281
215 / 281
216 / 281
217 / 281
218 / 281
219 / 281
220 / 281
221 / 281
222 / 281
223 / 281
224 / 281
225 / 281
226 / 281
227 / 281
228 / 281
229 / 281
230 / 281
231 / 281
232 / 281
233 / 281
234 / 281
235 / 281
236 / 281
237 / 281
238 / 281
239 / 281
240 / 281
241 / 281
242 / 281
243 / 281
244 / 281
245 / 281
246 / 281
247 / 281
248 / 281
249 / 281
250 / 281
251 / 281
252 / 281
253 / 281
254 / 281
255 / 281
256 / 281
257 / 281
258 / 281
259 / 281
260 / 281
261 / 281
262 / 281
263 / 281
264 / 281
Most read
265 / 281
266 / 281
267 / 281
268 / 281
269 / 281
270 / 281
271 / 281
272 / 281
273 / 281
274 / 281
275 / 281
276 / 281
277 / 281
278 / 281
279 / 281
280 / 281
281 / 281
JUNOS Hands On Training “EX/QFX” Course Juniper Network, K.K. 04/2017 rev.1.21
はじめに • 本資料にあるロードマップの内容は、資料作成時点における ジュニパーネットワークスの予定を示したものであり、事前の通告無しに 内容が変更されることがあります。 • またロードマップに描かれている機能や構成は、購入時の条件になりません ので、ご注意ください。 Legal Disclaimer: This statement of product direction (formerly called“roadmap”) sets forth Juniper Networks' current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement.
JUNOS Basic Juniper Network, K.K. JUNOS Hands-on Training
Training Outline ”JUNOS Basic” トレーニング内容(前半) 記載ページ ジュニパーネットワークス会社紹介 P.6 JUNOSとは P.13 運用面からみたJUNOSのアドバンテージ P.25 トレーニング・デバイスへのアクセス方法 P.35 CLIモードと各モード間の移動 P.39 JUNOS CLI操作 ~Operationalモード~ P.46 JUNOS CLI操作 ~Configurationモード~ P.65 JUNOSシステム設定 P.82 JUNOSインタフェース設定 P.90 JUNOS経路設定 P.98 Firewall Filterの設定 P.102
Training Outline Ethernet Switching "EX/QFX" course トレーニング内容(後半) 記載ページ ジュニパーのイーサネット・スイッチポートフォリオ P.111 LAB.1 JUNOSの基本的な操作・設定 P.121 LAB.2 Interfaceの設定 P.135 LAB.3 Routingの設定 P.148 LAB.4 Firewall Filterの設定 P.155 Virtual Chassisとは P.161 Virtual Chassis Deep Dive P.176 LAB.5 Virtual Chassisの設定 P.195 Wrap up P.209 TIPs to be JUNOS Experts P.211 Appendix A: Virtual Chassis Fabric P.242 Appendix B: Multi-Chassis LAG P.253 Appendix C: Zero Touch Provisioning P.271
ジュニパーネットワークス 会社紹介
ジュニパーネットワークス 会社概要 設立 :1996年 本社所在地 :カリフォルニア州サニーベール Juniper Networks (NYSE: JNPR) CEO :Rami Rahim 事業概要 :IP通信機器(ルータ・スイッチ)及び セキュリティー製品(ファイアウォール・IPS)の製造販売 従業員 :約9,000名 拠点 :46カ国 100拠点以上 年間売上規模 :約5600億円
Vision: ネットワークイノベーションにおけるリーダー ジュニパーネットワークスの戦略 Go-To-Market: ハイパフォーマンスネットワーキングをビジネスの基盤と位置付けるお客様とパートナー様に価値を提供 ROUTING SECURITYSWITCHING CENTRALIZED INTELLIGENCE AND CONTROL SILICON SYSTEMS SOFTWARE パフォーマンスと自動化におけるバリュー  スケーラブル  信頼性  セキュリティ  高コスト効率  俊敏性  高効率 Grow Revenue Faster than the Market
ジュニパーネットワークスの戦略 PERFORMANCE AUTOMATION SWITCHINGROUTING SECURITY
SWITCHING SECURITY ISG Series ISG2000 ISG1000 SSG Series SSG550M SSG520M SSG350M SSG320M SSG140 QFX Series QFX10000 QFX5200 QFX5110 QFX5100 QFX3600 QFX3500 QFabric (QFX3000-G/M) EX Series EX9200 EX4600 EX4550 EX4300 EX4200 EX3400 EX3300 EX2300 EX2200 EX2300-C EX2200-C SRX Series SRX5800 SRX5600 SRX5400 SRX4200 SRX4100 SRX3600 SRX3400 SRX1400 SRX1500 SRX550 SRX345 SRX340 SRX320 SRX300 vSRX ROUTING PTX Series PTX5000 PTX3000 PTX1000 ACX Series ACX5000 ACX4000 ACX2100 ACX2000 ACX1100 ACX1000 ACX500 MX Series MX2020 MX2010 MX960 MX480 MX240 MX104 MX80 MX40 MX10 MX5 vMX NetScreen Series NetScreen-5200 NetScreen-5400 プロダクト・ポートフォリオ(カテゴリ別) Network Director Security Director
Datacenter Fabric Switch QFX series Datacenter Service Gateway SRX series Universal Edge Router MX series JUNOS: THE POWER OF ONE Integrated Architecture
Campus Ethernet Switch EX series Branch Service Gateway SRX series JUNOS: THE POWER OF ONE Integrated Architecture
JUNOSとは
multiple operating systems vs. ONE approach プラットフォーム毎に異なるOSと機能セット セキュリティもネットワークもカバーする 業界唯一のシングル・ネットワークOS
THE POWER OF ONE LEARN ONCE, INTEGRATE ONCE, QUALIFY ONCE プラットフォーム共通機能  Routing  Layer 2 Switching  Class of Service  IPv4 and IPv6  Etc… ベース・コンポーネント  Kernel and µKernel  Chassis Management (chassisd)  IP Services (Telnet, SSH, NTP)  Network Management – (AAA, CLI/mgd, XML/DMI, syslogd) BGP/MPLS Control Plane End-to-end Security In-network Automation SDK and Licensing of Junos Cross-Portfolio Commonality プラットフォーム専用機能  Advanced Security(SRX)  Virtual Chassis Fabric(QFX)  MPLS/EVPN(MX)  ISSU(MX&EX9k)  Etc… etc,etc…
コントロールプレーンとフォワーディングプレーンの分離 DataPlane Scale and Performance  各Planeにおけるパフォーマンスを担保  より高いパフォーマンスをそれぞれの領域で独立して 開発することが可能に Resilient  独立したオペレーション  Routing Engine (RE)  Packet Forwarding Engine(PFE)  冗長化に対するさまざまなオプションをそれぞれに提供 ControlPlane Routing Engine Packet Forwarding Engine
EVOLUTION OF ONE ARCHITECTURE モジュラー型  拡張性とパフォーマンスを担保するコンポーネント  冗長性、安定性、サービス拡張を効率的に提供するた めの独立したオペレーション Scalable  Up: multi-core & 64-bit  Down: モジュラーごとのパッケージング Open  Hardware Abstraction Layer  Automation APIs & Junos SDK Kernel ControlPlane PFE Microkernel Hardware Abstraction Layer DataPlane NETCONF/XML Development API’SYang & DMI SDK Routing Security Switching … Interface
JUNOSのアプローチ・運用者/設計者にとって ネットワーク停止の原因に対する調査 JUNOSのCLIは、業界標準型CLIと 根本的に異なるアプローチを採用 業界標準型CLI JUNOS CLI コマンドは1行毎に実行され、 変更は即時反映される コマンドは編集用ファイル のみ変更し、変更は意図し たタイミングで反映させる ミスや間違いも即時反映 致命的な影響となることも… ミスや間違いがあっても 確認・修正してから適用 全体の70%は人為的なミスが原因で ネットワークに悪影響 計画停止 障害やバグによる予期せぬ停止 人為的な要因 作業者の努力にたよるのではなく ソフトウェアの仕組みでミスをなくすサポート
CLASSIC
 一般的なネットワークOSの場合、管理者がコンソールなどで設定変更を行う際、 投入した設定が即座に実稼働のネットワーク設定へと反映されてしまう  このことにより、 – ヒューマンエラーが発生する余地がある – 設定の復旧が困難 – 意図しない設定を行ってしまうと、機器への通信自体が不可能になってしまうケースがある などの課題が存在する Running ConfigRunning Config これまでの一般的なNW-OSの不便さ
MODERN
• JUNOSの場合、管理者が設定変更を行うのは、あくまで設定ファイル これを実ネットワークの設定へと投入するためにはJUNOSによるシステムチェックを行った後に、 ”commit“というコマンドを投入することにより反映させる • この仕組みにより、 • JUNOSのシステムチェックによるヒューマンエラーの予防 • 設定ファイルは過去50世代まで自動保存されるため、一瞬で過去の状態へと戻すことができる • 作成した設定ファイルを、“ためしに”投入してみることも可能 • などのメリットを享受することができる。 JUNOSの場合 Active ConfigCandidate Config check ! commit
有効なJUNOSツール JUNOSのアプローチ :Human factors への対応 • “commit” • 設定変更を有効にするコマンド • 有効時にconfigチェックをおこない,誤り(矛盾)がなければ投入 した設定が有効となる • “rollback” • 設定の履歴管理,設定・OSの切り戻しを容易に • 既存configを含み最大50世代までの管理が可能 • “Load”コマンドにより外部から設定ファイルを更新することも可能 • “JUNOScript” & “Event Policy” • スクリプティングによる自動化ツール • イベントをトリガーとした自動化機能 • Configミスによるダウンタイムの回避 • Config変更/ 切り戻し作業の時間短縮 Benefits commit confirmed 1 2 3 candidate configuration load active configuration rollback commit validations commit commit scripts validated configuration 1 49
JUNOS: THE POWER OF ONE EX4300 Series EX3400 Series EX2300 Series EX4600 MX Series PTX Series SRX3000 Series SRX5000 Series SRX320 SRX550 SRX300 SRX340 SRX1400 QFX5100 Series QFX10000 Series One OS branch core One Release Track Frequent Releases 14.1 14.2 15.1 One Architecture –API– Module x vSRX
運用面からみたJUNOSのアドバンテージ
導入,運用,トラブルシュートに有効なJUNOS UTILITY群 JUNOSは導入、運用、トラブルシュートに有効な様々なツールを提供 • Commit • 設定変更を有効にするコマンド • check, confirmed, compareなど様々なOptionが使用可能 • Rollback • 設定の履歴管理,切り戻しを容易にする機能 • 自動化Tool :JUNOScript / Event Policy • 運用を自動化するユーティリティ • Etc…
”Commit & Rollback” Configurationモードで行った設定変更は、Candidate Configurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル
”Commit & Rollback” (アニメ) commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル Active Configuration 0 Candidate Configuration Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx delete xxxxxxxxxx delete xxxxxxxxxx commit 1 commit rollback n Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx Candidate Configuration delete xxxxxxxxxx delete xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx delete xxxxxxxxxx delete xxxxxxxxxx Configurationモードで行った設定変更は、Candidate Configurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 Candidate Configを編集 Candidate Configを Active Configに反映 commit時に自動的に過去のconfigを保存・世代管理 編集したあとに気が変わったら… いつでも編集を破棄してやり直しが可能 commitしたあとで 切り戻しが必要になった場合には、 過去のconfigを呼び出しコマンド2つで 切り戻しが完了! 呼び出したconfigを反映
”Commit & Rollback” Configurationモードで行った設定変更は、Candidate Configurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル
JUNOS:commit at time オプション • 設定反映の時間指定(メンテナンスタイムにおける設定反映) • commit at xx:xx:xx (time) コマンドでcommitすると、指定した時間に設定 ファイルをActivateすることが可能となります [edit] mike@jnpr1# commit at 02:00:00 commit check succeeds commit will be executed at 2016-02-02 02:00:00 UTC Exiting configuration mode mike@jnpr1> xxxxx xxxxx xxxxx ... メンテナンスタイムにCommitが自動的に実施されるため、 管理者が該当の時間に操作する必要はなし
JUNOS:commit confirmed オプション • 設定の自動復旧機能(ヒューマンエラーによるトラブル防止のため) • commit confirmed コマンドでcommitすると、再度commitしない限り default10分で元のconfigにrollbackします – 指定した時間あるいはdefaultの10分以内に2度目のcommitを入れることで、 configは完全に格納されます [edit] root@lab# commit confirmed 5 commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete Remote WAN 誤ったアクセスコントロール設定 xxxxx xxxxx xxxxx ... [edit] root@lab# commit confirmed 5 commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete 設定間違いのままcommitしてしまいSSHなどが繋がらなくなってしまった後も、 一定時間のあと1つ前のconfigに自動復旧するため、リモートデバイスのポリシー変更時などに便利
JUNOScriptの概要 • JUNOScript とはJuniperのネットワーク装置上で動作させることができるスクリプティン グ機能です。JUNOS自体に手を加える必要がないため、 JUNOSの安定性を損なうことなく、 ユーザ個別の自動化に対する要望に対し柔軟かつ速やかに対応することができます。 • 大別すると、運用者が起動するスクリプトである“Commit Script”、“Op Script”とシステム が起動するスクリプトである“Event Policy”、“Event Script”が存在します。 システムが起動するスクリプト (ルーティングなどのイベント) 運用者が起動するスクリプト (CLIやProvisioning System) Commit Script Commit時に起動 するスクリプト Event Policy システムのイベント により起動される ポリシー Event Script Event Policyに より起動される スクリプト Op Script 運用者が起動 するスクリプト XSLT / SLAXベースのスクリプト
JUNOS:Event Policy/Script • ネットワーク機器上のイベントやタイマーをトリガーとして、コマンドやスクリプトを実行 することで、運用の自動化が可能となります。 • イベントをトリガーとしたアクションを実行(Self-monitor) • ルータ上の特定のイベントをトリガーとして、コマンドやスクリプトを実行 • タイマーをトリガーとしたアクションの実行 • インターバル設定や日時指定に応じて、コマンドやスクリプトを実行 Routing (rpd) Chassis (chassisd) Management (mgd) イベント監視 プロセス eventd if then rules ルータの各コンポーネントのイベントを監視 ユーザが設定したアクションに応じ て運用コマンド、設定変更、スクリ プトなどを実行
 イベントに応じて自動的にトラブルシュート用のLogを取得  イベントに応じて動的なアクションをデバイスに取らせる デバイスに発生したイベントに応じて、 自動的に発動されるプログラムを事前に設定しておくことが可能 event event program Actions!! JUNOS: JUNOS Automation EXAMPLE – EVENT base AUTOMATION イベントに対する自動的なレスポンスにより ダウンタイムを削減したり必要なLog取得を自動的に実行することが可能! Event Policyで取り得るアクション  イベントを無視  ファイルをアップロード  オペレーションコマンドの実行  コンフィグレーションコマンドの実行  SNMP Trapを送出  Event Script の実行  Etc…
トレーニング・デバイスへのアクセス方法
ge-0/0/1  管理用IP(me0) : 192.168.1.x/24 Group1 • Tokyo-1: .1 • Nagoya-1: .2 • Osaka-1: .3 • Fukuoka-1: .4 Ethernet Switching "EX/QFX" course Topology (Lab1) – グループ1 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .1 .2 .3 .4 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-1 Tokyo-1 Nagoya-1 EX3400 Tokyo-1 Nagoya-1 Fukuoka-1 MGMT Switch me0 me0 me0 me0
 管理用IP(me0) : 192.168.1.x/24 Group1 • Tokyo-1: .5 • Nagoya-1: .6 • Osaka-1: .7 • Fukuoka-1: .8 Ethernet Switching "EX/QFX" course Topology (Lab1) – グループ2 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .5 .6 .7 .8 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-2 Tokyo-1 Nagoya-1 EX3400 Tokyo-2 Nagoya-2 Fukuoka-2 MGMT Switch me0 me0 me0 me0
--- JUNOS 15.1X49-D50.3 built 2016-05-28 20:02:37 UTC root@SRX-1% cli root@SRX-1> JUNOSへのログイン 初期設定状態のEXにアカウント’root’でログインします。 cliコマンドでJUNOSのOperationalモードを起動します。 – rootアカウントはserial console、またはssh接続時のみ使用可能です。 – 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。 • Root Password: Juniper – Tera TermからSSHv2接続で接続してください。
CLIモードと各モード間の移動
FreeBSD CLI概要 • Junos CLIの3つのモード遷移について Configuration mode # Shell mode % Operational mode > 機器のステータス確認や基本操作 ・show コマンドでの状態表示 ・ping, traceroute, telnet, clear ・debug (monitor) ・OSアップグレード ・機器のリブート、シャットダウン ・set コマンドでの日時やTerminal表示 方法の設定 機器のconfiguration設定 ・システム設定 ・インタフェース設定 ・ルーティング設定 ・パケットフィルタリング設定 ・ポリシー設定 ・SNMP …などその他すべての設定 > configure % cli exit exit
Operationalモード •RootユーザでLoginするとShellモード(プロンプトが“%”)に入ります • “cli”と投入することでShellモードからOperational モードへと移行します • Rootユーザ以外でLoginすると、Operationalモード(プロンプトが>)に入ります • “start shell”と投入することでOperationalモードからShellモードへと移行します login: root Password: --- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC root@% root@% cli root> login: AAA Password: --- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC AAA> AAA> start shell %
Operationalモード • Operationalモードではステータスの確認やシステム操作などに 用いるコマンドを提供しています。 clear Clear information in the system configure Manipulate software configuration information file Perform file operations help Provide help information monitor Show real-time debugging information mtrace Trace multicast path from source to receiver op Invoke an operation script ping Ping remote target quit Exit the management session request Make system-level requests restart Restart software process set Set CLI properties, date/time, craft interface message show Show system information ssh Start secure shell on another host start Start shell telnet Telnet to another host test Perform diagnostic debugging traceroute Trace route to remote host
Operationalモード • コマンドは階層構造になっています • 例: 経路情報(簡易版)を確認 root> show route terse inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A V Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.27.112.1 * 172.27.112.0/22 D 0 >ge-0/0/0.0 * 172.27.113.19/32 L 0 Local clear configure monitor set show brief exact protocol table terse bgp chassis interfaces isis ospf route version 大項目 小項目 確認コマンド 経路情報 簡易版
Configurationモード • Operationalモードにてconfigureと投入することでConfigurationモード へ移行します root@lab> configure Entering configuration mode [edit] root@lab# root@lab> configure Entering configuration mode Current configuration users: fbrooks terminal d0 on since 1999-10-14 07:11:29 UTC, idle 00:00:49 [edit protocols ospf] The configuration has been changed but not committed [edit] root@lab# • 他のユーザがconfigurationモードに入っていれば、以下の様に表示されます
Configurationモード:オプション mike@jnpr1> configure private warning: uncommitted changes will be discarded on exit Entering configuration mode Active Config Candidate 1 Candidate 2 user 1 user 2 • configure private コマンドを使用すると、ログインユーザー専用のcandidate configurationが用意される • configure exclusive コマンドを使用すると、ログインユーザーが設定変更を 行っている最中に他のログインユーザーが設定変更を行うことを禁止すること が可能 mike@jnpr1> configure exclusive warning: uncommitted changes will be discarded on exit Entering configuration mode user 1 user 2 X Candidate Commit 不可 Active Config
JUNOS CLI操作 ~Operationalモード~
show コマンド • showコマンド: システム、ステータスに関する情報を表示します > show arp :ARPテーブルを確認する > show chassis environment :温度、ファンなどの環境状態を確認する > show chassis hardware :ハードウェア情報(シリアルナンバー等)を確認する > show chassis routing-engine :ルーティングエンジン(CPUやMemory)の状態を確認する > show configuration :稼働中の設定を確認する > show interfaces :Interfaceの状態を確認する > show route :経路情報を確認する > show system uptime :稼働時間を確認する > show system users :ユーザのログイン状況を確認する > show system alarms :システムアラームの有無を確認する > show version :JUNOSソフトウェアバージョンを確認する
show コマンド: オプション • showコマンドではterse, brief, detail, もしくはextensiveオプションを使用 することで確認できる情報量を選択することができます。 • terse, briefのオプションはオプションなしの出力結果と比べ、より簡易的な 情報を表示させます。 • detail, extensiveのオプションはオプションなしの際と比べ、より詳細な情報 を表示させます。
show コマンド: オプション > show interfaces ge-0/0/0 terse Interface Admin Link Proto Local Remote ge-0/0/0 up up > show interfaces ge-0/0/0 terse > show interfaces ge-0/0/0 brief Physical interface: ge-0/0/0, Enabled, Physical link is Up Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None > show interfaces ge-0/0/0 brief
show コマンド: オプション > show interfaces ge-0/0/2 (オプションなし) > show interfaces ge-0/0/0 Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:33 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Active alarms : None Active defects : None Interface transmit statistics: Disabled
show コマンド: オプション > show interfaces ge-0/0/0 detail > show interfaces ge-0/0/0 detail Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504, Generation: 142 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:37 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 995586 0 bps Output bytes : 1473366 0 bps Input packets: 10870 0 pps Output packets: 15732 0 pps IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Egress queues: 8 supported, 4 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 9262 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 7 network-cont 0 6470 0 Queue number: Mapped forwarding classes 0 best-effort 1 assured-forwarding 5 expedited-forwarding 7 network-control Active alarms : None Active defects : None Interface transmit statistics: Disabled
show コマンド: オプション > show interfaces ge-0/0/0 extensive > show interfaces ge-0/0/0 extensive Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504, Generation: 142 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC- REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:40 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 995586 0 bps Output bytes : 1473366 0 bps Input packets: 10870 0 pps Output packets: 15732 0 pps IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0 Output errors: Carrier transitions: 3, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0 Egress queues: 8 supported, 4 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 9262 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 7 network-cont 0 6470 0 Queue number: Mapped forwarding classes 0 best-effort 1 assured-forwarding 5 expedited-forwarding 7 network-control Active alarms : None Active defects : None MAC statistics: Receive Transmit Total octets 995586 1473366 Total packets 10870 15732 Unicast packets 8989 9262 Broadcast packets 1876 1872 Multicast packets 5 4598 CRC/Align errors 0 0 FIFO errors 0 0 MAC control frames 0 0 MAC pause frames 0 0 Oversized frames 0 Jabber frames 0 Fragment frames 0 Code violations 0 Autonegotiation information: Negotiation status: Complete Link partner: Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK, Link partner Speed: 1000 Mbps Local resolution: Flow control: Symmetric, Remote fault: Link OK Packet Forwarding Engine configuration: Destination slot: 0 (0x00) CoS information: Direction : Output CoS transmit queue Bandwidth Buffer Priority Limit % bps % usec 0 best-effort 95 950000000 95 NA low none 7 network-control 5 50000000 5 NA low none Interface transmit statistics: Disabled
コンソール画面出力に関する操作 • 画面に ---(more)--- promptが表示されているときは 以下のキーで操作します Space: 次画面に進む b: 前画面に戻る d: ½画面進む Enter: 1行進む /string: 検索 n: 再検索 q: プロンプトに戻る(出力のAbort) h: これらキーヘルプの表示 > show configuration ## Last commit: 2016-04-12 17:41:17 JST by lab version 12.3X48-D20.4; groups { Japan_ENT_POC { system { host-name mino_srx240; backup-router 172.27.112.1; time-zone Asia/Tokyo; dump-on-panic; root-authentication { encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } login { user lab { uid 2000; class super-user; authentication { ---(more)---
コンソール画面出力に関する操作 | no-more • 通常、出力はCLIのスクリーンサイズを考慮して行われます。出力内容が多い場合、CLI画面 に---(more)---を表示し、出力を一時停止します。ログ取得時などは“ | no-more” オプ ションを使用し、全て一度に表示することが可能です [edit] root@lab> show configuration | no-more ## Last commit: 2016-01-25 11:25:54 JST by root version 10.4R7.5; groups { Japan_team { system { backup-router 172.16.1.1; time-zone Asia/Tokyo; dump-on-panic; root-authentication { encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA } login { user lab { uid 2000; "$1$4TDfGIs7$.wTBpcNviWRCebbvcSLzv."; ## SECRET-DATA :
パイプ “|” オプションの利用 • Unix同様のパイプ ”|” をサポート。configやshowコマンド等で有効利用 • root@lab> show configuration | display set • root@lab> show log messages | no-more • root@lab> show route | find 192.168.1.0 • root@lab# show interface | save interface_config.txt root@lab> show configuration | ? Possible completions: compare Compare configuration changes with prior version count Count occurrences display Show additional kinds of information except Show only text that does not match a pattern find Search for first occurrence of pattern hold Hold text without exiting the --More-- prompt last Display end of output only match Show only text that matches a pattern no-more Don't paginate output request Make system-level requests resolve Resolve IP addresses save Save output text to file trim Trim specified number of columns from start of line
• Configurationの表示方法を変更する • 階層表記に加え、行単位での表示も可能 root@EX2200C> show configuration protocols dot1x traceoptions { file 1x; flag all; } authenticator { authentication-profile-name dot-1x; interface { ge-0/0/0.0 { supplicant single-secure; reauthentication 3600; } ge-0/0/3.0 { supplicant single-secure; root@EX2200C> show configuration protocols dot1x |display set set protocols dot1x traceoptions file 1x set protocols dot1x traceoptions flag all set protocols dot1x authenticator authentication-profile-name dot-1x set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/0.0 reauthentication 3600 set protocols dot1x authenticator interface ge-0/0/3.0 supplicant single-secure set protocols dot1x authenticator interface 状況に応じ、お好みの表記方法を選択可能 パイプ “|” 使用例
パイプ “|” 使用例 • Configurationの一部を保存する • 稼働中のconfigurationの方法 Operationalモードにてshow configuration | save <出力先+ファイル名> • 編集中のconfigurationの出力方法 Configurationモードにてsave <出力先+ファイル名> > show configuration | save ftp://abc@172.xx.xxx.xx/Ex_config Password for abc@172.xx.xxx.xx: ftp://abc@172.xx.xxx.xx/mx_config 100% of 7928 B 30 MBps Wrote 352 lines of output to 'ftp://abc@172.xx.xxx.xx/Ex_config' # save /config/EDITING-CONFIG Wrote 232 lines of configuration to '/config/EDITING-CONFIG' ※保存先を指定しない場合、userのhome directoryに出力されます FTPサーバへ出力 /config/へ出力
JUNOSファイルシステムの構成について • JUNOSでは各種構成ファイルやLogファイルなどをファイルシステム上のディレ クトリに管理しています /config 使用中のコンフィグレーションと過去3世代までのコンフィグレーションを格納。 /var/db/config 4世代以降のコンフィグレーションを格納。gz形式に圧縮されて保存されているがfile showコマンドで表示可能。FreeBSDではzcatコマンドで表示可能。 /var/tmp JUNOSソフトウェアアップグレード時など、image格納するディレクトリ。また、各デーモンのコアダンプファイルを格納。 /var/log 各種LogやTrace option機能にて取得したデバッグ情報ファイルを格納。 /var/home 各ユーザのホームディレクトリが作成される。 各ユーザがローカルに保存した情報は全て各ユーザのホームディレクトリに格納する。 例えば、現在使用中のコンフィグをsaveコマンドにて保存した場合など
root> file list /var/home/SAMPLE/ /var/home/SAMPLE/: TEST_CONFIG JUNOSファイルシステムの構成について • ディレクトリ配下のファイル内容の確認方法 > file show /<directory>/<file_name> • 各ディレクトリに格納しているファイルの確認方法 > file list / <directory>/ root> file list /var/home/ /var/home/: SAMPLE/ /var/home配下の情報を表示 ユーザ(SAMPLE)のホームディレクトリが作成されている /var/home/SAMPLE配下の情報を表示 ユーザ(SAMPLE)が作成したTEST_CONFIGが保存されている root> file show /var/home/SAMPLE/TEST_CONFIG ## Last changed: 2016-03-30 17:34:10 UTC version 12.3X48-D25.3; system { root-authentication { encrypted-password "$1$73UgjTsC$EznYXp/4DfJIRTI6KnFYE1"; ## SECRET-DATA ~~~~~~~~~~~~~~~~~~~~~~~~~以下省略~~~~~~~~~~~~~~~~~~~~~~~~~~ ユーザ(SAMPLE)が作成した TEST_CONFIGを確認
JUNOS運用管理コマンド • JUNOSでは運用管理に必要な機能をサポートしています。 • Ping • Traceroute • telnet / ssh • Monitor Ping : ネットワークの疎通確認をする >ping アドレス + オプション 例: 172.27.112.1へ512 byteのpingを3回実施 root> ping 172.27.112.1 count 3 size 512 PING 172.27.112.1 (172.27.112.1): 512 data bytes 520 bytes from 172.27.112.1: icmp_seq=0 ttl=64 time=1.037 ms 520 bytes from 172.27.112.1: icmp_seq=1 ttl=64 time=0.704 ms 520 bytes from 172.27.112.1: icmp_seq=2 ttl=64 time=0.741 ms --- 172.27.112.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.704/0.827/1.037/0.149 ms
JUNOS運用管理コマンド Telnet / SSH : ネットワークに接続された機器を操作する >telnet アドレス + オプション 例: 172.27.112.161: port 23へtelnetを実施 > traceroute 8.8.8.8 interface ge-0/0/0 traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets 1 172.27.112.2 (172.27.112.2) 4.394 ms 1.814 ms 2.209 ms (snip) 13 google-public-dns-a.google.com (8.8.8.8) 4.276 ms 4.286 ms 4.063 ms Traceroute : ネットワークの経路確認をする >traceroute アドレス + オプション 例: 8.8.8.8へge-0/0/0からtrace routeを実施 > telnet 172.27.112.161 port 23 Trying 172.27.112.161... Connected to 172.27.112.161. Escape character is '^]'. srx300beta (ttyp0) login:
monitor コマンド • monitorコマンド: 現在のI/F別トラフィック状況を表示します • > monitor interface traffic 各Interfaceのトラフィックをリアルタイム表示する Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Down 0 (0) 0 (0) gr-0/0/0 Up 0 (0) 0 (0) ip-0/0/0 Up 0 (0) 0 (0) lsq-0/0/0 Up 0 (0) 0 (0) lt-0/0/0 Up 0 (0) 0 (0) mt-0/0/0 Up 0 (0) 0 (0) sp-0/0/0 Up 0 (0) 0 (0) ge-0/0/1 Down 0 (0) 0 (0) (snip)
requestコマンド • requestコマンド: システムの挙動に関するコマンドを実行します • システムを再起動する > request system reboot • システムをシャットダウンする > request system power-off • 初期化する > request system zeroize • サポートに必要な情報を取得する > request support information • 基本となるConfigurationファイルを保存する(rescue configの保存) > request system configuration rescue save • OSをアップグレードする > request system software add <ファイル名>
JUNOSのソフトウエアアップグレード • ソフトウエアアップグレード手順 1. 対象のJUNOS OSをダウンロードする。 https://www.juniper.net/support/downloads/group/?f=junos 2. CLIコマンドでJUNOSソフトウェアを FTP/TFTPサーバからデバイス(/var/tmp)に保存 > file copy ftp://ログインID@アドレス/JUNOSパッケージ名/var/tmp 3. デバイスに保存したパッケージをロード > request system software add /var/tmp/JUNOSパッケージ名 4. 再起動する > request system reboot root> file copy ftp://abc@172.xx.xxx.xx/jinstall-ex- 4200-11.4R1.6-domestic-signed.tgz /var/tmp Password for abc@172.xx.xxx.xx: /var/tmp//...transferring.file.........TfBx6L/100% of 381 MB 8099 kBps 00m00s root> request system software add /var/tmp/ jinstall- ex-4200-11.4R1.6-domestic-signed.tgz NOTICE: Validating configuration against jinstall-ex- 4200-11.4R1.6-domestic-signed.tgz. (snip) root> request system reboot
JUNOS CLI操作 ~Configurationモード~
Candidate Configuration AAA BBB CCC commit コンセプト(アニメ) • Configurationモードに入ると編集用configが用意されます • 設定変更はすべて編集用のconfig上にのみ投入 • commit コマンドでactive configに反映されます Active Configのコピー Active Configuration AAA BBB CCC DDD commit DDD
Candidate Configuration AAA BBB CCC commit コンセプト • Configurationモードに入ると編集用configが用意されます • 設定変更はすべて編集用のconfig上にのみ投入 • commit コマンドでactive configに反映されます Active Configのコピー Active Configuration AAA BBB CCC DDD commit DDD
rollback 2 Configuration AAA BBB CCC rollback 1 Configuration AAA BBB CCC rollback 1 Configuration AAA BBB CCC DDD Active Configuration AAA BBB CCC DDD rollback コンセプト(アニメ) • commit実行時に、現在稼働中のconfigが履歴として自動的に保存されま す • commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード • 再度commit コマンドを実行して、active configに反映 Candidate Configuration AAA BBB CCC DDD commit rollback 1 0世代 1~49世代
rollback コンセプト • commit実行時に、現在稼働中のconfigが履歴として自動的に保存されま す • commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード • 再度commit コマンドを実行して、active configに反映 rollback 2 Configuration AAA BBB CCC rollback 1 Configuration AAA BBB CCC DDD Active Configuration AAA BBB CCC DDD Candidate Configuration AAA BBB CCC DDD commit rollback 1 1~49世代 0世代 1世代 2世代
設定の追加(set) • set コマンド:設定の追加変更を行います • Commitするまでは設定は反映されません。 • Commitすることで初めて動作しているデバイスに設定追加の変更が反映されます。 user@lab# set interface ge-0/0/1 disable user@lab# commit configuration check succeeds commit complete
設定の変更(delete) • delete コマンド:設定の削除変更を行います • Commitするまでは設定は反映されません。 • やはりCommitすることで動作しているデバイスに設定削除の変更が反映されます。 user@lab# delete interface ge-0/0/1 disable user@lab# commit configuration check succeeds commit complete
編集中の設定確認(show | compare) • show | compare コマンド:編集中の設定と稼動中の設定を比較します • 過去のconfigと編集中の設定を比較することも可能 user@lab# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 user@lab# show | compare [edit interfaces] + ge-0/0/0 { + unit 0 { + family inet { + address 192.168.1.1/24; + } + } + } Active Configuration (rollback 0) Candidate Configuration # show | compare user@lab# show | compare rollback [1-49] Active configと比較して、ge-0/0/0にIPアドレスが追加されている +:追加 ー:削除
設定ファイルの復旧(rollback) • rollback コマンド:設定ファイルの復旧を行います • 変更した設定ファイルを破棄したい場合は、Rollbackコマンドを投入します。(rollbackはrollback 0の略) • rollback n(0-49)でファイル番号を指定すると、過去の設定をCandidate Configにコピーすることが可能 で、容易に過去の状態に戻すことが可能です。(過去50世代分の設定ファイルを自動保存) user@lab# rollback user@lab# rollback ? Possible completions: <[Enter]> Execute this command 0 2016-07-14 08:41:21 JST by root via cli 1 2016-07-13 16:01:54 JST by root via cli 2 2016-07-13 15:59:51 JST by root via cli 3 2016-07-13 15:57:33 JST by root via cli 4 2016-07-13 15:57:20 JST by root via cli commit confirmed, rollback in 2mins 5 2016-07-12 15:21:37 JST by lab via netconf 6 2016-07-08 16:35:39 JST by lab via cli 7 2016-06-22 19:30:53 JST by lab via cli 8 2016-06-22 19:28:39 JST by lab via cli 9 2016-06-22 19:28:18 JST by lab via cli …(snip)
commit オプション(commit confirmed / at) • commit confirmed コマンド:一時的に設定を反映します • 変更を確定する場合は、時間内にcommitを実行します • デフォルトでは10分(指定可能) • 時間までにcommitされなければ、自動的にcommit前の状態に戻る • commit at コマンド:日時を指定してcommitの実行を予約します • hh:mm:[ss] または “yyyy-mm-dd hh:mm:[ss]” user@lab# commit confirmed 5 configuration check succeeds commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete # commit confirmed will be rolled back in 5 minutes user@lab# commit at "2016-04-20 00:00" configuration check succeeds commit at will be executed at 2016-04-20 00:00:00 JST Exiting configuration mode ※予約をキャンセルしたいときは、Operationalモードからclear system commit コマンドを実行
Configurationのロード(load) • load コマンド:configurationファイルをロードします • loadコマンドはいくつかのオプションがあります • load factory-default 工場出荷時のconfigをロード • load override <filename> ロードしたconfigによる置き換え • load merge <filename> ロードしたconfigを追加 • configファイルは外部のFTPサーバや機器内ディレクトリからロードすることも可能 user@lab# load ? Possible completions: factory-default Override existing configuration with factory default merge Merge contents with existing configuration override Override existing configuration patch Load patch file into configuration replace Replace configuration data set Execute set of commands on existing configuration update Update existing configuration user@lab# load merge /var/tmp/saved_config.txt user@lab# load merge ftp://user:passwd@192.168.1.1/saved_config.txt
user@lab# load set terminal [Type ^D at a new line to end input] set services security-intelligence profile feeds-cc-p1 category CC set services security-intelligence profile feeds-cc-p1 default-rule then action permit set services security-intelligence profile feeds-cc-p1 default-rule then log set services security-intelligence profile Inf-hosts category Infected-Hosts set services security-intelligence profile Inf-hosts default-rule then action permit set services security-intelligence profile Inf-hosts default-rule then log set services security-intelligence policy pol-cc CC feeds-cc-p1 set services security-intelligence policy pol-cc Infected-Hosts Inf-hosts set services advanced-anti-malware policy skyatp_test match application HTTP set services advanced-anti-malware policy skyatp_test match verdict-threshold 3 set services advanced-anti-malware policy skyatp_test then action permit set services advanced-anti-malware policy skyatp_test then notification log set services advanced-anti-malware policy skyatp_test inspection-profile test set services advanced-anti-malware policy skyatp_test fallback-options action permit set services advanced-anti-malware policy skyatp_test fallback-options notification log set services advanced-anti-malware policy skyatp_test whitelist-notification log set services advanced-anti-malware policy skyatp_test blacklist-notification log load complete Configurationのロード(load set terminal) • load set terminal コマンド:CLIで追加のsetコンフィグを貼り付けるときに使用 • setコマンドの大量コピー&ペースト時にconfigのとりこぼしが防げます CTRL+D 貼り付けたいconfigを terminal上でペースト し、最後に改行してか らCTRL+Dを押して読 み込む キャンセルしたい場合 はCTRL+Cで抜ける
[edit] user@lab# load merge terminal [Type ^D at a new line to end input] protocols { ospf { export static-route; area 0.0.0.0 { interface ge-0/0/0.0; interface ge-0/0/1.0; interface ge-0/0/2.0; interface lo0.0 { passive; } } } } policy-options { policy-statement static-route { from { protocol static; route-filter 10.1.1.0/24 longer; } then accept; } } load complete • load merge terminal コマンド:CLIで追加のconfigを貼り付けるときに使用 • 大量のコピー&ペースト時にもconfigのとりこぼしが防げます、最上位の階層から追加の configを投入する階層までのパスが全部必要です • relative オプションを付けると今いる階層に応じてconfigの階層もショートカットされます Configurationのロード(load merge terminal) interfaces, protocolsや policy-optionsなど最上位 の構文から記述していく [edit protocols ospf] lab# load merge terminal relative [Type ^D at a new line to end input] area 0.0.0.0 { interface xe-1/0/0.0; } area 0.0.0.1 { stub default-metric 10 no-summaries; area-range 192.168.16.0/20; interface ge-0/0/3.0; } area 0.0.0.2 { nssa { default-lsa { default-metric 20; metric-type 1; type-7; } no-summaries; area-range 172.16.12.0/22; } area-range 192.168.48.0/20; } load complete CTRL+D protocols ospfの階層 に移動しareaのconfig だけ追加 protocols { ospf { の 記述は不要 CTRL+D
Configurationモード:コマンドサマリー • 設定&確認コマンド • set : パラメータを設定する際に使用します • delete : パラメータを削除する際に使用します • show : 設定した内容を確認します • show | compare : 編集中のconfigと稼働中のconfigを比較します • 設定反映コマンド • commit : 編集した設定をactive configに反映させます • rollback : 過去のconfigをロードして編集内容を元に戻します • load : 設定したファイルをロードする際に使用します
便利なショートカットキー • カーソルの移動 Ctrl-B 1文字戻る Ctrl-F 1文字進む Ctrl-A 行頭に移動 Ctrl-E 行末に移動 • 文字の削除 Delete/Backspace カーソル前の1文字を削除 Ctrl-D カーソル後の1文字を削除 Ctrl-K カーソルから行末までを削除 Ctrl-U 行をすべて削除 Ctrl-W 現在入力途中の単語または、カーソルより左側の1単語を削除 • その他 Ctrl-P or ↑ コマンド履歴の前を表示 Ctrl-N or ↓ コマンド履歴の次を表示 ? 次に入力すべきコマンドやパラメータのヒント
コマンド補完と構文エラー • コマンド補完機能 • Spaceキー/ Tabキー:固定値を補完 • Tabキーはユーザが定義したpolicy名やFilter名の補完も可能 • 構文エラーの通知 • 構文に誤りがあるとsyntax errorと表示される • ^ マークはエラーとなる項目を示す user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input ? Possible completions: TEST [firewall family inet filter] user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input T[tab] user@lab# load replase ^ syntax error, expecting <command>.
Configurationモード: Operationalモードのコマンドを実行 • runコマンドにより、Configurationモードにおいてshowコマンド等を実行し、 status等確認することができます • Operationalモードで確認可能な全てのコマンドの実行が可能 • Operationalモードに戻る必要なし root@lab# run show interfaces Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 134, SNMP ifIndex: 508 Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 100mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto- negotiation: Enabled, Remote fault: Online Device flags : Present Runnin (snip) root@lab# show interfaces ge-0/0/0 { unit 0; } ge-0/0/1 { unit 0 { family ethernet- switching { vlan { members vlan-trust; (snip) runコマンドを使用し、interfaceの状態を確認 interfaceの設定を確認
JUNOSシステム設定
システム設定 • JUNOSデバイスのシステムに関する主な設定 • ユーザ設定 • ホスト名の設定 • 時刻設定 • DNS設定 • デバイスのサービス設定 • 管理インタフェース設定 • ログの設定 • SNMP設定
システム設定 • ユーザ設定 • rootユーザのパスワードを設定 • rootユーザ以外のユーザアカウントを作成 • デフォルトでは3つのユーザクラスを選択可能 • read-only :view(show コマンドなど) • operator :clear, network, reset, trace, view(デーモンの停止, ping/telnet, etc) • super-user:all(すべて) root# set system root-authentication plain-text-password New password: Retype new password: root# set system login user TEST class super-user authentication plain-text-password New password: Retype new password:
システム設定 • ホスト名の設定 • 時刻設定 • Time zoneを指定する • NTPサーバを指定する • DNS設定 root# set system host-name LAB root# set system time-zone Asia/Tokyo root# set system name-server 192.168.1.100 root# set system ntp server 10.10.10.100
システム設定 • デバイスのサービス設定 • telnet, sshによるアクセスを有効にする • FTP, netconfのサービスを有効にする root# set system services ftp root# set system services netconf ssh root# set system services telnet root# set system services ssh root# set system services ssh root-login allow RootユーザとしてSSHでログインしたい場合に設定
システム設定 • 管理インタフェース設定 • 例1:EXの管理インタフェース(me0)を設定 • 例2:MX, SRXの管理インタフェース(fxp0)を設定 root# set interfaces me0 unit 0 family inet address 192.168.1.1/24 root# set interfaces fxp0 unit 0 family inet address 192.168.1.1/24 me0 EX3400 rear view SRX340 front view fxp0 ※管理ポートは、 MX/SRXは”fxp0”、EXは”me0”、QFXは”em0”、 EX/QFXのVCでは”vme(virtual me)”と命名されています。 Branch SRXのLow End(SRX300/320)など、Out of Bandの管理ポートが存在しないモデルもあります。
システム設定 • ログの設定 • syslogサーバ、ファシリティ、ログレベルを指定 • 例:すべてのレベルのログを10.10.10.1へ送信する ■Syslogレベルについて 高 emergency: ソフトウェアコンポーネントの機能停止を招く状況のメッセージ alert: データベースなどのデータ破損など、直ちに修復が必要な状況のメッセージ critical: 物理的なエラーなど重大な問題がある状況のメッセージ error: 上記よりも深刻度の低いエラー状況のメッセージ warning: モニタリングの必要性がある状況のメッセージ notice: エラーではないが、特別な処理が必要となる可能性がある状況のメッセージ info: 対象のイベントまたは非エラー状況のメッセージ 低 any: すべてのレベルのメッセージ root# set system syslog host 10.10.10.1 any any
システム設定 • SNMP設定 • SNMPコミュニティを作成する • 例:コミュニティ名をpublicに設定、読み込みのみ許可 • SNMPトラップを設定する • 例:トラップの送信元をLoopback 0に、宛先を10.10.10.1に設定 root# set snmp community public authorization read-only root# set snmp trap-options source-address lo0 root# set snmp trap-group <group-name> targets 10.10.10.1
JUNOSインタフェース設定
インタフェースタイプの表記 • インタフェースタイプにより以下のように表記されます ge-0/0/0 Type: fe-x/x/x: Fast Ethernet ports ge-x/x/x: Gigabit Ethernet ports xe-x/x/x: 10 Gigabit Ethernet ports et-x/x/x: 40/100 Gigabit Ethernet ports FPC slot: Flexible PIC Concentrator (line card) →筐体ナンバー PIC slot: Physical Interface Card →アップリンクモジュール Port number • その他のインタフェース • ae0~: LAGインタフェース • lo0: Loopbackインタフェース • me0: EXシリーズの管理インタフェース • fxp0: SRX, MXシリーズの管理インタフェース
PICと FPC FPCはBOX型の筐体番号、Chassis型のラインカード番号に相当します。 PICはFPCに接続されるアップリンクモジュールを指します。 Chassis 型BOX型 FPC PIC Port xx-X/X/X ※BOX型におけるOn-Board Portは、xx-0/0/Xと表現されます
インタフェース設定 • インタフェースの設定は物理プロパティの設定と論理プロパティの設定に分か れます • 物理プロパティの設定 • データリンクプロトコル • リンクスピード、半/全2重通信 • MTU • 論理プロパティの設定 • プロトコルファミリー • inet (IPv4の設定) • inet6 (IPv6の設定) • mpls • ethernet-switching interfaces { interface-name { physical-properties; […] unit unit-number { logical-properties; […] } } } インタフェース名配下に 物理プロパティを設定 Unit#配下に 論理プロパティを設定
物理/論理インタフェース設定例 ge-0/0/0 { description TEST; speed 1g; mtu 1400; ether-options { no-auto-negotiation; link-mode full-duplex; } unit 0 { description TEST2; family inet { address 10.10.10.1/24; } } unit 100 { description TEST3; family inet6 { address 1::1/64; } } } 物理プロパティ 論理プロパティ
Unit ナンバーとは • ロジカルプロパティを設定する際には”unit”とよばれる単位で設定します • 一般的なネットワークOSであるサブインタフェースに相当するもの • unit 0がメインインタフェースに相当 • 1つの物理インタフェースに複数作成することも可能 • インタフェースを動作させるために最低1つは必須 • 物理インタフェースge-0/0/0 の unit 0 は、”ge-0/0/0.0”と表記 • showコマンド等でunitナンバーを指定しない場合はunit 0として認識されます ge-0/0/0 unit 0 family inet ge-0/0/0 unit 0 family ethernet- switching Data L3設定 L2設定 IP Data ETHIP ETH ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/24; } } } ge-0/0/0 { unit 0 { family ethernet-switching { interface-mode access; } } }
複数unitの設定例 • 1つの物理インタフェースに複数のunitを使用するケース • unitごとにvlan-idを設定して振り分け • IPアドレスやFirewall Filterもunitごとに個別に設定可能 ge-0/0/0Packet unit 10 vlan-id 10 unit 20 vlan-id 20 unit 30 vlan-id 30 ge-0/0/0 { vlan-tagging; unit 10 { vlan-id 10; family inet { address 192.168.1.1/24; } } unit 20 { vlan-id 20; family inet { address 172.16.1.1/24; } } unit 30 { vlan-id 30; family inet { address 10.1.1.1/24; } } } Vlan 10 Vlan 20 Vlan 30Packet Packet
L3インタフェースの作り方 • EX/QFX/SRXでは、L3の設定を二通りの方法で行うことができます • インタフェースに直接L3の設定を行う (Routed Port) • ルーター寄りの設定 • “no switchport” のようなもの • 1つのセグメントには1つのポートのみ • VLANを受け、複数のセグメントを収容 したい場合はunitを複数作成する (次ページ) • VLANを作成し、VLANにL3の設定を 行った上で、インターフェイスとVLAN を紐付ける (Switch Port) • スイッチ寄りの設定 • 1つのセグメントに複数のポートが所属できる • 1つのポートで複数のVLANを使いたい場合、 trunkに設定し、所属するVLANを増やす set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 set vlans v10 vlan-id 10 set vlans v10 l3-interface irb.10 set interfaces irb unit 10 family inet address 192.168.10.1/24 set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v10 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v10 Routed Port Switch Port ge-0/0/0 ge-0/0/X VLAN 10 ge-0/0/0 ge-0/0/1 VLAN xx ge-0/0/x ge-0/0/y unit 0 family inet 192.168.1.1 unit 0 family inet 192.168.x.x irb.10 192.168.10.1 irb.x 192.168.x.x
管理者側から強制的にインタフェースを落とす方法 • Disableコマンドを使用してインタフェースを落とす root# set interfaces ge-0/0/2 disable [edit] root# commit commit complete Admin(オペレーター)モードの操作の確認 root# show interfaces ge-0/0/2 { disable; unit 0 { family inet { address 140.0.0.12/24; • Disableコマンドを消去してインタフェースをあげる root# delete interfaces ge-0/0/2 disable [edit] root# commit commit complete root# run show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down ge-0/0/2 down down root# run show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down ge-0/0/2 up up admin(オペレータ)の強制的な インタフェースのダウン
JUNOS経路設定
Static Routeの設定 設定例 [edit routing-options] root# show static { route 0.0.0.0/0 next-hop 172.30.25.1; route 172.28.102.0/24 { next-hop 10.210.11.190; no-readvertise; } } IPv4デフォルトルートの設定 経路を広報させないための設定 マネージメント用の経路などに利用 # set routing-options static route <あて先アドレス>next-hop <ネクストホップアドレス> # set routing-options static route <あて先アドレス>オプション設定 • Static route設定
• 同じあて先にstatic routeを設定する場合はqualified-next-hopの オプションを利用しpreference(優先)の設定を施します [edit routing-options] root# show static { route 0.0.0.0/0 { next-hop 172.30.25.1; qualified-next-hop 172.30.25.5 { preference 7; } } } 制限付きネクストホップの設定 Network A 172.29.100.0/24 .1 .1.2 172.30.25.0/30 ge-0/0/1 172.30.25.4/30 .5.6 ge-1/0/0 primary secondary Internet Primary route ※Juniperのstatic routeのpreferenceは5 例: インターネット接続のためのデフォルトルートの設定 Secondary route ※preferenceを7に設定することで優先度を下げる
• showコマンドでstatic routeを確認する root> show route protocol static inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 00:41:59 > to 172.30.25.1 via ge-0/0/1.0 … デフォルトルート プロトコルとpreference ネクストホップのアドレスとインタフェース Static Routeの確認
Firewall Filter (ACL) の設定
Firewall Filterの設定 term <second-term> term <first-term> thenfrom match match test-filter アクション:許可、不許可など FW filter名 discard 各termに適合しなかった場合、discardします ※新しくtermを作成した際など、評価の順番を変更する際はinsertコマンドを利用して意図した順番にTermを入れ替えて下さい 適合条件:アドレスなど thenfrom • FWフィルタとは個々のパケットのフローを制御するためのステートレスなフィルタリング ポリシーです(=ACL) • FWフィルタではtermと呼ばれる条件付けのブロックを定義します • フィルタ内のtermはtop→downの順番で精査されます term名 no match no match
Firewall Filterの設定 例1: 10.10.10.0/24からの通信を許可しないFWフィルタを作成 root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 root# set firewall family inet filter FW-FILTER term BLOCK then discard root# set firewall family inet filter FW-FILTER term PERMIT then accept root# show firewall family inet filter FW-FILTER term BLOCK { from { source-address { 10.10.10.0/24; } } then { discard; } } term PERMIT { then accept; } FW filter名 term名 適合条件:10.10.10.0/24からの通信 アクション:不許可 他のIPからの通信を許可
root# set interfaces ge-0/0/0 unit 0 family inet filter input FW-FILTER Firewall Filterの設定 例1: 作成したFWフィルタをインタフェースへ適用 root# show interfaces ge-0/0/0 unit 0 { family inet { filter { input FW-FILTER; } } } ge-0/0/0に入ってくる通信に対してFW-FILTERを適用 ※FWフィルタの設定を有効にする際(commitする際)にcommit confirmを利用すると 万が一設定を誤ってしまった場合にも切り戻しが可能になります
Firewall Filterの設定 例2: Termの順序入れ替え root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 root# set firewall family inet filter FW-FILTER term BLOCK then discard root# set firewall family inet filter FW-FILTER term PERMIT then accept root# set firewall family inet filter FW-FILTER term BLOCK2 from protocol udp root# set firewall family inet filter FW-FILTER term BLOCK2 then discard Termは設定した順番で設定ファイルに書き込みが行われます。 一方で、意図したフィルターを掛けるためには適切な順序でTermを記載する必要があります (上記例では、all PERMIT termの後にBLOCK2が書かれているので、Lookupがされないことに注意) • insert コマンド:Firewall FilterやFirewall Policyのterm順序を変更する root# insert firewall family inet filter FW-FILTER term BLOCK2 before term PERMIT root# insert firewall family inet filter FW-FILTER term PERMIT after term BLOCK2 OR All permitのあとにtermがあるので この順序だとこのtermはLookupされない
Firewall Filterの設定 例2: Termの順序入れ替え 意図した順番でtermが記載されていることを確認した上で、commitを行います root# show firewall family inet filter FW-FILTER { term BLOCK { from { source-address { 10.10.10.0/24; } } then { discard; } } term BLOCK2 { from { protocol udp; } then { discard; } } term PERMIT { then accept; } } insertコマンドによりterm BLOCK2がPERMITの前に移動している
Packet Forwarding Engine Routing Engine CPU lo0 Firewall Filterの設定 例3: JUNOS製品へのマネージメント通信を制限する 1. FWフィルタを作成する • 192.168.1.0/24のセグメントからSSHでの通信のみ許可 2. 作成したFWフィルタをlo0 (ループバックインタフェース)に適用する root# show firewall family inet filter MANAGEMENT { term PERMIT { from { source-address { 192.168.1.0/24; } protocol tcp; destination-port ssh; } then accept; } } root# show interfaces lo0 { unit 0 { family inet { filter { input MANAGEMENT; } address 10.10.10.1/24; } } } マネージメント通信はlo0を経由する ※EX, QFXシリーズ自身への通信を制御する場合、lo0および、me0(EX), em0(QFX)へFirewall Filterを適用する必要があります。 ※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)
Ethernet Switching “EX/QFX” course Juniper Network, K.K. JUNOS Hands-on Training
Training Outline Ethernet Switching "EX/QFX" course トレーニング内容(後半) 記載ページ ジュニパーのイーサネット・スイッチポートフォリオ P.111 LAB.1 JUNOSの基本的な操作・設定 P.121 LAB.2 Interfaceの設定 P.135 LAB.3 Routingの設定 P.148 LAB.4 Firewall Filterの設定 P.155 Virtual Chassisとは P.161 Virtual Chassis Deep Dive P.176 LAB.5 Virtual Chassisの設定 P.195 Wrap up P.209 TIPs to be JUNOS Experts P.211 Appendix A: Virtual Chassis Fabric P.242 Appendix B: Multi-Chassis LAG P.253 Appendix C: Zero Touch Provisioning P.271
ジュニパーのイーサネットスイッチ・ポートフォリオ
ジュニパーのイーサネットスイッチングプラットフォーム Ethernet Switch EX series Datacenter Fabric Switch QFX series キャンパス・データセンターで利用される オールマイティなL2/L3イーサネット・スイッチ (2008~) • 1G/10G/40G/100GbE • L2/L3 Switching • L2/L3 Protocols(STP, LACP, OSPF, BGP, …) • 802.1x, WebAuth • PoE, PoE+ • Virtual Chassis (up to 10 members) • Junos Fusion Enterprise • MACsec データセンタでの利用に特化した ハイスペック・イーサネット・スイッチ (2011~) • 10G/25G/40G/50G/100GbE • L2/L3 Low-Latency Switching • L2/L3 Protocols(STP, LACP, OSPF, BGP, …) • Clos IP Fabric • L2 Overlay - VXLAN, EVPN-VXLAN • MPLS • Virtual Chassis (up to 10 members) • Virtual Chassis Fabric (up to 20 members) • Junos Fusion, QFabric (up to 128 members) ※ 128 member support for Junos Fusion is Roadmap. FRS supports up to 64 members. 基本的な操作方法は 全く一緒!!
EX シリーズ 固定型スイッチ  12 port 10/100/ 1000BASE-T  固定の電源ユニット  ファンレス  2 SFPアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 port 10/100/1000BASE-T  固定の電源ユニットとファン  静音  4 port SFPアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 10/100/1000BASE-T  PoE/PoE+  データセンタエアフロー  最大10 メンバ Virtual Chassis  固定の電源ユニットとファントレイ  外付け冗長化電源  4 port SFP/SFP+ アップリンク  PoE/PoE+  データセンタエアフロー  モジュール型の電源ユニットとファ ントレイ  4 port GbE SFP アップリンクモ ジュール(オプション)  2 port 10GbE XFP アップリンク モジュール(オプション)  最大10 メンバ Virtual Chassis  128 Gbps Virtual Chassis backplane  32 x 1/10GBASE-SFP+/-T  全てのポートでワイヤーレート を実現するパフォーマンス  冗長電源・冷却  省スペース  拡張スロット×2  最大10メンバ Virtual Chassis  EX4200との混在Virtual Chassisが可能  MACsec EX2200-C EX2200 EX3300 EX4200 EX4550 ALL L2/L3 Models (No L2 Dedicated) ※Legacy L2 Switching モデル
EX シリーズ 固定型スイッチ(ELS)  12 port 10/100/ 1000BASE-T  固定の電源ユニット  ファンレス  2 port 10Gアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 port 10/100/1000BASE-T  固定の電源ユニットとファン  静音  4 port 10Gアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 10/100/1000BASE-T  PoE/PoE+  データセンターエアフロー  40 10GbE fiber ports  筐体内モジュール型の冗長電源ユ ニットとファントレイ  最大10メンバ Virtual Chassis  MACsec  24/48 10/100/1000BASE-T 32 port 1000BASE-X  PoE/PoE+  データセンターエアフロー  40 10GbE fiber ports  筐体内モジュール型の冗長電源ユ ニットとファントレイ  最大10メンバ Virtual Chassis  MACsec  24 10GbE ports  4x40GbEポート  拡張スロット×2  筐体内モジュール型の冗長電源 ユニットとファントレイ  省スペース  最大10メンバ Virtual Chassis  EX4300との混在Virtual Chassisが 可能  MACsec ハードウェアサポート EX2300-C EX2300 EX3400 EX4300 EX4600 ALL L2/L3 Models (No L2 Dedicated) ※ELS(Enhanced Layer2 Switching)モデル
EX シリーズ モジュラー型スイッチ  4/8/14 スロット(RE/Fabric含む)のシャーシモデル  2台のVirtual Chassisをサポート  冗長化されたファブリックとREモジュール  スロットあたり240Gbps のパフォーマンス  40 ポート 10/100/1000BASE-T ラインカード  40 ポート 1000BASE-X ラインカード  32ポート 10GBase-X ラインカード  4ポート 40GBase-Xラインカード  VPLS, Logical system EX9200 40x1G 32x10G 4x40G 2x100G+ 8x10GEX9204 EX9208 EX9214 ※ELS(Enhanced Layer2 Switching)モデル
EXシリーズ・ラインナップ Ports Modular Hardware Resiliency Logical Scale Performance EX2200-C EX2200 EX3300 EX4200 EX4300 EX4550 EX9200 Access Aggregation Core 10GbE 40/100GbE 1GbE EX4600 EX3400 EX2300-C EX2300
Route Engine Line Card EXシリーズ・バーチャルシャーシ 2台以上、10台以下のEX/QFXシリーズをソフトウェアの力で 1台のシャーシシステムとしてエミュレーションする仮想化スイッチング・テクノロジー ・ ハイパフォーマンス ・広帯域バックプレーン ・ シャーシ型スイッチと同等の信頼性 ・ シャーシ型スイッチと同等のHA機能 (GRES/NSR/NSB) ・シンプルなL2/L3ネットワークデザイン ・容易な管理性 (Single Console/NSSU) ・物理的な制約からの解放 ~320Gbps backplane Admin Switch to Manage = 1! Virtual Chassis 10 Slots シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
各種EXシリーズにおけるVC機能の比較 EX2200-VC Lite EX2300-VC Lite EX3300-VC EX3400-VC EX4200/4550-VC EX4300/4600-VC Target Market (Dominant) Branch; small campus access Branch; small campus access Campus access Campus access Campus access; data center TOR Campus access; aggregation; datacenter TOR Marketing Name Virtual Chassis-Lite Virtual Chassis-Lite Virtual Chassis Virtual Chassis Virtual Chassis Virtual Chassis Uplinks Up to 4x1GbE Up to 4x10GbE Up to 4x10GbE 2x40GbE or/and 4x10GbE 128G or 2x10GbE 4x40GbE and/or Nx10GbE Backplane Speed Up to 8 Gbps Up to 80 Gbps Up to 80 Gbps Up to 160 Gbps + 128 Gbps 320 Gbps + HA Capability No Partial Yes Yes Yes Yes Yes License for Virtual Chassis Base(12.3以降) 要License Base Base Base Base LCD No No Yes No Yes Yes Virtual Chassis Members Up to 4 Up to 4 Up to 10 Up to 10 Up to 10 mixed Virtual Chassis with EX4200/4500 Up to 10 mixed Virtual Chassis with EX4300/4600
QFX-Series Multiple Fabric Architecture for Datacenter ToR Juniper Architectures Open Architectures MC-LAG … Virtual Chassis Up to 10 members Qfabric/ JUNOS Fusion Up to 128 members IP Fabric w/ Overlay L3 Fabric Virtual Chassis Fabric Up to 20 members QFX5100
QFXシリーズ・ラインナップ Datacenter Switching Portfolio SPINE MODULAR LEAF FIXED QFX5100 QFX5100-24Q HIGH DENSITY 40GbE HIGH DENSITY 10/25/40/50/100GbE QFX10008 QFX10016 QFX10002-72 Up to 480 X 100 GE Ports High Density 40/100GbE QFX10002-36 HIGH DENSITY 10GbE QFX5200 QFX5110-48S QFX5110-32Q
LAB.1 JUNOSの基本的な操作・設定
 管理用IP(me0) : 192.168.1.x/24 Group1 • Tokyo-1: .1 • Nagoya-1:.2 • Osaka-1: .3 • Fukuoka-1:.4 Ethernet Switching "EX/QFX" course Topology (Lab.1:基本操作) – グループ1 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-1 Tokyo-1 Nagoya-1 EX3400 Tokyo-1 Nagoya-1 Fukuoka-1
Ethernet Switching "EX/QFX" course Topology (Lab.1:基本操作) – グループ2 ge-0/0/0 ge-0/0/10 ge-0/0/1 .5 .6 .7 .8 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-2 Tokyo-1 Nagoya-1 EX3400 Tokyo-2 Nagoya-2 Fukuoka-2  管理用IP(me0) : 192.168.1.x/24 Group1 • Tokyo-2: .5 • Nagoya-2:.6 • Osaka-2: .7 • Fukuoka-2:.8 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
--- JUNOS 9.3S1.6 built 2009-05-28 13:53:44 UTC root@Amenistic:RE:0% cli root> JUNOSへのログイン 初期設定状態のEXにアカウント’root’でログインします。 cliコマンドでJUNOSのOperationalモードを起動します。 – rootアカウントはserial console、またはssh接続時のみ使用可能です。 – 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。 • Root Password: Juniper – Tera TermからSSHv2接続で接続してください。
Operationalモードのshowコマンド実行 構成やバージョンなど基本情報の確認を実施します。 – Active configurationを表示 – ハードウェア情報を表示 – ソフトウェアバージョンの確認 – インタフェースのステータス一覧の表示 – ルーティングテーブル表示 – MACアドレステーブル表示 – サポートを受ける際に必要な機器情報(RSI)を一括取得 ※出力が一画面に入らない場合、 | no-more オプションを追加すると最後まで表示されます root> show version root> show configuration root> show chassis hardware root> show interface terse root> show route root> show ethernet-switching table root> request support information
rootアカウントのパスワード設定 (設定済) Configuration Modeに入り、設定変更の準備を行います。 下記の手順でrootアカウントにパスワードを設定します。 – root password: Juniper ※rootパスワード設定は必須です。設定が存在しないとcommitに失敗します。 root> configure root# set system root-authentication plain-text-password (改行後パスワード入力) root# commit
管理インタフェース(me0)に対して管理用アドレスを付与します。 – アドレス192.168.1.xx/24(xx = Topologyで指定された第4オクテット)を付与する show interfacesコマンドで、設定したme0インタフェースのconfigを確認します。 管理インタフェース(me0)へのアドレス付与(設定済) me0 EX3400 rear view # set interface me0 unit 0 family inet address 192.168.1.xx/24 {master:0}[edit] root# show interfaces
新規アカウント作成 管理用アカウント”lab”を以下の設定で作成します。 commit完了後、一度rootユーザのセッションをログアウトします。 telnetで、作成したアカウントを使って正常にログインできることを確認します。 root# set system login user lab class super-user root# set system login user lab authentication plain-text-password (改行後パスワード入力) root# commit and-quit root> exit root@% exit Username Password Class lab lab123 super-user login: lab Password: --- JUNOS 14.1X53-D15.2 built 2014-12-20 23:22:48 UTC {master:0} lab@>
サービスの起動とホスト名の設定 サービスの起動 – デフォルトでは各種サービスが起動していないため、追加で設定します。 (telnet, ssh のみ事前に設定済み) – ftp, httpで機器にアクセスできるようにします。 ホスト名の作成 – Topologyを参照して、各自がログインしている機器のホスト名を設定します。 変更したconfigの差分を確認 – Active configと比較して、設定が正しく追加されたことを確認しcommitします。 lab# set system services ftp lab# set system services web-management http lab# set system host-name Tokyo-1 lab# show | compare lab# commit
サービス起動の確認 FTPによるアクセス – Windowsからコマンドプロンプトを立ち上げFTPでアクセスできることを確認します。 • ftp 192.168.1.xx • Rootを使用してログイン • Lsコマンドでユーザディレクトリを表示できることを確認 – 表示されない場合、Windows FirewallでFTP許可が必要 ブラウザからWeb GUI(J-Web)へのアクセス – ブラウザからアクセスし、J-Webの画面が表示されることを確認します。 • http://192.168.1.xx/ – root、または作成したユーザ(lab)を使用してログイン
Configurationの確認 ここまでで設定したconfiguration全体を確認します。 ① Operationalモードから確認 稼働中のActive configを表示します。 ② Configurationモードから確認 編集中のcandidate configを表示します。 commit後に設定変更をしていなければ、Active configと同じ内容が表示されます。 lab@Tokyo-1> show configuration lab@Tokyo-1> show configuration | display set lab@Tokyo-1> configure Entering configuration mode [edit] lab@Tokyo-1# show lab@Tokyo-1# show | display set 同じConfigを異なる形式で表示 同じConfigを異なる形式で表示
Operationalモードのコマンドを表示 Configurationモードから、Operationalモードのコマンドを実行します。 ① Configurationモードに入ります ② show interfacesコマンドを実行 以下の2つのコマンドを実行し、表示される内容を確認します。 Operational Mode Configuration Mode show interfaces show interfaces run lab@Tokyo-1> configure lab@Tokyo-1# show interfaces lab@Tokyo-1# run show interfaces
Operationalモードのコマンドを表示 Configurationモードから、Operationalモードのコマンドを実行します。 ① Configurationモードに入ります ② show interfacesコマンドを実行 以下の2つのコマンドを実行し、表示される内容を確認します。 Operational Mode Configuration Mode show interfaces show interfaces run lab@Tokyo-1> configure lab@Tokyo-1# show interfaces lab@Tokyo-1# run show interfaces
commit confirmed 誤った設定をしてしまった場合でも設定が自動で元に戻ることを確認します。 ①コマンドプロンプトからping 192.168.1.xx -tを実行しておきます ②管理インタフェースの設定を削除 me0の設定を削除します。 ※commitはまだしないこと ③commit confirmed commit confirmedオプションを使って、1分後に設定が戻るようにcommitします。 commit完了メッセージが表示された後、アクセス不能になりTera Termが切断されます。 ④pingが応答が返ってきたら再度labでログインし、設定が戻っていることを確認 削除したme0の設定がもとに戻っていることを確認します。 lab@Tokyo-1# delete interfaces me0 lab@Tokyo-1# show | compare lab@Tokyo-1# commit confirmed 1 lab@Tokyo-1> show configuration interfaces me0
Configurationをファイルに保存 次のLabを始める前に、saveコマンドでconfiguration fileをsaveします。 file listコマンドで正常にsaveできたことを確認します。 lab@Tokyo-1# save lab1-end_YYMMDD Wrote 213 lines of configuration to 'lab1-end_YYMMDD' {master:0}[edit] lab@Tokyo-1# exit Exiting configuration mode lab@Tokyo-1> file list /var/home/lab/: .ssh/ lab1-end_YYMMDD
LAB.2 Interfaceの設定 Link Aggregation/Vlan/IRB
Ethernet Switching "EX/QFX" course Topology (Lab.2:インタフェースの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 例:Tokyo-X の場合の IP アドレス設定 ge-0/0/0 (ae0) ge-0/0/1 (irb.20) 10.2.1.1 ge-0/0/2 (irb.100) 172.16.1.1 ge-0/0/10 (ae0) ae0 (irb.10) 10.1.1.1 各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定 各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定
LAG(Link Aggregation Group)の作成 ① LAG(Link Aggregation Group)を作成します。 – LAGの設定準備 – LAGの作成(ae0) – LAGに参加させるメンバーIFのdefault protocol-family (ethernet-switching)を削除 – LAGへのinterface追加 *LAGの場合、論理インタフェースプロパティはaeインタフェースに対して設定します。 メンバーIFには設定しない(メンバーIFは論理IFを持たない)ことに留意してください。 # set chassis aggregated-devices ethernet device-count 1 # set interfaces ae0 unit 0 family ethernet-switching # delete interfaces ge-0/0/0 unit 0 # delete interfaces ge-0/0/10 unit 0 # set interfaces ge-0/0/0 ether-options 802.3ad ae0 # set interfaces ge-0/0/10 ether-options 802.3ad ae0
LAG(Link Aggregation Group)の作成 ② LAGにLACPを設定します。 – LACPオプションの追加し、commitします。 LAGの正常性を確認します。 – LAGの状態を確認 • ae0がAdmin up, Link upのステータスであること – LACPの状態を確認 • LACP protocolが以下の状態になっていること – Receive State: Current – Mux State: Collecting distributing > show interfaces ae0 > show interface terse # set interfaces ae0 aggregated-ether-options lacp active periodic fast > show lacp interfaces ae0
VLANを作成し、アクセスポートを設定 VLANを作成し、インタフェースへの適用を行います。 – VLAN作成 • Topologyを参照し、機器が所属するVLAN を作成する – インタフェースをaccess portに設定し、VLANに参加させる lab@Tokyo# set vlans vlan10 vlan-id 10 lab@Tokyo# set vlans vlan20 vlan-id 20 lab@Tokyo# set vlans vlan100 vlan-id 100 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10 lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
Vlan & Interface : Sample Configuration set vlans vlan10 vlan-id 10 set vlans vlan20 vlan-id 20 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan20 vlan-id 20 set vlans vlan40 vlan-id 40 set vlans vlan200 vlan-id 200 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200 Tokyo Nagoya
Vlan & Interface : Sample Configuration set vlans vlan10 vlan-id 10 set vlans vlan30 vlan-id 30 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan30 vlan-id 30 set vlans vlan40 vlan-id 40 set vlans vlan200 vlan-id 200 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200 Osaka Fukuoka
VLANにIRBインタフェースを追加 VLANにIRB(Integrated Routing and Bridging=L3 vlan interface)を設定します。 VLANインタフェースにアドレスを追加  Topologyを参照し、該当するVLAN interfaceを作成してアドレスを設定する  VLANに対してL3インタフェースをひもづける RSTPのdisable  デフォルトで動作しているRSTPは必要なくなったため、設定を削除する lab@Tokyo# set interfaces irb unit 10 family inet address 10.1.1.x/24 lab@Tokyo# set interfaces irb unit 20 family inet address 10.2.1.x/24 lab@Tokyo# set interfaces irb unit 100 family inet address 172.16.1.x/24 lab@Tokyo# set vlans vlan10 l3-interface irb.10 lab@Tokyo# set vlans vlan20 l3-interface irb.20 lab@Tokyo# set vlans vlan100 l3-interface irb.100 lab@Tokyo# delete protocols rstp
IRB : Sample Configuration set vlans vlan10 l3-interface irb.10 set vlans vlan20 l3-interface irb.20 set vlans vlan100 l3-interface irb.100 set interfaces irb unit 10 family inet address 10.1.1.1/24 set interfaces irb unit 20 family inet address 10.2.1.1/24 set interfaces irb unit 100 family inet address 172.16.1.1/24 delete protocols rstp set vlans vlan20 l3-interface irb.20 set vlans vlan40 l3-interface irb.40 set vlans vlan200 l3-interface irb.200 set interfaces irb unit 20 family inet address 10.2.1.2/24 set interfaces irb unit 40 family inet address 10.4.1.2/24 set interfaces irb unit 200 family inet address 172.16.2.2/24 delete protocols rstp Tokyo Nagoya
IRB : Sample Configuration set vlans vlan10 l3-interface irb.10 set vlans vlan30 l3-interface irb.30 set vlans vlan100 l3-interface irb.100 set interfaces irb unit 10 family inet address 10.1.1.3/24 set interfaces irb unit 30 family inet address 10.3.1.3/24 set interfaces irb unit 100 family inet address 172.16.1.3/24 delete protocols rstp set vlans vlan30 l3-interface irb.30 set vlans vlan40 l3-interface irb.40 set vlans vlan200 l3-interface irb.200 set interfaces irb unit 30 family inet address 10.3.1.4/24 set interfaces irb unit 40 family inet address 10.4.1.4/24 set interfaces irb unit 200 family inet address 172.16.2.4/24 delete protocols rstp Osaka Fukuoka
インタフェース/VLAN/LACP動作確認 インタフェース, VLAN, LACPの確認コマンドで正常性を確認します。 隣接機器に対してpingを実施し、応答があることを確認します。 • ping [隣接機器のIRB IPアドレス] – Ctrl+Cで停止 > show interfaces (terse) > show ethernet-switching interfaces > show vlans (detail) > show lacp interfaces
※参考: VLANを作成し、トランクポートを設定する場合 VLANを作成し、インタフェースへの適用を行います。 – VLAN作成 • VLAN を作成する – インタフェースをtrunk portに設定し、複数のVLANを参加させる lab@Tokyo# set vlans vlan10 vlan-id 10 lab@Tokyo# set vlans vlan20 vlan-id 20 lab@Tokyo# set vlans vlan100 vlan-id 100 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode trunk lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan20 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan100 ※本トレーニングコースのラボ構成にはTrunk Portの設定は出てきませんので、 ここでは参考までに設定の方法を記載しています。実機には投入しないでください。
※参考: Legacy Layer2 Switchingモデルの場合 Legacy L2 Switchingモデル(SRX100~650、EX2200~EX4550など)の場合、 一部、L2設定周りのCLIが異なり、以下のような設定方法となります。 set vlans vlan10 vlan-id 10 set vlans vlan20 vlan-id 20 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching port-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan10 l3-interface vlan.10 set vlans vlan20 l3-interface vlan.20 set vlans vlan100 l3-interface vlan.100 set interfaces vlan unit 10 family inet address 10.1.1.1/24 set interfaces vlan unit 20 family inet address 10.2.1.1/24 set interfaces vlan unit 100 family inet address 172.16.1.1/24 delete protocols rstp
LAB.3 Routingの設定 OSPF / Redistribute Static
Ethernet Switching "EX/QFX" course Topology (Lab.3:ルーティングの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 OSPF Area 0.0.0.0 1.1.1.1/32 2.2.2.2/32 4.4.4.4/323.3.3.3/32 Passive Passive Passive Passive Loopback address (全グループ共通) Tokyo: 1.1.1.1/32 Nagoya: 2.2.2.2/32 Osaka: 3.3.3.3/32 Fukuoka: 4.4.4.4/32 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
OSPFでのルーティング OSPFの設定を行います。 – Loopbackアドレス(lo0)を設定する – Router-idを設定する – OSPFに参加させたいインタフェースを追加する – – Passiveインタフェースを設定する lab@Tokyo# set interfaces lo0 unit 0 family inet address 1.1.1.1/32 lab@Tokyo# set routing-options router-id 1.1.1.1 lab@Tokyo# set protocols ospf area 0 interface lo0.0 lab@Tokyo# set protocols ospf area 0 interface irb.10 lab@Tokyo# set protocols ospf area 0 interface irb.20 lab@Tokyo# set protocols ospf area 0 interface irb.100 passive
OSPF : Sample Configuration set interfaces lo0 unit 0 family inet address 1.1.1.1/32 set routing-options router-id 1.1.1.1 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.10 set protocols ospf area 0 interface irb.20 set protocols ospf area 0 interface irb.100 passive Tokyo set interfaces lo0 unit 0 family inet address 2.2.2.2/32 set routing-options router-id 2.2.2.2 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.20 set protocols ospf area 0 interface irb.40 set protocols ospf area 0 interface irb.200 passive Nagoya set interfaces lo0 unit 0 family inet address 3.3.3.3/32 set routing-options router-id 3.3.3.3 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.10 set protocols ospf area 0 interface irb.30 set protocols ospf area 0 interface irb.100 passive Osaka set interfaces lo0 unit 0 family inet address 4.4.4.4/32 set routing-options router-id 4.4.4.4 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.30 set protocols ospf area 0 interface irb.40 set protocols ospf area 0 interface irb.200 passive Fukuoka
OSPFの動作確認① OSPFのネイバーのステータスを確認 DR/BDRの確認 OSPF経由で学習した経路を表示 Loopbackアドレスを送信元にしてping, tracerouteを実行し全体に 疎通できることを確認します lab@Tokyo> show ospf neighbor lab@Tokyo> show ospf interface lab@Tokyo> show route lab@Tokyo> ping <宛先address> source <自機のLo0 address> lab@Tokyo> traceroute <宛先address>
OSPFの動作確認② OSPF経由で学習した経路のみを表示 OSPFデータベース(AREAごと) ルータがアドバタイズしているLSAを表示 lab@Tokyo> show route protocol ospf Tokyo>show ospf database area 0 Tokyo>show ospf database router advertising-router <対向router-id> detail
OSPFでのルーティング Static RouteのOSPFへのRedistributeを行います。 – DummyのStatic Routeを設定する – Static RouteをExportするPolicyを作成する – OSPFにExport Policyを適用する lab@Tokyo# set routing-options static route 9.9.9.X discard lab@Tokyo# set policy-options policy-statement EXPORT-OSPF from protocol static lab@Tokyo# set policy-options policy-statement EXPORT-OSPF then accept lab@Tokyo# set protocols ospf export EXPORT-OSPF
LAB.4 Firewall Filter (ACL) の設定
Ethernet Switching "EX/QFX" course Topology (Lab.4:アクセスリストの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 ①各EXで図のようにEXからEXへ、 telnetアクセスを禁止してください ②me0にfilteringをかけて、 FTPアクセスを禁止してください ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
Firewall Filterチェック順序 • Firewall Filterのチェック順序  Port → VLAN → Routerの順序にてFFを実行し、Egressは逆の手順にてFFを実行する • RouterのFFは、同一VLAN内のswitchパケットに適用できない ge-1/0/0 ge-1/0/5 ge-1/0/1 ge-1/0/3 ge-1/0/4 VLAN FF Router FF Port FF VLAN FF Router FF Switch Rx Packet Port FF VLAN FF Router FF Input Router FF VLAN FF Tx Packet Output Port FF
Firewall Filter設定 Port/VLAN-based FF Router-based FF パケットは、termの上位からルックアップされる マッチしたtermのactionを実行してぬける 最後に暗黙のdeny(implicit-rule)が隠れている firewall { family ethernet-switching { filter <filter-name> { term <term-name> { from { <match conditions>; } } then <actions defined>; } term implicit-rule { then discard; } } } } firewall { family inet { filter <filter-name> { term <term-name> { from { <match conditions>; } then <actions defined>; } term implicit-rule { then discard; } } } }
①Firewall Filterを使用してtelnetを制御 Firewall Filterを設定します。 Filterをae0インタフェースへ適用します。 Filterが有効なことを確認するため、telnetで隣接機器にアクセスします。 telnet以外の通信(ping, OSPF)は依然可能なことを確認します。 Filterでdiscardされたtelnetのカウンタを確認します。 set firewall family ethernet-switching filter deny_telnet term t10 from ip-protocol tcp set firewall family ethernet-switching filter deny_telnet term t10 from destination-port telnet set firewall family ethernet-switching filter deny_telnet term t10 then discard set firewall family ethernet-switching filter deny_telnet term t10 then count telnet_count set firewall family ethernet-switching filter deny_telnet term t20 then accept set interfaces ae0 unit 0 family ethernet-switching filter input deny_telnet lab@Tokyo> telnet 10.1.1.3 Trying 10.1.1.3... [Ctrl+Cで停止] > show firewall
②Firewall Filterを使用して管理インタフェースを制御 Firewall Filterを設定する Filterをインタフェースへ適用する コマンドプロンプトからFTPで管理IPアドレスにアクセスできなくなったことを確認します。 Filterでdiscardされたtelnetのカウンタを確認します。 ※EX, QFXシリーズ自身への通信を制御する場合、lo0およびme0(EX)・em0(QFX)へFFを適用する必要があります。 ※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。 (管理インタフェースfxp0への適用は不要) set firewall family inet filter deny_ftp term t10 from protocol tcp set firewall family inet filter deny_ftp term t10 from destination-port ftp set firewall family inet filter deny_ftp term t10 then discard set firewall family inet filter deny_ftp term t10 then count ftp_count set firewall family inet filter deny_ftp term t20 then accept set interfaces lo0 unit 0 family inet filter input deny_ftp set interfaces me0 unit 0 family inet filter input deny_ftp > show firewall
Virtual Chassisとは、
ジュニパーのイーサネット・ファブリック ジュニパーの解決策: ソフトウェアの力で仮想的にシャーシ型スイッチをエミュレート レガシーな シャーシ型スイッチ ネットワーク管理者 仮想シャーシ型スイッチ (イーサネット・ファブリック) Devices to Manage = 1 !!! L2/L3 Local Switching !!! L2/L3 Protocol HA & ISSU !!! シャーシ型スイッチをソフトウェアでエミュレートすることで ボックス型スイッチにシャーシ型スイッチと同等のメリットを付与し、 さらに物理的な制約を受けない仮想シャーシならではのメリットを提供
旧来のシャーシ型スイッチとVirtual Chassis技術 シャーシ型スイッチのメリット  高信頼性ハードウェア – 冗長ルーティングエンジン – 冗長スイッチファブリック – 冗長電源ユニット – 冗長ファントレイ  管理の簡便性 – シングルイメージ – 単一のコンフィグファイル – 単一のマネージメントIPアドレス  パフォーマンスとスケーリング – ハイパフォーマンス – 大容量のバックプレーン – モジュラー型構成 RE 1 RE 0 LAG 1 LAG 2 Max 10 RU Virtual Chassisによる更なるメリット:  物理配置の柔軟性  低消費電力  最小構成からスタート可能  必要最低限のラックスペース確保 Virtual Chassis 10 Slots Max 480Gbps Backplane Per line-card
Virtual Chassisのトポロジー 最大10メンバーまでであれば、仮想バックプレーンによる接続を使用した自由なトポ ロジーでL2/L3ファブリックを構成することが可能 Braid Ring Spine & Leaf ※接続方法は、筐体間の距離に応じて Copper (DAC/QSFP-DAC)かFiberから選択 Combination
Virtual Chassisの仮想バックプレーン 前面・背面のファイバー・イーサネット・ポートを自由に 仮想バックプレーンに変換してVCを構成することが可能 EX3400シリーズ EX4300シリーズ QFX5100シリーズ 10G*N Gbps 仮想バックプレーン(VCポート) 40G*N Gbps 仮想バックプレーン(VCポート)
Virtual ChassisのHigh Availability機能 RE間で各種プロトコルのステータスをコピーし、フェイルオーバーに備えることで 障害時におけるL2/L3プロトコルへの影響を最小化 Kernel、FowardingTable、interface info L3 Protocol State & L2 Protocol State OSPF・BGP neighbor (L3 Protocol) Member0 :RE 1 Member1 :LC 2 Member2:RE 0 Member3 :LC 3 Master RE Backup RE Master REに障害が発生しても無停止でプロトコル継続運用が可能な Non Stop Routing(NSR)およびNon Stop Bridging(NSB) LACP・xSTP neighbor (L2 Protocol)
Virtual ChassisのOSバージョンアップ 管理者によるUpgradeコマンドの発呼後、各RE、Linecardと順に再起動して新OSを反映するため、 ラインカード跨ぎのインタフェースの保護構成を取ることとNSR/NSBとの併用でOSアップグレード時の影響を最小化することが可能 ※すべての環境で1秒以内のダウンタイムを保証するものではありません。環境に応じた事前の検証をお勧めします。 Member0 :RE 1 Member1 :LC 2 Member2:RE 0 Member3 :LC 3 Master RE Backup RE Non Stop Software Upgrade(NSSU)により管理者は、コマンド一行で システムダウンタイムを約1秒以内の想定※でOSのバージョンアップを実行 ネットワーク管理者 request system software non-stop-upgrade !!! Reboot 1st Reboot 2nd Reboot 4th Reboot 3rd
異なるメディアスピードのラインカードをVirtual Chassis内で収容可能なため 1GbE から 10GbE サーバーへのシームレスな移行をサポート EX4300 EX4300 1GbE servers QFX5100 10GbE servers Virtual Chassis Mixed Mode ネットワーク管理者 Devices to Manage = 1 !!! QFX5100 40GbE storages ※EX3300,EX3400ではMixed Mode Virtual Chassisはサポートされません。
DC Interconnect (MPLS) The Internet コアVCと10 member Braid Ring VCによる2階層構成(コスト重視構成) Virtual Chassisの使用例@DCネットワーク :その1 ネットワーク管理者 Switches to Manage = 3 !!! DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Core Switch (QFX5100 VC) Access Switch ( EX4300 VC) Access Switch ( QFX5100 VC) 40GbE*N LAG 10 member Braid Ring VC Per Row 40GbE*N LAG 異なるLCへの NIC Teaming 異なるLCへの LAG 10G Server1G Server 10 member Braid Ring VC Per Row 10G POD1G POD
DC Interconnect (MPLS) The Internet コアVCと2 member VCによる2階層構成(パフォーマンス重視構成) Virtual Chassisの使用例@DCネットワーク :その2 DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Core Switch (QFX5100 VC) Access Switch ( EX4300 VCs) Access Switch ( QFX5100 VCs) 2~10 member VCs per Rack …… ネットワーク管理者 L2/L3冗長プロトコルの管理は必要なし! e.g. xSTP,MC-LAG,TRILL,VRRP,OSPF,,, 2~10 member VCs per Rack 10GbE*N LAG 40GbE*N LAG 異なるLCへの NIC Teaming 1G Server 異なるLCへの LAG 10G Server 10G POD1G POD
Core Switch (QFX5100 VC) 管理セグメントのシンプル化 Virtual Chassisの使用例@DCネットワーク :その3 ネットワーク管理者 ZTPやオーケストレーションなど、 自動化の配備には管理セグメントの整備が重要! Access Switch ( QFX5100 VCs) 10G POD … … 1GbB Management Network Management Switch ( EX3400 VC) 10 member Braid Ring VC Per Row
Building 2Building 1 Core  キャンパスNWを1台のスイッチで収容するソリューション  最大80kmまでをVirtual Chaissの10GbEバックプレーンで収容  STP を排除したネットワークデザイン EX3300 Virtual Chassis 中小エンタープライズ (450ユーザ位まで)における キャンパスを一つのEX3400 Virtual Chassisで収容する例 EX3400 Virtual Chassis x2 Closet 1A Closet 2A Closet 3A Closet 4A Building 3 Building 4 EX3400 Virtual Chassis x2 EX3400 Virtual Chassis x2 EX3400 Virtual Chassis x2  Virtual Chassis を複数のワイヤリングクローゼット、ビル間で構築することで、  アップリンクポートの削減  必要管理デバイス数の削減  High Availability Virtual Chassis  VRRPや複雑なルーティング、VLANの管理が不要 10Gig10Gig 10Gig EX3400 Virtual Chassis
Building 2 Closet 2A Closet 2B Building 1 Core  10GbE LAGによるワイヤリングクローゼットからのアップリンク  多数の3400バーチャル・シャーシを冗長性を持って収容 EX4600 Virtual Chassis EX4600 Virtual Chassis をキャンパスにおける Aggregation/Coreスイッチとして使用する例 EX4300 Virtual Chassis x10 EX3400 Virtual Chassis x10 EX3400 Virtual Chassis x10 EX3400 Virtual Chassis x10 Closet 1A Closet 1B  既存のアグリゲーション/コア・スイッチと比較して 圧倒的なコストパフォーマンス  コストは1/8 に  パフォーマンスは4倍に  STP を排除したネットワークデザイン  VRRPや複雑なルーティング、VLANの管理が不要 EX4600 Virtual Chassis STP VRRP
距離が離れたキャンパスネットワークを 1セットのVirtual Chassisで収容する例 Campus-ECampus-C Campus-D EX4300 x2 Campus-F Campus-A Campus-B Virtual Chassis EX4300 x2 EX4300 x2 EX4300 x2 EX4600 EX4600 〜x00km Virtual Integrated Remote Campus EX4600 & EX4300 Mixed Virtual Chassis  距離が離れたキャンパスネットワークを一台 の仮想シャーシで集約することが可能
最大で10台のスイッチまでを 一つの仮想シャーシとして設定、管理運用が可能 物理的に離れたデバイスであっても論理的に統合可能 異なるプラットフォーム間でのバーチャルシャーシ接続 (e.g. QFX5100 + EX4300) コア、1G/10G/40Gアクセス、マネジメント 規模やサービスレベルに応じた様々なVCを提供 まとめ:Virtual Chassisによるメリット Industry- only Industry- only Industry- only Industry- only これにより拡張し続けるデータセンターのネットワークをシンプルに管理運用することが可能に!
Virtual Chassis Deep Dive
Virtual Chassis™ Backplane Cabling • Longest Virtual Chassis cable spans the entire Virtual Chassis – もっともシンプルな接続方法 – VCの高さ・幅はVCケーブルの最大長5m以内 Option 1 – Dedicated Virtual Chassis Daisy-Chained Ring Option 2 – Dedicated Virtual Chassis Braided Ring  Longest Virtual Chassis cable spans three switches • VCの高さ、幅を 約23mまで拡張する接続方法 5m 23 m
Virtual Chassis™ Backplane Cabling • Extend height and/or width of Virtual Chassis by GbE or 10GbE uplinks – オプティックスのサポートする距離まで拡張可能 (70km) • Extend Virtual Chassis across: – ワイヤリングクローゼットを越えた接続 – データセンター内ラックを越えた接続 – データセンターの列を越えた接続、など Option 3 – Extended Virtual Chassis 10GbE or 40GbE Virtual Chassis Extension 10GbE or 40GbE Virtual Chassis Extension Up to 80 km Virtual Chassis Location #1 Dedicated Virtual Chassis Backplane Virtual Chassis Location #2
Virtual Chassis™ Backplane Cabling • Extend height and/or width of Virtual Chassis by GbE uplinks – オプティックスのサポートする距離まで拡張可能 (80km) • Extend Virtual Chassis across: – データセンター内ラックを越えた接続 – データセンターの列を越えた接続 – データーセンターのWANを越えた接続、など Option 4 –Virtual Chassis Mesh 10/40GbE Virtual Chassis Extension Up to 80 km
Virtual Chassisの接続方法について -1 VCを構成する際には、VCの仮想バックプレーン(VCP)同士を接続する必要があります。 プラットフォームによって工場出荷時の状態でVCPが設定されているものとそうでないものがあり ます。 ファイバーのイーサネットポートをVCPにコンバートするコマンドは以下で実行可能です。 必要に応じてVCPの設定追加・削除をした上でVC接続を行ってください。 EX3300シリーズ EX4300シリーズ QFX5100シリーズ デフォルトのVCP (xe-0/1/2~3) デフォルトのVCP (et-0/2/2~3) ファイバー・ イーサネットポート ファイバー・ イーサネットポート デフォルトのVCP (なし) ファイバー・ イーサネットポート request virtual-chassis vc-port set pic-slot <pic-slot> port <port-number> member <member-id> request virtual-chassis vc-port delete pic-slot <pic-slot> port <port-number> member <member-id>
Virtual Chassisのコンポーネント “Master”, “Backup” および “Linecard” – Master switch (active RE) – 相互接続された VC switchの1つのスイッチがマスターになります。 JUNOSを起動しておりVirtual Chassisの管理を実施します。 • すべてのvirtual chassisを管理するデーモンおよびコントロールプロトコルを動作させる • すべてのインタフェースを管理する、ハードウェアフォワーディングの管理を実施 – Backup switch (backup RE) – 相互接続された VC switchの1つのスイッチがバックアップになります。 JUNOSを起動しておりバックアップとしてマスターと連携を実施します。 • GRES使用時は、RE0とハードウェアフォワーディングテーブルの同期をとっている • RE0が故障した場合にRE0に変わり、シャーシの管理やインタフェース管理を実施 – “Linecard” switch (Linecard) – その他のメンバーになっているスイッチはすべてラインカードになります。 JUNOSを起動しておりラインカードとして動作している。 • Non Preprovisioned Modeの場合、マスターかバックアップが故障した場合,ラインカードのひとつが新しいバック アップとして動作します
Virtual Chassisの構成方法について-1 VCを構成する際には、 Plug-and-PlayでのVC構成を提供する“Non-Preprovisioned mode”と 最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。 Non-preprovisoned Configuration ‐ マスター・セレクション・アルゴリズムにより自動的にVCを構成することが可能 Master-ship priority値や起動順序により、master/backup/linecardを決定 Master/BackupREは, master-ship priority 255を推奨 ‐ REの障害時には、Linecard役の中から1台がREに昇格する Preprovisoned Configuration ‐ 明示的にREやLinecardに指定したスイッチを作成することにより、より明示的な運用の実現とAdvanced Licenseの消費を抑える ことが可能 ※ NSSUはPreprovisioned Configurationでのみサポート
Virtual Chassisの構成方法について-2 より簡易性が求められるネットワークへのデプロイ時には“Non-Preprovisioned mode”でVCを構 成します。“Non-Preprovisioned mode”では予め設定されたルールに基づき、どの筐体が Routing Engineの役割を担うか自動的に計算されてVCが構成されます。 • マスターRE(RE0)選定 起動するときにはすべてのスイッチで以下項目比較の元、マスターの選定が行われる Master 選定の優先順位: 1.マスターシップの優先順位が最も高い (0-255までの優先順位、デフォルト値は 128) 2.以前動作していたときにマスターに選定されていた 3.起動している時間が長い (起動している時間が1分以上違う場合) 4.MAC アドレスの小さいほう ※マスターが選定された後、マスターREと同じ選定方式により、バックアップREスイッチの選定が実施される • Linecard バーチャル・シャーシを構成する残りのスイッチは、ラインカードとして動作 マスター、バックアップが何らかの理由によりフェイルした場合、マスターREと同じ選定方式によりラインカードからバックアップスイッ チの選定を実施 > set virtual-chassis member <member-id> mastership-priority <priority 1-255>
set virtual-chassis preprovisioned set virtual-chassis member 0 role routing-engine set virtual-chassis member 0 serial-number 111111111111 set virtual-chassis member 1 role line-card set virtual-chassis member 1 serial-number 222222222222 set virtual-chassis member 2 role line-card set virtual-chassis member 2 serial-number 333333333333 set virtual-chassis member 3 role routing-engine set virtual-chassis member 3 serial-number 444444444444 Virtual Chassisの構成方法について-3 より高いSLAが求められるネットワークへのデプロイ時には“Preprovisioned mode”でのVC構成 を推奨されます。 “Preprovisioned mode”では設定によりシリアルでのハードウェアとRole管理によるより安定し た運用と、OSアップグレード時にミニマムなダウンタイムでの実施完了を期待できるNSSU (Non Stop Software Upgrade)サービスが提供されます。 Preprovisioned modeを宣言 各筐体毎のシリアルNo.を投入 任意の筐体2台でRouting-Engine Roleを宣言、 その他の筐体のRoleはすべてLinecard
root@Juniper> show virtual-chassis ? Possible completions: <[Enter]> Execute this command active-topology Virtual chassis active topology device-topology PFE device topology login mode Virtual chassis mode information protocol Show virtual chassis protocol information status Virtual chassis information vc-path Show virtual-chassis packet path vc-port Virtual chassis port information | Pipe through a command {master:0} Virtual Chassisの確認方法について-1 lab@lab> show virtual-chassis?
root> show virtual-chassis status Virtual Chassis ID: 0019.e255.3740 Mastership Neighbor List Member ID Status Serial No Model priority Role ID Interface 0 (FPC 0) Prsnt BM0208124253 ex4200-24t 128 Master* 1 vcp-0 2 vcp-1 1 (FPC 1) Prsnt BM0208124327 ex4200-24t 128 Backup 2 vcp-0 0 vcp-1 2 (FPC 2) Prsnt BM0208124235 ex4200-24t 128 Linecard 0 vcp-0 1 vcp-1 Member ID for next new member: 3 (FPC 3) Virtual Chassisの確認方法について-2 “show virtual-chassis status”コマンドにて構成されたVCの状態を確認することが可能です。 root> show virtual-chassis status Preprovisioned Virtual Chassis Virtual Chassis ID: 0019.e255.3740 Mastership Neighbor List Member ID Status Serial No Model priority Role ID Interface 0 (FPC 0) Prsnt BM0208124253 ex4200-24t 129 Master* 1 vcp-0 2 vcp-1 1 (FPC 1) Prsnt BM0208124327 ex4200-24t 129 Backup 2 vcp-0 0 vcp-1 2 (FPC 2) Prsnt BM0208124235 ex4200-24t 0 Linecard 0 vcp-0 1 vcp-1 Non-Preprovisioned Modeの場合、Defaultではすべ てのメンバーのMastership Priorityは128となる(RE はマニュアルで255に変更することを推奨) Preprovisioned Modeの場合、REのMastership Priorityが129となり、 LinecardのMastership Priorityは0となる
root@Juniper> show virtual-chassis vc-port fpc0: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port vcp-0 Dedicated 2 Up 32000 1 vcp-1 vcp-1 Dedicated 1 Up 32000 9 vcp-0 1/0 Configured -1 Up 1000 1 vcp-255/1/1 1/1 Configured -1 Up 1000 3 vcp-255/1/0 fpc1: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port vcp-0 Dedicated 2 Up 32000 2 vcp-1 vcp-1 Dedicated 1 Up 32000 0 vcp-0 1/0 Configured -1 Up 1000 1/1 Configured -1 Up 1000 0 vcp-255/1/0 fpc2: -------------------------------------------------------------------------- … Virtual Chassisの確認方法について-3 “show virtual-chassis vc-port”コマンドにてVCバックプレーンの状態を確認することが可能です。
Virtual Chassis Mixed Mode EX4300 EX4600QFX5100 QFX5100,EX4600,EX4300などにおいては、異なるメディアのプラットフォームを1台の VCとして構成させることも可能です。 その場合はVCに組み込む前に以下のコマンドでVCのMixed Modeを宣言して機器をReboot する必要があります。 Mixed Mode VCはVCを構成するメンバー全ての筐体で宣言する必要が有ります。 request virtual-chassis mode mixed request system reboot
Virtual Chassisへのアクセスについて -1 Virtual Chassisを構成すると、複数台のスイッチが1台の仮想シャーシ型スイッチとして動作しま す。VCへのアクセスはConsole接続経由とネットワーク経由と二種類の選択肢がありますが、そ れぞれ以下の様な概念で動作しています。 ・コンソールアクセス ネットワーク管理者は任意のラインカード上のコンソールポートに接続すると、接続コネクショ ンが内部的にMaster REにリダイレクトされる。つまり物理的な場所を気にする必要なくREにア クセスすることが可能です。 ネットワーク管理者 Member2 :LC 2 Member3 :LC 3 Member4 :LC 4 Console Master RE Backup RE
Virtual Chassisへのアクセスについて -2 ・ネットワークアクセス 仮想管理アドレスであるVME(Virtual Management Ethernet)にIPアドレスを付与することで Master REがVMEアドレスへのアクセス要求に返答を行います。これによりひとつのIPアドレス で仮想シャーシへのネットワークアクセスが提供されます。 ケーブリングはMaster REになりうる2つの筐体でのみリンクアップさせておけば他は不要です。 ネットワーク管理者 Member2 :LC 2 Member3 :LC 3 Member4 :LC 4 SSH,Telnet,FTP,etc… Master RE Backup RE mgmt mgmt 管理セグメント set interface vme unit 0 family inet address <address/mask>
set chassis redundancy graceful-switchover set routing-options nonstop-routing set ethernet-switching-options nonstop-bridging set system commit synchronize set chassis redundancy graceful-switchover set routing-options nonstop-routing set protocols layer2-control nonstop-bridging set system commit synchronize Virtual ChassisのHA機能について Routing Engine(RE)の障害時に出来る限り高速な切り替わりを提供するためには、以下の4行 の設定投入をしておく必要があります。 VCの初期構成時点で使用しているL2/L3プロトコルの種類に限らずこの4行の設定は無条件に投入 しておくことをおすすめします。 EX3400/4300/EX4600/QFX5100シリーズ EX3300シリーズ KernelやInterface、L2/L3テーブルをRE間で同期 L3のプロトコルステータスをRE間で同期 L2のプロトコルステータスをRE間で同期 おまじない
Virtual Chassis バックプレーン増強について 同一VCメンバー間で複数の仮想バックプレーン(VCP)が接続されたことをVCが認識すると、 その間は自動的にLAGが構成され、バックプレーン帯域がリンク数*Nへと増強されていきます。 この際、設定は特に必要ありません。
Virtual Chassisに関するドキュメント 以下にVirtual Chassisを解説する各種資料がありますので、必要に応じてご参照ください。 ・Links https://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathway- pages/qfx-series/virtual-chassis.pdf https://www.juniper.net/techpubs/en_US/junos14.1/topics/concept/virtual-chassis-ex- qfx-series-mixed-understanding.html ・Whitepaper http://www.juniper.net/us/en/local/pdf/whitepapers/2000427-en.pdf ・Day One Books http://hydra.ck.polsl.pl/~helot/ipad/DayOne- Book/Configuring%20EX%20Series%20Switches.pdf
Virtual Chassisに関するドキュメント • Virtual Chassis for Cloud Builders http://www.slideshare.net/JuniperJapan/vc4-cb-201505 Virtual Chassisの使い方や内部動作詳細を日本語で解説!
LAB.5 Virtual Chassis の設定
Ethernet Switching "EX/QFX" course Topology (Lab.5:Virtual Chassisを構成) Tokyo Nagoya Osaka Fukuoka ※EX3400シリーズは工場出荷状態では2つの40GbEインタフェースがVC Portとしてデフォルトで設定されています。 本トレーニングではケーブルの都合上、4つの10GbEインターフェイスのうち老番の2ポートをVC Portとして事前設定してあります。 0 1 2 3 10GbE (xe-0/2/0-1) VCP (xe-0/2/2-3 configured) ● ● VCP(Factory Default) EX3400 Rear View
VC事前確認① VCを構成する前に、単体のEXで以下のことを事前確認してください。 • Member-idが”0”であること • Member ID for next new memberが”1” であること • Mixed modeが”N”または”NA”となっていること • Master priorityが”128”であること • Config上にvirtual-chassisに関連する設定が何も入っていないこと EXのJunos SWバージョンが他のメンバーと同一であること > show virtual-chassis Virtual Chassis ID: 2d90.26d8.22f2 Virtual Chassis Mode: Enabled Mstr Mixed Neighbor List Member ID Status Serial No Model prio Role Mode ID Interface 0 (FPC 0) Prsnt BR0208392392 ex4200-24t 128 Master* N Member ID for next new member: 1 (FPC 1) # show virtual-chassis
VC事前確認② EX3400 VCに使用するポートの設定を確認します。 • 2つのポート2/2, 2/3がVC Portに設定されていること • TypeがConfiguredと表示されていること • StatusがAbsent, またはDownであること {master:0} lab@EX3400> show virtual-chassis vc-port fpc0: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port 2/3 Configured Absent 2/2 Configured Absent 1/0 Configured Absent 1/1 Configured Absent
①VC Basic Setup (non pre-provisioned) ・Tokyo以外のスイッチで、電源をOFFにします。 ・(Tokyoのみ)VC管理用インタフェースとしてme0の設定をvmeに移しておきます。 ・TokyoとNagoyaのVC Portを接続し、Nagoyaの電源をONにします。 TokyoがMasterに選定されますので、TokyoのIPアドレスに接続しなおします。 ・同様に、Osaka、Fukuokaをそれぞれ順に接続し、電源を起動します。 root> request system halt at now # rename interfaces me0 to vme # commit
①VC基本構成確認 以下のコマンドでVCのステータスを確認します。 以下のコマンドでVCメンバーの機器にログインできます。 > show virtual-chassis status > show virtual-chassis vc-port > show virtual-chassis login > request session member <member-id>
②mastership priorityの変更 (non pre-provisioned) • Mastership Priorityを変更して、任意のEXをMaster RE、Backup REに指定します。 • 以下の設定はMasterとなっているスイッチで実行してください。 Master Priority =255 Master Priority =255 0 1 2 3 root# set virtual-chassis member 0 mastership-priority 255 root# set virtual-chassis member 2 mastership-priority 255 Root# commit synchronize
②mastership priorityの変更 (non pre-provisioned) Mastership Priorityが変更され、ステータスが更新されたことを確認します。 TokyoとNagoya間のVCケーブルを抜去し、ステータスやVCポートの遷移を確認します。 Master Priority =255 Master Priority =255 0 1 2 3 root> show virtual-chassis root> show virtual-chassis vc-port statistics root> show virtual-chassis
③Virtual Chassisのリセット • VCを解体して、4台の個別なスイッチに戻す • VCPケーブルを抜き、各スイッチでステータスを確認 解体後、で以下コマンドを実行して各種VC情報を消去(以下はBackup-RE の例) Pre-Master RE member-id 0 Pre-Backup RE member-id 2 Pre line-card member-id 1 Pre line-card member-id 3 0 1 2 3 root> request virtual-chassis reactivate root> request virtual-chassis recycle member-id 0 root> request virtual-chassis recycle member-id 1 root> request virtual-chassis recycle member-id 3 root> request virtual-chassis renumber member-id 1 new-member-id 0
④Pre-provisioning configuration • VCをPreprovision Configurationで構成する • Master REに以下の設定を投入後、各メンバーの VCポートを接続 シリアル番号は適宜修正をしてください。 root# set virtual-chassis preprovisioned root# set virtual-chassis member 0 role routing-engine root# set virtual-chassis member 0 serial-number xxxxxxxxxxxx root# set virtual-chassis member 1 role line-card root# set virtual-chassis member 1 serial-number xxxxxxxxxxxx root# set virtual-chassis member 2 role line-card root# set virtual-chassis member 2 serial-number xxxxxxxxxxxx root# set virtual-chassis member 3 role routing-engine root# set virtual-chassis member 3 serial-number xxxxxxxxxxxx Role = Routing Engine Role = Routing Engine 0 1 2 3
⑤Virtual Chassis HA • RE間のテーブルやプロトコルの同期設定を行うことで、RE障害のダウンタイムを軽減する Role = Routing Engine Role = Routing Engine 0 1 2 3 root# set chassis redundancy graceful-switchover root# set routing-options nonstop-routing root# set protocols layer2-control nonstop-bridging root# set system commit synchronize
⑤Virtual Chassis HA • OSPFの設定をVC-1・VC-2に投入した後に、Master REをHaltしてNSRの効果を確認する Role = Routing Engine Role = Routing Engine 0 1 2 3 Role = Routing Engine Role = Routing Engine 0 1 2 3 VC-1 (192.168.1.1) VC-2 (192.168.1.5) ae0(ge-1/0/23) ae0(ge-2/0/23) ae0(ge-1/0/23) ae0(ge-2/0/23) ae0 10.1.1.x/24 Lo0: 1.1.1.1/32 Lo0: 2.2.2.2/32
set chassis aggregated-devices ethernet device-count 1 set interfaces ge-1/0/23 ether-options 802.3ad ae0 set interfaces ge-2/0/23 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 10.1.1.1/24 set interfaces lo0 unit 0 family inet address 1.1.1.1/32 set routing-options router-id 1.1.1.1 set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface lo0.0 ⑤Virtual Chassis HA • 設定サンプル set chassis aggregated-devices ethernet device-count 1 set interfaces ge-1/0/23 ether-options 802.3ad ae0 set interfaces ge-2/0/23 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 10.1.1.2/24 set interfaces lo0 unit 0 family inet address 2.2.2.2/32 set routing-options router-id 2.2.2.2 set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface lo0.0 VC-1 (192.168.1.1) VC-2 (192.168.1.5)
{master:0}[edit] root@Tokyo-1# run request system reboot member 0 at now Reboot the system at now? [yes,no] (no) yes ⑤Virtual Chassis HA • 確認方法 (VC-1のMaster REをRebootしたときに、対向のVC-2側のOSPF neighborが切れないことを確認) {master:0}[edit] root@Tokyo-2# run show ospf neighbor detail Address Interface State ID Pri Dead 10.1.1.1 ae0.0 Full 1.1.1.1 128 38 Area 0.0.0.0, opt 0x52, DR 10.1.1.2, BDR 10.1.1.1 Up 00:03:24, adjacent 00:03:24 VC-1 (192.168.1.1) VC-2 (192.168.1.5)
⑥Virtual Chassis の目視での確認方法 • Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。 QFX5100の場合 SYS (System) MST (Master) • 消灯:システムがパワーオフ、もしくはHalt状態 • 点灯:JUNOSがスイッチ上で動作している状態 • 点滅:以下のうちどれかの状態 • Virtual Chassis(VC)のメンバースイッチ • Virtual Chassis Fabric(VCF)のメンバースイッチ • 消灯:VC/VCFのLinecardとして動作 • 点灯:以下のうちどれかの状態 • スタンドアローンスイッチ • VCのMaster REスイッチ • VCFのMaster REスイッチ • 点滅:以下のうちどれかの状態 • VCのBackup REスイッチ • VCFのBackup REスイッチ
⑥Virtual Chassis の目視での確認方法 • Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。 EX3400/EX4300の場合 SYS (System) MST (Master) • 点灯:JUNOSがスイッチ上で動作している状態 • 点滅:スイッチが起動中の状態 • 消灯:システムがパワーオフ、もしくはHalt状態 • Standaloneの場合 • 消灯:システムがパワーオフ、もしくはHalt状態 • 点灯:JUNOSがスイッチ上で動作している状態 • Virtual Chassisの場合 • 点灯:VCのMaster REスイッチ • 点滅:VCのBackup REスイッチ • 消灯:VCのLinecardスイッチ、もしくはHalt状態
TIPs to be JUNOS Experts
俳句の表示 検証作業やトラブルシュートに疲れたときには、JUNOSに前向きな気持ちの言葉を 表示させ、管理者の気持ちを和らげることが可能です root> show version and haiku ※コマンドを打つ度、異なった前向きなポエムが表示される root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Look, mama, no hands! Only one finger typing. Easy: commit scripts. root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Juniper babies The next generation starts Gotta get more sleep root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Weeks of studying, Days of lab exercises: JNCIE.
設定のコピー • copy コマンドにより特定の設定をコピーすることが可能 root# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# copy interfaces ge-0/0/1 to ge-0/0/0 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1の設定をge-0/0/0へコピー
設定の書き換え • rename コマンドにより設定したvariable やエレメントを書き換えることも可能 ge-0/0/0のaddressを192.168.2.1/26へ変更 root# rename interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/26 to address 192.168.2.1/26 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26;
設定の項目の置換 • replace コマンドにより設定内の文字列を置換することも可能 ge-0/0/0のaddressを192.168.2.1/26へ変更 root# replace pattern /26 with /24 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/24; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24;
activate/deactivate • deactivateコマンドを使うことで、設定の一部を削除することなく無効にするこ とが可能なので、障害時の切り分けなどに便利 192.168.1.2/24を無効化 root# deactivate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24 root# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24; address 192.168.1.2/24; root# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24; inactive: address 192.168.1.2/24; 192.168.1.2/24の無効化を解除(有効化) root# activate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24
wildcard range set/delete -1 • wildcard rangeコマンドを使用することで、インタフェースなど複数の対象に 対して同じ設定内容を適用することが簡単に可能 root# show interfaces root# root# wildcard range set interfaces ge-0/0/[0-3,5,!2] mtu 9000 root# show interfaces ge-0/0/0 { mtu 9000; } ge-0/0/1 { mtu 9000; } ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; } ge-0/0/0-1,3,5のMTU設定が一括で投入されている [0-3, 5, !2] ⇒ 0~3と5、ただし2は除く
wildcard range set/delete -2 • 同様にDeleteも可能 root# wildcard range delete interfaces ge-0/0/[0-1] mtu root# show interfaces ge-0/0/0 { mtu 9000; } ge-0/0/1 { mtu 9000; } ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; } root# show interfaces ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; }
interface-range -1 • interface-rangeを使用することで、複数のインタフェースをグループ化して 共通の設定を行う事が可能。この設定はwildcardと異なりコンフィグ内に保持 される為、一度作成してしまえば様々な設定に対する繰り返しの利用が可能 root# show interfaces root# root# set interfaces interface-range CLIENTS member-range ge-0/0/0 to ge-0/0/1 root# set interfaces interface-range CLIENTS member ge-0/0/3 root# set interfaces interface-range CLIENTS mtu 9000 root# show interfaces interface-range CLIENTS { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } CLIENTSというメンバーに入っている、 ge-0/0/0-1,3のMTUを一括設定
interface-range -2 • Range内の個別インタフェース毎に特有の設定を追加することも可能 root# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/24 root# show interfaces interface-range CLIENTS { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } CLIENTSというメンバー共通でない 設定をIF単体に設定設定 root# show interfaces interface-range clients { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } ge-0/0/0 { unit 0 { family inet { address 10.0.0.1/24; } } }
階層間の移動 -1 同じ階層の設定を複数作成する際は階層を移動することで作成する構文を省略する ことが可能です 例1: FWフィルタの設定(topの階層から設定) [edit] set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 set firewall family inet filter FW-FILTER term BLOCK from destination-address 192.168.1.0/24 set firewall family inet filter FW-FILTER term BLOCK from dscp cs5 set firewall family inet filter FW-FILTER term BLOCK from port https set firewall family inet filter FW-FILTER term BLOCK from port http # show firewall family inet{ filter FW-FILTER{ term BLOCK{ from{ source-address{ 10.10.10.0/24; } destination-address{ 192.168.1.0/24; } dscp cs5; port[ https http ]; } } } } ※設定を投入する際は繰り返しset firewall family…fromと入力する必要がある
# show firewall family inet { filter FW-FILTER { term BLOCK { from { source-address { 10.10.10.0/24; } destination-address { 192.168.1.0/24; } dscp cs5; port [ https http ]; } } } } [edit firewall family inet filter FW-FILTER term BLOCK from] set source-address 10.10.10.0/24 set destination-address 192.168.1.0/24 set dscp cs5 set port https set from port http 階層間の移動 -2 例2: FWフィルタの設定(firewall filter FW-FILTER term BLOCK fromの階層から設定) ※設定を投入する際はfirewall family…fromまでを省略して入力することができる ※コマンド入力時、set や delete、show の前に top や up <階層数> を入れると 今いる階層から移動せずに今いる階層を無視して入力・表示することができる
階層間の移動 -3 • 階層間は、editコマンドで移動することができます • exit:直前にいたレベルに戻ります • TOPでEXITを実行すると、Operationalモードに戻ります • OperationalモードでEXITを実行すると、システムからLogoutします • Shellモードから`cli`でOperationalモードに移動した場合は、Shellモードに戻ります • up:一つ上のレベルに移動します • top:最上位のレベルに移動します # show firewall family inet{ filter FW-FILTER{ term BLOCK{ from{ source-address{ 10.10.10.0/24; } destination-address{ 192.168.1.0/24; } dscp cs5; port[ https http ]; } } } } Top Down Editで階層を指定 Topで最上位へ upで一つ上へ ※top edit や up <階層数> edit と入れると1回の入力で 今いる階層から任意の階層に移動することができる
Automatic Configuration Archival • Automatic Configuration Archival機能を使用することで、自動的に最新のコ ンフィグをリモートのFTP/SCPサーバにバックアップすることが可能 • アップロードのタイミングは、コミットの度もしくは一定時間毎のいずれか、 あるいは両方を選択可能 1. コミットの度にリモートのサーバにコンフィグをバックアップする設定: user@Junos# set system archival configuration transfer-on-commit user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP- server-ip/directory 2. 一定時間おきにリモートのサーバにコンフィグをバックアップする設定: (例: 1440分 = 24時間おき) [ user@Junos# set system archival configuration transfer-interval 1440 user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP- server-ip/directory
annotate • annotateコマンドを使うと、自由に注釈をつけることが可能、 テスト時・運用時などに便利 今いる階層の直下にあるコンフィグアイテムが対象、注釈内容はコンフィグアイテムの上部に/* XXXX */と書かれる root# annotate interfaces ge-0/0/0 “borrowed the cable directory from Yoshida-san” [edit] lab# edit routing-instances [edit routing-instances] lab# annotate cust-1 "L3VPN test" [edit routing-instances] lab# edit cust-1 [edit routing-instances cust-1] lab# annotate protocols Don'tForgetInjectDirectRoute [edit routing-instances cust-1] lab# up [edit routing-instances] lab# show /* L3VPN test */ cust-1 { instance-type vrf; interface ge-0/0/0.101; interface ge-0/0/1.101; route-distinguisher 192.168.1.1:1001; vrf-target target:64512:1001; vrf-table-label; /* Don'tForgetInjectDirectRoute */ protocols { bgp { group cust-1 { description "Receive-Routes 1000" (snip) ※コメント内容にスペース(空白)が含まれるときはコメント両端を引用符(" ")でくくる ※コメントを消すときは annotate xxxx "" というように引用符("")で上書きする ※show configuration | display set では表示されない ※コンフィグを張り付けるときに直接 /* xxxx */ 構文を挿入できる
機器の初期化 Junos機器を初期化する手法は主に以下の3つ • Configuration modeで load factory-default • 実行すると、Candidate Configurationにデフォルトの設定がロードされる • 実際に初期設定に戻すには、rootパスワードの設定とCommitが必要となる • 設定のみを戻したいときに有効で、ログや過去のConfig(rollback)などは削除されない • Operation modeで request system zeroize • 実行すると、全ての設定やログ、ユーザの作成したファイルが削除され、再起動する • システムファイルは削除されない • USBメモリやCFからのFormat install • USBメモリやCFにJunosイメージを書き込み、ブートローダーからJunosを再インストー ルする • システムファイルを含むディスク上の全てのデータが削除され、新たにJunosがインス トールされる • 実行方法は機種によって異なり、JTACから指示された場合を除き、一般的に使用する必 要はない
コントロールパケットのキャプチャ 以下のコマンドを使用することにより、コントロールパケット(REが受信するパケット)をキャ プチャする事が可能 • このコマンドでキャプチャできるパケットは、PFEで処理されずREで処理されるパケットに限られる • ICMP Echo(ping)等、PFEによってオフロード処理されるパケットは表示されないので注意 • パケット内容の詳細まで確認したい場合は extensive オプションなどを使用する root> monitor traffic interface xe-1/2/0.0 verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay. Address resolution timeout is 4s. Listening on xe-1/2/0.0, capture size 96 bytes 11:39:06.772930 Out IP truncated-ip - 11 bytes missing! 192.168.1.1.bgp > 192.168.1.2.32794: P 635171747:635171766(19) ack 995070346 win 16384 <nop,nop,timestamp 3971359530 2610569>: BGP, length: 19 11:39:06.803191 In IP 192.168.1.2.32794 > 192.168.1.1.bgp: . ack 19 win 5360 <nop,nop,timestamp 2637232 3971359530> … …
groups/apply-groups 設定の一部をgroupという形で切り出し、apply-groupsで任意の階層に適用する事が可能 • 例: 全てのOSPFインタフェースのHello-IntervalとDead-Intervalを変更 root# show groups OSPF_COMMON { protocols { ospf { area <*> { interface <st*> { hello-interval 5; dead-interval 20; } } } } } root# show protocols ospf apply-groups OSPF_COMMON; area 0.0.0.0 { interface st0.1; interface st0.2; interface lo0.0 { passive; } } # show protocols ospf | display inheritance area 0.0.0.0 { interface st0.1 { ## ## '5' was inherited from group 'OSPF_COMMON' ## hello-interval 5; ## ## '20' was inherited from group 'OSPF_COMMON' ## dead-interval 20; } interface st0.2 { ## ## '5' was inherited from group 'OSPF_COMMON' ## hello-interval 5; ## ## '20' was inherited from group 'OSPF_COMMON' ## dead-interval 20; } interface lo0.0 { passive; } } 自動的に共通設定が適用される ※CommitしてもConfigはきちんとグループ化されたままとなる 実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する インタフェース名やエリア名、IPアドレス 等のユーザが自由入力する値は<*>とする と全てに適用される 特定のインタフェースのみに適用したい場合 などは、<st*> といったように一部の文字 列を指定することも可能
prefix-list / apply-path 設定に含まれるIPアドレスから自動的にリストを生成し、Firewall Filterに適用することが可能 root# show protocols bgp group GROUP-A { neighbor 1.1.1.1; neighbor 2.2.2.2; } root# show interfaces ge-0/0/0 { unit 0 { family inet { address 1.1.1.0/30; } } } ge-0/0/1 { unit 0 { family inet { address 2.2.2.0/30; } } } fxp0 { unit 0 { family inet { address 192.168.1.10/24; } } } root# show policy-options prefix-list BGP-PEERS { apply-path "protocols bgp group <*> neighbor <*>"; } prefix-list LOCALNETS { apply-path "interfaces <ge-*> unit <*> family inet address <*>"; } root# show policy-options | display inheritance prefix-list BGP-PEERS { ## ## apply-path was expanded to: ## 1.1.1.1/32; ## 2.2.2.2/32; ## apply-path "protocols bgp group <*> neighbor <*>"; } prefix-list LOCALNETS { ## ## apply-path was expanded to: ## 1.1.1.0/30; ## 2.2.2.0/30; ## apply-path "interfaces <ge-*> unit <*> family inet address <*>"; } ※実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する IPアドレスが 自動的コピーされる
show configuration groups junos-defaults 暗黙の初期コンフィグを確認することが可能 user@host> show configuration groups junos-defaults # # Defines the default for dynamic-profiles # dynamic-profiles { <*> { variables { junos-interface-unit { internal; valid-path "interface_unit_number|unit-number unit interface interface-set"; } junos-interface-ifd-name { internal; valid-path "interface_name|interface-name interface interface-set|underlying- interface"; } junos-underlying-interface-unit { internal; valid-path "interface_unit_number|unit-number unit interface interface-set"; } junos-underlying-interface { internal; valid-path underlying-interface; } junos-subscriber-ip-address { internal; valid-path "source address inet|address demux-source inet|address source-address from term fast-update-filter inet|address destination-address from term fast-update-filter inet|destination route"; } (snip)
mike@juniper1> help topic interfaces address Configuring the Interface Address You assign an address to an interface by specifying the address when configuring the protocol family. For the inet family, you configure the interface's IP address. For the iso family, you configure one or more addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and vpls families, you never configure an address. オンライン・マニュアル • 豊富な機能の help コマンド • help topic : プロトコルや機能の一般的な説明を表示 • help reference : プロトコルや機能の設定方法を表示(コマンド・レファレンス) • help syslog : syslog メッセージの説明
JUNOS : help topic コマンドの概要を確認することが可能 user@host> help topic ospf dead-interval Modifying the Router Dead Interval If a router does not receive a hello packet from a neighbor within a fixed amount of time, the router modifies its topological database to indicate that the neighbor is nonoperational. The time that the router waits is called the router dead interval. By default, this interval is 40 seconds (four times the default hello interval). To modify the router dead interval, include the dead-interval statement. This interval must be the same for all routers on a shared network. dead-interval seconds; For a list of hierarchy levels at which you can include this statement, see the statement summary section for this statement.
JUNOS : help reference • コマンドのオンラインマニュアルを参照することが可能 user@host> help reference oam action action (OAM) Syntax action { syslog (OAM Action); link-down; send-critical-event; } Hierarchy Level [edit protocols oam ethernet link-fault-management action-profile] Release Information Statement introduced in JUNOS Release 8.5. … Description Define the action or actions to be taken when the OAM fault event occurs. Usage Guidelines See Specifying the Actions to Be Taken for Link-Fault Management Events.
JUNOS : help apropos • 確実に覚えていないコマンド(うろ覚えの場合など)を文字列で検索することが可能 user@host# help apropos vstp set logical-systems <name> protocols vstp VLAN Spanning Tree Protocol options set logical-systems <name> protocols vstp disable Disable VSTP set protocols vstp VLAN Spanning Tree Protocol options set protocols vstp disable Disable VSTP user@host# > help apropos vstp help topic stp vstp VLAN Spanning Tree Protocol instance configuration help topic stp vstp-requirements Requirements, limitations for VLAN Spanning Tree Protocol help reference stp vstp VLAN Spanning Tree Protocol configuration help reference stp vlan-vstp VLAN configuration for VLAN Spanning Tree Protocol Configuration mode Operation mode
lab@Router# set protocols ospf traceoptions flag ? Possible completions: all Trace everything database-description Trace database description packets error Trace errored packets event Trace OSPF state machine events flooding Trace LSA flooding general Trace general events hello Trace hello packets lsa-ack Trace LSA acknowledgement packets lsa-request Trace LSA request packets lsa-update Trace LSA update packets normal Trace normal events packet-dump Dump the contents of selected packet types packets Trace all OSPF packets policy Trace policy processing route Trace routing information spf Trace SPF calculations state Trace state transitions task Trace routing protocol task processing timer Trace routing protocol timer processing 例: OSPF Trace-option 注目したいパケットタイプを細かく指定することが可能 CLI:Trace/充実したdebug機能 • JUNOSでは,プロトコル別に Trace-optionsを非常に細かく 設定可能です。 • このTraceの出力先はファイル 出力、あるいはmonitorコマ ンドでReal-timeに画面にてモ ニタ表示 • トラブルシューティングに役 立つ情報を的確に抜き出すこ とができます
10.0b2 Seconds: 13 Time: 14:50:48 Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Up 54175 (4) 4126 (0) ge-0/0/1 Down 399 (0) 37 (0) ge-0/0/2 Up 5110 (1) 4224 (0) ge-0/0/3 Down 0 (0) 0 (0) ge-0/0/4 Down 0 (0) 0 (0) ge-0/0/5 Down 0 (0) 0 (0) ge-0/0/6 Down 0 (0) 0 (0) Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D CLI:monitor/リアルタイムにトラフィックを監視 • monitorコマンドで現在のI/F別トラフィック状況を見ることが出来ます • 表示はAUTOリフレッシュされるため、継続的なモニタリングが可能 • トラフィックの傾向や障害箇所の特定に役立ちます
rescue configuration • 基本となるconfigurationを予め定義(保存)することが可能 保存方法: > request system configuration rescue save 削除方法: > request system configuration rescue delete • Rescue configurationの反映方法 • Rollbackコマンドからのロード # rollback rescue • ハードウェアからのロード • SRXシリーズはRESET CONFIGボタンを押すことで ハードウェアからロードすることができます。 ※15秒以上押し続けるとfactory defaultがロードされます 例: SRX300 root# rollback rescue load complete root# commit • 一部のEXシリーズはLCDパネルでメンテナンスモードを 操作することでハードウェアからロードすることができます。 例: EX3300
vSRX on your laptop ~PCで始めるvSRX~ • 仮想Router/FirewallであるvSRXをLaptop PC上で動作させるための指南書 http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505 実際のデバイスと同様の設定作成や仕様確認をPC上で実施することが可能!
Appendix
Appendix A Virtual Chassis Fabric
Routing Engine Line Card Virtual Chassis Fabricとは 2台以上20台以下のQFX5100シリーズ/EX4300 スイッチを接続することで 仮想的に1台のシャーシ型システムとして動作させるL2/L3 イーサネット ファブリックテクノロジー シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供 ネットワーク管理者 Devices to Manage = 1 !!! Routing Engine Line Card
旧来のシャーシ型スイッチとVirtual Chassis技術 シャーシ型スイッチのメリット  高信頼性ハードウェア – 冗長ルーティングエンジン – 冗長スイッチファブリック – 冗長電源ユニット – 冗長ファントレイ  管理の簡便性 – シングルイメージ – 単一のコンフィグファイル – 単一のマネージメントIPアドレス  パフォーマンスとスケーリング – ハイパフォーマンス – 大容量のバックプレーン – モジュラー型構成 LAG 2 LAG 1 Virtual Chassis による更なるメリット:  物理配置の柔軟性  低消費電力  最小構成からスタート可能  必要最低限のラックスペース Virtual Chassis Fabricによる更なるメリット:  10 Member ⇒ 20 Memberまでのサポート  Intelligent Bandwidth Allocation  Bi-directional Multicast Distribution Trees  FCoE Transit (DCBX Support, QFX Only)
Virtual Chassis FabricVirtual Chassis Architectural Choice – Virtual Chassis Fabric vs. Virtual Chassis Spine & Leaf Braid Ring High-Performance MeshFat Tree • Spine & Leafトポロジー構成 • SpineにはQFX5100が必要 • LeafはQFX5100,EX4300などから選択が可能 • 最大で20メンバーまで(Max 4 Spine & 28 Leafs) • バージョンアップ時にはNSSUをサポート • Ring、Tree、Mesh、Spine & Leafなど自由なトポロ ジーで構成が可能 • EX3300~MXまで様々なHWでサポート • 最大で10メンバーまで • バージョンアップ時にはNSSUをサポート
Virtual Chassis Fabricの構成オプション 2 or 4 Spine Node Deployments 2 Spine Nodes 10GbE 10GbE10GbE QFX5100-24Q 1 2 30 10GbE 10GbE 3 4 QFX5100-48S 1 2 2 X uplinks • 30 x 10GbE racks • 1440 x 10GbE ports 6:1 OS 10GbE 10GbE10GbE QFX5100-24Q 1 2 28 10GbE 10GbE 3 4 1 2 3 4 QFX5100-24Q QFX5100-96S8 X uplinks • 28 x 10GbE racks • 2688 x 10GbE ports 3:1 OS 4 Spine Nodes 40GbE 40GbE 1 X Switch to Manage 1 X Switch to Manage
Virtual Chassis Fabricをサポートするプラットフォーム QFX5100-24Q (40GbE) QFX5100-48S (10GbE) 10/40GbE Spine Nodes EX4300 (1GbE) QFX5100-48S (10GbE) QFX3500 (10GbE) QFX3600 (40GbE) 1/10/40GbE Leaf Nodes QFX5100-24Q (40GbE)QFX5100-96S (10GbE) QFX5100-48T (10G-T) 最大 20 Members (2x Spine + 18x Leaf or 4x Spine + 16x Leaf)
異なるメディアスピードのスイッチをVirtual Chassis Fabric内で収容可能なため 1GbE から 10GbE, 40GbE 環境へのシームレスな移行をサポート EX4300 EX4300 1GbE Servers QFX5100-48S/48T 10GbE Servers Mixed Speed Fabric(1G to 40G) ネットワーク管理者 Devices to Manage = 1 !!! QFX5100-24Q 40GbE Storages
DC Interconnect (MPLS) The Internet 4x spine, 16x leaf による1G & 10G Mixed VCF構成 (Max 16 racks per VCF) Virtual Chassis Fabricの使用例(1)@DCネットワーク ネットワーク管理者 Switches to Manage = 1 !!! For ~28 Racks DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Spine Switch (QFX5100-24Q x4) Access Switch ( EX4300-48T x8) Access Switch ( QFX5100-48T x8) 異なるLCへの NIC Teaming 異なるLCへの LAG 10G Server1G Server 10G POD1G POD
DC Interconnect (MPLS) The Internet 奇数ラック、偶数ラックでのVCF分割による高可用設計 (Max 60 racks per 2x VCFs) Virtual Chassis Fabricの使用例(2)@DCネットワーク ネットワーク管理者 Switches to Manage = 3 !!! For ~60 racks DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Spine Switch for Even VCF (QFX5100-24Q x2) Access Switch ( EX4300-48T x10) Access Switch ( QFX5100-48T x10) 異なるVCFへの Teaming Important Server Cluster Server VCFまたぎの Clustering Spine Switch for Odd VCF (QFX5100-24Q x2) ` Core VC Switch (QFX5100-24Q x2)
Virtual Chassis Fabricの構成方法について -1 QFX5100/EX4300の出荷時の状態では、スイッチの動作モードはVCモードとなっており、その ままではVCFを構成することができません。 VCFを構成するにあたっては、VCFのライセンスを投入後、以下のコマンドを使用して、スイッチ をVirtual Chassis Fabricモードに変更する必要があります。 > request virtual-chassis mode fabric
# set virtual-chassis preprovisioned # set virtual-chassis member 0 role routing-engine # set virtual-chassis member 0 serial-number 111111111111 # set virtual-chassis member 1 role routing-engine # set virtual-chassis member 1 serial-number 222222222222 # set virtual-chassis member 2 role line-card # set virtual-chassis member 2 serial-number 333333333333 # set virtual-chassis member 3 role line-card # set virtual-chassis member 3 serial-number 444444444444 … Virtual Chassis Fabricの構成方法について -2 VCFを構成する際には、 Plug-and-PlayでのVCF構成を提供する“Non-Preprovisioned mode”と、 Spineについての設定のみを投入する”Auto-Provisioned mode”、 最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。 一般的により高いSLAが求められるデータセンターへのデプロイ時には“Preprovisioned mode” でのVCF構成を推奨します。これによりシリアルでのハードウェア管理による、より安定した運用 と、OSアップグレード時におけるNSSUサービスが提供されます。 Preprovisioned modeを宣言 Spineとして動作させる2~4台の筐体をRouting-Engineとする その他の筐体のRoleはすべてLine-card 各筐体毎のシリアルNo.を投入
Appendix B Multi-Chassis LAG
Juniperの提供する冗長化技術 筐体を跨いだLink Aggregation(LAG)が組める技術として、 主に以下のアーキテクチャを提供しています。 MC-LAG Virtual Chassis Virtual Chassis Fabric 管理負荷を下げつつ、ハイパフォー マンスな転送を実現するSpine-Leaf 型のファブリックトポロジーを構成 したい方に 管理の負荷を下げつつ、柔軟なデ ザインを実現したい方 スパニングツリーなどを使用せずに 標準化プロトコルでL2冗長を構成し たい方 20台までを、 仮想的な1台のシャー型 スイッチとして管理 10台までを、 仮想的な1台のシャー型 スイッチとして管理
アーキテクチャ選択 MC-LAG vs Virtual Chassis MC-LAG Virtual Chassis 1 2 1 10 MC-LAG Virtual Chassis コントロールプレーン Active-Active Active-Standby データプレーン Active-Active Active-Active 管理 2台別々 10台まで 1台として管理 設定同期 手動(※Roadmap) 自動 対向デバイスから見たL2ネイバー 1台に見える 1台に見える 対向デバイスから見たL3ネイバー 2台に見える 1台に見える バージョンアップ 1台ずつ(ISSU) NSSU/ISSU(※Roadmap) Active Active それぞれが独立し て動き、MAC、 I/Fの状態を交換 REはHot-stanby Configも常に同期 スイッチ台数が増え てくると、管理面で 差が出てきます。
MC-LAG対応プラットフォーム MXシリーズ QFXシリーズ EX9200 EX4600シリーズ EX4300シリーズ その他のEXシリーズ MC-LAG Active/Active構成 Active/Standby構成 VRRPとの組合せ L2VPN(MPLS)との 組合せ VPLSとの組合せ
MC-LAG基本構成 • MC-LAGを構成する上での基本 • Node1・2の間はMACアドレスやLinkの ステータスを同期しています。 (ICCP) • MC-LAGにつながるLAG機器とはLACP でステータスを交換します。 Node1 Node2 LACP ICCP MC-LAGを構成するスイッチはどちらもActive (Master/Backup等の関係では無 い)ので、ここではNode1、Node2と呼びます。
LACP info: Role System System Port Port Port priority identifier priority number key et-0/0/48.0 Actor 127 54:1e:56:69:4e:00 127 1 3 et-0/0/48.0 Partner 127 00:00:ae:00:00:02 127 2 1002 et-0/0/49.0 Actor 127 54:1e:56:69:4e:00 127 2 3 et-0/0/49.0 Partner 127 00:00:ae:00:00:02 127 32770 1002 MC-LAG基本構成 • スイッチTOR1から見るとMC-LAGは単なる LAGにしか見えません。 • LACPで見ても、どちらのMACも同じMAC が見えます。 Node1 Node2 TOR1 et-0/0/49.0et-0/0/48.0 TOR1でのLACPのステータス出力例 (Node1) (Node2) LACP
用語の整理 • MC-LAGは各ベンダーで用語が異なりますが、ジュニパーでは以下の用語を使用します。 • ICCP(Inter-chassis control protocol): MACやLinkの状態をNode間で共有する為の制御通信 用途で、TCPセッションにより確立されます。 • ICL(Inter-Chassis Link): スイッチ間の物理Link。ICL-PLとも言います。 出来る限りここをLAGで構成するデザインが推奨です。 • MC-AE(またはMC-links): スイッチまたぎのLAGを指します。 AEはAggregated Ethernetの略です。 • S-LINK(Single-homed Link): 冗長されてないLinkです。既存の収容、NW移行やメ ンテ等で一時的にこの構成になりえます。 MC-AE MC-links S-Link Node1 Node2 ICL ICCP
用語の整理(つづき) • 出来る限り、ICCPの接続用途で管理セグメントも使いましょう。 • ICCPが切れてしまう状況は、Sprit Brainという絶 対に避けたい状況です。 • ICLのバックアップとして、管理セグメントを使った ICCPのやりとりができます。(backup-liveness- detection) • ただし、ユーザパケットは転送しません。あくまで Sprit状態を避ける為のラストリゾートです。 MC-AE MC-links S-Link Node1 Node2 ICL ICCP 管理用セグメント ICL故障発生時の動作の詳細は以下で確認できます。 https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/la g-multichassis-feature-summary.html#jd0e106
L3の冗長構成は? デフォルトGWの冗長について • 方式は2つあります。 – VRRP over IRB方式 • Node同士でVRRPを構成 – MAC Sync方式 • Node同士で同じIP、MACを構成 • Juniperでは以下の理由からVRRP方式を推奨 しています。 1. TOR1からみると結局UplinkはLAGなので、トラ フィックは分散できる。 2. VRRP Backup側でも受け取ったユーザトラ フィックは転送できる実装の為、ICLを通ったり、 Uplinkが偏ったりしない。 3. MAC Sync方式では、Routing Protocolが話せ ない。(あくまでNode間で同期しているのは MC-LAG関連情報だけなのです) TOR1 別セグメント 別セグメント 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 Default GW 192.168.1.254 VRRP方式の構成例 (1)LAGのハッシュ により分散 (2)VRRP Backup 側でもパケットを フォワーディング Irb.1 Irb.1 Irb.2 Irb.2
設定方法; • 基礎となる設定 設定項目 Node1 Node2 備考 Device-count 10 10 必要なMC-LAG数+1を設定 switch-options service-id 16384 16384 2台とも同じ値にする ICCP用I/F irb.4000 irb.4000 irb + unit 番号 (とりあえずVlan-idと一緒がおす すめ) ICCP用Vlan 4000 4000 渡りのLAGにこのVlanを所属させ る ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 ICCPだけで使いますので/30とか でも可et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ICCP 例はNode1の設定例ですが、IRBのアドレス値を変えれば、Node2用の設定となります。 どちらか一方にだけ投入する設定はありません。 Node1設定コマンド set chassis aggregated-devices ethernet device-count 10 set switch-options service-id 16384 set interfaces irb unit 4000 family inet address 192.168.254.26/24 set vlans VLAN4000 vlan-id 4000 set vlans VLAN4000 l3-interface irb.4000 ※Node1の設定例
設定方法; • 基礎設定その2 設定項目 Node1 Node2 備考 ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので /30とかでも可 ICL InterceのID ae0 ae0 aeはaggregated-ethernetの略で、 LAG用仮想I/F名 ae0に所属させる物 理I/F et-0/0/22 et-0/0/23 et-0/0/22 et-0/0/23 その他 LACP Fastモード Vlan4000 LACP Fastモード Vlan4000 LACPとVlan4000をae0に設定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2 ICCP Node1設定コマンド set multi-chassis multi-chassis-protection 192.168.254.27 interface ae0 Node2のアドレスを設定 set interfaces et-0/0/22 ether-options 802.3ad ae0 set interfaces et-0/0/23 ether-options 802.3ad ae0 set interfaces ae0 aggregated-ether-options lacp active periodic fast set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN4000 ※Node1の設定例
設定方法; • 基礎設定その3 設定項目 Node1 Node2 備考 ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので /30とかでも可 session- establishment- hold-time 100 100 ICCPセッション確立までの時間 (秒) BFD minimum- interval 1000 1000 お互いのICCP間で行うBFD死活監 視の間隔(msec) 1000以上にして ください BFD multiplier 3 3 回数 minimum-interval x multiplier = ダウンまでの時間 backup-liveness- detection 172.27.113.26 172.27.113.27 管理I/Fに付与したIPアドレスを指 定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2ICCP 管理用セグメント set protocols iccp local-ip-addr 192.168.254.26 set protocols iccp peer 192.168.254.27 session-establishment-hold-time 100 set protocols iccp peer 192.168.254.27 liveness-detection minimum-interval 1000 set protocols iccp peer 192.168.254.27 liveness-detection multiplier 3 set protocols iccp peer 192.168.254.27 backup-liveness-detection backup-peer-ip 172.27.113.27 ※Node1の設定例
設定方法; • 接続が間違えていなければ次のようにみえるはずです。 • よくあるうっかりミス:そもそもLAG(ae0)がUpしていない。 ▶最初に使用するLAGの数を登録する必要があります。 10とするとae0~ae9までI/Fが作られます。 • 基本設定の確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2ICCP lab@node1# run show iccp Redundancy Group Information for peer 192.168.254.27 TCP Connection : Established Liveliness Detection : Up Backup liveness peer status: Up Client Application: MCSNOOPD Client Application: l2ald_iccpd_client Client Application: lacpd set chassis aggregated-devices ethernet device-count 10
設定方法; • 次にTORスイッチを収容する LAGを設定します。 • MC-Linksの設定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 設定項目 Node1 Node2 備考 LAG I/F名 ae1 ae1 LACP system-id 00:00:ae:00:00:01 00:00:ae:00:00:01 同じ値を設定します。LAG毎に変 更します。 LACP admin-key 1001 1001 同じ値を設定します。 LAG毎に変更します。 mc-ae mc-ae-id 1001 1001 同じ値を設定します。 LAG毎に変更します。 mc-ae chassis-id 0 1 Node毎に変えます。 mc-ae status-control Active standby mc-ae init-delay-time 60 60 I/FがUpとなってからLACPが distributingになるまでの時間です。 電源投入時など、ProtocolがUpす るまでの時間待たせることができ ます。 set interfaces et-0/0/0 ether-options 802.3ad ae1 set interfaces ae1 aggregated-ether-options lacp active periodic fast set interfaces ae1 aggregated-ether-options lacp system-id 00:00:ae:00:00:01 set interfaces ae1 aggregated-ether-options lacp admin-key 1001 set interfaces ae1 aggregated-ether-options mc-ae mc-ae-id 1001 set interfaces ae1 aggregated-ether-options mc-ae chassis-id 0 set interfaces ae1 aggregated-ether-options mc-ae mode active-active set interfaces ae1 aggregated-ether-options mc-ae status-control active set interfaces ae1 aggregated-ether-options mc-ae init-delay-time 60 ※Node1の設定例
設定方法; • MC-Linksの確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 対向との設定が合っていて、正しく接続されていれば、次の様に表示されます。 lab@node1# run show interfaces mc-ae id 1001 Member Link : ae1 Current State Machine's State: mcae active state Local Status : active Local State : up Peer Status : active Peer State : up Logical Interface : ae1.0 Topology Type : bridge Local State : up Peer State : up Peer Ip/MCP/State : 192.168.254.27 ae0.0 up
設定方法; • VLAN1001をae1に追加します。ICL(ae0)にも追加するのを忘れないでください。 • Mc-linksへのVlanの組み込み et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 設定項目 Node1 Node2 備考 Vlan名 V1001 V1001 Vlan-id 1001 1001ae0 set vlans v1001 vlan-id 1001 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members v1001 set interfaces ae1 unit 0 family ethernet-switching storm-control default set interfaces ae0 unit 0 family ethernet-switching vlan members v1001 ※Node1の設定例
設定方法; • Vlan1001にサーバのデフォルトゲートウェイとなるアドレスを設定します。 • [Option]L3 Routing(Default Gateway)の設定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 設定項目 Node1 Node2 備考 I/F名 irb unit 1001 irb unit 1001 実IP 192.168.1.253/24 192.168.1.252/24 仮想IP 192.168.1.254 192.168.1.254 Priority 200 100 Accept-data 設定する 設定する set vlans v1001 l3-interface irb.1001 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 priority 100 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 accept-data ※Node1の設定例
設定方法; • Default Gatewayアドレスが冗長されているか確認します。 • 下記の様になっていない場合 – ICL(ae0)にVLAN1001が設定されているか確認して下さい。 • L3 Routing(Default Gateway)の確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 Node1 Node2 ae0 {master:0}[edit] lab@node1# run show vrrp Interface State Group VR state VR Mode Timer Type Address irb.1001 up 1 master Active A 0.359 lcl 192.168.1.253 vip 192.168.1.254 lab@node2# run show vrrp Interface State Group VR state VR Mode Timer Type Address irb.1001 up 1 backup Active D 2.718 lcl 192.168.1.252 vip 192.168.1.254 mas 192.168.1.253
Appendix C Zero Touch Provisioning
ZTP(Zero-touch Provisioning)とは • DCにToRスイッチを新設するオペレーションは簡単だが、大量のスイッチ を展開することを考慮すると手間は膨大 • ZTPとは、スイッチの初期導入時においてJUNOSのバージョンとコンフィ グを自動でプロビジョニングする機能 (Junos 12.2よりサポート) • 主に海外のOTT, DC事業者などにおいて広く使われている
ZTPと従来のオペレーションとの比較 Legacy Ops ZTP 開梱 開梱 ネットワークに 接続して起動 ZTP サービスイン 起動して コンソールからセッ トアップ ネットワークに 接続 OSバージョン アップ・ダウン 初期設定 サービスイン 膨大な数のToRを設置しなくてはいけないDC等の場合には、 ZTPによるOPEXの削減効果は絶大!
ZTPのコンポーネント  ゼロタッチ:装置にコンソールなどでのログインが不要  電源を入れるだけ!  用意するのはDHCPサーバとファイルサーバの2つ  ネットワーク経由で自動的にOSや設定情報を装置に転送し反映  工場出荷状態で動作するため特別な設定は不要 DHCPサーバ ファイルサーバ EX/QFXスイッチ - 装置にIPアドレスを付与 - TFTPサーバのアドレスを通知 - 取得すべきConfigファイル名を通知 -Configファイル -OSファイル
動作シーケンス  スイッチはシリアルとMACアドレスを含むDHCPリクエストを送信  DHCP OptionでTFTPサーバのIPアドレスとOS/Configのファイル名を通知 DHCPサーバ ファイルサーバ (TFTP/FTP/HTTP) EX/QFXスイッチ 2. DHCP Discover/Request 4. File Request (指定されたファイル名) 5. Download files 1. デフォルト設定で起動 ZTPスタート! 3. DHCP Offer/ACK (ファイルサーバ+ファイル名) 6. ダウンロードしたファイルで OSとConfigを書き換えcommit - 装置にIPアドレスを付与 - TFTPサーバのアドレスを通知 - 取得すべきConfigファイル名を通知 -Configファイル -OSファイル
JUNOS ZTP の流れ スイッチはDHCPサーバからIPア ドレス、DGW、FTP/TFTP Server、Junos Image と Configのファイル名を受け取る スイッチが Auto image installation (AIU) プロセスを開 始する 新しいOSイメージをインストー ル NO 新しい設定をCommit START YES スイッチをネットワークに接続 して、電源を投入する (工場出 荷状態のスイッチ) ブートアップ完了後、スイッチ がDHCPリクエストをアクティブ リンクから送信する END 指定されたバー ジョンのOSが 既に入っている か? AIUプロセスがJunos Imageと Config fileをダウンロード 新しい設定をCommit 再起動
筐体の識別 筐体のMACアドレス ddns-update-style none; option option-66 code 66 = string; option space NEW_OP; option NEW_OP.config-file-name code 1 = text; option NEW_OP-encapsulation code 43 = encapsulate NEW_OP; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.1 192.168.1.200; default-lease-time 6000; max-lease-time 7200; option routers 192.168.1.1; option subnet-mask 255.255.255.0; host switch1 { hardware ethernet 2c:6b:f5:3a:6e:41; fixed-address 192.168.1.11; option NEW_OP.config-file-name "switch1.cfg"; option option-66 "192.168.1.100"; } host switch2 { hardware ethernet 64:87:88:B7:45:81; fixed-address 192.168.1.12; option NEW_OP.config-file-name "switch2.cfg"; option option-66 "192.168.1.100"; } } DHCPサーバの設定 筐体背面又は底面のシールに筐体のMACが記載 筐体のMACアドレスに+1したものを設定に記述
option space NEW_OP; option NEW_OP.image-file-name code 0 = text; option NEW_OP.config-file-name code 1 = text; option NEW_OP-encapsulation code 43 = encapsulate NEW_OP; group { option tftp-server-name "17.176.31.71"; option log-servers 17.176.31.72; option ntp-servers 17.176.31.73; option NEW_OP.image-file-name "/images/jinstall-qfx.tgz"; option NEW_OP.transfer-mode "ftp"; host tor-qfx5100-1 { hardware ethernet 88:e0:f3:71:a0:82; fixed-address 172.16.31.19; option host-name "tor-qfx5100-1"; option NEW_OP.config-file-name “tor-qfx5100-1.config"; } host tor-qfx5100-1 { hardware ethernet f8:c0:01:c6:96:81; fixed-address 172.16.31.20; option host-name “tor-qfx5100-2"; option NEW_OP.config-file-name “tor-qfx5100-2.config"; } } Vendor Specific options (Auto image upgradeに 必要) Auto configurationで指定 される設定ファイル MACアドレスから IPアド レスおよびシステムのホス トネームへのマッピング Syslog and NTP servers JUNOS ZTP – DHCP Server Configuration(サンプル) 投入されるOSイメージ シンボリックリンクを指定 することも可能
可用性一貫性効率 ZTPが提供するもの 導入にかかる 時間を削減 機器故障時の 交換にかかる時間を削減設定ミスの削減 Any EX & QFX Switches Any EX & QFX Switches Any EX & QFX Switches
ZTP + Script Config Server ZTP Clients MACアドレス/Serialベースではなく、ネットワークの情報を元にConfigを投入 ②LLDP等 Simple Sample: https://github.com/jeremyschulman/jctyztp Port Y Switch X スイッチXのポートYと繋がっている ポートにはXXXを追加!
Thank you

More Related Content

PDF
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
byJuniper Networks (日本)
 
PDF
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
byJuniper Networks (日本)
 
PDF
大規模サービスを支えるネットワークインフラの全貌
byLINE Corporation
 
PPTX
あなたのところに専用線が届くまで
byTomohiro Sakamoto(Onodera)
 
PDF
閉域網接続の技術入門
byMasayuki Kobayashi
 
PPTX
ジュニパーアイコン集
byJuniper Networks (日本)
 
PDF
Service Function Chaining with SRv6
byAhmed AbdelSalam
 
PPTX
Juniper Srx quickstart-12.1r3
byMohamed Al-Natour
 
【SRX】JUNOS ハンズオントレーニング資料 SRXシリーズ サービス ゲートウェイ コース
byJuniper Networks (日本)
 
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
byJuniper Networks (日本)
 
大規模サービスを支えるネットワークインフラの全貌
byLINE Corporation
 
あなたのところに専用線が届くまで
byTomohiro Sakamoto(Onodera)
 
閉域網接続の技術入門
byMasayuki Kobayashi
 
ジュニパーアイコン集
byJuniper Networks (日本)
 
Service Function Chaining with SRv6
byAhmed AbdelSalam
 
Juniper Srx quickstart-12.1r3
byMohamed Al-Natour
 

What's hot

PDF
Multi Chassis LAG for Cloud builders
byJuniper Networks (日本)
 
PPTX
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
byシスコシステムズ合同会社
 
PDF
はじめての vSRX on AWS
byJuniper Networks (日本)
 
PDF
無料で仮想Junos環境を手元に作ろう
byakira6592
 
PDF
大規模DCのネットワークデザイン
byMasayuki Kobayashi
 
PPTX
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(基礎編)配布用
byシスコシステムズ合同会社
 
PDF
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
byPreferred Networks
 
PDF
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
PDF
インターネットの仕組みとISPの構造
byTaiji Tsuchiya
 
PPTX
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
byNTT DATA Technology & Innovation
 
PDF
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
byYahoo!デベロッパーネットワーク
 
PDF
ネットワークOS野郎 ~ インフラ野郎Night 20160414
byKentaro Ebisawa
 
PDF
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
PDF
NETCONFとYANGの話
byMasakazu Asama
 
PDF
CyberAgentのインフラについて メディア事業編 #catechchallenge
bywhywaita
 
PDF
MQTTとAMQPと.NET
byterurou
 
PDF
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
bywhywaita
 
PDF
コンセプトから理解するGitコマンド
byktateish
 
Multi Chassis LAG for Cloud builders
byJuniper Networks (日本)
 
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
byシスコシステムズ合同会社
 
はじめての vSRX on AWS
byJuniper Networks (日本)
 
無料で仮想Junos環境を手元に作ろう
byakira6592
 
大規模DCのネットワークデザイン
byMasayuki Kobayashi
 
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(基礎編)配布用
byシスコシステムズ合同会社
 
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
byPreferred Networks
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
インターネットの仕組みとISPの構造
byTaiji Tsuchiya
 
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)
byNTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
ネットワークの自動化・監視の取り組みについて #netopscoding #npstudy
byYahoo!デベロッパーネットワーク
 
ネットワークOS野郎 ~ インフラ野郎Night 20160414
byKentaro Ebisawa
 
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
NETCONFとYANGの話
byMasakazu Asama
 
CyberAgentのインフラについて メディア事業編 #catechchallenge
bywhywaita
 
MQTTとAMQPと.NET
byterurou
 
作って(壊して?)学ぶインターネットのしくみ サイバーエージェントの実験用ASの紹介 / Introduce experimental AS in ...
bywhywaita
 
コンセプトから理解するGitコマンド
byktateish
 

Similar to 【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース

PDF
Virtual Chassis for Cloud Builders
byJuniper Networks (日本)
 
PDF
Junos SpaceによるJunos機器の運用管理
byJuniper Networks (日本)
 
PDF
IOS/IOS-XE 運用管理機能アップデート
byシスコシステムズ合同会社
 
PDF
データセンター向け高機能スイッチ Cisco Nexus スイッチ ガイド
byシスコシステムズ合同会社
 
PDF
Juniper Festa @ Interop Tokyo 2018
byJuniper Networks (日本)
 
PDF
160719 we love-sd-wan(juniper)_0.2
byHiromi Tsukamoto
 
PDF
Juniper NetworkGuru Plugin - Juniper EX/QFX Swtich CloudStack Integration -
byJuniper Networks (日本)
 
PPTX
20170804 IOS/IOS-XE運用管理機能アップデート
byKazumasa Ikuta
 
PDF
Juniper+ansible ネットワーク自動化の今と今後
byHiromi Tsukamoto
 
PDF
監視もジョブも、OSSのHinemosで!
byHinemos
 
PDF
【Interop Tokyo 2018】 自動化の親和性が高く、ネットワーク運用者に優しいJunos OS
byJuniper Networks (日本)
 
PDF
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
byTrainocate Japan, Ltd.
 
PDF
Microsoft tech fielders_cisco_20150126_配布版
byTakao Setaka
 
PDF
Disaggregated Junos Software Infrastructure
byJuniper Networks (日本)
 
PPTX
20161129_npstudy_JunosAutomation
byTatsuya Naganawa
 
PDF
161027 net opscoding-junos-automation
byHiromi Tsukamoto
 
PDF
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
byHinemos
 
PDF
OSS統合運用管理ツールhinemos紹介資料
byMasaru Hiroki
 
PDF
Wireless Japan 2015 Juniper Mobile Vision 2020
byJuniper Networks (日本)
 
PDF
Ansible study1
byHideki Saito
 
Virtual Chassis for Cloud Builders
byJuniper Networks (日本)
 
Junos SpaceによるJunos機器の運用管理
byJuniper Networks (日本)
 
IOS/IOS-XE 運用管理機能アップデート
byシスコシステムズ合同会社
 
データセンター向け高機能スイッチ Cisco Nexus スイッチ ガイド
byシスコシステムズ合同会社
 
Juniper Festa @ Interop Tokyo 2018
byJuniper Networks (日本)
 
160719 we love-sd-wan(juniper)_0.2
byHiromi Tsukamoto
 
Juniper NetworkGuru Plugin - Juniper EX/QFX Swtich CloudStack Integration -
byJuniper Networks (日本)
 
20170804 IOS/IOS-XE運用管理機能アップデート
byKazumasa Ikuta
 
Juniper+ansible ネットワーク自動化の今と今後
byHiromi Tsukamoto
 
監視もジョブも、OSSのHinemosで!
byHinemos
 
【Interop Tokyo 2018】 自動化の親和性が高く、ネットワーク運用者に優しいJunos OS
byJuniper Networks (日本)
 
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
byTrainocate Japan, Ltd.
 
Microsoft tech fielders_cisco_20150126_配布版
byTakao Setaka
 
Disaggregated Junos Software Infrastructure
byJuniper Networks (日本)
 
20161129_npstudy_JunosAutomation
byTatsuya Naganawa
 
161027 net opscoding-junos-automation
byHiromi Tsukamoto
 
【HinemosWorld2014】B2-2_ビジネス競争力に勝てるネットワーク基盤構築~Hinemos仮想ネットワーク管理オプション~ONIE・ZTP・...
byHinemos
 
OSS統合運用管理ツールhinemos紹介資料
byMasaru Hiroki
 
Wireless Japan 2015 Juniper Mobile Vision 2020
byJuniper Networks (日本)
 
Ansible study1
byHideki Saito
 

More from Juniper Networks (日本)

PDF
【Interop Tokyo 2023】ShowNetにおけるジュニパーネットワークスの取り組み
byJuniper Networks (日本)
 
PDF
Virtual Chassis Fabric for Cloud Builder
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2022】ここが見どころ!ジュニパーのShowNetにおける取組みご紹介
byJuniper Networks (日本)
 
PDF
【ジュニパーサロン】データセンタに特化した新しい経路制御技術 RIFTの紹介
byJuniper Networks (日本)
 
PDF
FlexEのご紹介 - JANOG 39.5 発表資料
byJuniper Networks (日本)
 
PDF
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2018】 Telemetryの匠が解説~オープン技術を用いたマイクロバースト検知の最前線~
byJuniper Networks (日本)
 
PDF
AppFormix勉強会資料
byJuniper Networks (日本)
 
PDF
Juniper Festa @ Interop Tokyo 2021
byJuniper Networks (日本)
 
PDF
【ネットワーク仮想化 事例セミナー 2017/2/28】Juniper x VMware アンダーレイソリューション デモンストレーション
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2024】ShowNetにおけるジュニパーネットワークスの取り組み
byJuniper Networks (日本)
 
PDF
Juniper Festa @ Interop Tokyo 2019
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2018】 ジュニパーの簡易SD-WANソリューション
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2018】 SDSN - サードパーティ連携によるサイバー脅威の検知とポリシー施行の自動化
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2018】マルチクラウド環境における仮想基盤とネットワークの「見える化」は出来ていますか?
byJuniper Networks (日本)
 
PDF
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
byJuniper Networks (日本)
 
PDF
【ネットワーク仮想化 事例セミナー 2017/2/28】ネットワンシステムズが目指すネットワーク仮想化によるセルフサービスITの実現
byJuniper Networks (日本)
 
PDF
Juniper Festa @ Interop Tokyo 2017
byJuniper Networks (日本)
 
PDF
【ネットワーク仮想化 事例セミナー 2017/2/28】ジュニパーのネットワーク自動化のビジョン
byJuniper Networks (日本)
 
PDF
企業ネットワークの標的型攻撃とクラウド接続の課題に同時対応するソリューション
byJuniper Networks (日本)
 
【Interop Tokyo 2023】ShowNetにおけるジュニパーネットワークスの取り組み
byJuniper Networks (日本)
 
Virtual Chassis Fabric for Cloud Builder
byJuniper Networks (日本)
 
【Interop Tokyo 2022】ここが見どころ!ジュニパーのShowNetにおける取組みご紹介
byJuniper Networks (日本)
 
【ジュニパーサロン】データセンタに特化した新しい経路制御技術 RIFTの紹介
byJuniper Networks (日本)
 
FlexEのご紹介 - JANOG 39.5 発表資料
byJuniper Networks (日本)
 
【ジュニパーサロン】Contrailの進化 Contrail Enterprise Multicloudとは ~Contrailを知っている人も知らない人...
byJuniper Networks (日本)
 
【Interop Tokyo 2018】 Telemetryの匠が解説~オープン技術を用いたマイクロバースト検知の最前線~
byJuniper Networks (日本)
 
AppFormix勉強会資料
byJuniper Networks (日本)
 
Juniper Festa @ Interop Tokyo 2021
byJuniper Networks (日本)
 
【ネットワーク仮想化 事例セミナー 2017/2/28】Juniper x VMware アンダーレイソリューション デモンストレーション
byJuniper Networks (日本)
 
【Interop Tokyo 2024】ShowNetにおけるジュニパーネットワークスの取り組み
byJuniper Networks (日本)
 
Juniper Festa @ Interop Tokyo 2019
byJuniper Networks (日本)
 
【Interop Tokyo 2018】 ジュニパーの簡易SD-WANソリューション
byJuniper Networks (日本)
 
【Interop Tokyo 2018】 SDSN - サードパーティ連携によるサイバー脅威の検知とポリシー施行の自動化
byJuniper Networks (日本)
 
【Interop Tokyo 2018】マルチクラウド環境における仮想基盤とネットワークの「見える化」は出来ていますか?
byJuniper Networks (日本)
 
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
byJuniper Networks (日本)
 
【ネットワーク仮想化 事例セミナー 2017/2/28】ネットワンシステムズが目指すネットワーク仮想化によるセルフサービスITの実現
byJuniper Networks (日本)
 
Juniper Festa @ Interop Tokyo 2017
byJuniper Networks (日本)
 
【ネットワーク仮想化 事例セミナー 2017/2/28】ジュニパーのネットワーク自動化のビジョン
byJuniper Networks (日本)
 
企業ネットワークの標的型攻撃とクラウド接続の課題に同時対応するソリューション
byJuniper Networks (日本)
 

Recently uploaded

PDF
エンジニアが選ぶべきAIエディタ & Antigravity 活用例@ウェビナー「触ってみてどうだった?Google Antigravity 既存IDEと...
byNorihiroSunada
 
PPTX
楽々ナレッジベース「楽ナレ」3種比較 - Dify / AWS S3 Vector / Google File Search Tool
byKiyohide Yamaguchi
 
PDF
流行りに乗っかるClaris FileMaker 〜AI関連機能の紹介〜 by 合同会社イボルブ
byEvolve LLC.
 
PDF
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #2
byTasuku Takahashi
 
PDF
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #1
byTasuku Takahashi
 
PDF
20251210_MultiDevinForEnterprise on Devin 1st Anniv Meetup
byMasaki Yamakawa
 
エンジニアが選ぶべきAIエディタ & Antigravity 活用例@ウェビナー「触ってみてどうだった?Google Antigravity 既存IDEと...
byNorihiroSunada
 
楽々ナレッジベース「楽ナレ」3種比較 - Dify / AWS S3 Vector / Google File Search Tool
byKiyohide Yamaguchi
 
流行りに乗っかるClaris FileMaker 〜AI関連機能の紹介〜 by 合同会社イボルブ
byEvolve LLC.
 
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #2
byTasuku Takahashi
 
Machine Tests Benchmark Suite. Explain github.com/alexziskind1/machine_tests #1
byTasuku Takahashi
 
20251210_MultiDevinForEnterprise on Devin 1st Anniv Meetup
byMasaki Yamakawa
 

【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス ゲートウェイ コース

  • 1.
    JUNOS Hands OnTraining “EX/QFX” Course Juniper Network, K.K. 04/2017 rev.1.21
  • 2.
    はじめに • 本資料にあるロードマップの内容は、資料作成時点における ジュニパーネットワークスの予定を示したものであり、事前の通告無しに 内容が変更されることがあります。 • またロードマップに描かれている機能や構成は、購入時の条件になりません ので、ご注意ください。 LegalDisclaimer: This statement of product direction (formerly called“roadmap”) sets forth Juniper Networks' current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement.
  • 3.
    JUNOS Basic Juniper Network,K.K. JUNOS Hands-on Training
  • 4.
    Training Outline ”JUNOSBasic” トレーニング内容(前半) 記載ページ ジュニパーネットワークス会社紹介 P.6 JUNOSとは P.13 運用面からみたJUNOSのアドバンテージ P.25 トレーニング・デバイスへのアクセス方法 P.35 CLIモードと各モード間の移動 P.39 JUNOS CLI操作 ~Operationalモード~ P.46 JUNOS CLI操作 ~Configurationモード~ P.65 JUNOSシステム設定 P.82 JUNOSインタフェース設定 P.90 JUNOS経路設定 P.98 Firewall Filterの設定 P.102
  • 5.
    Training Outline EthernetSwitching "EX/QFX" course トレーニング内容(後半) 記載ページ ジュニパーのイーサネット・スイッチポートフォリオ P.111 LAB.1 JUNOSの基本的な操作・設定 P.121 LAB.2 Interfaceの設定 P.135 LAB.3 Routingの設定 P.148 LAB.4 Firewall Filterの設定 P.155 Virtual Chassisとは P.161 Virtual Chassis Deep Dive P.176 LAB.5 Virtual Chassisの設定 P.195 Wrap up P.209 TIPs to be JUNOS Experts P.211 Appendix A: Virtual Chassis Fabric P.242 Appendix B: Multi-Chassis LAG P.253 Appendix C: Zero Touch Provisioning P.271
  • 6.
  • 7.
    ジュニパーネットワークス 会社概要 設立 :1996年 本社所在地:カリフォルニア州サニーベール Juniper Networks (NYSE: JNPR) CEO :Rami Rahim 事業概要 :IP通信機器(ルータ・スイッチ)及び セキュリティー製品(ファイアウォール・IPS)の製造販売 従業員 :約9,000名 拠点 :46カ国 100拠点以上 年間売上規模 :約5600億円
  • 8.
    Vision: ネットワークイノベーションにおけるリーダー ジュニパーネットワークスの戦略 Go-To-Market: ハイパフォーマンスネットワーキングをビジネスの基盤と位置付けるお客様とパートナー様に価値を提供 ROUTINGSECURITYSWITCHING CENTRALIZED INTELLIGENCE AND CONTROL SILICON SYSTEMS SOFTWARE パフォーマンスと自動化におけるバリュー  スケーラブル  信頼性  セキュリティ  高コスト効率  俊敏性  高効率 Grow Revenue Faster than the Market
  • 9.
  • 10.
    SWITCHING SECURITY ISG Series ISG2000 ISG1000 SSGSeries SSG550M SSG520M SSG350M SSG320M SSG140 QFX Series QFX10000 QFX5200 QFX5110 QFX5100 QFX3600 QFX3500 QFabric (QFX3000-G/M) EX Series EX9200 EX4600 EX4550 EX4300 EX4200 EX3400 EX3300 EX2300 EX2200 EX2300-C EX2200-C SRX Series SRX5800 SRX5600 SRX5400 SRX4200 SRX4100 SRX3600 SRX3400 SRX1400 SRX1500 SRX550 SRX345 SRX340 SRX320 SRX300 vSRX ROUTING PTX Series PTX5000 PTX3000 PTX1000 ACX Series ACX5000 ACX4000 ACX2100 ACX2000 ACX1100 ACX1000 ACX500 MX Series MX2020 MX2010 MX960 MX480 MX240 MX104 MX80 MX40 MX10 MX5 vMX NetScreen Series NetScreen-5200 NetScreen-5400 プロダクト・ポートフォリオ(カテゴリ別) Network Director Security Director
  • 11.
    Datacenter Fabric Switch QFXseries Datacenter Service Gateway SRX series Universal Edge Router MX series JUNOS: THE POWER OF ONE Integrated Architecture
  • 12.
    Campus Ethernet Switch EXseries Branch Service Gateway SRX series JUNOS: THE POWER OF ONE Integrated Architecture
  • 13.
  • 14.
    multiple operating systemsvs. ONE approach プラットフォーム毎に異なるOSと機能セット セキュリティもネットワークもカバーする 業界唯一のシングル・ネットワークOS
  • 15.
    THE POWER OFONE LEARN ONCE, INTEGRATE ONCE, QUALIFY ONCE プラットフォーム共通機能  Routing  Layer 2 Switching  Class of Service  IPv4 and IPv6  Etc… ベース・コンポーネント  Kernel and µKernel  Chassis Management (chassisd)  IP Services (Telnet, SSH, NTP)  Network Management – (AAA, CLI/mgd, XML/DMI, syslogd) BGP/MPLS Control Plane End-to-end Security In-network Automation SDK and Licensing of Junos Cross-Portfolio Commonality プラットフォーム専用機能  Advanced Security(SRX)  Virtual Chassis Fabric(QFX)  MPLS/EVPN(MX)  ISSU(MX&EX9k)  Etc… etc,etc…
  • 16.
    コントロールプレーンとフォワーディングプレーンの分離 DataPlane Scale and Performance 各Planeにおけるパフォーマンスを担保  より高いパフォーマンスをそれぞれの領域で独立して 開発することが可能に Resilient  独立したオペレーション  Routing Engine (RE)  Packet Forwarding Engine(PFE)  冗長化に対するさまざまなオプションをそれぞれに提供 ControlPlane Routing Engine Packet Forwarding Engine
  • 17.
    EVOLUTION OF ONEARCHITECTURE モジュラー型  拡張性とパフォーマンスを担保するコンポーネント  冗長性、安定性、サービス拡張を効率的に提供するた めの独立したオペレーション Scalable  Up: multi-core & 64-bit  Down: モジュラーごとのパッケージング Open  Hardware Abstraction Layer  Automation APIs & Junos SDK Kernel ControlPlane PFE Microkernel Hardware Abstraction Layer DataPlane NETCONF/XML Development API’SYang & DMI SDK Routing Security Switching … Interface
  • 18.
    JUNOSのアプローチ・運用者/設計者にとって ネットワーク停止の原因に対する調査 JUNOSのCLIは、業界標準型CLIと 根本的に異なるアプローチを採用 業界標準型CLI JUNOS CLI コマンドは1行毎に実行され、 変更は即時反映される コマンドは編集用ファイル のみ変更し、変更は意図し たタイミングで反映させる ミスや間違いも即時反映 致命的な影響となることも… ミスや間違いがあっても 確認・修正してから適用 全体の70%は人為的なミスが原因で ネットワークに悪影響 計画停止 障害やバグによる予期せぬ停止 人為的な要因 作業者の努力にたよるのではなく ソフトウェアの仕組みでミスをなくすサポート
  • 19.
  • 20.
     一般的なネットワークOSの場合、管理者がコンソールなどで設定変更を行う際、 投入した設定が即座に実稼働のネットワーク設定へと反映されてしまう  このことにより、 –ヒューマンエラーが発生する余地がある – 設定の復旧が困難 – 意図しない設定を行ってしまうと、機器への通信自体が不可能になってしまうケースがある などの課題が存在する Running ConfigRunning Config これまでの一般的なNW-OSの不便さ
  • 21.
  • 22.
    • JUNOSの場合、管理者が設定変更を行うのは、あくまで設定ファイル これを実ネットワークの設定へと投入するためにはJUNOSによるシステムチェックを行った後に、 ”commit“というコマンドを投入することにより反映させる • この仕組みにより、 •JUNOSのシステムチェックによるヒューマンエラーの予防 • 設定ファイルは過去50世代まで自動保存されるため、一瞬で過去の状態へと戻すことができる • 作成した設定ファイルを、“ためしに”投入してみることも可能 • などのメリットを享受することができる。 JUNOSの場合 Active ConfigCandidate Config check ! commit
  • 23.
    有効なJUNOSツール JUNOSのアプローチ :Human factorsへの対応 • “commit” • 設定変更を有効にするコマンド • 有効時にconfigチェックをおこない,誤り(矛盾)がなければ投入 した設定が有効となる • “rollback” • 設定の履歴管理,設定・OSの切り戻しを容易に • 既存configを含み最大50世代までの管理が可能 • “Load”コマンドにより外部から設定ファイルを更新することも可能 • “JUNOScript” & “Event Policy” • スクリプティングによる自動化ツール • イベントをトリガーとした自動化機能 • Configミスによるダウンタイムの回避 • Config変更/ 切り戻し作業の時間短縮 Benefits commit confirmed 1 2 3 candidate configuration load active configuration rollback commit validations commit commit scripts validated configuration 1 49
  • 24.
    JUNOS: THE POWEROF ONE EX4300 Series EX3400 Series EX2300 Series EX4600 MX Series PTX Series SRX3000 Series SRX5000 Series SRX320 SRX550 SRX300 SRX340 SRX1400 QFX5100 Series QFX10000 Series One OS branch core One Release Track Frequent Releases 14.1 14.2 15.1 One Architecture –API– Module x vSRX
  • 25.
  • 26.
    導入,運用,トラブルシュートに有効なJUNOS UTILITY群 JUNOSは導入、運用、トラブルシュートに有効な様々なツールを提供 • Commit •設定変更を有効にするコマンド • check, confirmed, compareなど様々なOptionが使用可能 • Rollback • 設定の履歴管理,切り戻しを容易にする機能 • 自動化Tool :JUNOScript / Event Policy • 運用を自動化するユーティリティ • Etc…
  • 27.
    ”Commit & Rollback” Configurationモードで行った設定変更は、CandidateConfigurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル
  • 28.
    ”Commit & Rollback”(アニメ) commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル Active Configuration 0 Candidate Configuration Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx delete xxxxxxxxxx delete xxxxxxxxxx commit 1 commit rollback n Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx Candidate Configuration delete xxxxxxxxxx delete xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx Candidate Configuration set xxxxxxxxxx set xxxxxxxxxx set xxxxxxxxxx delete xxxxxxxxxx delete xxxxxxxxxx Configurationモードで行った設定変更は、Candidate Configurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 Candidate Configを編集 Candidate Configを Active Configに反映 commit時に自動的に過去のconfigを保存・世代管理 編集したあとに気が変わったら… いつでも編集を破棄してやり直しが可能 commitしたあとで 切り戻しが必要になった場合には、 過去のconfigを呼び出しコマンド2つで 切り戻しが完了! 呼び出したconfigを反映
  • 29.
    ”Commit & Rollback” Configurationモードで行った設定変更は、CandidateConfigurationとして保持され、 ”Commit“するまで設定はActive Configurationとして反映されません。 万一間違えた場合でも,”rollback“コマンドにてすぐに前の状態に戻ることが可能です。 commit rollback n Active configuration 0 1 2 ... 稼動中の コンフィグファイル Candidate configuration 編集中の コンフィグファイル
  • 30.
    JUNOS:commit at timeオプション • 設定反映の時間指定(メンテナンスタイムにおける設定反映) • commit at xx:xx:xx (time) コマンドでcommitすると、指定した時間に設定 ファイルをActivateすることが可能となります [edit] mike@jnpr1# commit at 02:00:00 commit check succeeds commit will be executed at 2016-02-02 02:00:00 UTC Exiting configuration mode mike@jnpr1> xxxxx xxxxx xxxxx ... メンテナンスタイムにCommitが自動的に実施されるため、 管理者が該当の時間に操作する必要はなし
  • 31.
    JUNOS:commit confirmed オプション •設定の自動復旧機能(ヒューマンエラーによるトラブル防止のため) • commit confirmed コマンドでcommitすると、再度commitしない限り default10分で元のconfigにrollbackします – 指定した時間あるいはdefaultの10分以内に2度目のcommitを入れることで、 configは完全に格納されます [edit] root@lab# commit confirmed 5 commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete Remote WAN 誤ったアクセスコントロール設定 xxxxx xxxxx xxxxx ... [edit] root@lab# commit confirmed 5 commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete 設定間違いのままcommitしてしまいSSHなどが繋がらなくなってしまった後も、 一定時間のあと1つ前のconfigに自動復旧するため、リモートデバイスのポリシー変更時などに便利
  • 32.
    JUNOScriptの概要 • JUNOScript とはJuniperのネットワーク装置上で動作させることができるスクリプティン グ機能です。JUNOS自体に手を加える必要がないため、JUNOSの安定性を損なうことなく、 ユーザ個別の自動化に対する要望に対し柔軟かつ速やかに対応することができます。 • 大別すると、運用者が起動するスクリプトである“Commit Script”、“Op Script”とシステム が起動するスクリプトである“Event Policy”、“Event Script”が存在します。 システムが起動するスクリプト (ルーティングなどのイベント) 運用者が起動するスクリプト (CLIやProvisioning System) Commit Script Commit時に起動 するスクリプト Event Policy システムのイベント により起動される ポリシー Event Script Event Policyに より起動される スクリプト Op Script 運用者が起動 するスクリプト XSLT / SLAXベースのスクリプト
  • 33.
    JUNOS:Event Policy/Script • ネットワーク機器上のイベントやタイマーをトリガーとして、コマンドやスクリプトを実行 することで、運用の自動化が可能となります。 •イベントをトリガーとしたアクションを実行(Self-monitor) • ルータ上の特定のイベントをトリガーとして、コマンドやスクリプトを実行 • タイマーをトリガーとしたアクションの実行 • インターバル設定や日時指定に応じて、コマンドやスクリプトを実行 Routing (rpd) Chassis (chassisd) Management (mgd) イベント監視 プロセス eventd if then rules ルータの各コンポーネントのイベントを監視 ユーザが設定したアクションに応じ て運用コマンド、設定変更、スクリ プトなどを実行
  • 34.
     イベントに応じて自動的にトラブルシュート用のLogを取得  イベントに応じて動的なアクションをデバイスに取らせる デバイスに発生したイベントに応じて、 自動的に発動されるプログラムを事前に設定しておくことが可能 eventevent program Actions!! JUNOS: JUNOS Automation EXAMPLE – EVENT base AUTOMATION イベントに対する自動的なレスポンスにより ダウンタイムを削減したり必要なLog取得を自動的に実行することが可能! Event Policyで取り得るアクション  イベントを無視  ファイルをアップロード  オペレーションコマンドの実行  コンフィグレーションコマンドの実行  SNMP Trapを送出  Event Script の実行  Etc…
  • 35.
  • 36.
    ge-0/0/1  管理用IP(me0) : 192.168.1.x/24 Group1 •Tokyo-1: .1 • Nagoya-1: .2 • Osaka-1: .3 • Fukuoka-1: .4 Ethernet Switching "EX/QFX" course Topology (Lab1) – グループ1 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .1 .2 .3 .4 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-1 Tokyo-1 Nagoya-1 EX3400 Tokyo-1 Nagoya-1 Fukuoka-1 MGMT Switch me0 me0 me0 me0
  • 37.
     管理用IP(me0) : 192.168.1.x/24 Group1 •Tokyo-1: .5 • Nagoya-1: .6 • Osaka-1: .7 • Fukuoka-1: .8 Ethernet Switching "EX/QFX" course Topology (Lab1) – グループ2 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .5 .6 .7 .8 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-2 Tokyo-1 Nagoya-1 EX3400 Tokyo-2 Nagoya-2 Fukuoka-2 MGMT Switch me0 me0 me0 me0
  • 38.
    --- JUNOS 15.1X49-D50.3built 2016-05-28 20:02:37 UTC root@SRX-1% cli root@SRX-1> JUNOSへのログイン 初期設定状態のEXにアカウント’root’でログインします。 cliコマンドでJUNOSのOperationalモードを起動します。 – rootアカウントはserial console、またはssh接続時のみ使用可能です。 – 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。 • Root Password: Juniper – Tera TermからSSHv2接続で接続してください。
  • 39.
  • 40.
    FreeBSD CLI概要 • Junos CLIの3つのモード遷移について Configurationmode # Shell mode % Operational mode > 機器のステータス確認や基本操作 ・show コマンドでの状態表示 ・ping, traceroute, telnet, clear ・debug (monitor) ・OSアップグレード ・機器のリブート、シャットダウン ・set コマンドでの日時やTerminal表示 方法の設定 機器のconfiguration設定 ・システム設定 ・インタフェース設定 ・ルーティング設定 ・パケットフィルタリング設定 ・ポリシー設定 ・SNMP …などその他すべての設定 > configure % cli exit exit
  • 41.
    Operationalモード •RootユーザでLoginするとShellモード(プロンプトが“%”)に入ります • “cli”と投入することでShellモードからOperational モードへと移行します •Rootユーザ以外でLoginすると、Operationalモード(プロンプトが>)に入ります • “start shell”と投入することでOperationalモードからShellモードへと移行します login: root Password: --- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC root@% root@% cli root> login: AAA Password: --- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC AAA> AAA> start shell %
  • 42.
    Operationalモード • Operationalモードではステータスの確認やシステム操作などに 用いるコマンドを提供しています。 clear Clearinformation in the system configure Manipulate software configuration information file Perform file operations help Provide help information monitor Show real-time debugging information mtrace Trace multicast path from source to receiver op Invoke an operation script ping Ping remote target quit Exit the management session request Make system-level requests restart Restart software process set Set CLI properties, date/time, craft interface message show Show system information ssh Start secure shell on another host start Start shell telnet Telnet to another host test Perform diagnostic debugging traceroute Trace route to remote host
  • 43.
    Operationalモード • コマンドは階層構造になっています • 例:経路情報(簡易版)を確認 root> show route terse inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both A V Destination P Prf Metric 1 Metric 2 Next hop AS path * 0.0.0.0/0 S 5 >172.27.112.1 * 172.27.112.0/22 D 0 >ge-0/0/0.0 * 172.27.113.19/32 L 0 Local clear configure monitor set show brief exact protocol table terse bgp chassis interfaces isis ospf route version 大項目 小項目 確認コマンド 経路情報 簡易版
  • 44.
    Configurationモード • Operationalモードにてconfigureと投入することでConfigurationモード へ移行します root@lab> configure Enteringconfiguration mode [edit] root@lab# root@lab> configure Entering configuration mode Current configuration users: fbrooks terminal d0 on since 1999-10-14 07:11:29 UTC, idle 00:00:49 [edit protocols ospf] The configuration has been changed but not committed [edit] root@lab# • 他のユーザがconfigurationモードに入っていれば、以下の様に表示されます
  • 45.
    Configurationモード:オプション mike@jnpr1> configure private warning:uncommitted changes will be discarded on exit Entering configuration mode Active Config Candidate 1 Candidate 2 user 1 user 2 • configure private コマンドを使用すると、ログインユーザー専用のcandidate configurationが用意される • configure exclusive コマンドを使用すると、ログインユーザーが設定変更を 行っている最中に他のログインユーザーが設定変更を行うことを禁止すること が可能 mike@jnpr1> configure exclusive warning: uncommitted changes will be discarded on exit Entering configuration mode user 1 user 2 X Candidate Commit 不可 Active Config
  • 46.
  • 47.
    show コマンド • showコマンド:システム、ステータスに関する情報を表示します > show arp :ARPテーブルを確認する > show chassis environment :温度、ファンなどの環境状態を確認する > show chassis hardware :ハードウェア情報(シリアルナンバー等)を確認する > show chassis routing-engine :ルーティングエンジン(CPUやMemory)の状態を確認する > show configuration :稼働中の設定を確認する > show interfaces :Interfaceの状態を確認する > show route :経路情報を確認する > show system uptime :稼働時間を確認する > show system users :ユーザのログイン状況を確認する > show system alarms :システムアラームの有無を確認する > show version :JUNOSソフトウェアバージョンを確認する
  • 48.
    show コマンド: オプション •showコマンドではterse, brief, detail, もしくはextensiveオプションを使用 することで確認できる情報量を選択することができます。 • terse, briefのオプションはオプションなしの出力結果と比べ、より簡易的な 情報を表示させます。 • detail, extensiveのオプションはオプションなしの際と比べ、より詳細な情報 を表示させます。
  • 49.
    show コマンド: オプション >show interfaces ge-0/0/0 terse Interface Admin Link Proto Local Remote ge-0/0/0 up up > show interfaces ge-0/0/0 terse > show interfaces ge-0/0/0 brief Physical interface: ge-0/0/0, Enabled, Physical link is Up Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None > show interfaces ge-0/0/0 brief
  • 50.
    show コマンド: オプション >show interfaces ge-0/0/2 (オプションなし) > show interfaces ge-0/0/0 Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:33 ago) Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Active alarms : None Active defects : None Interface transmit statistics: Disabled
  • 51.
    show コマンド: オプション >show interfaces ge-0/0/0 detail > show interfaces ge-0/0/0 detail Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504, Generation: 142 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:37 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 995586 0 bps Output bytes : 1473366 0 bps Input packets: 10870 0 pps Output packets: 15732 0 pps IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Egress queues: 8 supported, 4 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 9262 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 7 network-cont 0 6470 0 Queue number: Mapped forwarding classes 0 best-effort 1 assured-forwarding 5 expedited-forwarding 7 network-control Active alarms : None Active defects : None Interface transmit statistics: Disabled
  • 52.
    show コマンド: オプション >show interfaces ge-0/0/0 extensive > show interfaces ge-0/0/0 extensive Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 139, SNMP ifIndex: 504, Generation: 142 Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC- REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Hold-times : Up 0 ms, Down 0 ms Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3 Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:40 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 995586 0 bps Output bytes : 1473366 0 bps Input packets: 10870 0 pps Output packets: 15732 0 pps IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0 Output errors: Carrier transitions: 3, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0 Egress queues: 8 supported, 4 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 best-effort 0 9262 0 1 assured-forw 0 0 0 5 expedited-fo 0 0 0 7 network-cont 0 6470 0 Queue number: Mapped forwarding classes 0 best-effort 1 assured-forwarding 5 expedited-forwarding 7 network-control Active alarms : None Active defects : None MAC statistics: Receive Transmit Total octets 995586 1473366 Total packets 10870 15732 Unicast packets 8989 9262 Broadcast packets 1876 1872 Multicast packets 5 4598 CRC/Align errors 0 0 FIFO errors 0 0 MAC control frames 0 0 MAC pause frames 0 0 Oversized frames 0 Jabber frames 0 Fragment frames 0 Code violations 0 Autonegotiation information: Negotiation status: Complete Link partner: Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK, Link partner Speed: 1000 Mbps Local resolution: Flow control: Symmetric, Remote fault: Link OK Packet Forwarding Engine configuration: Destination slot: 0 (0x00) CoS information: Direction : Output CoS transmit queue Bandwidth Buffer Priority Limit % bps % usec 0 best-effort 95 950000000 95 NA low none 7 network-control 5 50000000 5 NA low none Interface transmit statistics: Disabled
  • 53.
    コンソール画面出力に関する操作 • 画面に ---(more)---promptが表示されているときは 以下のキーで操作します Space: 次画面に進む b: 前画面に戻る d: ½画面進む Enter: 1行進む /string: 検索 n: 再検索 q: プロンプトに戻る(出力のAbort) h: これらキーヘルプの表示 > show configuration ## Last commit: 2016-04-12 17:41:17 JST by lab version 12.3X48-D20.4; groups { Japan_ENT_POC { system { host-name mino_srx240; backup-router 172.27.112.1; time-zone Asia/Tokyo; dump-on-panic; root-authentication { encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } login { user lab { uid 2000; class super-user; authentication { ---(more)---
  • 54.
    コンソール画面出力に関する操作 | no-more •通常、出力はCLIのスクリーンサイズを考慮して行われます。出力内容が多い場合、CLI画面 に---(more)---を表示し、出力を一時停止します。ログ取得時などは“ | no-more” オプ ションを使用し、全て一度に表示することが可能です [edit] root@lab> show configuration | no-more ## Last commit: 2016-01-25 11:25:54 JST by root version 10.4R7.5; groups { Japan_team { system { backup-router 172.16.1.1; time-zone Asia/Tokyo; dump-on-panic; root-authentication { encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA } login { user lab { uid 2000; "$1$4TDfGIs7$.wTBpcNviWRCebbvcSLzv."; ## SECRET-DATA :
  • 55.
    パイプ “|” オプションの利用 •Unix同様のパイプ ”|” をサポート。configやshowコマンド等で有効利用 • root@lab> show configuration | display set • root@lab> show log messages | no-more • root@lab> show route | find 192.168.1.0 • root@lab# show interface | save interface_config.txt root@lab> show configuration | ? Possible completions: compare Compare configuration changes with prior version count Count occurrences display Show additional kinds of information except Show only text that does not match a pattern find Search for first occurrence of pattern hold Hold text without exiting the --More-- prompt last Display end of output only match Show only text that matches a pattern no-more Don't paginate output request Make system-level requests resolve Resolve IP addresses save Save output text to file trim Trim specified number of columns from start of line
  • 56.
    • Configurationの表示方法を変更する • 階層表記に加え、行単位での表示も可能 root@EX2200C>show configuration protocols dot1x traceoptions { file 1x; flag all; } authenticator { authentication-profile-name dot-1x; interface { ge-0/0/0.0 { supplicant single-secure; reauthentication 3600; } ge-0/0/3.0 { supplicant single-secure; root@EX2200C> show configuration protocols dot1x |display set set protocols dot1x traceoptions file 1x set protocols dot1x traceoptions flag all set protocols dot1x authenticator authentication-profile-name dot-1x set protocols dot1x authenticator interface ge-0/0/0.0 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/0.0 reauthentication 3600 set protocols dot1x authenticator interface ge-0/0/3.0 supplicant single-secure set protocols dot1x authenticator interface 状況に応じ、お好みの表記方法を選択可能 パイプ “|” 使用例
  • 57.
    パイプ “|” 使用例 •Configurationの一部を保存する • 稼働中のconfigurationの方法 Operationalモードにてshow configuration | save <出力先+ファイル名> • 編集中のconfigurationの出力方法 Configurationモードにてsave <出力先+ファイル名> > show configuration | save ftp://abc@172.xx.xxx.xx/Ex_config Password for abc@172.xx.xxx.xx: ftp://abc@172.xx.xxx.xx/mx_config 100% of 7928 B 30 MBps Wrote 352 lines of output to 'ftp://abc@172.xx.xxx.xx/Ex_config' # save /config/EDITING-CONFIG Wrote 232 lines of configuration to '/config/EDITING-CONFIG' ※保存先を指定しない場合、userのhome directoryに出力されます FTPサーバへ出力 /config/へ出力
  • 58.
    JUNOSファイルシステムの構成について • JUNOSでは各種構成ファイルやLogファイルなどをファイルシステム上のディレ クトリに管理しています /config 使用中のコンフィグレーションと過去3世代までのコンフィグレーションを格納。 /var/db/config 4世代以降のコンフィグレーションを格納。gz形式に圧縮されて保存されているがfile showコマンドで表示可能。FreeBSDではzcatコマンドで表示可能。 /var/tmp JUNOSソフトウェアアップグレード時など、image格納するディレクトリ。また、各デーモンのコアダンプファイルを格納。 /var/log 各種LogやTraceoption機能にて取得したデバッグ情報ファイルを格納。 /var/home 各ユーザのホームディレクトリが作成される。 各ユーザがローカルに保存した情報は全て各ユーザのホームディレクトリに格納する。 例えば、現在使用中のコンフィグをsaveコマンドにて保存した場合など
  • 59.
    root> file list/var/home/SAMPLE/ /var/home/SAMPLE/: TEST_CONFIG JUNOSファイルシステムの構成について • ディレクトリ配下のファイル内容の確認方法 > file show /<directory>/<file_name> • 各ディレクトリに格納しているファイルの確認方法 > file list / <directory>/ root> file list /var/home/ /var/home/: SAMPLE/ /var/home配下の情報を表示 ユーザ(SAMPLE)のホームディレクトリが作成されている /var/home/SAMPLE配下の情報を表示 ユーザ(SAMPLE)が作成したTEST_CONFIGが保存されている root> file show /var/home/SAMPLE/TEST_CONFIG ## Last changed: 2016-03-30 17:34:10 UTC version 12.3X48-D25.3; system { root-authentication { encrypted-password "$1$73UgjTsC$EznYXp/4DfJIRTI6KnFYE1"; ## SECRET-DATA ~~~~~~~~~~~~~~~~~~~~~~~~~以下省略~~~~~~~~~~~~~~~~~~~~~~~~~~ ユーザ(SAMPLE)が作成した TEST_CONFIGを確認
  • 60.
    JUNOS運用管理コマンド • JUNOSでは運用管理に必要な機能をサポートしています。 • Ping •Traceroute • telnet / ssh • Monitor Ping : ネットワークの疎通確認をする >ping アドレス + オプション 例: 172.27.112.1へ512 byteのpingを3回実施 root> ping 172.27.112.1 count 3 size 512 PING 172.27.112.1 (172.27.112.1): 512 data bytes 520 bytes from 172.27.112.1: icmp_seq=0 ttl=64 time=1.037 ms 520 bytes from 172.27.112.1: icmp_seq=1 ttl=64 time=0.704 ms 520 bytes from 172.27.112.1: icmp_seq=2 ttl=64 time=0.741 ms --- 172.27.112.1 ping statistics --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max/stddev = 0.704/0.827/1.037/0.149 ms
  • 61.
    JUNOS運用管理コマンド Telnet / SSH: ネットワークに接続された機器を操作する >telnet アドレス + オプション 例: 172.27.112.161: port 23へtelnetを実施 > traceroute 8.8.8.8 interface ge-0/0/0 traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets 1 172.27.112.2 (172.27.112.2) 4.394 ms 1.814 ms 2.209 ms (snip) 13 google-public-dns-a.google.com (8.8.8.8) 4.276 ms 4.286 ms 4.063 ms Traceroute : ネットワークの経路確認をする >traceroute アドレス + オプション 例: 8.8.8.8へge-0/0/0からtrace routeを実施 > telnet 172.27.112.161 port 23 Trying 172.27.112.161... Connected to 172.27.112.161. Escape character is '^]'. srx300beta (ttyp0) login:
  • 62.
    monitor コマンド • monitorコマンド:現在のI/F別トラフィック状況を表示します • > monitor interface traffic 各Interfaceのトラフィックをリアルタイム表示する Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Down 0 (0) 0 (0) gr-0/0/0 Up 0 (0) 0 (0) ip-0/0/0 Up 0 (0) 0 (0) lsq-0/0/0 Up 0 (0) 0 (0) lt-0/0/0 Up 0 (0) 0 (0) mt-0/0/0 Up 0 (0) 0 (0) sp-0/0/0 Up 0 (0) 0 (0) ge-0/0/1 Down 0 (0) 0 (0) (snip)
  • 63.
    requestコマンド • requestコマンド: システムの挙動に関するコマンドを実行します •システムを再起動する > request system reboot • システムをシャットダウンする > request system power-off • 初期化する > request system zeroize • サポートに必要な情報を取得する > request support information • 基本となるConfigurationファイルを保存する(rescue configの保存) > request system configuration rescue save • OSをアップグレードする > request system software add <ファイル名>
  • 64.
    JUNOSのソフトウエアアップグレード • ソフトウエアアップグレード手順 1. 対象のJUNOSOSをダウンロードする。 https://www.juniper.net/support/downloads/group/?f=junos 2. CLIコマンドでJUNOSソフトウェアを FTP/TFTPサーバからデバイス(/var/tmp)に保存 > file copy ftp://ログインID@アドレス/JUNOSパッケージ名/var/tmp 3. デバイスに保存したパッケージをロード > request system software add /var/tmp/JUNOSパッケージ名 4. 再起動する > request system reboot root> file copy ftp://abc@172.xx.xxx.xx/jinstall-ex- 4200-11.4R1.6-domestic-signed.tgz /var/tmp Password for abc@172.xx.xxx.xx: /var/tmp//...transferring.file.........TfBx6L/100% of 381 MB 8099 kBps 00m00s root> request system software add /var/tmp/ jinstall- ex-4200-11.4R1.6-domestic-signed.tgz NOTICE: Validating configuration against jinstall-ex- 4200-11.4R1.6-domestic-signed.tgz. (snip) root> request system reboot
  • 65.
  • 66.
    Candidate Configuration AAA BBB CCC commit コンセプト(アニメ) • Configurationモードに入ると編集用configが用意されます •設定変更はすべて編集用のconfig上にのみ投入 • commit コマンドでactive configに反映されます Active Configのコピー Active Configuration AAA BBB CCC DDD commit DDD
  • 67.
    Candidate Configuration AAA BBB CCC commit コンセプト • Configurationモードに入ると編集用configが用意されます •設定変更はすべて編集用のconfig上にのみ投入 • commit コマンドでactive configに反映されます Active Configのコピー Active Configuration AAA BBB CCC DDD commit DDD
  • 68.
    rollback 2 Configuration AAA BBB CCC rollback 1 Configuration AAA BBB CCC rollback1 Configuration AAA BBB CCC DDD Active Configuration AAA BBB CCC DDD rollback コンセプト(アニメ) • commit実行時に、現在稼働中のconfigが履歴として自動的に保存されま す • commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード • 再度commit コマンドを実行して、active configに反映 Candidate Configuration AAA BBB CCC DDD commit rollback 1 0世代 1~49世代
  • 69.
    rollback コンセプト • commit実行時に、現在稼働中のconfigが履歴として自動的に保存されま す •commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード • 再度commit コマンドを実行して、active configに反映 rollback 2 Configuration AAA BBB CCC rollback 1 Configuration AAA BBB CCC DDD Active Configuration AAA BBB CCC DDD Candidate Configuration AAA BBB CCC DDD commit rollback 1 1~49世代 0世代 1世代 2世代
  • 70.
    設定の追加(set) • set コマンド:設定の追加変更を行います •Commitするまでは設定は反映されません。 • Commitすることで初めて動作しているデバイスに設定追加の変更が反映されます。 user@lab# set interface ge-0/0/1 disable user@lab# commit configuration check succeeds commit complete
  • 71.
    設定の変更(delete) • delete コマンド:設定の削除変更を行います •Commitするまでは設定は反映されません。 • やはりCommitすることで動作しているデバイスに設定削除の変更が反映されます。 user@lab# delete interface ge-0/0/1 disable user@lab# commit configuration check succeeds commit complete
  • 72.
    編集中の設定確認(show | compare) •show | compare コマンド:編集中の設定と稼動中の設定を比較します • 過去のconfigと編集中の設定を比較することも可能 user@lab# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 user@lab# show | compare [edit interfaces] + ge-0/0/0 { + unit 0 { + family inet { + address 192.168.1.1/24; + } + } + } Active Configuration (rollback 0) Candidate Configuration # show | compare user@lab# show | compare rollback [1-49] Active configと比較して、ge-0/0/0にIPアドレスが追加されている +:追加 ー:削除
  • 73.
    設定ファイルの復旧(rollback) • rollback コマンド:設定ファイルの復旧を行います •変更した設定ファイルを破棄したい場合は、Rollbackコマンドを投入します。(rollbackはrollback 0の略) • rollback n(0-49)でファイル番号を指定すると、過去の設定をCandidate Configにコピーすることが可能 で、容易に過去の状態に戻すことが可能です。(過去50世代分の設定ファイルを自動保存) user@lab# rollback user@lab# rollback ? Possible completions: <[Enter]> Execute this command 0 2016-07-14 08:41:21 JST by root via cli 1 2016-07-13 16:01:54 JST by root via cli 2 2016-07-13 15:59:51 JST by root via cli 3 2016-07-13 15:57:33 JST by root via cli 4 2016-07-13 15:57:20 JST by root via cli commit confirmed, rollback in 2mins 5 2016-07-12 15:21:37 JST by lab via netconf 6 2016-07-08 16:35:39 JST by lab via cli 7 2016-06-22 19:30:53 JST by lab via cli 8 2016-06-22 19:28:39 JST by lab via cli 9 2016-06-22 19:28:18 JST by lab via cli …(snip)
  • 74.
    commit オプション(commit confirmed/ at) • commit confirmed コマンド:一時的に設定を反映します • 変更を確定する場合は、時間内にcommitを実行します • デフォルトでは10分(指定可能) • 時間までにcommitされなければ、自動的にcommit前の状態に戻る • commit at コマンド:日時を指定してcommitの実行を予約します • hh:mm:[ss] または “yyyy-mm-dd hh:mm:[ss]” user@lab# commit confirmed 5 configuration check succeeds commit confirmed will be automatically rolled back in 5 minutes unless confirmed commit complete # commit confirmed will be rolled back in 5 minutes user@lab# commit at "2016-04-20 00:00" configuration check succeeds commit at will be executed at 2016-04-20 00:00:00 JST Exiting configuration mode ※予約をキャンセルしたいときは、Operationalモードからclear system commit コマンドを実行
  • 75.
    Configurationのロード(load) • load コマンド:configurationファイルをロードします •loadコマンドはいくつかのオプションがあります • load factory-default 工場出荷時のconfigをロード • load override <filename> ロードしたconfigによる置き換え • load merge <filename> ロードしたconfigを追加 • configファイルは外部のFTPサーバや機器内ディレクトリからロードすることも可能 user@lab# load ? Possible completions: factory-default Override existing configuration with factory default merge Merge contents with existing configuration override Override existing configuration patch Load patch file into configuration replace Replace configuration data set Execute set of commands on existing configuration update Update existing configuration user@lab# load merge /var/tmp/saved_config.txt user@lab# load merge ftp://user:passwd@192.168.1.1/saved_config.txt
  • 76.
    user@lab# load setterminal [Type ^D at a new line to end input] set services security-intelligence profile feeds-cc-p1 category CC set services security-intelligence profile feeds-cc-p1 default-rule then action permit set services security-intelligence profile feeds-cc-p1 default-rule then log set services security-intelligence profile Inf-hosts category Infected-Hosts set services security-intelligence profile Inf-hosts default-rule then action permit set services security-intelligence profile Inf-hosts default-rule then log set services security-intelligence policy pol-cc CC feeds-cc-p1 set services security-intelligence policy pol-cc Infected-Hosts Inf-hosts set services advanced-anti-malware policy skyatp_test match application HTTP set services advanced-anti-malware policy skyatp_test match verdict-threshold 3 set services advanced-anti-malware policy skyatp_test then action permit set services advanced-anti-malware policy skyatp_test then notification log set services advanced-anti-malware policy skyatp_test inspection-profile test set services advanced-anti-malware policy skyatp_test fallback-options action permit set services advanced-anti-malware policy skyatp_test fallback-options notification log set services advanced-anti-malware policy skyatp_test whitelist-notification log set services advanced-anti-malware policy skyatp_test blacklist-notification log load complete Configurationのロード(load set terminal) • load set terminal コマンド:CLIで追加のsetコンフィグを貼り付けるときに使用 • setコマンドの大量コピー&ペースト時にconfigのとりこぼしが防げます CTRL+D 貼り付けたいconfigを terminal上でペースト し、最後に改行してか らCTRL+Dを押して読 み込む キャンセルしたい場合 はCTRL+Cで抜ける
  • 77.
    [edit] user@lab# load mergeterminal [Type ^D at a new line to end input] protocols { ospf { export static-route; area 0.0.0.0 { interface ge-0/0/0.0; interface ge-0/0/1.0; interface ge-0/0/2.0; interface lo0.0 { passive; } } } } policy-options { policy-statement static-route { from { protocol static; route-filter 10.1.1.0/24 longer; } then accept; } } load complete • load merge terminal コマンド:CLIで追加のconfigを貼り付けるときに使用 • 大量のコピー&ペースト時にもconfigのとりこぼしが防げます、最上位の階層から追加の configを投入する階層までのパスが全部必要です • relative オプションを付けると今いる階層に応じてconfigの階層もショートカットされます Configurationのロード(load merge terminal) interfaces, protocolsや policy-optionsなど最上位 の構文から記述していく [edit protocols ospf] lab# load merge terminal relative [Type ^D at a new line to end input] area 0.0.0.0 { interface xe-1/0/0.0; } area 0.0.0.1 { stub default-metric 10 no-summaries; area-range 192.168.16.0/20; interface ge-0/0/3.0; } area 0.0.0.2 { nssa { default-lsa { default-metric 20; metric-type 1; type-7; } no-summaries; area-range 172.16.12.0/22; } area-range 192.168.48.0/20; } load complete CTRL+D protocols ospfの階層 に移動しareaのconfig だけ追加 protocols { ospf { の 記述は不要 CTRL+D
  • 78.
    Configurationモード:コマンドサマリー • 設定&確認コマンド • set: パラメータを設定する際に使用します • delete : パラメータを削除する際に使用します • show : 設定した内容を確認します • show | compare : 編集中のconfigと稼働中のconfigを比較します • 設定反映コマンド • commit : 編集した設定をactive configに反映させます • rollback : 過去のconfigをロードして編集内容を元に戻します • load : 設定したファイルをロードする際に使用します
  • 79.
    便利なショートカットキー • カーソルの移動 Ctrl-B 1文字戻る Ctrl-F1文字進む Ctrl-A 行頭に移動 Ctrl-E 行末に移動 • 文字の削除 Delete/Backspace カーソル前の1文字を削除 Ctrl-D カーソル後の1文字を削除 Ctrl-K カーソルから行末までを削除 Ctrl-U 行をすべて削除 Ctrl-W 現在入力途中の単語または、カーソルより左側の1単語を削除 • その他 Ctrl-P or ↑ コマンド履歴の前を表示 Ctrl-N or ↓ コマンド履歴の次を表示 ? 次に入力すべきコマンドやパラメータのヒント
  • 80.
    コマンド補完と構文エラー • コマンド補完機能 • Spaceキー/Tabキー:固定値を補完 • Tabキーはユーザが定義したpolicy名やFilter名の補完も可能 • 構文エラーの通知 • 構文に誤りがあるとsyntax errorと表示される • ^ マークはエラーとなる項目を示す user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input ? Possible completions: TEST [firewall family inet filter] user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input T[tab] user@lab# load replase ^ syntax error, expecting <command>.
  • 81.
    Configurationモード: Operationalモードのコマンドを実行 • runコマンドにより、Configurationモードにおいてshowコマンド等を実行し、 status等確認することができます •Operationalモードで確認可能な全てのコマンドの実行が可能 • Operationalモードに戻る必要なし root@lab# run show interfaces Physical interface: ge-0/0/0, Enabled, Physical link is Up Interface index: 134, SNMP ifIndex: 508 Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed: 100mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Auto- negotiation: Enabled, Remote fault: Online Device flags : Present Runnin (snip) root@lab# show interfaces ge-0/0/0 { unit 0; } ge-0/0/1 { unit 0 { family ethernet- switching { vlan { members vlan-trust; (snip) runコマンドを使用し、interfaceの状態を確認 interfaceの設定を確認
  • 82.
  • 83.
    システム設定 • JUNOSデバイスのシステムに関する主な設定 • ユーザ設定 •ホスト名の設定 • 時刻設定 • DNS設定 • デバイスのサービス設定 • 管理インタフェース設定 • ログの設定 • SNMP設定
  • 84.
    システム設定 • ユーザ設定 • rootユーザのパスワードを設定 •rootユーザ以外のユーザアカウントを作成 • デフォルトでは3つのユーザクラスを選択可能 • read-only :view(show コマンドなど) • operator :clear, network, reset, trace, view(デーモンの停止, ping/telnet, etc) • super-user:all(すべて) root# set system root-authentication plain-text-password New password: Retype new password: root# set system login user TEST class super-user authentication plain-text-password New password: Retype new password:
  • 85.
    システム設定 • ホスト名の設定 • 時刻設定 •Time zoneを指定する • NTPサーバを指定する • DNS設定 root# set system host-name LAB root# set system time-zone Asia/Tokyo root# set system name-server 192.168.1.100 root# set system ntp server 10.10.10.100
  • 86.
    システム設定 • デバイスのサービス設定 • telnet,sshによるアクセスを有効にする • FTP, netconfのサービスを有効にする root# set system services ftp root# set system services netconf ssh root# set system services telnet root# set system services ssh root# set system services ssh root-login allow RootユーザとしてSSHでログインしたい場合に設定
  • 87.
    システム設定 • 管理インタフェース設定 • 例1:EXの管理インタフェース(me0)を設定 •例2:MX, SRXの管理インタフェース(fxp0)を設定 root# set interfaces me0 unit 0 family inet address 192.168.1.1/24 root# set interfaces fxp0 unit 0 family inet address 192.168.1.1/24 me0 EX3400 rear view SRX340 front view fxp0 ※管理ポートは、 MX/SRXは”fxp0”、EXは”me0”、QFXは”em0”、 EX/QFXのVCでは”vme(virtual me)”と命名されています。 Branch SRXのLow End(SRX300/320)など、Out of Bandの管理ポートが存在しないモデルもあります。
  • 88.
    システム設定 • ログの設定 • syslogサーバ、ファシリティ、ログレベルを指定 •例:すべてのレベルのログを10.10.10.1へ送信する ■Syslogレベルについて 高 emergency: ソフトウェアコンポーネントの機能停止を招く状況のメッセージ alert: データベースなどのデータ破損など、直ちに修復が必要な状況のメッセージ critical: 物理的なエラーなど重大な問題がある状況のメッセージ error: 上記よりも深刻度の低いエラー状況のメッセージ warning: モニタリングの必要性がある状況のメッセージ notice: エラーではないが、特別な処理が必要となる可能性がある状況のメッセージ info: 対象のイベントまたは非エラー状況のメッセージ 低 any: すべてのレベルのメッセージ root# set system syslog host 10.10.10.1 any any
  • 89.
    システム設定 • SNMP設定 • SNMPコミュニティを作成する •例:コミュニティ名をpublicに設定、読み込みのみ許可 • SNMPトラップを設定する • 例:トラップの送信元をLoopback 0に、宛先を10.10.10.1に設定 root# set snmp community public authorization read-only root# set snmp trap-options source-address lo0 root# set snmp trap-group <group-name> targets 10.10.10.1
  • 90.
  • 91.
    インタフェースタイプの表記 • インタフェースタイプにより以下のように表記されます ge-0/0/0 Type: fe-x/x/x:Fast Ethernet ports ge-x/x/x: Gigabit Ethernet ports xe-x/x/x: 10 Gigabit Ethernet ports et-x/x/x: 40/100 Gigabit Ethernet ports FPC slot: Flexible PIC Concentrator (line card) →筐体ナンバー PIC slot: Physical Interface Card →アップリンクモジュール Port number • その他のインタフェース • ae0~: LAGインタフェース • lo0: Loopbackインタフェース • me0: EXシリーズの管理インタフェース • fxp0: SRX, MXシリーズの管理インタフェース
  • 92.
  • 93.
    インタフェース設定 • インタフェースの設定は物理プロパティの設定と論理プロパティの設定に分か れます • 物理プロパティの設定 •データリンクプロトコル • リンクスピード、半/全2重通信 • MTU • 論理プロパティの設定 • プロトコルファミリー • inet (IPv4の設定) • inet6 (IPv6の設定) • mpls • ethernet-switching interfaces { interface-name { physical-properties; […] unit unit-number { logical-properties; […] } } } インタフェース名配下に 物理プロパティを設定 Unit#配下に 論理プロパティを設定
  • 94.
    物理/論理インタフェース設定例 ge-0/0/0 { description TEST; speed1g; mtu 1400; ether-options { no-auto-negotiation; link-mode full-duplex; } unit 0 { description TEST2; family inet { address 10.10.10.1/24; } } unit 100 { description TEST3; family inet6 { address 1::1/64; } } } 物理プロパティ 論理プロパティ
  • 95.
    Unit ナンバーとは • ロジカルプロパティを設定する際には”unit”とよばれる単位で設定します •一般的なネットワークOSであるサブインタフェースに相当するもの • unit 0がメインインタフェースに相当 • 1つの物理インタフェースに複数作成することも可能 • インタフェースを動作させるために最低1つは必須 • 物理インタフェースge-0/0/0 の unit 0 は、”ge-0/0/0.0”と表記 • showコマンド等でunitナンバーを指定しない場合はunit 0として認識されます ge-0/0/0 unit 0 family inet ge-0/0/0 unit 0 family ethernet- switching Data L3設定 L2設定 IP Data ETHIP ETH ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/24; } } } ge-0/0/0 { unit 0 { family ethernet-switching { interface-mode access; } } }
  • 96.
    複数unitの設定例 • 1つの物理インタフェースに複数のunitを使用するケース • unitごとにvlan-idを設定して振り分け •IPアドレスやFirewall Filterもunitごとに個別に設定可能 ge-0/0/0Packet unit 10 vlan-id 10 unit 20 vlan-id 20 unit 30 vlan-id 30 ge-0/0/0 { vlan-tagging; unit 10 { vlan-id 10; family inet { address 192.168.1.1/24; } } unit 20 { vlan-id 20; family inet { address 172.16.1.1/24; } } unit 30 { vlan-id 30; family inet { address 10.1.1.1/24; } } } Vlan 10 Vlan 20 Vlan 30Packet Packet
  • 97.
    L3インタフェースの作り方 • EX/QFX/SRXでは、L3の設定を二通りの方法で行うことができます • インタフェースに直接L3の設定を行う (RoutedPort) • ルーター寄りの設定 • “no switchport” のようなもの • 1つのセグメントには1つのポートのみ • VLANを受け、複数のセグメントを収容 したい場合はunitを複数作成する (次ページ) • VLANを作成し、VLANにL3の設定を 行った上で、インターフェイスとVLAN を紐付ける (Switch Port) • スイッチ寄りの設定 • 1つのセグメントに複数のポートが所属できる • 1つのポートで複数のVLANを使いたい場合、 trunkに設定し、所属するVLANを増やす set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 set vlans v10 vlan-id 10 set vlans v10 l3-interface irb.10 set interfaces irb unit 10 family inet address 192.168.10.1/24 set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v10 set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v10 Routed Port Switch Port ge-0/0/0 ge-0/0/X VLAN 10 ge-0/0/0 ge-0/0/1 VLAN xx ge-0/0/x ge-0/0/y unit 0 family inet 192.168.1.1 unit 0 family inet 192.168.x.x irb.10 192.168.10.1 irb.x 192.168.x.x
  • 98.
    管理者側から強制的にインタフェースを落とす方法 • Disableコマンドを使用してインタフェースを落とす root# setinterfaces ge-0/0/2 disable [edit] root# commit commit complete Admin(オペレーター)モードの操作の確認 root# show interfaces ge-0/0/2 { disable; unit 0 { family inet { address 140.0.0.12/24; • Disableコマンドを消去してインタフェースをあげる root# delete interfaces ge-0/0/2 disable [edit] root# commit commit complete root# run show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down ge-0/0/2 down down root# run show interfaces terse Interface Admin Link Proto Local Remote ge-0/0/0 up up ge-0/0/1 up down ge-0/0/2 up up admin(オペレータ)の強制的な インタフェースのダウン
  • 99.
  • 100.
    Static Routeの設定 設定例 [edit routing-options] root#show static { route 0.0.0.0/0 next-hop 172.30.25.1; route 172.28.102.0/24 { next-hop 10.210.11.190; no-readvertise; } } IPv4デフォルトルートの設定 経路を広報させないための設定 マネージメント用の経路などに利用 # set routing-options static route <あて先アドレス>next-hop <ネクストホップアドレス> # set routing-options static route <あて先アドレス>オプション設定 • Static route設定
  • 101.
    • 同じあて先にstatic routeを設定する場合はqualified-next-hopの オプションを利用しpreference(優先)の設定を施します [editrouting-options] root# show static { route 0.0.0.0/0 { next-hop 172.30.25.1; qualified-next-hop 172.30.25.5 { preference 7; } } } 制限付きネクストホップの設定 Network A 172.29.100.0/24 .1 .1.2 172.30.25.0/30 ge-0/0/1 172.30.25.4/30 .5.6 ge-1/0/0 primary secondary Internet Primary route ※Juniperのstatic routeのpreferenceは5 例: インターネット接続のためのデフォルトルートの設定 Secondary route ※preferenceを7に設定することで優先度を下げる
  • 102.
    • showコマンドでstatic routeを確認する root>show route protocol static inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 00:41:59 > to 172.30.25.1 via ge-0/0/1.0 … デフォルトルート プロトコルとpreference ネクストホップのアドレスとインタフェース Static Routeの確認
  • 103.
  • 104.
    Firewall Filterの設定 term <second-term> term<first-term> thenfrom match match test-filter アクション:許可、不許可など FW filter名 discard 各termに適合しなかった場合、discardします ※新しくtermを作成した際など、評価の順番を変更する際はinsertコマンドを利用して意図した順番にTermを入れ替えて下さい 適合条件:アドレスなど thenfrom • FWフィルタとは個々のパケットのフローを制御するためのステートレスなフィルタリング ポリシーです(=ACL) • FWフィルタではtermと呼ばれる条件付けのブロックを定義します • フィルタ内のtermはtop→downの順番で精査されます term名 no match no match
  • 105.
    Firewall Filterの設定 例1: 10.10.10.0/24からの通信を許可しないFWフィルタを作成 root#set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 root# set firewall family inet filter FW-FILTER term BLOCK then discard root# set firewall family inet filter FW-FILTER term PERMIT then accept root# show firewall family inet filter FW-FILTER term BLOCK { from { source-address { 10.10.10.0/24; } } then { discard; } } term PERMIT { then accept; } FW filter名 term名 適合条件:10.10.10.0/24からの通信 アクション:不許可 他のIPからの通信を許可
  • 106.
    root# set interfacesge-0/0/0 unit 0 family inet filter input FW-FILTER Firewall Filterの設定 例1: 作成したFWフィルタをインタフェースへ適用 root# show interfaces ge-0/0/0 unit 0 { family inet { filter { input FW-FILTER; } } } ge-0/0/0に入ってくる通信に対してFW-FILTERを適用 ※FWフィルタの設定を有効にする際(commitする際)にcommit confirmを利用すると 万が一設定を誤ってしまった場合にも切り戻しが可能になります
  • 107.
    Firewall Filterの設定 例2: Termの順序入れ替え root#set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 root# set firewall family inet filter FW-FILTER term BLOCK then discard root# set firewall family inet filter FW-FILTER term PERMIT then accept root# set firewall family inet filter FW-FILTER term BLOCK2 from protocol udp root# set firewall family inet filter FW-FILTER term BLOCK2 then discard Termは設定した順番で設定ファイルに書き込みが行われます。 一方で、意図したフィルターを掛けるためには適切な順序でTermを記載する必要があります (上記例では、all PERMIT termの後にBLOCK2が書かれているので、Lookupがされないことに注意) • insert コマンド:Firewall FilterやFirewall Policyのterm順序を変更する root# insert firewall family inet filter FW-FILTER term BLOCK2 before term PERMIT root# insert firewall family inet filter FW-FILTER term PERMIT after term BLOCK2 OR All permitのあとにtermがあるので この順序だとこのtermはLookupされない
  • 108.
    Firewall Filterの設定 例2: Termの順序入れ替え 意図した順番でtermが記載されていることを確認した上で、commitを行います root#show firewall family inet filter FW-FILTER { term BLOCK { from { source-address { 10.10.10.0/24; } } then { discard; } } term BLOCK2 { from { protocol udp; } then { discard; } } term PERMIT { then accept; } } insertコマンドによりterm BLOCK2がPERMITの前に移動している
  • 109.
    Packet Forwarding Engine RoutingEngine CPU lo0 Firewall Filterの設定 例3: JUNOS製品へのマネージメント通信を制限する 1. FWフィルタを作成する • 192.168.1.0/24のセグメントからSSHでの通信のみ許可 2. 作成したFWフィルタをlo0 (ループバックインタフェース)に適用する root# show firewall family inet filter MANAGEMENT { term PERMIT { from { source-address { 192.168.1.0/24; } protocol tcp; destination-port ssh; } then accept; } } root# show interfaces lo0 { unit 0 { family inet { filter { input MANAGEMENT; } address 10.10.10.1/24; } } } マネージメント通信はlo0を経由する ※EX, QFXシリーズ自身への通信を制御する場合、lo0および、me0(EX), em0(QFX)へFirewall Filterを適用する必要があります。 ※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)
  • 110.
    Ethernet Switching “EX/QFX” course JuniperNetwork, K.K. JUNOS Hands-on Training
  • 111.
    Training Outline EthernetSwitching "EX/QFX" course トレーニング内容(後半) 記載ページ ジュニパーのイーサネット・スイッチポートフォリオ P.111 LAB.1 JUNOSの基本的な操作・設定 P.121 LAB.2 Interfaceの設定 P.135 LAB.3 Routingの設定 P.148 LAB.4 Firewall Filterの設定 P.155 Virtual Chassisとは P.161 Virtual Chassis Deep Dive P.176 LAB.5 Virtual Chassisの設定 P.195 Wrap up P.209 TIPs to be JUNOS Experts P.211 Appendix A: Virtual Chassis Fabric P.242 Appendix B: Multi-Chassis LAG P.253 Appendix C: Zero Touch Provisioning P.271
  • 112.
  • 113.
    ジュニパーのイーサネットスイッチングプラットフォーム Ethernet Switch EX series DatacenterFabric Switch QFX series キャンパス・データセンターで利用される オールマイティなL2/L3イーサネット・スイッチ (2008~) • 1G/10G/40G/100GbE • L2/L3 Switching • L2/L3 Protocols(STP, LACP, OSPF, BGP, …) • 802.1x, WebAuth • PoE, PoE+ • Virtual Chassis (up to 10 members) • Junos Fusion Enterprise • MACsec データセンタでの利用に特化した ハイスペック・イーサネット・スイッチ (2011~) • 10G/25G/40G/50G/100GbE • L2/L3 Low-Latency Switching • L2/L3 Protocols(STP, LACP, OSPF, BGP, …) • Clos IP Fabric • L2 Overlay - VXLAN, EVPN-VXLAN • MPLS • Virtual Chassis (up to 10 members) • Virtual Chassis Fabric (up to 20 members) • Junos Fusion, QFabric (up to 128 members) ※ 128 member support for Junos Fusion is Roadmap. FRS supports up to 64 members. 基本的な操作方法は 全く一緒!!
  • 114.
    EX シリーズ 固定型スイッチ 12 port 10/100/ 1000BASE-T  固定の電源ユニット  ファンレス  2 SFPアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 port 10/100/1000BASE-T  固定の電源ユニットとファン  静音  4 port SFPアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 10/100/1000BASE-T  PoE/PoE+  データセンタエアフロー  最大10 メンバ Virtual Chassis  固定の電源ユニットとファントレイ  外付け冗長化電源  4 port SFP/SFP+ アップリンク  PoE/PoE+  データセンタエアフロー  モジュール型の電源ユニットとファ ントレイ  4 port GbE SFP アップリンクモ ジュール(オプション)  2 port 10GbE XFP アップリンク モジュール(オプション)  最大10 メンバ Virtual Chassis  128 Gbps Virtual Chassis backplane  32 x 1/10GBASE-SFP+/-T  全てのポートでワイヤーレート を実現するパフォーマンス  冗長電源・冷却  省スペース  拡張スロット×2  最大10メンバ Virtual Chassis  EX4200との混在Virtual Chassisが可能  MACsec EX2200-C EX2200 EX3300 EX4200 EX4550 ALL L2/L3 Models (No L2 Dedicated) ※Legacy L2 Switching モデル
  • 115.
    EX シリーズ 固定型スイッチ(ELS) 12 port 10/100/ 1000BASE-T  固定の電源ユニット  ファンレス  2 port 10Gアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 port 10/100/1000BASE-T  固定の電源ユニットとファン  静音  4 port 10Gアップリンク  PoE/PoE+  最大4台までのVirtual Chassis lite  24/48 10/100/1000BASE-T  PoE/PoE+  データセンターエアフロー  40 10GbE fiber ports  筐体内モジュール型の冗長電源ユ ニットとファントレイ  最大10メンバ Virtual Chassis  MACsec  24/48 10/100/1000BASE-T 32 port 1000BASE-X  PoE/PoE+  データセンターエアフロー  40 10GbE fiber ports  筐体内モジュール型の冗長電源ユ ニットとファントレイ  最大10メンバ Virtual Chassis  MACsec  24 10GbE ports  4x40GbEポート  拡張スロット×2  筐体内モジュール型の冗長電源 ユニットとファントレイ  省スペース  最大10メンバ Virtual Chassis  EX4300との混在Virtual Chassisが 可能  MACsec ハードウェアサポート EX2300-C EX2300 EX3400 EX4300 EX4600 ALL L2/L3 Models (No L2 Dedicated) ※ELS(Enhanced Layer2 Switching)モデル
  • 116.
    EX シリーズ モジュラー型スイッチ 4/8/14 スロット(RE/Fabric含む)のシャーシモデル  2台のVirtual Chassisをサポート  冗長化されたファブリックとREモジュール  スロットあたり240Gbps のパフォーマンス  40 ポート 10/100/1000BASE-T ラインカード  40 ポート 1000BASE-X ラインカード  32ポート 10GBase-X ラインカード  4ポート 40GBase-Xラインカード  VPLS, Logical system EX9200 40x1G 32x10G 4x40G 2x100G+ 8x10GEX9204 EX9208 EX9214 ※ELS(Enhanced Layer2 Switching)モデル
  • 117.
    EXシリーズ・ラインナップ Ports Modular Hardware Resiliency Logical Scale Performance EX2200-CEX2200 EX3300 EX4200 EX4300 EX4550 EX9200 Access Aggregation Core 10GbE 40/100GbE 1GbE EX4600 EX3400 EX2300-C EX2300
  • 118.
    Route Engine Line Card EXシリーズ・バーチャルシャーシ 2台以上、10台以下のEX/QFXシリーズをソフトウェアの力で 1台のシャーシシステムとしてエミュレーションする仮想化スイッチング・テクノロジー ・ハイパフォーマンス ・広帯域バックプレーン ・ シャーシ型スイッチと同等の信頼性 ・ シャーシ型スイッチと同等のHA機能 (GRES/NSR/NSB) ・シンプルなL2/L3ネットワークデザイン ・容易な管理性 (Single Console/NSSU) ・物理的な制約からの解放 ~320Gbps backplane Admin Switch to Manage = 1! Virtual Chassis 10 Slots シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供
  • 119.
    各種EXシリーズにおけるVC機能の比較 EX2200-VC Lite EX2300-VCLite EX3300-VC EX3400-VC EX4200/4550-VC EX4300/4600-VC Target Market (Dominant) Branch; small campus access Branch; small campus access Campus access Campus access Campus access; data center TOR Campus access; aggregation; datacenter TOR Marketing Name Virtual Chassis-Lite Virtual Chassis-Lite Virtual Chassis Virtual Chassis Virtual Chassis Virtual Chassis Uplinks Up to 4x1GbE Up to 4x10GbE Up to 4x10GbE 2x40GbE or/and 4x10GbE 128G or 2x10GbE 4x40GbE and/or Nx10GbE Backplane Speed Up to 8 Gbps Up to 80 Gbps Up to 80 Gbps Up to 160 Gbps + 128 Gbps 320 Gbps + HA Capability No Partial Yes Yes Yes Yes Yes License for Virtual Chassis Base(12.3以降) 要License Base Base Base Base LCD No No Yes No Yes Yes Virtual Chassis Members Up to 4 Up to 4 Up to 10 Up to 10 Up to 10 mixed Virtual Chassis with EX4200/4500 Up to 10 mixed Virtual Chassis with EX4300/4600
  • 120.
    QFX-Series Multiple FabricArchitecture for Datacenter ToR Juniper Architectures Open Architectures MC-LAG … Virtual Chassis Up to 10 members Qfabric/ JUNOS Fusion Up to 128 members IP Fabric w/ Overlay L3 Fabric Virtual Chassis Fabric Up to 20 members QFX5100
  • 121.
    QFXシリーズ・ラインナップ Datacenter Switching Portfolio SPINE MODULAR LEAF FIXED QFX5100 QFX5100-24Q HIGHDENSITY 40GbE HIGH DENSITY 10/25/40/50/100GbE QFX10008 QFX10016 QFX10002-72 Up to 480 X 100 GE Ports High Density 40/100GbE QFX10002-36 HIGH DENSITY 10GbE QFX5200 QFX5110-48S QFX5110-32Q
  • 122.
  • 123.
     管理用IP(me0) : 192.168.1.x/24 Group1 •Tokyo-1: .1 • Nagoya-1:.2 • Osaka-1: .3 • Fukuoka-1:.4 Ethernet Switching "EX/QFX" course Topology (Lab.1:基本操作) – グループ1 ge-0/0/0 ge-0/0/10 ge-0/0/1ge-0/0/1 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-1 Tokyo-1 Nagoya-1 EX3400 Tokyo-1 Nagoya-1 Fukuoka-1
  • 124.
    Ethernet Switching "EX/QFX"course Topology (Lab.1:基本操作) – グループ2 ge-0/0/0 ge-0/0/10 ge-0/0/1 .5 .6 .7 .8 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-2 Tokyo-1 Nagoya-1 EX3400 Tokyo-2 Nagoya-2 Fukuoka-2  管理用IP(me0) : 192.168.1.x/24 Group1 • Tokyo-2: .5 • Nagoya-2:.6 • Osaka-2: .7 • Fukuoka-2:.8 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
  • 125.
    --- JUNOS 9.3S1.6built 2009-05-28 13:53:44 UTC root@Amenistic:RE:0% cli root> JUNOSへのログイン 初期設定状態のEXにアカウント’root’でログインします。 cliコマンドでJUNOSのOperationalモードを起動します。 – rootアカウントはserial console、またはssh接続時のみ使用可能です。 – 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。 • Root Password: Juniper – Tera TermからSSHv2接続で接続してください。
  • 126.
    Operationalモードのshowコマンド実行 構成やバージョンなど基本情報の確認を実施します。 – Active configurationを表示 –ハードウェア情報を表示 – ソフトウェアバージョンの確認 – インタフェースのステータス一覧の表示 – ルーティングテーブル表示 – MACアドレステーブル表示 – サポートを受ける際に必要な機器情報(RSI)を一括取得 ※出力が一画面に入らない場合、 | no-more オプションを追加すると最後まで表示されます root> show version root> show configuration root> show chassis hardware root> show interface terse root> show route root> show ethernet-switching table root> request support information
  • 127.
    rootアカウントのパスワード設定 (設定済) Configuration Modeに入り、設定変更の準備を行います。 下記の手順でrootアカウントにパスワードを設定します。 –root password: Juniper ※rootパスワード設定は必須です。設定が存在しないとcommitに失敗します。 root> configure root# set system root-authentication plain-text-password (改行後パスワード入力) root# commit
  • 128.
    管理インタフェース(me0)に対して管理用アドレスを付与します。 – アドレス192.168.1.xx/24(xx =Topologyで指定された第4オクテット)を付与する show interfacesコマンドで、設定したme0インタフェースのconfigを確認します。 管理インタフェース(me0)へのアドレス付与(設定済) me0 EX3400 rear view # set interface me0 unit 0 family inet address 192.168.1.xx/24 {master:0}[edit] root# show interfaces
  • 129.
    新規アカウント作成 管理用アカウント”lab”を以下の設定で作成します。 commit完了後、一度rootユーザのセッションをログアウトします。 telnetで、作成したアカウントを使って正常にログインできることを確認します。 root# set systemlogin user lab class super-user root# set system login user lab authentication plain-text-password (改行後パスワード入力) root# commit and-quit root> exit root@% exit Username Password Class lab lab123 super-user login: lab Password: --- JUNOS 14.1X53-D15.2 built 2014-12-20 23:22:48 UTC {master:0} lab@>
  • 130.
    サービスの起動とホスト名の設定 サービスの起動 – デフォルトでは各種サービスが起動していないため、追加で設定します。 (telnet, sshのみ事前に設定済み) – ftp, httpで機器にアクセスできるようにします。 ホスト名の作成 – Topologyを参照して、各自がログインしている機器のホスト名を設定します。 変更したconfigの差分を確認 – Active configと比較して、設定が正しく追加されたことを確認しcommitします。 lab# set system services ftp lab# set system services web-management http lab# set system host-name Tokyo-1 lab# show | compare lab# commit
  • 131.
    サービス起動の確認 FTPによるアクセス – Windowsからコマンドプロンプトを立ち上げFTPでアクセスできることを確認します。 • ftp192.168.1.xx • Rootを使用してログイン • Lsコマンドでユーザディレクトリを表示できることを確認 – 表示されない場合、Windows FirewallでFTP許可が必要 ブラウザからWeb GUI(J-Web)へのアクセス – ブラウザからアクセスし、J-Webの画面が表示されることを確認します。 • http://192.168.1.xx/ – root、または作成したユーザ(lab)を使用してログイン
  • 132.
    Configurationの確認 ここまでで設定したconfiguration全体を確認します。 ① Operationalモードから確認 稼働中のActive configを表示します。 ②Configurationモードから確認 編集中のcandidate configを表示します。 commit後に設定変更をしていなければ、Active configと同じ内容が表示されます。 lab@Tokyo-1> show configuration lab@Tokyo-1> show configuration | display set lab@Tokyo-1> configure Entering configuration mode [edit] lab@Tokyo-1# show lab@Tokyo-1# show | display set 同じConfigを異なる形式で表示 同じConfigを異なる形式で表示
  • 133.
    Operationalモードのコマンドを表示 Configurationモードから、Operationalモードのコマンドを実行します。 ① Configurationモードに入ります ② showinterfacesコマンドを実行 以下の2つのコマンドを実行し、表示される内容を確認します。 Operational Mode Configuration Mode show interfaces show interfaces run lab@Tokyo-1> configure lab@Tokyo-1# show interfaces lab@Tokyo-1# run show interfaces
  • 134.
    Operationalモードのコマンドを表示 Configurationモードから、Operationalモードのコマンドを実行します。 ① Configurationモードに入ります ② showinterfacesコマンドを実行 以下の2つのコマンドを実行し、表示される内容を確認します。 Operational Mode Configuration Mode show interfaces show interfaces run lab@Tokyo-1> configure lab@Tokyo-1# show interfaces lab@Tokyo-1# run show interfaces
  • 135.
    commit confirmed 誤った設定をしてしまった場合でも設定が自動で元に戻ることを確認します。 ①コマンドプロンプトからping 192.168.1.xx-tを実行しておきます ②管理インタフェースの設定を削除 me0の設定を削除します。 ※commitはまだしないこと ③commit confirmed commit confirmedオプションを使って、1分後に設定が戻るようにcommitします。 commit完了メッセージが表示された後、アクセス不能になりTera Termが切断されます。 ④pingが応答が返ってきたら再度labでログインし、設定が戻っていることを確認 削除したme0の設定がもとに戻っていることを確認します。 lab@Tokyo-1# delete interfaces me0 lab@Tokyo-1# show | compare lab@Tokyo-1# commit confirmed 1 lab@Tokyo-1> show configuration interfaces me0
  • 136.
    Configurationをファイルに保存 次のLabを始める前に、saveコマンドでconfiguration fileをsaveします。 file listコマンドで正常にsaveできたことを確認します。 lab@Tokyo-1#save lab1-end_YYMMDD Wrote 213 lines of configuration to 'lab1-end_YYMMDD' {master:0}[edit] lab@Tokyo-1# exit Exiting configuration mode lab@Tokyo-1> file list /var/home/lab/: .ssh/ lab1-end_YYMMDD
  • 137.
  • 138.
    Ethernet Switching "EX/QFX"course Topology (Lab.2:インタフェースの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10 例:Tokyo-X の場合の IP アドレス設定 ge-0/0/0 (ae0) ge-0/0/1 (irb.20) 10.2.1.1 ge-0/0/2 (irb.100) 172.16.1.1 ge-0/0/10 (ae0) ae0 (irb.10) 10.1.1.1 各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定 各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定
  • 139.
    LAG(Link Aggregation Group)の作成① LAG(Link Aggregation Group)を作成します。 – LAGの設定準備 – LAGの作成(ae0) – LAGに参加させるメンバーIFのdefault protocol-family (ethernet-switching)を削除 – LAGへのinterface追加 *LAGの場合、論理インタフェースプロパティはaeインタフェースに対して設定します。 メンバーIFには設定しない(メンバーIFは論理IFを持たない)ことに留意してください。 # set chassis aggregated-devices ethernet device-count 1 # set interfaces ae0 unit 0 family ethernet-switching # delete interfaces ge-0/0/0 unit 0 # delete interfaces ge-0/0/10 unit 0 # set interfaces ge-0/0/0 ether-options 802.3ad ae0 # set interfaces ge-0/0/10 ether-options 802.3ad ae0
  • 140.
    LAG(Link Aggregation Group)の作成② LAGにLACPを設定します。 – LACPオプションの追加し、commitします。 LAGの正常性を確認します。 – LAGの状態を確認 • ae0がAdmin up, Link upのステータスであること – LACPの状態を確認 • LACP protocolが以下の状態になっていること – Receive State: Current – Mux State: Collecting distributing > show interfaces ae0 > show interface terse # set interfaces ae0 aggregated-ether-options lacp active periodic fast > show lacp interfaces ae0
  • 141.
    VLANを作成し、アクセスポートを設定 VLANを作成し、インタフェースへの適用を行います。 – VLAN作成 • Topologyを参照し、機器が所属するVLANを作成する – インタフェースをaccess portに設定し、VLANに参加させる lab@Tokyo# set vlans vlan10 vlan-id 10 lab@Tokyo# set vlans vlan20 vlan-id 20 lab@Tokyo# set vlans vlan100 vlan-id 100 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10 lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching interface-mode access lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100
  • 142.
    Vlan & Interface: Sample Configuration set vlans vlan10 vlan-id 10 set vlans vlan20 vlan-id 20 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan20 vlan-id 20 set vlans vlan40 vlan-id 40 set vlans vlan200 vlan-id 200 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200 Tokyo Nagoya
  • 143.
    Vlan & Interface: Sample Configuration set vlans vlan10 vlan-id 10 set vlans vlan30 vlan-id 30 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan30 vlan-id 30 set vlans vlan40 vlan-id 40 set vlans vlan200 vlan-id 200 set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan30 set interfaces ae0 unit 0 family ethernet-switching interface-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan40 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan200 Osaka Fukuoka
  • 144.
    VLANにIRBインタフェースを追加 VLANにIRB(Integrated Routing andBridging=L3 vlan interface)を設定します。 VLANインタフェースにアドレスを追加  Topologyを参照し、該当するVLAN interfaceを作成してアドレスを設定する  VLANに対してL3インタフェースをひもづける RSTPのdisable  デフォルトで動作しているRSTPは必要なくなったため、設定を削除する lab@Tokyo# set interfaces irb unit 10 family inet address 10.1.1.x/24 lab@Tokyo# set interfaces irb unit 20 family inet address 10.2.1.x/24 lab@Tokyo# set interfaces irb unit 100 family inet address 172.16.1.x/24 lab@Tokyo# set vlans vlan10 l3-interface irb.10 lab@Tokyo# set vlans vlan20 l3-interface irb.20 lab@Tokyo# set vlans vlan100 l3-interface irb.100 lab@Tokyo# delete protocols rstp
  • 145.
    IRB : SampleConfiguration set vlans vlan10 l3-interface irb.10 set vlans vlan20 l3-interface irb.20 set vlans vlan100 l3-interface irb.100 set interfaces irb unit 10 family inet address 10.1.1.1/24 set interfaces irb unit 20 family inet address 10.2.1.1/24 set interfaces irb unit 100 family inet address 172.16.1.1/24 delete protocols rstp set vlans vlan20 l3-interface irb.20 set vlans vlan40 l3-interface irb.40 set vlans vlan200 l3-interface irb.200 set interfaces irb unit 20 family inet address 10.2.1.2/24 set interfaces irb unit 40 family inet address 10.4.1.2/24 set interfaces irb unit 200 family inet address 172.16.2.2/24 delete protocols rstp Tokyo Nagoya
  • 146.
    IRB : SampleConfiguration set vlans vlan10 l3-interface irb.10 set vlans vlan30 l3-interface irb.30 set vlans vlan100 l3-interface irb.100 set interfaces irb unit 10 family inet address 10.1.1.3/24 set interfaces irb unit 30 family inet address 10.3.1.3/24 set interfaces irb unit 100 family inet address 172.16.1.3/24 delete protocols rstp set vlans vlan30 l3-interface irb.30 set vlans vlan40 l3-interface irb.40 set vlans vlan200 l3-interface irb.200 set interfaces irb unit 30 family inet address 10.3.1.4/24 set interfaces irb unit 40 family inet address 10.4.1.4/24 set interfaces irb unit 200 family inet address 172.16.2.4/24 delete protocols rstp Osaka Fukuoka
  • 147.
    インタフェース/VLAN/LACP動作確認 インタフェース, VLAN, LACPの確認コマンドで正常性を確認します。 隣接機器に対してpingを実施し、応答があることを確認します。 •ping [隣接機器のIRB IPアドレス] – Ctrl+Cで停止 > show interfaces (terse) > show ethernet-switching interfaces > show vlans (detail) > show lacp interfaces
  • 148.
    ※参考: VLANを作成し、トランクポートを設定する場合 VLANを作成し、インタフェースへの適用を行います。 – VLAN作成 •VLAN を作成する – インタフェースをtrunk portに設定し、複数のVLANを参加させる lab@Tokyo# set vlans vlan10 vlan-id 10 lab@Tokyo# set vlans vlan20 vlan-id 20 lab@Tokyo# set vlans vlan100 vlan-id 100 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode trunk lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan20 lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan100 ※本トレーニングコースのラボ構成にはTrunk Portの設定は出てきませんので、 ここでは参考までに設定の方法を記載しています。実機には投入しないでください。
  • 149.
    ※参考: Legacy Layer2Switchingモデルの場合 Legacy L2 Switchingモデル(SRX100~650、EX2200~EX4550など)の場合、 一部、L2設定周りのCLIが異なり、以下のような設定方法となります。 set vlans vlan10 vlan-id 10 set vlans vlan20 vlan-id 20 set vlans vlan100 vlan-id 100 set interfaces ae0 unit 0 family ethernet-switching port-mode access set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10 set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20 set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100 set vlans vlan10 l3-interface vlan.10 set vlans vlan20 l3-interface vlan.20 set vlans vlan100 l3-interface vlan.100 set interfaces vlan unit 10 family inet address 10.1.1.1/24 set interfaces vlan unit 20 family inet address 10.2.1.1/24 set interfaces vlan unit 100 family inet address 172.16.1.1/24 delete protocols rstp
  • 150.
    LAB.3 Routingの設定 OSPF /Redistribute Static
  • 151.
    Ethernet Switching "EX/QFX"course Topology (Lab.3:ルーティングの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 OSPF Area 0.0.0.0 1.1.1.1/32 2.2.2.2/32 4.4.4.4/323.3.3.3/32 Passive Passive Passive Passive Loopback address (全グループ共通) Tokyo: 1.1.1.1/32 Nagoya: 2.2.2.2/32 Osaka: 3.3.3.3/32 Fukuoka: 4.4.4.4/32 ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
  • 152.
    OSPFでのルーティング OSPFの設定を行います。 – Loopbackアドレス(lo0)を設定する – Router-idを設定する –OSPFに参加させたいインタフェースを追加する – – Passiveインタフェースを設定する lab@Tokyo# set interfaces lo0 unit 0 family inet address 1.1.1.1/32 lab@Tokyo# set routing-options router-id 1.1.1.1 lab@Tokyo# set protocols ospf area 0 interface lo0.0 lab@Tokyo# set protocols ospf area 0 interface irb.10 lab@Tokyo# set protocols ospf area 0 interface irb.20 lab@Tokyo# set protocols ospf area 0 interface irb.100 passive
  • 153.
    OSPF : SampleConfiguration set interfaces lo0 unit 0 family inet address 1.1.1.1/32 set routing-options router-id 1.1.1.1 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.10 set protocols ospf area 0 interface irb.20 set protocols ospf area 0 interface irb.100 passive Tokyo set interfaces lo0 unit 0 family inet address 2.2.2.2/32 set routing-options router-id 2.2.2.2 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.20 set protocols ospf area 0 interface irb.40 set protocols ospf area 0 interface irb.200 passive Nagoya set interfaces lo0 unit 0 family inet address 3.3.3.3/32 set routing-options router-id 3.3.3.3 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.10 set protocols ospf area 0 interface irb.30 set protocols ospf area 0 interface irb.100 passive Osaka set interfaces lo0 unit 0 family inet address 4.4.4.4/32 set routing-options router-id 4.4.4.4 set protocols ospf area 0 interface lo0.0 set protocols ospf area 0 interface irb.30 set protocols ospf area 0 interface irb.40 set protocols ospf area 0 interface irb.200 passive Fukuoka
  • 154.
  • 155.
  • 156.
    OSPFでのルーティング Static RouteのOSPFへのRedistributeを行います。 – DummyのStaticRouteを設定する – Static RouteをExportするPolicyを作成する – OSPFにExport Policyを適用する lab@Tokyo# set routing-options static route 9.9.9.X discard lab@Tokyo# set policy-options policy-statement EXPORT-OSPF from protocol static lab@Tokyo# set policy-options policy-statement EXPORT-OSPF then accept lab@Tokyo# set protocols ospf export EXPORT-OSPF
  • 157.
    LAB.4 Firewall Filter(ACL) の設定
  • 158.
    Ethernet Switching "EX/QFX"course Topology (Lab.4:アクセスリストの設定) ge-0/0/0 ge-0/0/10 ge-0/0/1 .1 .2 .3 .4 ge-0/0/1 ge-0/0/0 ge-0/0/10 ge-0/0/2 ge-0/0/2 ge-0/0/2 ge-0/0/2 Osaka-X Tokyo-1 Nagoya-1 Tokyo-X Nagoya-X Fukuoka-X 10.3.1.0/24 (VLAN ID:30) 10.2.1.0/24 (VLAN ID:20) 10.4.1.0/24 (VLAN ID:40) 10.1.1.0/24 (VLAN ID:10) 172.16.2.0/24 (VLAN ID:200) 172.16.1.0/24 (VLAN ID:100) ae0 ae0 irb.10 irb.10 irb.20 irb.20 irb.30 irb.30 irb.40 irb.40 irb.100 irb.100 irb.200 irb.200 ①各EXで図のようにEXからEXへ、 telnetアクセスを禁止してください ②me0にfilteringをかけて、 FTPアクセスを禁止してください ge-0/0/1 ge-0/0/1 ge-0/0/0 ge-0/0/10ge-0/0/0 ge-0/0/10
  • 159.
    Firewall Filterチェック順序 • FirewallFilterのチェック順序  Port → VLAN → Routerの順序にてFFを実行し、Egressは逆の手順にてFFを実行する • RouterのFFは、同一VLAN内のswitchパケットに適用できない ge-1/0/0 ge-1/0/5 ge-1/0/1 ge-1/0/3 ge-1/0/4 VLAN FF Router FF Port FF VLAN FF Router FF Switch Rx Packet Port FF VLAN FF Router FF Input Router FF VLAN FF Tx Packet Output Port FF
  • 160.
    Firewall Filter設定 Port/VLAN-based FFRouter-based FF パケットは、termの上位からルックアップされる マッチしたtermのactionを実行してぬける 最後に暗黙のdeny(implicit-rule)が隠れている firewall { family ethernet-switching { filter <filter-name> { term <term-name> { from { <match conditions>; } } then <actions defined>; } term implicit-rule { then discard; } } } } firewall { family inet { filter <filter-name> { term <term-name> { from { <match conditions>; } then <actions defined>; } term implicit-rule { then discard; } } } }
  • 161.
    ①Firewall Filterを使用してtelnetを制御 Firewall Filterを設定します。 Filterをae0インタフェースへ適用します。 Filterが有効なことを確認するため、telnetで隣接機器にアクセスします。 telnet以外の通信(ping,OSPF)は依然可能なことを確認します。 Filterでdiscardされたtelnetのカウンタを確認します。 set firewall family ethernet-switching filter deny_telnet term t10 from ip-protocol tcp set firewall family ethernet-switching filter deny_telnet term t10 from destination-port telnet set firewall family ethernet-switching filter deny_telnet term t10 then discard set firewall family ethernet-switching filter deny_telnet term t10 then count telnet_count set firewall family ethernet-switching filter deny_telnet term t20 then accept set interfaces ae0 unit 0 family ethernet-switching filter input deny_telnet lab@Tokyo> telnet 10.1.1.3 Trying 10.1.1.3... [Ctrl+Cで停止] > show firewall
  • 162.
    ②Firewall Filterを使用して管理インタフェースを制御 Firewall Filterを設定する Filterをインタフェースへ適用する コマンドプロンプトからFTPで管理IPアドレスにアクセスできなくなったことを確認します。 Filterでdiscardされたtelnetのカウンタを確認します。 ※EX,QFXシリーズ自身への通信を制御する場合、lo0およびme0(EX)・em0(QFX)へFFを適用する必要があります。 ※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。 (管理インタフェースfxp0への適用は不要) set firewall family inet filter deny_ftp term t10 from protocol tcp set firewall family inet filter deny_ftp term t10 from destination-port ftp set firewall family inet filter deny_ftp term t10 then discard set firewall family inet filter deny_ftp term t10 then count ftp_count set firewall family inet filter deny_ftp term t20 then accept set interfaces lo0 unit 0 family inet filter input deny_ftp set interfaces me0 unit 0 family inet filter input deny_ftp > show firewall
  • 163.
  • 164.
    ジュニパーのイーサネット・ファブリック ジュニパーの解決策: ソフトウェアの力で仮想的にシャーシ型スイッチをエミュレート レガシーな シャーシ型スイッチ ネットワーク管理者 仮想シャーシ型スイッチ (イーサネット・ファブリック) Devices to Manage =1 !!! L2/L3 Local Switching !!! L2/L3 Protocol HA & ISSU !!! シャーシ型スイッチをソフトウェアでエミュレートすることで ボックス型スイッチにシャーシ型スイッチと同等のメリットを付与し、 さらに物理的な制約を受けない仮想シャーシならではのメリットを提供
  • 165.
    旧来のシャーシ型スイッチとVirtual Chassis技術 シャーシ型スイッチのメリット  高信頼性ハードウェア –冗長ルーティングエンジン – 冗長スイッチファブリック – 冗長電源ユニット – 冗長ファントレイ  管理の簡便性 – シングルイメージ – 単一のコンフィグファイル – 単一のマネージメントIPアドレス  パフォーマンスとスケーリング – ハイパフォーマンス – 大容量のバックプレーン – モジュラー型構成 RE 1 RE 0 LAG 1 LAG 2 Max 10 RU Virtual Chassisによる更なるメリット:  物理配置の柔軟性  低消費電力  最小構成からスタート可能  必要最低限のラックスペース確保 Virtual Chassis 10 Slots Max 480Gbps Backplane Per line-card
  • 166.
  • 167.
  • 168.
    Virtual ChassisのHigh Availability機能 RE間で各種プロトコルのステータスをコピーし、フェイルオーバーに備えることで 障害時におけるL2/L3プロトコルへの影響を最小化 Kernel、FowardingTable、interfaceinfo L3 Protocol State & L2 Protocol State OSPF・BGP neighbor (L3 Protocol) Member0 :RE 1 Member1 :LC 2 Member2:RE 0 Member3 :LC 3 Master RE Backup RE Master REに障害が発生しても無停止でプロトコル継続運用が可能な Non Stop Routing(NSR)およびNon Stop Bridging(NSB) LACP・xSTP neighbor (L2 Protocol)
  • 169.
    Virtual ChassisのOSバージョンアップ 管理者によるUpgradeコマンドの発呼後、各RE、Linecardと順に再起動して新OSを反映するため、 ラインカード跨ぎのインタフェースの保護構成を取ることとNSR/NSBとの併用でOSアップグレード時の影響を最小化することが可能 ※すべての環境で1秒以内のダウンタイムを保証するものではありません。環境に応じた事前の検証をお勧めします。 Member0 :RE1 Member1 :LC 2 Member2:RE 0 Member3 :LC 3 Master RE Backup RE Non Stop Software Upgrade(NSSU)により管理者は、コマンド一行で システムダウンタイムを約1秒以内の想定※でOSのバージョンアップを実行 ネットワーク管理者 request system software non-stop-upgrade !!! Reboot 1st Reboot 2nd Reboot 4th Reboot 3rd
  • 170.
    異なるメディアスピードのラインカードをVirtual Chassis内で収容可能なため 1GbE から10GbE サーバーへのシームレスな移行をサポート EX4300 EX4300 1GbE servers QFX5100 10GbE servers Virtual Chassis Mixed Mode ネットワーク管理者 Devices to Manage = 1 !!! QFX5100 40GbE storages ※EX3300,EX3400ではMixed Mode Virtual Chassisはサポートされません。
  • 171.
    DC Interconnect (MPLS) The Internet コアVCと10 memberBraid Ring VCによる2階層構成(コスト重視構成) Virtual Chassisの使用例@DCネットワーク :その1 ネットワーク管理者 Switches to Manage = 3 !!! DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Core Switch (QFX5100 VC) Access Switch ( EX4300 VC) Access Switch ( QFX5100 VC) 40GbE*N LAG 10 member Braid Ring VC Per Row 40GbE*N LAG 異なるLCへの NIC Teaming 異なるLCへの LAG 10G Server1G Server 10 member Braid Ring VC Per Row 10G POD1G POD
  • 172.
    DC Interconnect (MPLS) The Internet コアVCと2 memberVCによる2階層構成(パフォーマンス重視構成) Virtual Chassisの使用例@DCネットワーク :その2 DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Core Switch (QFX5100 VC) Access Switch ( EX4300 VCs) Access Switch ( QFX5100 VCs) 2~10 member VCs per Rack …… ネットワーク管理者 L2/L3冗長プロトコルの管理は必要なし! e.g. xSTP,MC-LAG,TRILL,VRRP,OSPF,,, 2~10 member VCs per Rack 10GbE*N LAG 40GbE*N LAG 異なるLCへの NIC Teaming 1G Server 異なるLCへの LAG 10G Server 10G POD1G POD
  • 173.
    Core Switch (QFX5100 VC) 管理セグメントのシンプル化 VirtualChassisの使用例@DCネットワーク :その3 ネットワーク管理者 ZTPやオーケストレーションなど、 自動化の配備には管理セグメントの整備が重要! Access Switch ( QFX5100 VCs) 10G POD … … 1GbB Management Network Management Switch ( EX3400 VC) 10 member Braid Ring VC Per Row
  • 174.
    Building 2Building 1 Core キャンパスNWを1台のスイッチで収容するソリューション  最大80kmまでをVirtual Chaissの10GbEバックプレーンで収容  STP を排除したネットワークデザイン EX3300 Virtual Chassis 中小エンタープライズ (450ユーザ位まで)における キャンパスを一つのEX3400 Virtual Chassisで収容する例 EX3400 Virtual Chassis x2 Closet 1A Closet 2A Closet 3A Closet 4A Building 3 Building 4 EX3400 Virtual Chassis x2 EX3400 Virtual Chassis x2 EX3400 Virtual Chassis x2  Virtual Chassis を複数のワイヤリングクローゼット、ビル間で構築することで、  アップリンクポートの削減  必要管理デバイス数の削減  High Availability Virtual Chassis  VRRPや複雑なルーティング、VLANの管理が不要 10Gig10Gig 10Gig EX3400 Virtual Chassis
  • 175.
    Building 2 Closet 2ACloset 2B Building 1 Core  10GbE LAGによるワイヤリングクローゼットからのアップリンク  多数の3400バーチャル・シャーシを冗長性を持って収容 EX4600 Virtual Chassis EX4600 Virtual Chassis をキャンパスにおける Aggregation/Coreスイッチとして使用する例 EX4300 Virtual Chassis x10 EX3400 Virtual Chassis x10 EX3400 Virtual Chassis x10 EX3400 Virtual Chassis x10 Closet 1A Closet 1B  既存のアグリゲーション/コア・スイッチと比較して 圧倒的なコストパフォーマンス  コストは1/8 に  パフォーマンスは4倍に  STP を排除したネットワークデザイン  VRRPや複雑なルーティング、VLANの管理が不要 EX4600 Virtual Chassis STP VRRP
  • 176.
    距離が離れたキャンパスネットワークを 1セットのVirtual Chassisで収容する例 Campus-ECampus-C Campus-D EX4300 x2 Campus-F Campus-ACampus-B Virtual Chassis EX4300 x2 EX4300 x2 EX4300 x2 EX4600 EX4600 〜x00km Virtual Integrated Remote Campus EX4600 & EX4300 Mixed Virtual Chassis  距離が離れたキャンパスネットワークを一台 の仮想シャーシで集約することが可能
  • 177.
    最大で10台のスイッチまでを 一つの仮想シャーシとして設定、管理運用が可能 物理的に離れたデバイスであっても論理的に統合可能 異なるプラットフォーム間でのバーチャルシャーシ接続 (e.g. QFX5100 +EX4300) コア、1G/10G/40Gアクセス、マネジメント 規模やサービスレベルに応じた様々なVCを提供 まとめ:Virtual Chassisによるメリット Industry- only Industry- only Industry- only Industry- only これにより拡張し続けるデータセンターのネットワークをシンプルに管理運用することが可能に!
  • 178.
  • 179.
    Virtual Chassis™ BackplaneCabling • Longest Virtual Chassis cable spans the entire Virtual Chassis – もっともシンプルな接続方法 – VCの高さ・幅はVCケーブルの最大長5m以内 Option 1 – Dedicated Virtual Chassis Daisy-Chained Ring Option 2 – Dedicated Virtual Chassis Braided Ring  Longest Virtual Chassis cable spans three switches • VCの高さ、幅を 約23mまで拡張する接続方法 5m 23 m
  • 180.
    Virtual Chassis™ BackplaneCabling • Extend height and/or width of Virtual Chassis by GbE or 10GbE uplinks – オプティックスのサポートする距離まで拡張可能 (70km) • Extend Virtual Chassis across: – ワイヤリングクローゼットを越えた接続 – データセンター内ラックを越えた接続 – データセンターの列を越えた接続、など Option 3 – Extended Virtual Chassis 10GbE or 40GbE Virtual Chassis Extension 10GbE or 40GbE Virtual Chassis Extension Up to 80 km Virtual Chassis Location #1 Dedicated Virtual Chassis Backplane Virtual Chassis Location #2
  • 181.
    Virtual Chassis™ BackplaneCabling • Extend height and/or width of Virtual Chassis by GbE uplinks – オプティックスのサポートする距離まで拡張可能 (80km) • Extend Virtual Chassis across: – データセンター内ラックを越えた接続 – データセンターの列を越えた接続 – データーセンターのWANを越えた接続、など Option 4 –Virtual Chassis Mesh 10/40GbE Virtual Chassis Extension Up to 80 km
  • 182.
    Virtual Chassisの接続方法について -1 VCを構成する際には、VCの仮想バックプレーン(VCP)同士を接続する必要があります。 プラットフォームによって工場出荷時の状態でVCPが設定されているものとそうでないものがあり ます。 ファイバーのイーサネットポートをVCPにコンバートするコマンドは以下で実行可能です。 必要に応じてVCPの設定追加・削除をした上でVC接続を行ってください。 EX3300シリーズEX4300シリーズ QFX5100シリーズ デフォルトのVCP (xe-0/1/2~3) デフォルトのVCP (et-0/2/2~3) ファイバー・ イーサネットポート ファイバー・ イーサネットポート デフォルトのVCP (なし) ファイバー・ イーサネットポート request virtual-chassis vc-port set pic-slot <pic-slot> port <port-number> member <member-id> request virtual-chassis vc-port delete pic-slot <pic-slot> port <port-number> member <member-id>
  • 183.
    Virtual Chassisのコンポーネント “Master”, “Backup”および “Linecard” – Master switch (active RE) – 相互接続された VC switchの1つのスイッチがマスターになります。 JUNOSを起動しておりVirtual Chassisの管理を実施します。 • すべてのvirtual chassisを管理するデーモンおよびコントロールプロトコルを動作させる • すべてのインタフェースを管理する、ハードウェアフォワーディングの管理を実施 – Backup switch (backup RE) – 相互接続された VC switchの1つのスイッチがバックアップになります。 JUNOSを起動しておりバックアップとしてマスターと連携を実施します。 • GRES使用時は、RE0とハードウェアフォワーディングテーブルの同期をとっている • RE0が故障した場合にRE0に変わり、シャーシの管理やインタフェース管理を実施 – “Linecard” switch (Linecard) – その他のメンバーになっているスイッチはすべてラインカードになります。 JUNOSを起動しておりラインカードとして動作している。 • Non Preprovisioned Modeの場合、マスターかバックアップが故障した場合,ラインカードのひとつが新しいバック アップとして動作します
  • 184.
    Virtual Chassisの構成方法について-1 VCを構成する際には、 Plug-and-PlayでのVC構成を提供する“Non-Preprovisioned mode”と 最低限の設定投入によりVCを構成する“Preprovisionedmode”から選択が可能です。 Non-preprovisoned Configuration ‐ マスター・セレクション・アルゴリズムにより自動的にVCを構成することが可能 Master-ship priority値や起動順序により、master/backup/linecardを決定 Master/BackupREは, master-ship priority 255を推奨 ‐ REの障害時には、Linecard役の中から1台がREに昇格する Preprovisoned Configuration ‐ 明示的にREやLinecardに指定したスイッチを作成することにより、より明示的な運用の実現とAdvanced Licenseの消費を抑える ことが可能 ※ NSSUはPreprovisioned Configurationでのみサポート
  • 185.
    Virtual Chassisの構成方法について-2 より簡易性が求められるネットワークへのデプロイ時には“Non-Preprovisioned mode”でVCを構 成します。“Non-Preprovisionedmode”では予め設定されたルールに基づき、どの筐体が Routing Engineの役割を担うか自動的に計算されてVCが構成されます。 • マスターRE(RE0)選定 起動するときにはすべてのスイッチで以下項目比較の元、マスターの選定が行われる Master 選定の優先順位: 1.マスターシップの優先順位が最も高い (0-255までの優先順位、デフォルト値は 128) 2.以前動作していたときにマスターに選定されていた 3.起動している時間が長い (起動している時間が1分以上違う場合) 4.MAC アドレスの小さいほう ※マスターが選定された後、マスターREと同じ選定方式により、バックアップREスイッチの選定が実施される • Linecard バーチャル・シャーシを構成する残りのスイッチは、ラインカードとして動作 マスター、バックアップが何らかの理由によりフェイルした場合、マスターREと同じ選定方式によりラインカードからバックアップスイッ チの選定を実施 > set virtual-chassis member <member-id> mastership-priority <priority 1-255>
  • 186.
    set virtual-chassis preprovisioned setvirtual-chassis member 0 role routing-engine set virtual-chassis member 0 serial-number 111111111111 set virtual-chassis member 1 role line-card set virtual-chassis member 1 serial-number 222222222222 set virtual-chassis member 2 role line-card set virtual-chassis member 2 serial-number 333333333333 set virtual-chassis member 3 role routing-engine set virtual-chassis member 3 serial-number 444444444444 Virtual Chassisの構成方法について-3 より高いSLAが求められるネットワークへのデプロイ時には“Preprovisioned mode”でのVC構成 を推奨されます。 “Preprovisioned mode”では設定によりシリアルでのハードウェアとRole管理によるより安定し た運用と、OSアップグレード時にミニマムなダウンタイムでの実施完了を期待できるNSSU (Non Stop Software Upgrade)サービスが提供されます。 Preprovisioned modeを宣言 各筐体毎のシリアルNo.を投入 任意の筐体2台でRouting-Engine Roleを宣言、 その他の筐体のRoleはすべてLinecard
  • 187.
    root@Juniper> show virtual-chassis? Possible completions: <[Enter]> Execute this command active-topology Virtual chassis active topology device-topology PFE device topology login mode Virtual chassis mode information protocol Show virtual chassis protocol information status Virtual chassis information vc-path Show virtual-chassis packet path vc-port Virtual chassis port information | Pipe through a command {master:0} Virtual Chassisの確認方法について-1 lab@lab> show virtual-chassis?
  • 188.
    root> show virtual-chassisstatus Virtual Chassis ID: 0019.e255.3740 Mastership Neighbor List Member ID Status Serial No Model priority Role ID Interface 0 (FPC 0) Prsnt BM0208124253 ex4200-24t 128 Master* 1 vcp-0 2 vcp-1 1 (FPC 1) Prsnt BM0208124327 ex4200-24t 128 Backup 2 vcp-0 0 vcp-1 2 (FPC 2) Prsnt BM0208124235 ex4200-24t 128 Linecard 0 vcp-0 1 vcp-1 Member ID for next new member: 3 (FPC 3) Virtual Chassisの確認方法について-2 “show virtual-chassis status”コマンドにて構成されたVCの状態を確認することが可能です。 root> show virtual-chassis status Preprovisioned Virtual Chassis Virtual Chassis ID: 0019.e255.3740 Mastership Neighbor List Member ID Status Serial No Model priority Role ID Interface 0 (FPC 0) Prsnt BM0208124253 ex4200-24t 129 Master* 1 vcp-0 2 vcp-1 1 (FPC 1) Prsnt BM0208124327 ex4200-24t 129 Backup 2 vcp-0 0 vcp-1 2 (FPC 2) Prsnt BM0208124235 ex4200-24t 0 Linecard 0 vcp-0 1 vcp-1 Non-Preprovisioned Modeの場合、Defaultではすべ てのメンバーのMastership Priorityは128となる(RE はマニュアルで255に変更することを推奨) Preprovisioned Modeの場合、REのMastership Priorityが129となり、 LinecardのMastership Priorityは0となる
  • 189.
    root@Juniper> show virtual-chassisvc-port fpc0: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port vcp-0 Dedicated 2 Up 32000 1 vcp-1 vcp-1 Dedicated 1 Up 32000 9 vcp-0 1/0 Configured -1 Up 1000 1 vcp-255/1/1 1/1 Configured -1 Up 1000 3 vcp-255/1/0 fpc1: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port vcp-0 Dedicated 2 Up 32000 2 vcp-1 vcp-1 Dedicated 1 Up 32000 0 vcp-0 1/0 Configured -1 Up 1000 1/1 Configured -1 Up 1000 0 vcp-255/1/0 fpc2: -------------------------------------------------------------------------- … Virtual Chassisの確認方法について-3 “show virtual-chassis vc-port”コマンドにてVCバックプレーンの状態を確認することが可能です。
  • 190.
    Virtual Chassis MixedMode EX4300 EX4600QFX5100 QFX5100,EX4600,EX4300などにおいては、異なるメディアのプラットフォームを1台の VCとして構成させることも可能です。 その場合はVCに組み込む前に以下のコマンドでVCのMixed Modeを宣言して機器をReboot する必要があります。 Mixed Mode VCはVCを構成するメンバー全ての筐体で宣言する必要が有ります。 request virtual-chassis mode mixed request system reboot
  • 191.
    Virtual Chassisへのアクセスについて -1 VirtualChassisを構成すると、複数台のスイッチが1台の仮想シャーシ型スイッチとして動作しま す。VCへのアクセスはConsole接続経由とネットワーク経由と二種類の選択肢がありますが、そ れぞれ以下の様な概念で動作しています。 ・コンソールアクセス ネットワーク管理者は任意のラインカード上のコンソールポートに接続すると、接続コネクショ ンが内部的にMaster REにリダイレクトされる。つまり物理的な場所を気にする必要なくREにア クセスすることが可能です。 ネットワーク管理者 Member2 :LC 2 Member3 :LC 3 Member4 :LC 4 Console Master RE Backup RE
  • 192.
    Virtual Chassisへのアクセスについて -2 ・ネットワークアクセス 仮想管理アドレスであるVME(VirtualManagement Ethernet)にIPアドレスを付与することで Master REがVMEアドレスへのアクセス要求に返答を行います。これによりひとつのIPアドレス で仮想シャーシへのネットワークアクセスが提供されます。 ケーブリングはMaster REになりうる2つの筐体でのみリンクアップさせておけば他は不要です。 ネットワーク管理者 Member2 :LC 2 Member3 :LC 3 Member4 :LC 4 SSH,Telnet,FTP,etc… Master RE Backup RE mgmt mgmt 管理セグメント set interface vme unit 0 family inet address <address/mask>
  • 193.
    set chassis redundancygraceful-switchover set routing-options nonstop-routing set ethernet-switching-options nonstop-bridging set system commit synchronize set chassis redundancy graceful-switchover set routing-options nonstop-routing set protocols layer2-control nonstop-bridging set system commit synchronize Virtual ChassisのHA機能について Routing Engine(RE)の障害時に出来る限り高速な切り替わりを提供するためには、以下の4行 の設定投入をしておく必要があります。 VCの初期構成時点で使用しているL2/L3プロトコルの種類に限らずこの4行の設定は無条件に投入 しておくことをおすすめします。 EX3400/4300/EX4600/QFX5100シリーズ EX3300シリーズ KernelやInterface、L2/L3テーブルをRE間で同期 L3のプロトコルステータスをRE間で同期 L2のプロトコルステータスをRE間で同期 おまじない
  • 194.
  • 195.
  • 196.
    Virtual Chassisに関するドキュメント • VirtualChassis for Cloud Builders http://www.slideshare.net/JuniperJapan/vc4-cb-201505 Virtual Chassisの使い方や内部動作詳細を日本語で解説!
  • 197.
  • 198.
    Ethernet Switching "EX/QFX"course Topology (Lab.5:Virtual Chassisを構成) Tokyo Nagoya Osaka Fukuoka ※EX3400シリーズは工場出荷状態では2つの40GbEインタフェースがVC Portとしてデフォルトで設定されています。 本トレーニングではケーブルの都合上、4つの10GbEインターフェイスのうち老番の2ポートをVC Portとして事前設定してあります。 0 1 2 3 10GbE (xe-0/2/0-1) VCP (xe-0/2/2-3 configured) ● ● VCP(Factory Default) EX3400 Rear View
  • 199.
    VC事前確認① VCを構成する前に、単体のEXで以下のことを事前確認してください。 • Member-idが”0”であること • MemberID for next new memberが”1” であること • Mixed modeが”N”または”NA”となっていること • Master priorityが”128”であること • Config上にvirtual-chassisに関連する設定が何も入っていないこと EXのJunos SWバージョンが他のメンバーと同一であること > show virtual-chassis Virtual Chassis ID: 2d90.26d8.22f2 Virtual Chassis Mode: Enabled Mstr Mixed Neighbor List Member ID Status Serial No Model prio Role Mode ID Interface 0 (FPC 0) Prsnt BR0208392392 ex4200-24t 128 Master* N Member ID for next new member: 1 (FPC 1) # show virtual-chassis
  • 200.
    VC事前確認② EX3400 VCに使用するポートの設定を確認します。 • 2つのポート2/2,2/3がVC Portに設定されていること • TypeがConfiguredと表示されていること • StatusがAbsent, またはDownであること {master:0} lab@EX3400> show virtual-chassis vc-port fpc0: -------------------------------------------------------------------------- Interface Type Trunk Status Speed Neighbor or ID (mbps) ID Interface PIC / Port 2/3 Configured Absent 2/2 Configured Absent 1/0 Configured Absent 1/1 Configured Absent
  • 201.
    ①VC Basic Setup(non pre-provisioned) ・Tokyo以外のスイッチで、電源をOFFにします。 ・(Tokyoのみ)VC管理用インタフェースとしてme0の設定をvmeに移しておきます。 ・TokyoとNagoyaのVC Portを接続し、Nagoyaの電源をONにします。 TokyoがMasterに選定されますので、TokyoのIPアドレスに接続しなおします。 ・同様に、Osaka、Fukuokaをそれぞれ順に接続し、電源を起動します。 root> request system halt at now # rename interfaces me0 to vme # commit
  • 202.
  • 203.
    ②mastership priorityの変更 (nonpre-provisioned) • Mastership Priorityを変更して、任意のEXをMaster RE、Backup REに指定します。 • 以下の設定はMasterとなっているスイッチで実行してください。 Master Priority =255 Master Priority =255 0 1 2 3 root# set virtual-chassis member 0 mastership-priority 255 root# set virtual-chassis member 2 mastership-priority 255 Root# commit synchronize
  • 204.
    ②mastership priorityの変更 (nonpre-provisioned) Mastership Priorityが変更され、ステータスが更新されたことを確認します。 TokyoとNagoya間のVCケーブルを抜去し、ステータスやVCポートの遷移を確認します。 Master Priority =255 Master Priority =255 0 1 2 3 root> show virtual-chassis root> show virtual-chassis vc-port statistics root> show virtual-chassis
  • 205.
    ③Virtual Chassisのリセット • VCを解体して、4台の個別なスイッチに戻す •VCPケーブルを抜き、各スイッチでステータスを確認 解体後、で以下コマンドを実行して各種VC情報を消去(以下はBackup-RE の例) Pre-Master RE member-id 0 Pre-Backup RE member-id 2 Pre line-card member-id 1 Pre line-card member-id 3 0 1 2 3 root> request virtual-chassis reactivate root> request virtual-chassis recycle member-id 0 root> request virtual-chassis recycle member-id 1 root> request virtual-chassis recycle member-id 3 root> request virtual-chassis renumber member-id 1 new-member-id 0
  • 206.
    ④Pre-provisioning configuration • VCをPreprovisionConfigurationで構成する • Master REに以下の設定を投入後、各メンバーの VCポートを接続 シリアル番号は適宜修正をしてください。 root# set virtual-chassis preprovisioned root# set virtual-chassis member 0 role routing-engine root# set virtual-chassis member 0 serial-number xxxxxxxxxxxx root# set virtual-chassis member 1 role line-card root# set virtual-chassis member 1 serial-number xxxxxxxxxxxx root# set virtual-chassis member 2 role line-card root# set virtual-chassis member 2 serial-number xxxxxxxxxxxx root# set virtual-chassis member 3 role routing-engine root# set virtual-chassis member 3 serial-number xxxxxxxxxxxx Role = Routing Engine Role = Routing Engine 0 1 2 3
  • 207.
    ⑤Virtual Chassis HA •RE間のテーブルやプロトコルの同期設定を行うことで、RE障害のダウンタイムを軽減する Role = Routing Engine Role = Routing Engine 0 1 2 3 root# set chassis redundancy graceful-switchover root# set routing-options nonstop-routing root# set protocols layer2-control nonstop-bridging root# set system commit synchronize
  • 208.
    ⑤Virtual Chassis HA •OSPFの設定をVC-1・VC-2に投入した後に、Master REをHaltしてNSRの効果を確認する Role = Routing Engine Role = Routing Engine 0 1 2 3 Role = Routing Engine Role = Routing Engine 0 1 2 3 VC-1 (192.168.1.1) VC-2 (192.168.1.5) ae0(ge-1/0/23) ae0(ge-2/0/23) ae0(ge-1/0/23) ae0(ge-2/0/23) ae0 10.1.1.x/24 Lo0: 1.1.1.1/32 Lo0: 2.2.2.2/32
  • 209.
    set chassis aggregated-devicesethernet device-count 1 set interfaces ge-1/0/23 ether-options 802.3ad ae0 set interfaces ge-2/0/23 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 10.1.1.1/24 set interfaces lo0 unit 0 family inet address 1.1.1.1/32 set routing-options router-id 1.1.1.1 set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface lo0.0 ⑤Virtual Chassis HA • 設定サンプル set chassis aggregated-devices ethernet device-count 1 set interfaces ge-1/0/23 ether-options 802.3ad ae0 set interfaces ge-2/0/23 ether-options 802.3ad ae0 set interfaces ae0 unit 0 family inet address 10.1.1.2/24 set interfaces lo0 unit 0 family inet address 2.2.2.2/32 set routing-options router-id 2.2.2.2 set protocols ospf area 0.0.0.0 interface ae0.0 set protocols ospf area 0.0.0.0 interface lo0.0 VC-1 (192.168.1.1) VC-2 (192.168.1.5)
  • 210.
    {master:0}[edit] root@Tokyo-1# run requestsystem reboot member 0 at now Reboot the system at now? [yes,no] (no) yes ⑤Virtual Chassis HA • 確認方法 (VC-1のMaster REをRebootしたときに、対向のVC-2側のOSPF neighborが切れないことを確認) {master:0}[edit] root@Tokyo-2# run show ospf neighbor detail Address Interface State ID Pri Dead 10.1.1.1 ae0.0 Full 1.1.1.1 128 38 Area 0.0.0.0, opt 0x52, DR 10.1.1.2, BDR 10.1.1.1 Up 00:03:24, adjacent 00:03:24 VC-1 (192.168.1.1) VC-2 (192.168.1.5)
  • 211.
    ⑥Virtual Chassis の目視での確認方法 •Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。 QFX5100の場合 SYS (System) MST (Master) • 消灯:システムがパワーオフ、もしくはHalt状態 • 点灯:JUNOSがスイッチ上で動作している状態 • 点滅:以下のうちどれかの状態 • Virtual Chassis(VC)のメンバースイッチ • Virtual Chassis Fabric(VCF)のメンバースイッチ • 消灯:VC/VCFのLinecardとして動作 • 点灯:以下のうちどれかの状態 • スタンドアローンスイッチ • VCのMaster REスイッチ • VCFのMaster REスイッチ • 点滅:以下のうちどれかの状態 • VCのBackup REスイッチ • VCFのBackup REスイッチ
  • 212.
    ⑥Virtual Chassis の目視での確認方法 •Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。 EX3400/EX4300の場合 SYS (System) MST (Master) • 点灯:JUNOSがスイッチ上で動作している状態 • 点滅:スイッチが起動中の状態 • 消灯:システムがパワーオフ、もしくはHalt状態 • Standaloneの場合 • 消灯:システムがパワーオフ、もしくはHalt状態 • 点灯:JUNOSがスイッチ上で動作している状態 • Virtual Chassisの場合 • 点灯:VCのMaster REスイッチ • 点滅:VCのBackup REスイッチ • 消灯:VCのLinecardスイッチ、もしくはHalt状態
  • 213.
    TIPs to beJUNOS Experts
  • 214.
    俳句の表示 検証作業やトラブルシュートに疲れたときには、JUNOSに前向きな気持ちの言葉を 表示させ、管理者の気持ちを和らげることが可能です root> show versionand haiku ※コマンドを打つ度、異なった前向きなポエムが表示される root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Look, mama, no hands! Only one finger typing. Easy: commit scripts. root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Juniper babies The next generation starts Gotta get more sleep root> show version and haiku Model: ex2200-c-12p-2g Junos: 14.1X53-D25.2 JUNOS EX Software Suite [14.1X53-D25.2] JUNOS FIPS mode utilities [14.1X53-D25.2] JUNOS Online Documentation [14.1X53-D25.2] JUNOS EX 2200 Software Suite [14.1X53-D25.2] JUNOS Web Management Platform Package [14.1X53-D25.2] Weeks of studying, Days of lab exercises: JNCIE.
  • 215.
    設定のコピー • copy コマンドにより特定の設定をコピーすることが可能 root#show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# copy interfaces ge-0/0/1 to ge-0/0/0 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1の設定をge-0/0/0へコピー
  • 216.
    設定の書き換え • rename コマンドにより設定したvariableやエレメントを書き換えることも可能 ge-0/0/0のaddressを192.168.2.1/26へ変更 root# rename interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/26 to address 192.168.2.1/26 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.1.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26;
  • 217.
    設定の項目の置換 • replace コマンドにより設定内の文字列を置換することも可能 ge-0/0/0のaddressを192.168.2.1/26へ変更 root#replace pattern /26 with /24 root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/26; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/26; root# show interfaces ge-0/0/0 { unit 0 { family inet { address 192.168.2.1/24; ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24;
  • 218.
    activate/deactivate • deactivateコマンドを使うことで、設定の一部を削除することなく無効にするこ とが可能なので、障害時の切り分けなどに便利 192.168.1.2/24を無効化 root# deactivateinterfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24 root# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24; address 192.168.1.2/24; root# show interfaces ge-0/0/1 { unit 0 { family inet { address 192.168.1.1/24; inactive: address 192.168.1.2/24; 192.168.1.2/24の無効化を解除(有効化) root# activate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24
  • 219.
    wildcard range set/delete-1 • wildcard rangeコマンドを使用することで、インタフェースなど複数の対象に 対して同じ設定内容を適用することが簡単に可能 root# show interfaces root# root# wildcard range set interfaces ge-0/0/[0-3,5,!2] mtu 9000 root# show interfaces ge-0/0/0 { mtu 9000; } ge-0/0/1 { mtu 9000; } ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; } ge-0/0/0-1,3,5のMTU設定が一括で投入されている [0-3, 5, !2] ⇒ 0~3と5、ただし2は除く
  • 220.
    wildcard range set/delete-2 • 同様にDeleteも可能 root# wildcard range delete interfaces ge-0/0/[0-1] mtu root# show interfaces ge-0/0/0 { mtu 9000; } ge-0/0/1 { mtu 9000; } ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; } root# show interfaces ge-0/0/3 { mtu 9000; } ge-0/0/5 { mtu 9000; }
  • 221.
    interface-range -1 • interface-rangeを使用することで、複数のインタフェースをグループ化して 共通の設定を行う事が可能。この設定はwildcardと異なりコンフィグ内に保持 される為、一度作成してしまえば様々な設定に対する繰り返しの利用が可能 root#show interfaces root# root# set interfaces interface-range CLIENTS member-range ge-0/0/0 to ge-0/0/1 root# set interfaces interface-range CLIENTS member ge-0/0/3 root# set interfaces interface-range CLIENTS mtu 9000 root# show interfaces interface-range CLIENTS { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } CLIENTSというメンバーに入っている、 ge-0/0/0-1,3のMTUを一括設定
  • 222.
    interface-range -2 • Range内の個別インタフェース毎に特有の設定を追加することも可能 root#set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/24 root# show interfaces interface-range CLIENTS { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } CLIENTSというメンバー共通でない 設定をIF単体に設定設定 root# show interfaces interface-range clients { member ge-0/0/3; member-range ge-0/0/0 to ge-0/0/1; mtu 9000; } ge-0/0/0 { unit 0 { family inet { address 10.0.0.1/24; } } }
  • 223.
    階層間の移動 -1 同じ階層の設定を複数作成する際は階層を移動することで作成する構文を省略する ことが可能です 例1: FWフィルタの設定(topの階層から設定) [edit] setfirewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24 set firewall family inet filter FW-FILTER term BLOCK from destination-address 192.168.1.0/24 set firewall family inet filter FW-FILTER term BLOCK from dscp cs5 set firewall family inet filter FW-FILTER term BLOCK from port https set firewall family inet filter FW-FILTER term BLOCK from port http # show firewall family inet{ filter FW-FILTER{ term BLOCK{ from{ source-address{ 10.10.10.0/24; } destination-address{ 192.168.1.0/24; } dscp cs5; port[ https http ]; } } } } ※設定を投入する際は繰り返しset firewall family…fromと入力する必要がある
  • 224.
    # show firewall familyinet { filter FW-FILTER { term BLOCK { from { source-address { 10.10.10.0/24; } destination-address { 192.168.1.0/24; } dscp cs5; port [ https http ]; } } } } [edit firewall family inet filter FW-FILTER term BLOCK from] set source-address 10.10.10.0/24 set destination-address 192.168.1.0/24 set dscp cs5 set port https set from port http 階層間の移動 -2 例2: FWフィルタの設定(firewall filter FW-FILTER term BLOCK fromの階層から設定) ※設定を投入する際はfirewall family…fromまでを省略して入力することができる ※コマンド入力時、set や delete、show の前に top や up <階層数> を入れると 今いる階層から移動せずに今いる階層を無視して入力・表示することができる
  • 225.
    階層間の移動 -3 • 階層間は、editコマンドで移動することができます •exit:直前にいたレベルに戻ります • TOPでEXITを実行すると、Operationalモードに戻ります • OperationalモードでEXITを実行すると、システムからLogoutします • Shellモードから`cli`でOperationalモードに移動した場合は、Shellモードに戻ります • up:一つ上のレベルに移動します • top:最上位のレベルに移動します # show firewall family inet{ filter FW-FILTER{ term BLOCK{ from{ source-address{ 10.10.10.0/24; } destination-address{ 192.168.1.0/24; } dscp cs5; port[ https http ]; } } } } Top Down Editで階層を指定 Topで最上位へ upで一つ上へ ※top edit や up <階層数> edit と入れると1回の入力で 今いる階層から任意の階層に移動することができる
  • 226.
    Automatic Configuration Archival •Automatic Configuration Archival機能を使用することで、自動的に最新のコ ンフィグをリモートのFTP/SCPサーバにバックアップすることが可能 • アップロードのタイミングは、コミットの度もしくは一定時間毎のいずれか、 あるいは両方を選択可能 1. コミットの度にリモートのサーバにコンフィグをバックアップする設定: user@Junos# set system archival configuration transfer-on-commit user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP- server-ip/directory 2. 一定時間おきにリモートのサーバにコンフィグをバックアップする設定: (例: 1440分 = 24時間おき) [ user@Junos# set system archival configuration transfer-interval 1440 user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP- server-ip/directory
  • 227.
    annotate • annotateコマンドを使うと、自由に注釈をつけることが可能、 テスト時・運用時などに便利 今いる階層の直下にあるコンフィグアイテムが対象、注釈内容はコンフィグアイテムの上部に/* XXXX*/と書かれる root# annotate interfaces ge-0/0/0 “borrowed the cable directory from Yoshida-san” [edit] lab# edit routing-instances [edit routing-instances] lab# annotate cust-1 "L3VPN test" [edit routing-instances] lab# edit cust-1 [edit routing-instances cust-1] lab# annotate protocols Don'tForgetInjectDirectRoute [edit routing-instances cust-1] lab# up [edit routing-instances] lab# show /* L3VPN test */ cust-1 { instance-type vrf; interface ge-0/0/0.101; interface ge-0/0/1.101; route-distinguisher 192.168.1.1:1001; vrf-target target:64512:1001; vrf-table-label; /* Don'tForgetInjectDirectRoute */ protocols { bgp { group cust-1 { description "Receive-Routes 1000" (snip) ※コメント内容にスペース(空白)が含まれるときはコメント両端を引用符(" ")でくくる ※コメントを消すときは annotate xxxx "" というように引用符("")で上書きする ※show configuration | display set では表示されない ※コンフィグを張り付けるときに直接 /* xxxx */ 構文を挿入できる
  • 228.
    機器の初期化 Junos機器を初期化する手法は主に以下の3つ • Configuration modeでload factory-default • 実行すると、Candidate Configurationにデフォルトの設定がロードされる • 実際に初期設定に戻すには、rootパスワードの設定とCommitが必要となる • 設定のみを戻したいときに有効で、ログや過去のConfig(rollback)などは削除されない • Operation modeで request system zeroize • 実行すると、全ての設定やログ、ユーザの作成したファイルが削除され、再起動する • システムファイルは削除されない • USBメモリやCFからのFormat install • USBメモリやCFにJunosイメージを書き込み、ブートローダーからJunosを再インストー ルする • システムファイルを含むディスク上の全てのデータが削除され、新たにJunosがインス トールされる • 実行方法は機種によって異なり、JTACから指示された場合を除き、一般的に使用する必 要はない
  • 229.
    コントロールパケットのキャプチャ 以下のコマンドを使用することにより、コントロールパケット(REが受信するパケット)をキャ プチャする事が可能 • このコマンドでキャプチャできるパケットは、PFEで処理されずREで処理されるパケットに限られる • ICMPEcho(ping)等、PFEによってオフロード処理されるパケットは表示されないので注意 • パケット内容の詳細まで確認したい場合は extensive オプションなどを使用する root> monitor traffic interface xe-1/2/0.0 verbose output suppressed, use <detail> or <extensive> for full protocol decode Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay. Address resolution timeout is 4s. Listening on xe-1/2/0.0, capture size 96 bytes 11:39:06.772930 Out IP truncated-ip - 11 bytes missing! 192.168.1.1.bgp > 192.168.1.2.32794: P 635171747:635171766(19) ack 995070346 win 16384 <nop,nop,timestamp 3971359530 2610569>: BGP, length: 19 11:39:06.803191 In IP 192.168.1.2.32794 > 192.168.1.1.bgp: . ack 19 win 5360 <nop,nop,timestamp 2637232 3971359530> … …
  • 230.
    groups/apply-groups 設定の一部をgroupという形で切り出し、apply-groupsで任意の階層に適用する事が可能 • 例: 全てのOSPFインタフェースのHello-IntervalとDead-Intervalを変更 root#show groups OSPF_COMMON { protocols { ospf { area <*> { interface <st*> { hello-interval 5; dead-interval 20; } } } } } root# show protocols ospf apply-groups OSPF_COMMON; area 0.0.0.0 { interface st0.1; interface st0.2; interface lo0.0 { passive; } } # show protocols ospf | display inheritance area 0.0.0.0 { interface st0.1 { ## ## '5' was inherited from group 'OSPF_COMMON' ## hello-interval 5; ## ## '20' was inherited from group 'OSPF_COMMON' ## dead-interval 20; } interface st0.2 { ## ## '5' was inherited from group 'OSPF_COMMON' ## hello-interval 5; ## ## '20' was inherited from group 'OSPF_COMMON' ## dead-interval 20; } interface lo0.0 { passive; } } 自動的に共通設定が適用される ※CommitしてもConfigはきちんとグループ化されたままとなる 実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する インタフェース名やエリア名、IPアドレス 等のユーザが自由入力する値は<*>とする と全てに適用される 特定のインタフェースのみに適用したい場合 などは、<st*> といったように一部の文字 列を指定することも可能
  • 231.
    prefix-list / apply-path 設定に含まれるIPアドレスから自動的にリストを生成し、FirewallFilterに適用することが可能 root# show protocols bgp group GROUP-A { neighbor 1.1.1.1; neighbor 2.2.2.2; } root# show interfaces ge-0/0/0 { unit 0 { family inet { address 1.1.1.0/30; } } } ge-0/0/1 { unit 0 { family inet { address 2.2.2.0/30; } } } fxp0 { unit 0 { family inet { address 192.168.1.10/24; } } } root# show policy-options prefix-list BGP-PEERS { apply-path "protocols bgp group <*> neighbor <*>"; } prefix-list LOCALNETS { apply-path "interfaces <ge-*> unit <*> family inet address <*>"; } root# show policy-options | display inheritance prefix-list BGP-PEERS { ## ## apply-path was expanded to: ## 1.1.1.1/32; ## 2.2.2.2/32; ## apply-path "protocols bgp group <*> neighbor <*>"; } prefix-list LOCALNETS { ## ## apply-path was expanded to: ## 1.1.1.0/30; ## 2.2.2.0/30; ## apply-path "interfaces <ge-*> unit <*> family inet address <*>"; } ※実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する IPアドレスが 自動的コピーされる
  • 232.
    show configuration groupsjunos-defaults 暗黙の初期コンフィグを確認することが可能 user@host> show configuration groups junos-defaults # # Defines the default for dynamic-profiles # dynamic-profiles { <*> { variables { junos-interface-unit { internal; valid-path "interface_unit_number|unit-number unit interface interface-set"; } junos-interface-ifd-name { internal; valid-path "interface_name|interface-name interface interface-set|underlying- interface"; } junos-underlying-interface-unit { internal; valid-path "interface_unit_number|unit-number unit interface interface-set"; } junos-underlying-interface { internal; valid-path underlying-interface; } junos-subscriber-ip-address { internal; valid-path "source address inet|address demux-source inet|address source-address from term fast-update-filter inet|address destination-address from term fast-update-filter inet|destination route"; } (snip)
  • 233.
    mike@juniper1> help topicinterfaces address Configuring the Interface Address You assign an address to an interface by specifying the address when configuring the protocol family. For the inet family, you configure the interface's IP address. For the iso family, you configure one or more addresses for the loopback interface. For the ccc, tcc, mpls, tnp, and vpls families, you never configure an address. オンライン・マニュアル • 豊富な機能の help コマンド • help topic : プロトコルや機能の一般的な説明を表示 • help reference : プロトコルや機能の設定方法を表示(コマンド・レファレンス) • help syslog : syslog メッセージの説明
  • 234.
    JUNOS : helptopic コマンドの概要を確認することが可能 user@host> help topic ospf dead-interval Modifying the Router Dead Interval If a router does not receive a hello packet from a neighbor within a fixed amount of time, the router modifies its topological database to indicate that the neighbor is nonoperational. The time that the router waits is called the router dead interval. By default, this interval is 40 seconds (four times the default hello interval). To modify the router dead interval, include the dead-interval statement. This interval must be the same for all routers on a shared network. dead-interval seconds; For a list of hierarchy levels at which you can include this statement, see the statement summary section for this statement.
  • 235.
    JUNOS : helpreference • コマンドのオンラインマニュアルを参照することが可能 user@host> help reference oam action action (OAM) Syntax action { syslog (OAM Action); link-down; send-critical-event; } Hierarchy Level [edit protocols oam ethernet link-fault-management action-profile] Release Information Statement introduced in JUNOS Release 8.5. … Description Define the action or actions to be taken when the OAM fault event occurs. Usage Guidelines See Specifying the Actions to Be Taken for Link-Fault Management Events.
  • 236.
    JUNOS : helpapropos • 確実に覚えていないコマンド(うろ覚えの場合など)を文字列で検索することが可能 user@host# help apropos vstp set logical-systems <name> protocols vstp VLAN Spanning Tree Protocol options set logical-systems <name> protocols vstp disable Disable VSTP set protocols vstp VLAN Spanning Tree Protocol options set protocols vstp disable Disable VSTP user@host# > help apropos vstp help topic stp vstp VLAN Spanning Tree Protocol instance configuration help topic stp vstp-requirements Requirements, limitations for VLAN Spanning Tree Protocol help reference stp vstp VLAN Spanning Tree Protocol configuration help reference stp vlan-vstp VLAN configuration for VLAN Spanning Tree Protocol Configuration mode Operation mode
  • 237.
    lab@Router# set protocolsospf traceoptions flag ? Possible completions: all Trace everything database-description Trace database description packets error Trace errored packets event Trace OSPF state machine events flooding Trace LSA flooding general Trace general events hello Trace hello packets lsa-ack Trace LSA acknowledgement packets lsa-request Trace LSA request packets lsa-update Trace LSA update packets normal Trace normal events packet-dump Dump the contents of selected packet types packets Trace all OSPF packets policy Trace policy processing route Trace routing information spf Trace SPF calculations state Trace state transitions task Trace routing protocol task processing timer Trace routing protocol timer processing 例: OSPF Trace-option 注目したいパケットタイプを細かく指定することが可能 CLI:Trace/充実したdebug機能 • JUNOSでは,プロトコル別に Trace-optionsを非常に細かく 設定可能です。 • このTraceの出力先はファイル 出力、あるいはmonitorコマ ンドでReal-timeに画面にてモ ニタ表示 • トラブルシューティングに役 立つ情報を的確に抜き出すこ とができます
  • 238.
    10.0b2 Seconds: 13Time: 14:50:48 Interface Link Input packets (pps) Output packets (pps) ge-0/0/0 Up 54175 (4) 4126 (0) ge-0/0/1 Down 399 (0) 37 (0) ge-0/0/2 Up 5110 (1) 4224 (0) ge-0/0/3 Down 0 (0) 0 (0) ge-0/0/4 Down 0 (0) 0 (0) ge-0/0/5 Down 0 (0) 0 (0) ge-0/0/6 Down 0 (0) 0 (0) Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D CLI:monitor/リアルタイムにトラフィックを監視 • monitorコマンドで現在のI/F別トラフィック状況を見ることが出来ます • 表示はAUTOリフレッシュされるため、継続的なモニタリングが可能 • トラフィックの傾向や障害箇所の特定に役立ちます
  • 239.
    rescue configuration • 基本となるconfigurationを予め定義(保存)することが可能 保存方法:> request system configuration rescue save 削除方法: > request system configuration rescue delete • Rescue configurationの反映方法 • Rollbackコマンドからのロード # rollback rescue • ハードウェアからのロード • SRXシリーズはRESET CONFIGボタンを押すことで ハードウェアからロードすることができます。 ※15秒以上押し続けるとfactory defaultがロードされます 例: SRX300 root# rollback rescue load complete root# commit • 一部のEXシリーズはLCDパネルでメンテナンスモードを 操作することでハードウェアからロードすることができます。 例: EX3300
  • 240.
    vSRX on yourlaptop ~PCで始めるvSRX~ • 仮想Router/FirewallであるvSRXをLaptop PC上で動作させるための指南書 http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505 実際のデバイスと同様の設定作成や仕様確認をPC上で実施することが可能!
  • 241.
  • 242.
  • 243.
    Routing Engine Line Card VirtualChassis Fabricとは 2台以上20台以下のQFX5100シリーズ/EX4300 スイッチを接続することで 仮想的に1台のシャーシ型システムとして動作させるL2/L3 イーサネット ファブリックテクノロジー シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供 ネットワーク管理者 Devices to Manage = 1 !!! Routing Engine Line Card
  • 244.
    旧来のシャーシ型スイッチとVirtual Chassis技術 シャーシ型スイッチのメリット  高信頼性ハードウェア –冗長ルーティングエンジン – 冗長スイッチファブリック – 冗長電源ユニット – 冗長ファントレイ  管理の簡便性 – シングルイメージ – 単一のコンフィグファイル – 単一のマネージメントIPアドレス  パフォーマンスとスケーリング – ハイパフォーマンス – 大容量のバックプレーン – モジュラー型構成 LAG 2 LAG 1 Virtual Chassis による更なるメリット:  物理配置の柔軟性  低消費電力  最小構成からスタート可能  必要最低限のラックスペース Virtual Chassis Fabricによる更なるメリット:  10 Member ⇒ 20 Memberまでのサポート  Intelligent Bandwidth Allocation  Bi-directional Multicast Distribution Trees  FCoE Transit (DCBX Support, QFX Only)
  • 245.
    Virtual Chassis FabricVirtualChassis Architectural Choice – Virtual Chassis Fabric vs. Virtual Chassis Spine & Leaf Braid Ring High-Performance MeshFat Tree • Spine & Leafトポロジー構成 • SpineにはQFX5100が必要 • LeafはQFX5100,EX4300などから選択が可能 • 最大で20メンバーまで(Max 4 Spine & 28 Leafs) • バージョンアップ時にはNSSUをサポート • Ring、Tree、Mesh、Spine & Leafなど自由なトポロ ジーで構成が可能 • EX3300~MXまで様々なHWでサポート • 最大で10メンバーまで • バージョンアップ時にはNSSUをサポート
  • 246.
    Virtual Chassis Fabricの構成オプション 2or 4 Spine Node Deployments 2 Spine Nodes 10GbE 10GbE10GbE QFX5100-24Q 1 2 30 10GbE 10GbE 3 4 QFX5100-48S 1 2 2 X uplinks • 30 x 10GbE racks • 1440 x 10GbE ports 6:1 OS 10GbE 10GbE10GbE QFX5100-24Q 1 2 28 10GbE 10GbE 3 4 1 2 3 4 QFX5100-24Q QFX5100-96S8 X uplinks • 28 x 10GbE racks • 2688 x 10GbE ports 3:1 OS 4 Spine Nodes 40GbE 40GbE 1 X Switch to Manage 1 X Switch to Manage
  • 247.
    Virtual Chassis Fabricをサポートするプラットフォーム QFX5100-24Q (40GbE) QFX5100-48S (10GbE) 10/40GbESpine Nodes EX4300 (1GbE) QFX5100-48S (10GbE) QFX3500 (10GbE) QFX3600 (40GbE) 1/10/40GbE Leaf Nodes QFX5100-24Q (40GbE)QFX5100-96S (10GbE) QFX5100-48T (10G-T) 最大 20 Members (2x Spine + 18x Leaf or 4x Spine + 16x Leaf)
  • 248.
    異なるメディアスピードのスイッチをVirtual Chassis Fabric内で収容可能なため 1GbEから 10GbE, 40GbE 環境へのシームレスな移行をサポート EX4300 EX4300 1GbE Servers QFX5100-48S/48T 10GbE Servers Mixed Speed Fabric(1G to 40G) ネットワーク管理者 Devices to Manage = 1 !!! QFX5100-24Q 40GbE Storages
  • 249.
    DC Interconnect (MPLS) The Internet 4x spine,16x leaf による1G & 10G Mixed VCF構成 (Max 16 racks per VCF) Virtual Chassis Fabricの使用例(1)@DCネットワーク ネットワーク管理者 Switches to Manage = 1 !!! For ~28 Racks DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Spine Switch (QFX5100-24Q x4) Access Switch ( EX4300-48T x8) Access Switch ( QFX5100-48T x8) 異なるLCへの NIC Teaming 異なるLCへの LAG 10G Server1G Server 10G POD1G POD
  • 250.
    DC Interconnect (MPLS) The Internet 奇数ラック、偶数ラックでのVCF分割による高可用設計 (Max60 racks per 2x VCFs) Virtual Chassis Fabricの使用例(2)@DCネットワーク ネットワーク管理者 Switches to Manage = 3 !!! For ~60 racks DC Edge Router (MX) Load-Balancer Service Gateway (SRX) Spine Switch for Even VCF (QFX5100-24Q x2) Access Switch ( EX4300-48T x10) Access Switch ( QFX5100-48T x10) 異なるVCFへの Teaming Important Server Cluster Server VCFまたぎの Clustering Spine Switch for Odd VCF (QFX5100-24Q x2) ` Core VC Switch (QFX5100-24Q x2)
  • 251.
    Virtual Chassis Fabricの構成方法について-1 QFX5100/EX4300の出荷時の状態では、スイッチの動作モードはVCモードとなっており、その ままではVCFを構成することができません。 VCFを構成するにあたっては、VCFのライセンスを投入後、以下のコマンドを使用して、スイッチ をVirtual Chassis Fabricモードに変更する必要があります。 > request virtual-chassis mode fabric
  • 252.
    # set virtual-chassispreprovisioned # set virtual-chassis member 0 role routing-engine # set virtual-chassis member 0 serial-number 111111111111 # set virtual-chassis member 1 role routing-engine # set virtual-chassis member 1 serial-number 222222222222 # set virtual-chassis member 2 role line-card # set virtual-chassis member 2 serial-number 333333333333 # set virtual-chassis member 3 role line-card # set virtual-chassis member 3 serial-number 444444444444 … Virtual Chassis Fabricの構成方法について -2 VCFを構成する際には、 Plug-and-PlayでのVCF構成を提供する“Non-Preprovisioned mode”と、 Spineについての設定のみを投入する”Auto-Provisioned mode”、 最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。 一般的により高いSLAが求められるデータセンターへのデプロイ時には“Preprovisioned mode” でのVCF構成を推奨します。これによりシリアルでのハードウェア管理による、より安定した運用 と、OSアップグレード時におけるNSSUサービスが提供されます。 Preprovisioned modeを宣言 Spineとして動作させる2~4台の筐体をRouting-Engineとする その他の筐体のRoleはすべてLine-card 各筐体毎のシリアルNo.を投入
  • 253.
  • 254.
    Juniperの提供する冗長化技術 筐体を跨いだLink Aggregation(LAG)が組める技術として、 主に以下のアーキテクチャを提供しています。 MC-LAG VirtualChassis Virtual Chassis Fabric 管理負荷を下げつつ、ハイパフォー マンスな転送を実現するSpine-Leaf 型のファブリックトポロジーを構成 したい方に 管理の負荷を下げつつ、柔軟なデ ザインを実現したい方 スパニングツリーなどを使用せずに 標準化プロトコルでL2冗長を構成し たい方 20台までを、 仮想的な1台のシャー型 スイッチとして管理 10台までを、 仮想的な1台のシャー型 スイッチとして管理
  • 255.
    アーキテクチャ選択 MC-LAG vs VirtualChassis MC-LAG Virtual Chassis 1 2 1 10 MC-LAG Virtual Chassis コントロールプレーン Active-Active Active-Standby データプレーン Active-Active Active-Active 管理 2台別々 10台まで 1台として管理 設定同期 手動(※Roadmap) 自動 対向デバイスから見たL2ネイバー 1台に見える 1台に見える 対向デバイスから見たL3ネイバー 2台に見える 1台に見える バージョンアップ 1台ずつ(ISSU) NSSU/ISSU(※Roadmap) Active Active それぞれが独立し て動き、MAC、 I/Fの状態を交換 REはHot-stanby Configも常に同期 スイッチ台数が増え てくると、管理面で 差が出てきます。
  • 256.
    MC-LAG対応プラットフォーム MXシリーズ QFXシリーズ EX9200EX4600シリーズ EX4300シリーズ その他のEXシリーズ MC-LAG Active/Active構成 Active/Standby構成 VRRPとの組合せ L2VPN(MPLS)との 組合せ VPLSとの組合せ
  • 257.
    MC-LAG基本構成 • MC-LAGを構成する上での基本 • Node1・2の間はMACアドレスやLinkの ステータスを同期しています。 (ICCP) •MC-LAGにつながるLAG機器とはLACP でステータスを交換します。 Node1 Node2 LACP ICCP MC-LAGを構成するスイッチはどちらもActive (Master/Backup等の関係では無 い)ので、ここではNode1、Node2と呼びます。
  • 258.
    LACP info: RoleSystem System Port Port Port priority identifier priority number key et-0/0/48.0 Actor 127 54:1e:56:69:4e:00 127 1 3 et-0/0/48.0 Partner 127 00:00:ae:00:00:02 127 2 1002 et-0/0/49.0 Actor 127 54:1e:56:69:4e:00 127 2 3 et-0/0/49.0 Partner 127 00:00:ae:00:00:02 127 32770 1002 MC-LAG基本構成 • スイッチTOR1から見るとMC-LAGは単なる LAGにしか見えません。 • LACPで見ても、どちらのMACも同じMAC が見えます。 Node1 Node2 TOR1 et-0/0/49.0et-0/0/48.0 TOR1でのLACPのステータス出力例 (Node1) (Node2) LACP
  • 259.
    用語の整理 • MC-LAGは各ベンダーで用語が異なりますが、ジュニパーでは以下の用語を使用します。 • ICCP(Inter-chassiscontrol protocol): MACやLinkの状態をNode間で共有する為の制御通信 用途で、TCPセッションにより確立されます。 • ICL(Inter-Chassis Link): スイッチ間の物理Link。ICL-PLとも言います。 出来る限りここをLAGで構成するデザインが推奨です。 • MC-AE(またはMC-links): スイッチまたぎのLAGを指します。 AEはAggregated Ethernetの略です。 • S-LINK(Single-homed Link): 冗長されてないLinkです。既存の収容、NW移行やメ ンテ等で一時的にこの構成になりえます。 MC-AE MC-links S-Link Node1 Node2 ICL ICCP
  • 260.
    用語の整理(つづき) • 出来る限り、ICCPの接続用途で管理セグメントも使いましょう。 • ICCPが切れてしまう状況は、SpritBrainという絶 対に避けたい状況です。 • ICLのバックアップとして、管理セグメントを使った ICCPのやりとりができます。(backup-liveness- detection) • ただし、ユーザパケットは転送しません。あくまで Sprit状態を避ける為のラストリゾートです。 MC-AE MC-links S-Link Node1 Node2 ICL ICCP 管理用セグメント ICL故障発生時の動作の詳細は以下で確認できます。 https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/la g-multichassis-feature-summary.html#jd0e106
  • 261.
    L3の冗長構成は? デフォルトGWの冗長について • 方式は2つあります。 – VRRPover IRB方式 • Node同士でVRRPを構成 – MAC Sync方式 • Node同士で同じIP、MACを構成 • Juniperでは以下の理由からVRRP方式を推奨 しています。 1. TOR1からみると結局UplinkはLAGなので、トラ フィックは分散できる。 2. VRRP Backup側でも受け取ったユーザトラ フィックは転送できる実装の為、ICLを通ったり、 Uplinkが偏ったりしない。 3. MAC Sync方式では、Routing Protocolが話せ ない。(あくまでNode間で同期しているのは MC-LAG関連情報だけなのです) TOR1 別セグメント 別セグメント 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 Default GW 192.168.1.254 VRRP方式の構成例 (1)LAGのハッシュ により分散 (2)VRRP Backup 側でもパケットを フォワーディング Irb.1 Irb.1 Irb.2 Irb.2
  • 262.
    設定方法; • 基礎となる設定 設定項目 Node1Node2 備考 Device-count 10 10 必要なMC-LAG数+1を設定 switch-options service-id 16384 16384 2台とも同じ値にする ICCP用I/F irb.4000 irb.4000 irb + unit 番号 (とりあえずVlan-idと一緒がおす すめ) ICCP用Vlan 4000 4000 渡りのLAGにこのVlanを所属させ る ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 ICCPだけで使いますので/30とか でも可et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ICCP 例はNode1の設定例ですが、IRBのアドレス値を変えれば、Node2用の設定となります。 どちらか一方にだけ投入する設定はありません。 Node1設定コマンド set chassis aggregated-devices ethernet device-count 10 set switch-options service-id 16384 set interfaces irb unit 4000 family inet address 192.168.254.26/24 set vlans VLAN4000 vlan-id 4000 set vlans VLAN4000 l3-interface irb.4000 ※Node1の設定例
  • 263.
    設定方法; • 基礎設定その2 設定項目 Node1Node2 備考 ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので /30とかでも可 ICL InterceのID ae0 ae0 aeはaggregated-ethernetの略で、 LAG用仮想I/F名 ae0に所属させる物 理I/F et-0/0/22 et-0/0/23 et-0/0/22 et-0/0/23 その他 LACP Fastモード Vlan4000 LACP Fastモード Vlan4000 LACPとVlan4000をae0に設定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2 ICCP Node1設定コマンド set multi-chassis multi-chassis-protection 192.168.254.27 interface ae0 Node2のアドレスを設定 set interfaces et-0/0/22 ether-options 802.3ad ae0 set interfaces et-0/0/23 ether-options 802.3ad ae0 set interfaces ae0 aggregated-ether-options lacp active periodic fast set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN4000 ※Node1の設定例
  • 264.
    設定方法; • 基礎設定その3 設定項目 Node1Node2 備考 ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので /30とかでも可 session- establishment- hold-time 100 100 ICCPセッション確立までの時間 (秒) BFD minimum- interval 1000 1000 お互いのICCP間で行うBFD死活監 視の間隔(msec) 1000以上にして ください BFD multiplier 3 3 回数 minimum-interval x multiplier = ダウンまでの時間 backup-liveness- detection 172.27.113.26 172.27.113.27 管理I/Fに付与したIPアドレスを指 定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2ICCP 管理用セグメント set protocols iccp local-ip-addr 192.168.254.26 set protocols iccp peer 192.168.254.27 session-establishment-hold-time 100 set protocols iccp peer 192.168.254.27 liveness-detection minimum-interval 1000 set protocols iccp peer 192.168.254.27 liveness-detection multiplier 3 set protocols iccp peer 192.168.254.27 backup-liveness-detection backup-peer-ip 172.27.113.27 ※Node1の設定例
  • 265.
    設定方法; • 接続が間違えていなければ次のようにみえるはずです。 • よくあるうっかりミス:そもそもLAG(ae0)がUpしていない。 ▶最初に使用するLAGの数を登録する必要があります。 10とするとae0~ae9までI/Fが作られます。 •基本設定の確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 ae0 Node1 Node2ICCP lab@node1# run show iccp Redundancy Group Information for peer 192.168.254.27 TCP Connection : Established Liveliness Detection : Up Backup liveness peer status: Up Client Application: MCSNOOPD Client Application: l2ald_iccpd_client Client Application: lacpd set chassis aggregated-devices ethernet device-count 10
  • 266.
    設定方法; • 次にTORスイッチを収容する LAGを設定します。 • MC-Linksの設定 et-0/0/0et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 設定項目 Node1 Node2 備考 LAG I/F名 ae1 ae1 LACP system-id 00:00:ae:00:00:01 00:00:ae:00:00:01 同じ値を設定します。LAG毎に変 更します。 LACP admin-key 1001 1001 同じ値を設定します。 LAG毎に変更します。 mc-ae mc-ae-id 1001 1001 同じ値を設定します。 LAG毎に変更します。 mc-ae chassis-id 0 1 Node毎に変えます。 mc-ae status-control Active standby mc-ae init-delay-time 60 60 I/FがUpとなってからLACPが distributingになるまでの時間です。 電源投入時など、ProtocolがUpす るまでの時間待たせることができ ます。 set interfaces et-0/0/0 ether-options 802.3ad ae1 set interfaces ae1 aggregated-ether-options lacp active periodic fast set interfaces ae1 aggregated-ether-options lacp system-id 00:00:ae:00:00:01 set interfaces ae1 aggregated-ether-options lacp admin-key 1001 set interfaces ae1 aggregated-ether-options mc-ae mc-ae-id 1001 set interfaces ae1 aggregated-ether-options mc-ae chassis-id 0 set interfaces ae1 aggregated-ether-options mc-ae mode active-active set interfaces ae1 aggregated-ether-options mc-ae status-control active set interfaces ae1 aggregated-ether-options mc-ae init-delay-time 60 ※Node1の設定例
  • 267.
    設定方法; • MC-Linksの確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1Node2 ae1 対向との設定が合っていて、正しく接続されていれば、次の様に表示されます。 lab@node1# run show interfaces mc-ae id 1001 Member Link : ae1 Current State Machine's State: mcae active state Local Status : active Local State : up Peer Status : active Peer State : up Logical Interface : ae1.0 Topology Type : bridge Local State : up Peer State : up Peer Ip/MCP/State : 192.168.254.27 ae0.0 up
  • 268.
    設定方法; • VLAN1001をae1に追加します。ICL(ae0)にも追加するのを忘れないでください。 • Mc-linksへのVlanの組み込み et-0/0/0et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 設定項目 Node1 Node2 備考 Vlan名 V1001 V1001 Vlan-id 1001 1001ae0 set vlans v1001 vlan-id 1001 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members v1001 set interfaces ae1 unit 0 family ethernet-switching storm-control default set interfaces ae0 unit 0 family ethernet-switching vlan members v1001 ※Node1の設定例
  • 269.
    設定方法; • Vlan1001にサーバのデフォルトゲートウェイとなるアドレスを設定します。 • [Option]L3Routing(Default Gateway)の設定 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 設定項目 Node1 Node2 備考 I/F名 irb unit 1001 irb unit 1001 実IP 192.168.1.253/24 192.168.1.252/24 仮想IP 192.168.1.254 192.168.1.254 Priority 200 100 Accept-data 設定する 設定する set vlans v1001 l3-interface irb.1001 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 priority 100 set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 accept-data ※Node1の設定例
  • 270.
    設定方法; • Default Gatewayアドレスが冗長されているか確認します。 •下記の様になっていない場合 – ICL(ae0)にVLAN1001が設定されているか確認して下さい。 • L3 Routing(Default Gateway)の確認 et-0/0/0 et-0/0/0 et-0/0/22 et-0/0/23 Node1 Node2 ae1 実IP 192.168.1.253/24 仮想IP 192.168.1.254 実IP 192.168.1.252/24 Node1 Node2 ae0 {master:0}[edit] lab@node1# run show vrrp Interface State Group VR state VR Mode Timer Type Address irb.1001 up 1 master Active A 0.359 lcl 192.168.1.253 vip 192.168.1.254 lab@node2# run show vrrp Interface State Group VR state VR Mode Timer Type Address irb.1001 up 1 backup Active D 2.718 lcl 192.168.1.252 vip 192.168.1.254 mas 192.168.1.253
  • 271.
  • 272.
    ZTP(Zero-touch Provisioning)とは • DCにToRスイッチを新設するオペレーションは簡単だが、大量のスイッチ を展開することを考慮すると手間は膨大 •ZTPとは、スイッチの初期導入時においてJUNOSのバージョンとコンフィ グを自動でプロビジョニングする機能 (Junos 12.2よりサポート) • 主に海外のOTT, DC事業者などにおいて広く使われている
  • 273.
  • 274.
    ZTPのコンポーネント  ゼロタッチ:装置にコンソールなどでのログインが不要  電源を入れるだけ! 用意するのはDHCPサーバとファイルサーバの2つ  ネットワーク経由で自動的にOSや設定情報を装置に転送し反映  工場出荷状態で動作するため特別な設定は不要 DHCPサーバ ファイルサーバ EX/QFXスイッチ - 装置にIPアドレスを付与 - TFTPサーバのアドレスを通知 - 取得すべきConfigファイル名を通知 -Configファイル -OSファイル
  • 275.
    動作シーケンス  スイッチはシリアルとMACアドレスを含むDHCPリクエストを送信  DHCPOptionでTFTPサーバのIPアドレスとOS/Configのファイル名を通知 DHCPサーバ ファイルサーバ (TFTP/FTP/HTTP) EX/QFXスイッチ 2. DHCP Discover/Request 4. File Request (指定されたファイル名) 5. Download files 1. デフォルト設定で起動 ZTPスタート! 3. DHCP Offer/ACK (ファイルサーバ+ファイル名) 6. ダウンロードしたファイルで OSとConfigを書き換えcommit - 装置にIPアドレスを付与 - TFTPサーバのアドレスを通知 - 取得すべきConfigファイル名を通知 -Configファイル -OSファイル
  • 276.
    JUNOS ZTP の流れ スイッチはDHCPサーバからIPア ドレス、DGW、FTP/TFTP Server、JunosImage と Configのファイル名を受け取る スイッチが Auto image installation (AIU) プロセスを開 始する 新しいOSイメージをインストー ル NO 新しい設定をCommit START YES スイッチをネットワークに接続 して、電源を投入する (工場出 荷状態のスイッチ) ブートアップ完了後、スイッチ がDHCPリクエストをアクティブ リンクから送信する END 指定されたバー ジョンのOSが 既に入っている か? AIUプロセスがJunos Imageと Config fileをダウンロード 新しい設定をCommit 再起動
  • 277.
    筐体の識別 筐体のMACアドレス ddns-update-style none; option option-66code 66 = string; option space NEW_OP; option NEW_OP.config-file-name code 1 = text; option NEW_OP-encapsulation code 43 = encapsulate NEW_OP; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.1 192.168.1.200; default-lease-time 6000; max-lease-time 7200; option routers 192.168.1.1; option subnet-mask 255.255.255.0; host switch1 { hardware ethernet 2c:6b:f5:3a:6e:41; fixed-address 192.168.1.11; option NEW_OP.config-file-name "switch1.cfg"; option option-66 "192.168.1.100"; } host switch2 { hardware ethernet 64:87:88:B7:45:81; fixed-address 192.168.1.12; option NEW_OP.config-file-name "switch2.cfg"; option option-66 "192.168.1.100"; } } DHCPサーバの設定 筐体背面又は底面のシールに筐体のMACが記載 筐体のMACアドレスに+1したものを設定に記述
  • 278.
    option space NEW_OP; optionNEW_OP.image-file-name code 0 = text; option NEW_OP.config-file-name code 1 = text; option NEW_OP-encapsulation code 43 = encapsulate NEW_OP; group { option tftp-server-name "17.176.31.71"; option log-servers 17.176.31.72; option ntp-servers 17.176.31.73; option NEW_OP.image-file-name "/images/jinstall-qfx.tgz"; option NEW_OP.transfer-mode "ftp"; host tor-qfx5100-1 { hardware ethernet 88:e0:f3:71:a0:82; fixed-address 172.16.31.19; option host-name "tor-qfx5100-1"; option NEW_OP.config-file-name “tor-qfx5100-1.config"; } host tor-qfx5100-1 { hardware ethernet f8:c0:01:c6:96:81; fixed-address 172.16.31.20; option host-name “tor-qfx5100-2"; option NEW_OP.config-file-name “tor-qfx5100-2.config"; } } Vendor Specific options (Auto image upgradeに 必要) Auto configurationで指定 される設定ファイル MACアドレスから IPアド レスおよびシステムのホス トネームへのマッピング Syslog and NTP servers JUNOS ZTP – DHCP Server Configuration(サンプル) 投入されるOSイメージ シンボリックリンクを指定 することも可能
  • 279.
  • 280.
    ZTP + Script Config Server ZTP Clients MACアドレス/Serialベースではなく、ネットワークの情報を元にConfigを投入 ②LLDP等 SimpleSample: https://github.com/jeremyschulman/jctyztp Port Y Switch X スイッチXのポートYと繋がっている ポートにはXXXを追加!
  • 281.