【EX/QFX】JUNOS ハンズオントレーニング資料　EX/QFX シリーズサービス...

JUNOS Hands On Training“EX/QFX” Course

Juniper Network, K.K.04/2017 rev.1.21

はじめに

• 本資料にあるロードマップの内容は、資料作成時点におけるジュニパーネットワークスの予定を示したものであり、事前の通告無しに内容が変更されることがあります。

• またロードマップに描かれている機能や構成は、購入時の条件になりませんので、ご注意ください。

Legal Disclaimer: This statement of product direction (formerly called“roadmap”) sets forth Juniper Networks' current intention, and is subject to change at any time without notice. No purchases are contingent upon Juniper Networks delivering any feature or functionality depicted on this statement.

JUNOS Basic

Juniper Network, K.K.

JUNOS Hands-on Training

Training Outline ”JUNOS Basic”

トレーニング内容（前半）記載ページ

ジュニパーネットワークス会社紹介 P.6

JUNOSとは P.13

運用面からみたJUNOSのアドバンテージ P.25

トレーニング・デバイスへのアクセス方法 P.35

CLIモードと各モード間の移動 P.39

JUNOS CLI操作～Operationalモード～ P.46

JUNOS CLI操作～Configurationモード～ P.65

JUNOSシステム設定 P.82

JUNOSインタフェース設定 P.90

JUNOS経路設定 P.98

Firewall Filterの設定 P.102

Training Outline Ethernet Switching "EX/QFX" course

トレーニング内容（後半）記載ページ

ジュニパーのイーサネット・スイッチポートフォリオ P.111

LAB.1 JUNOSの基本的な操作・設定 P.121

LAB.2 Interfaceの設定 P.135

LAB.3 Routingの設定 P.148

LAB.4 Firewall Filterの設定 P.155

Virtual Chassisとは P.161

Virtual Chassis Deep Dive P.176

LAB.5 Virtual Chassisの設定 P.195

Wrap up P.209

TIPs to be JUNOS Experts P.211

Appendix A: Virtual Chassis Fabric P.242

Appendix B: Multi-Chassis LAG P.253

Appendix C: Zero Touch Provisioning P.271

ジュニパーネットワークス会社紹介

ジュニパーネットワークス会社概要

設立：1996年

本社所在地：カリフォルニア州サニーベール

Juniper Networks (NYSE: JNPR)

CEO ：Rami Rahim

事業概要：IP通信機器（ルータ・スイッチ）及びセキュリティー製品（ファイアウォール・IPS）の製造販売

従業員：約9,000名

拠点：46カ国 100拠点以上

年間売上規模：約5600億円

Vision: ネットワークイノベーションにおけるリーダー

ジュニパーネットワークスの戦略

Go-To-Market: ハイパフォーマンスネットワーキングをビジネスの基盤と位置付けるお客様とパートナー様に価値を提供

ROUTING SECURITYSWITCHING

CENTRALIZED INTELLIGENCE AND

CONTROL

SILICON SYSTEMS SOFTWARE

パフォーマンスと自動化におけるバリュー

スケーラブル

信頼性

セキュリティ

高コスト効率

俊敏性

高効率

Grow Revenue Faster than the Market

ジュニパーネットワークスの戦略

PERFORMANCE

AU

TO

MATIO

N

SWITCHINGROUTING SECURITY

SWITCHING SECURITY

ISG Series

ISG2000

ISG1000

SSG Series

SSG550M

SSG520M

SSG350M

SSG320M

SSG140

QFX Series

QFX10000

QFX5200

QFX5110

QFX5100

QFX3600

QFX3500

QFabric(QFX3000-G/M)

EX Series

EX9200

EX4600

EX4550

EX4300

EX4200

EX3400

EX3300

EX2300

EX2200

EX2300-C

EX2200-C

SRX Series

SRX5800

SRX5600

SRX5400

SRX4200

SRX4100

SRX3600

SRX3400

SRX1400

SRX1500

SRX550

SRX345

SRX340

SRX320

SRX300

vSRX

ROUTING

PTX Series

PTX5000

PTX3000

PTX1000

ACX SeriesACX5000

ACX4000

ACX2100

ACX2000

ACX1100

ACX1000

ACX500

MX Series

MX2020

MX2010

MX960

MX480

MX240

MX104

MX80

MX40

MX10

MX5

vMX

NetScreen Series

NetScreen-5200

NetScreen-5400

プロダクト・ポートフォリオ（カテゴリ別）

Network Director

Security Director

Datacenter Fabric Switch

QFX seriesDatacenter Service Gateway

SRX seriesUniversal Edge Router

MX series

JUNOS: THE POWER OF ONEIntegrated Architecture

Campus Ethernet Switch

EX seriesBranch Service Gateway

SRX series

JUNOS: THE POWER OF ONEIntegrated Architecture

JUNOSとは

multiple operating systems vs. ONE approach

プラットフォーム毎に異なるOSと機能セットセキュリティもネットワークもカバーする

業界唯一のシングル・ネットワークOS

THE POWER OF ONE

LEARN ONCE, INTEGRATE ONCE, QUALIFY ONCE

プラットフォーム共通機能 Routing Layer 2 Switching Class of Service IPv4 and IPv6 Etc…

ベース・コンポーネント Kernel and µKernel Chassis Management (chassisd) IP Services (Telnet, SSH, NTP) Network Management

– (AAA, CLI/mgd, XML/DMI, syslogd)

BGP/MPLS Control Plane

End-to-end Security

In-network Automation

SDK and Licensing of Junos

Cross-Portfolio Commonality

プラットフォーム専用機能 Advanced Security（SRX) Virtual Chassis Fabric（QFX) MPLS/EVPN（MX) ISSU（MX&EX9k) Etc…

etc,etc…

コントロールプレーンとフォワーディングプレーンの分離

Data

Pla

ne

Scale and Performance

各Planeにおけるパフォーマンスを担保

より高いパフォーマンスをそれぞれの領域で独立して開発することが可能に

Resilient

独立したオペレーション

Routing Engine (RE）

Packet Forwarding Engine（PFE）

冗長化に対するさまざまなオプションをそれぞれに提供

Contr

ol Pla

ne

Routing Engine

Packet Forwarding

Engine

EVOLUTION OF ONE ARCHITECTURE

モジュラー型

拡張性とパフォーマンスを担保するコンポーネント

冗長性、安定性、サービス拡張を効率的に提供するための独立したオペレーション

Scalable Up: multi-core & 64-bit

Down: モジュラーごとのパッケージング

Open Hardware Abstraction Layer

Automation APIs ＆ Junos SDK

KernelContr

ol Pla

ne

PFE Microkernel

Hardware Abstraction Layer

Data

Pla

ne

NETCONF/XML

DevelopmentAPI’S

Yang & DMI SDK

Routing

Security

Sw

itchin

g

…

Inte

rface

JUNOSのアプローチ・運用者/設計者にとって

ネットワーク停止の原因に対する調査

JUNOSのCLIは、業界標準型CLIと根本的に異なるアプローチを採用

業界標準型CLI JUNOS CLI

コマンドは1行毎に実行され、変更は即時反映される

コマンドは編集用ファイルのみ変更し、変更は意図したタイミングで反映させる

ミスや間違いも即時反映致命的な影響となることも…

ミスや間違いがあっても確認・修正してから適用

全体の70%は人為的なミスが原因でネットワークに悪影響

計画停止

障害やバグによる予期せぬ停止

人為的な要因

作業者の努力にたよるのではなく

ソフトウェアの仕組みでミスをなくすサポート

CLASSIC

一般的なネットワークOSの場合、管理者がコンソールなどで設定変更を行う際、投入した設定が即座に実稼働のネットワーク設定へと反映されてしまう

このことにより、– ヒューマンエラーが発生する余地がある

– 設定の復旧が困難

– 意図しない設定を行ってしまうと、機器への通信自体が不可能になってしまうケースがある

などの課題が存在する

Running ConfigRunning Config

これまでの一般的なNW-OSの不便さ

MODERN

• JUNOSの場合、管理者が設定変更を行うのは、あくまで設定ファイルこれを実ネットワークの設定へと投入するためにはJUNOSによるシステムチェックを行った後に、”commit“というコマンドを投入することにより反映させる

• この仕組みにより、• JUNOSのシステムチェックによるヒューマンエラーの予防

• 設定ファイルは過去50世代まで自動保存されるため、一瞬で過去の状態へと戻すことができる

• 作成した設定ファイルを、“ためしに”投入してみることも可能

• などのメリットを享受することができる。

JUNOSの場合

Active ConfigCandidate Config

check !

commit

有効なJUNOSツール

JUNOSのアプローチ：Human factors への対応

• “commit”• 設定変更を有効にするコマンド

• 有効時にconfigチェックをおこない，誤り（矛盾）がなければ投入した設定が有効となる

• “rollback”• 設定の履歴管理，設定・OSの切り戻しを容易に

• 既存configを含み最大50世代までの管理が可能

• “Load”コマンドにより外部から設定ファイルを更新することも可能

• “JUNOScript” & “Event Policy”• スクリプティングによる自動化ツール

• イベントをトリガーとした自動化機能

• Configミスによるダウンタイムの回避

• Config変更/ 切り戻し作業の時間短縮

Benefits

commitconfirmed

1 2 3

candidateconfiguration

load activeconfiguration

rollb

ack

commitvalidations

commit

commitscripts

validatedconfiguration

1

49

JUNOS: THE POWER OF ONE

EX4300 Series

EX3400 Series

EX2300 Series

EX4600

MX Series

PTX Series

SRX3000 Series

SRX5000 Series

SRX320

SRX550

SRX300

SRX340

SRX1400

QFX5100 Series

QFX10000 Series

One OS

branch core

One Release Track

Frequent Releases

14.1 14.2 15.1

One Architecture

–A

PI–Module

x

vSRX

運用面からみたJUNOSのアドバンテージ

導入，運用，トラブルシュートに有効なJUNOS UTILITY群

JUNOSは導入、運用、トラブルシュートに有効な様々なツールを提供

• Commit• 設定変更を有効にするコマンド

• check, confirmed, compareなど様々なOptionが使用可能

• Rollback• 設定の履歴管理，切り戻しを容易にする機能

• 自動化Tool ：JUNOScript / Event Policy• 運用を自動化するユーティリティ

• Etc…

”Commit ＆ Rollback”Configurationモードで行った設定変更は、Candidate Configurationとして保持され、

”Commit“するまで設定はActive Configurationとして反映されません。

万一間違えた場合でも，”rollback“コマンドにてすぐに前の状態に戻ることが可能です。

commit

rollback n

Active

configuration

0 1 2 ...

稼動中のコンフィグファイル

Candidate

configuration

編集中のコンフィグファイル

”Commit ＆ Rollback” （アニメ）

commit

rollback n

Active

configuration0

1 2 ...


Candidate

configuration


Active Configuration

0

Candidate Configuration


set xxxxxxxxxx

set xxxxxxxxxx

set xxxxxxxxxx

delete xxxxxxxxxx

delete xxxxxxxxxx

commit

1

commit

rollback n


set xxxxxxxxxx

set xxxxxxxxxx

set xxxxxxxxxx


delete xxxxxxxxxx

delete xxxxxxxxxx

set xxxxxxxxxx

set xxxxxxxxxx

set xxxxxxxxxx


set xxxxxxxxxx

set xxxxxxxxxx

set xxxxxxxxxx

delete xxxxxxxxxx

delete xxxxxxxxxx

Configurationモードで行った設定変更は、Candidate Configurationとして保持され、



Candidate Configを編集

Candidate ConfigをActive Configに反映

commit時に自動的に過去のconfigを保存・世代管理

編集したあとに気が変わったら…

いつでも編集を破棄してやり直しが可能

commitしたあとで切り戻しが必要になった場合には、

過去のconfigを呼び出しコマンド2つで切り戻しが完了！

呼び出したconfigを反映

”Commit ＆ Rollback”Configurationモードで行った設定変更は、Candidate Configurationとして保持され、



commit

rollback n

Active

configuration

0 1 2 ...


Candidate

configuration


JUNOS：commit at time オプション• 設定反映の時間指定（メンテナンスタイムにおける設定反映）

• commit at xx:xx:xx (time) コマンドでcommitすると、指定した時間に設定ファイルをActivateすることが可能となります

[edit]

mike@jnpr1# commit at 02:00:00

commit check succeeds

commit will be executed at 2016-02-02 02:00:00 UTC

Exiting configuration mode

mike@jnpr1>

xxxxx

xxxxx

xxxxx

...

メンテナンスタイムにCommitが自動的に実施されるため、管理者が該当の時間に操作する必要はなし

JUNOS：commit confirmed オプション• 設定の自動復旧機能（ヒューマンエラーによるトラブル防止のため）

• commit confirmed コマンドでcommitすると、再度commitしない限りdefault10分で元のconfigにrollbackします

– 指定した時間あるいはdefaultの10分以内に2度目のcommitを入れることで、configは完全に格納されます

[edit]

root@lab# commit confirmed 5

commit confirmed will be automatically rolled back in 5 minutes unless

confirmed

commit complete

RemoteWAN

誤ったアクセスコントロール設定

xxxxx

xxxxx

xxxxx

...

[edit]

root@lab# commit confirmed 5

commit confirmed will be automatically rolled back in 5 minutes unless

confirmed

commit complete

設定間違いのままcommitしてしまいSSHなどが繋がらなくなってしまった後も、一定時間のあと1つ前のconfigに自動復旧するため、リモートデバイスのポリシー変更時などに便利

JUNOScriptの概要

• JUNOScript とはJuniperのネットワーク装置上で動作させることができるスクリプティング機能です。JUNOS自体に手を加える必要がないため、 JUNOSの安定性を損なうことなく、ユーザ個別の自動化に対する要望に対し柔軟かつ速やかに対応することができます。

• 大別すると、運用者が起動するスクリプトである“Commit Script”、“Op Script”とシステムが起動するスクリプトである“Event Policy”、“Event Script”が存在します。

システムが起動するスクリプト（ルーティングなどのイベント）

運用者が起動するスクリプト（CLIやProvisioning System）

Commit ScriptCommit時に起動するスクリプト

Event Policyシステムのイベントにより起動されるポリシー

Event ScriptEvent Policyにより起動されるスクリプト

Op Script運用者が起動するスクリプト

XSLT / SLAXベースのスクリプト

JUNOS：Event Policy/Script

• ネットワーク機器上のイベントやタイマーをトリガーとして、コマンドやスクリプトを実行することで、運用の自動化が可能となります。

• イベントをトリガーとしたアクションを実行（Self-monitor）• ルータ上の特定のイベントをトリガーとして、コマンドやスクリプトを実行

• タイマーをトリガーとしたアクションの実行• インターバル設定や日時指定に応じて、コマンドやスクリプトを実行

Routing(rpd)

Chassis(chassisd)

Management(mgd)

イベント監視プロセス

eventd

ifthenrules

ルータの各コンポーネントのイベントを監視

ユーザが設定したアクションに応じて運用コマンド、設定変更、スクリ

プトなどを実行

イベントに応じて自動的にトラブルシュート用のLogを取得

イベントに応じて動的なアクションをデバイスに取らせる

デバイスに発生したイベントに応じて、自動的に発動されるプログラムを事前に設定しておくことが可能

event eventprogram Actions!!

JUNOS： JUNOS Automation EXAMPLE – EVENT base AUTOMATION

イベントに対する自動的なレスポンスによりダウンタイムを削減したり必要なLog取得を自動的に実行することが可能！

Event Policyで取り得るアクション

イベントを無視

ファイルをアップロード

オペレーションコマンドの実行

コンフィグレーションコマンドの実行

SNMP Trapを送出

Event Script の実行

Etc…

トレーニング・デバイスへのアクセス方法

ge-0/0/1

管理用IP(me0)

: 192.168.1.x/24

Group1

• Tokyo-1： .1

• Nagoya-1： .2

• Osaka-1： .3

• Fukuoka-1： .4

Ethernet Switching "EX/QFX" courseTopology (Lab1) – グループ1

ge-0/0/0

ge-0/0/10

ge-0/0/1ge-0/0/1

ge-0/0/1

.1 .2

.3 .4

ge-0/0/0

ge-0/0/10 ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-1

Tokyo-1 Nagoya-1

EX3400

Tokyo-1 Nagoya-1

Fukuoka-1

MGMT Switch

me0

me0

me0

me0

管理用IP(me0)

: 192.168.1.x/24

Group1

• Tokyo-1： .5

• Nagoya-1： .6

• Osaka-1： .7

• Fukuoka-1： .8

Ethernet Switching "EX/QFX" courseTopology (Lab1) – グループ2

ge-0/0/0

ge-0/0/10

ge-0/0/1ge-0/0/1

ge-0/0/1

.5 .6

.7 .8ge-0/0/1

ge-0/0/0

ge-0/0/10 ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-2

Tokyo-1 Nagoya-1

EX3400

Tokyo-2 Nagoya-2

Fukuoka-2

MGMT Switch

me0

me0

me0

me0

--- JUNOS 15.1X49-D50.3 built 2016-05-28 20:02:37 UTC

root@SRX-1% cli

root@SRX-1>

JUNOSへのログイン

初期設定状態のEXにアカウント’root’でログインします。

cliコマンドでJUNOSのOperationalモードを起動します。

– rootアカウントはserial console、またはssh接続時のみ使用可能です。

– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。

• Root Password： Juniper

– Tera TermからSSHv2接続で接続してください。

CLIモードと各モード間の移動

FreeBSD

CLI概要• Junos CLIの3つのモード遷移について

Configuration mode #

Shell mode %

Operational mode >機器のステータス確認や基本操作

・show コマンドでの状態表示

・ping, traceroute, telnet, clear

・debug (monitor)

・OSアップグレード

・機器のリブート、シャットダウン

・set コマンドでの日時やTerminal表示方法の設定

機器のconfiguration設定

・システム設定

・インタフェース設定

・ルーティング設定

・パケットフィルタリング設定

・ポリシー設定

・SNMP …などその他すべての設定

> configure

% cli exit

exit

Operationalモード

•RootユーザでLoginするとShellモード（プロンプトが“％”）に入ります• “cli”と投入することでShellモードからOperational モードへと移行します

• Rootユーザ以外でLoginすると、Operationalモード(プロンプトが>)に入ります• “start shell”と投入することでOperationalモードからShellモードへと移行します

login: root

Password:

--- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC

root@%

root@% cli

root>

login: AAA

Password:

--- JUNOS 15.1X49-D35 built 2016-02-02 07:16:16 UTC

AAA>

AAA> start shell

%


• Operationalモードではステータスの確認やシステム操作などに用いるコマンドを提供しています。

clear Clear information in the system

configure Manipulate software configuration information

file Perform file operations

help Provide help information

monitor Show real-time debugging information

mtrace Trace multicast path from source to receiver

op Invoke an operation script

ping Ping remote target

quit Exit the management session

request Make system-level requests

restart Restart software process

set Set CLI properties, date/time, craft interface message

show Show system information

ssh Start secure shell on another host

start Start shell

telnet Telnet to another host

test Perform diagnostic debugging

traceroute Trace route to remote host


• コマンドは階層構造になっています

• 例: 経路情報(簡易版)を確認

root> show route terse

inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

A V Destination P Prf Metric 1 Metric 2 Next hop AS path

* 0.0.0.0/0 S 5 >172.27.112.1

* 172.27.112.0/22 D 0 >ge-0/0/0.0

* 172.27.113.19/32 L 0 Local

clear configure monitor set show

brief exact protocol table terse

bgp chassis interfaces isis ospf route version

大項目

小項目

確認コマンド

経路情報

簡易版

Configurationモード

• Operationalモードにてconfigureと投入することでConfigurationモードへ移行します

root@lab> configureEntering configuration mode[edit]root@lab#

root@lab> configure Entering configuration modeCurrent configuration users:

fbrooks terminal d0 on since 1999-10-14 07:11:29 UTC,idle 00:00:49 [edit protocols ospf]

The configuration has been changed but not committed[edit]root@lab#

• 他のユーザがconfigurationモードに入っていれば、以下の様に表示されます

Configurationモード：オプション

mike@jnpr1> configure private

warning: uncommitted changes will be discarded on exit

Entering configuration modeActiveConfig

Candidate 1

Candidate 2

user 1

user 2

• configure private コマンドを使用すると、ログインユーザー専用のcandidate configurationが用意される

• configure exclusive コマンドを使用すると、ログインユーザーが設定変更を行っている最中に他のログインユーザーが設定変更を行うことを禁止することが可能

mike@jnpr1> configure exclusive

warning: uncommitted changes will be discarded on exit

Entering configuration mode user 1

user 2

X

Candidate

Commit 不可

ActiveConfig

JUNOS CLI操作～Operationalモード～

show コマンド

• showコマンド: システム、ステータスに関する情報を表示します

> show arp :ARPテーブルを確認する

> show chassis environment :温度、ファンなどの環境状態を確認する

> show chassis hardware :ハードウェア情報(シリアルナンバー等)を確認する

> show chassis routing-engine :ルーティングエンジン(CPUやMemory)の状態を確認する

> show configuration :稼働中の設定を確認する

> show interfaces :Interfaceの状態を確認する

> show route :経路情報を確認する

> show system uptime :稼働時間を確認する

> show system users :ユーザのログイン状況を確認する

> show system alarms :システムアラームの有無を確認する

> show version :JUNOSソフトウェアバージョンを確認する

show コマンド: オプション

• showコマンドではterse, brief, detail, もしくはextensiveオプションを使用することで確認できる情報量を選択することができます。

• terse, briefのオプションはオプションなしの出力結果と比べ、より簡易的な情報を表示させます。

• detail, extensiveのオプションはオプションなしの際と比べ、より詳細な情報を表示させます。


> show interfaces ge-0/0/0 terse

Interface Admin Link Proto Local Remote

ge-0/0/0 up up

> show interfaces ge-0/0/0 terse

> show interfaces ge-0/0/0 brief

Physical interface: ge-0/0/0, Enabled, Physical link is Up

Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, Loopback: Disabled, Source filtering:

Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online, Media type: Copper,

IEEE 802.3az Energy Efficient Ethernet: Disabled

Device flags : Present Running

Interface flags: SNMP-Traps Internal: 0x4000

Link flags : None

> show interfaces ge-0/0/0 brief


> show interfaces ge-0/0/2 （オプションなし）

> show interfaces ge-0/0/0


Interface index: 139, SNMP ifIndex: 504

Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error:

None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled,

Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled



Link flags : None

CoS queues : 8 supported, 8 maximum usable queues

Current address: 5c:5e:ab:7e:75:c3, Hardware address: 5c:5e:ab:7e:75:c3

Last flapped : 2016-02-16 18:44:29 JST (8w1d 17:33 ago)

Input rate : 0 bps (0 pps)

Output rate : 0 bps (0 pps)

Active alarms : None

Active defects : None

Interface transmit statistics: Disabled


> show interfaces ge-0/0/0 detail> show interfaces ge-0/0/0 detail


Interface index: 139, SNMP ifIndex: 504, Generation: 142

Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow

control: Enabled, Auto-negotiation: Enabled,

Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet: Disabled



Link flags : None


Hold-times : Up 0 ms, Down 0 ms



Statistics last cleared: Never

Traffic statistics:

Input bytes : 995586 0 bps

Output bytes : 1473366 0 bps

Input packets: 10870 0 pps

Output packets: 15732 0 pps

IPv6 transit statistics:

Input bytes : 0

Output bytes : 0

Input packets: 0

Output packets: 0

Egress queues: 8 supported, 4 in use

Queue counters: Queued packets Transmitted packets Dropped packets

0 best-effort 0 9262 0

1 assured-forw 0 0 0

5 expedited-fo 0 0 0

7 network-cont 0 6470 0

Queue number: Mapped forwarding classes

0 best-effort

1 assured-forwarding

5 expedited-forwarding

7 network-control





> show interfaces ge-0/0/0 extensive> show interfaces ge-0/0/0 extensive


Interface index: 139, SNMP ifIndex: 504, Generation: 142

Link-level type: Ethernet, MTU: 1514, Speed: Auto, Duplex: Auto, BPDU Error: None, MAC-

REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled,

Auto-negotiation: Enabled,

Remote fault: Online, Media type: Copper, IEEE 802.3az Energy Efficient Ethernet:

Disabled



Link flags : None


Hold-times : Up 0 ms, Down 0 ms



Statistics last cleared: Never

Traffic statistics:

Input bytes : 995586 0 bps

Output bytes : 1473366 0 bps

Input packets: 10870 0 pps

Output packets: 15732 0 pps

IPv6 transit statistics:

Input bytes : 0

Output bytes : 0

Input packets: 0

Output packets: 0

Input errors:

Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes:

0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0

Output errors:

Carrier transitions: 3, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO

errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0

Egress queues: 8 supported, 4 in use

Queue counters: Queued packets Transmitted packets Dropped packets

0 best-effort 0 9262 0

1 assured-forw 0 0 0

5 expedited-fo 0 0 0

7 network-cont 0 6470 0

Queue number: Mapped forwarding classes

0 best-effort

1 assured-forwarding

5 expedited-forwarding

7 network-control



MAC statistics: Receive Transmit

Total octets 995586 1473366

Total packets 10870 15732

Unicast packets 8989 9262

Broadcast packets 1876 1872

Multicast packets 5 4598

CRC/Align errors 0 0

FIFO errors 0 0

MAC control frames 0 0

MAC pause frames 0 0

Oversized frames 0

Jabber frames 0

Fragment frames 0

Code violations 0

Autonegotiation information:

Negotiation status: Complete

Link partner:

Link mode: Full-duplex, Flow control: Symmetric, Remote fault: OK,

Link partner Speed: 1000 Mbps

Local resolution:

Flow control: Symmetric, Remote fault: Link OK

Packet Forwarding Engine configuration:

Destination slot: 0 (0x00)

CoS information:

Direction : Output

CoS transmit queue Bandwidth Buffer Priority

Limit

% bps % usec

0 best-effort 95 950000000 95 NA low

none

7 network-control 5 50000000 5 NA low

none


コンソール画面出力に関する操作

• 画面に ---(more)--- promptが表示されているときは以下のキーで操作します

Space: 次画面に進む

b: 前画面に戻る

d: ½画面進む

Enter: １行進む

/string: 検索

n: 再検索

q: プロンプトに戻る（出力のAbort）

h: これらキーヘルプの表示

> show configuration

## Last commit: 2016-04-12 17:41:17 JST by lab

version 12.3X48-D20.4;

groups {

Japan_ENT_POC {

system {

host-name mino_srx240;

backup-router 172.27.112.1;

time-zone Asia/Tokyo;

dump-on-panic;

root-authentication {

encrypted-password

"$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/"; ## SECRET-DATA

}

name-server {

208.67.222.222;

208.67.220.220;

}

login {

user lab {

uid 2000;

class super-user;

authentication {

---(more)---

コンソール画面出力に関する操作 | no-more

• 通常、出力はCLIのスクリーンサイズを考慮して行われます。出力内容が多い場合、CLI画面に---(more)---を表示し、出力を一時停止します。ログ取得時などは“ | no-more” オプションを使用し、全て一度に表示することが可能です

[edit]

root@lab> show configuration | no-more

## Last commit: 2016-01-25 11:25:54 JST by root

version 10.4R7.5;

groups {

Japan_team {

system {

backup-router 172.16.1.1;

time-zone Asia/Tokyo;

dump-on-panic;


encrypted-password "$1$YrXW4H1t$0Ry0FagjB/wMKbVM1izGf/";

## SECRET-DATA

}

login {

user lab {

uid 2000;

"$1$4TDfGIs7$.wTBpcNviWRCebbvcSLzv."; ## SECRET-DATA

:

パイプ “|” オプションの利用

• Unix同様のパイプ ”|” をサポート。configやshowコマンド等で有効利用• root@lab> show configuration | display set

• root@lab> show log messages | no-more

• root@lab> show route | find 192.168.1.0

• root@lab# show interface | save interface_config.txt

root@lab> show configuration | ?

Possible completions:

compare Compare configuration changes with prior version

count Count occurrences

display Show additional kinds of information

except Show only text that does not match a pattern

find Search for first occurrence of pattern

hold Hold text without exiting the --More-- prompt

last Display end of output only

match Show only text that matches a pattern

no-more Don't paginate output

request Make system-level requests

resolve Resolve IP addresses

save Save output text to file

trim Trim specified number of columns from start of line

• Configurationの表示方法を変更する• 階層表記に加え、行単位での表示も可能

root@EX2200C> show configuration protocols dot1x

traceoptions {

file 1x;

flag all;

}

authenticator {

authentication-profile-name dot-1x;

interface {

ge-0/0/0.0 {

supplicant single-secure;

reauthentication 3600;

}

ge-0/0/3.0 {

supplicant single-secure;

root@EX2200C> show configuration protocols dot1x |display set

set protocols dot1x traceoptions file 1x

set protocols dot1x traceoptions flag all

set protocols dot1x authenticator authentication-profile-name

dot-1x

set protocols dot1x authenticator interface ge-0/0/0.0

supplicant single-secure


reauthentication 3600


supplicant single-secure

set protocols dot1x authenticator interface

状況に応じ、お好みの表記方法を選択可能

パイプ “|” 使用例

パイプ “|” 使用例

• Configurationの一部を保存する

• 稼働中のconfigurationの方法Operationalモードにてshow configuration | save <出力先+ファイル名>

• 編集中のconfigurationの出力方法Configurationモードにてsave <出力先+ファイル名>

> show configuration | save ftp://[email protected]/Ex_config

Password for [email protected]:

ftp://[email protected]/mx_config 100% of 7928 B 30 MBps

Wrote 352 lines of output to 'ftp://[email protected]/Ex_config'

# save /config/EDITING-CONFIG

Wrote 232 lines of configuration to '/config/EDITING-CONFIG'

※保存先を指定しない場合、userのhome directoryに出力されます

FTPサーバへ出力

/config/へ出力

JUNOSファイルシステムの構成について

• JUNOSでは各種構成ファイルやLogファイルなどをファイルシステム上のディレクトリに管理しています

/config使用中のコンフィグレーションと過去3世代までのコンフィグレーションを格納。

/var/db/config

4世代以降のコンフィグレーションを格納。gz形式に圧縮されて保存されているがfile showコマンドで表示可能。FreeBSDではzcatコマンドで表示可能。

/var/tmpJUNOSソフトウェアアップグレード時など、image格納するディレクトリ。また、各デーモンのコアダンプファイルを格納。

/var/log各種LogやTrace option機能にて取得したデバッグ情報ファイルを格納。

/var/home

各ユーザのホームディレクトリが作成される。

各ユーザがローカルに保存した情報は全て各ユーザのホームディレクトリに格納する。

例えば、現在使用中のコンフィグをsaveコマンドにて保存した場合など

root> file list /var/home/SAMPLE/

/var/home/SAMPLE/:

TEST_CONFIG

JUNOSファイルシステムの構成について

• ディレクトリ配下のファイル内容の確認方法> file show /<directory>/<file_name>

• 各ディレクトリに格納しているファイルの確認方法

> file list / <directory>/

root> file list /var/home/

/var/home/:

SAMPLE/

/var/home配下の情報を表示

ユーザ(SAMPLE)のホームディレクトリが作成されている

/var/home/SAMPLE配下の情報を表示

ユーザ(SAMPLE)が作成したTEST_CONFIGが保存されている

root> file show /var/home/SAMPLE/TEST_CONFIG

## Last changed: 2016-03-30 17:34:10 UTC

version 12.3X48-D25.3;

system {


encrypted-password "$1$73UgjTsC$EznYXp/4DfJIRTI6KnFYE1"; ## SECRET-DATA

~~~~~~~~~~~~~~~~~~~~~~~~~以下省略~~~~~~~~~~~~~~~~~~~~~~~~~~

ユーザ(SAMPLE)が作成したTEST_CONFIGを確認

JUNOS運用管理コマンド

• JUNOSでは運用管理に必要な機能をサポートしています。• Ping

• Traceroute

• telnet / ssh

• Monitor

Ping : ネットワークの疎通確認をする

>ping アドレス + オプション

例: 172.27.112.1へ512 byteのpingを3回実施

root> ping 172.27.112.1 count 3 size 512

PING 172.27.112.1 (172.27.112.1): 512 data bytes

520 bytes from 172.27.112.1: icmp_seq=0 ttl=64 time=1.037 ms



--- 172.27.112.1 ping statistics ---

3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max/stddev = 0.704/0.827/1.037/0.149 ms

JUNOS運用管理コマンド

Telnet / SSH : ネットワークに接続された機器を操作する

>telnet アドレス + オプション

例: 172.27.112.161: port 23へtelnetを実施

> traceroute 8.8.8.8 interface ge-0/0/0

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 40 byte packets

1 172.27.112.2 (172.27.112.2) 4.394 ms 1.814 ms 2.209 ms

(snip)

13 google-public-dns-a.google.com (8.8.8.8) 4.276 ms 4.286 ms 4.063 ms

Traceroute : ネットワークの経路確認をする

>traceroute アドレス + オプション

例: 8.8.8.8へge-0/0/0からtrace routeを実施

> telnet 172.27.112.161 port 23

Trying 172.27.112.161...

Connected to 172.27.112.161.

Escape character is '^]'.

srx300beta (ttyp0)

login:

monitor コマンド

• monitorコマンド: 現在のI/F別トラフィック状況を表示します• > monitor interface traffic

各Interfaceのトラフィックをリアルタイム表示する

Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D

Interface Link Input packets (pps) Output packets (pps)

ge-0/0/0 Down 0 (0) 0 (0)

gr-0/0/0 Up 0 (0) 0 (0)

ip-0/0/0 Up 0 (0) 0 (0)

lsq-0/0/0 Up 0 (0) 0 (0)

lt-0/0/0 Up 0 (0) 0 (0)

mt-0/0/0 Up 0 (0) 0 (0)

sp-0/0/0 Up 0 (0) 0 (0)

ge-0/0/1 Down 0 (0) 0 (0)

(snip)

requestコマンド

• requestコマンド：システムの挙動に関するコマンドを実行します

• システムを再起動する> request system reboot

• システムをシャットダウンする> request system power-off

• 初期化する> request system zeroize

• サポートに必要な情報を取得する> request support information

• 基本となるConfigurationファイルを保存する(rescue configの保存)

> request system configuration rescue save

• OSをアップグレードする> request system software add <ファイル名>

JUNOSのソフトウエアアップグレード

• ソフトウエアアップグレード手順1. 対象のJUNOS OSをダウンロードする。

https://www.juniper.net/support/downloads/group/?f=junos

2. CLIコマンドでJUNOSソフトウェアを

FTP/TFTPサーバからデバイス(/var/tmp)に保存

> file copy ftp://ログインID@アドレス/JUNOSパッケージ名/var/tmp

3. デバイスに保存したパッケージをロード

> request system software add /var/tmp/JUNOSパッケージ名

4. 再起動する

> request system reboot

root> file copy ftp://[email protected]/jinstall-ex-

4200-11.4R1.6-domestic-signed.tgz /var/tmp

Password for [email protected]:

/var/tmp//...transferring.file.........TfBx6L/100% of

381 MB 8099 kBps 00m00s

root> request system software add /var/tmp/ jinstall-

ex-4200-11.4R1.6-domestic-signed.tgz

NOTICE: Validating configuration against jinstall-ex-

4200-11.4R1.6-domestic-signed.tgz.

(snip)

root> request system reboot

https://www.juniper.net/support/downloads/group/?f=junos

JUNOS CLI操作～Configurationモード～

CandidateConfiguration

AAABBBCCC

commit コンセプト（アニメ）

• Configurationモードに入ると編集用configが用意されます

• 設定変更はすべて編集用のconfig上にのみ投入

• commit コマンドでactive configに反映されます

Active Configのコピー

ActiveConfiguration

AAABBBCCC

DDD

commit

DDD


AAABBBCCC

commit コンセプト

• Configurationモードに入ると編集用configが用意されます

• 設定変更はすべて編集用のconfig上にのみ投入

• commit コマンドでactive configに反映されます

Active Configのコピー

ActiveConfiguration

AAABBBCCC

DDD

commit

DDD

rollback 2Configuration

AAABBBCCC


AAABBBCCC

rollback 1ConfigurationAAABBBCCCDDD

ActiveConfiguration

AAABBBCCCDDD

rollback コンセプト（アニメ）

• commit実行時に、現在稼働中のconfigが履歴として自動的に保存されます

• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード

• 再度commit コマンドを実行して、active configに反映


AAABBBCCCDDD

commit

rollback 1

0世代

1～49世代

rollback コンセプト

• commit実行時に、現在稼働中のconfigが履歴として自動的に保存されます

• commit前の状態に戻すときは、rollback 1 コマンドで1世代前をロード

• 再度commit コマンドを実行して、active configに反映


AAABBBCCC

rollback 1ConfigurationAAABBBCCCDDD

ActiveConfiguration

AAABBBCCCDDD


AAABBBCCCDDD

commit

rollback 1

1～49世代

0世代

1世代 2世代

設定の追加（set）

• set コマンド：設定の追加変更を行います• Commitするまでは設定は反映されません。

• Commitすることで初めて動作しているデバイスに設定追加の変更が反映されます。

user@lab# set interface ge-0/0/1 disable

user@lab# commit

configuration check succeeds

commit complete

設定の変更（delete）

• delete コマンド：設定の削除変更を行います• Commitするまでは設定は反映されません。

• やはりCommitすることで動作しているデバイスに設定削除の変更が反映されます。

user@lab# delete interface ge-0/0/1 disable

user@lab# commit


commit complete

編集中の設定確認（show | compare）

• show | compare コマンド：編集中の設定と稼動中の設定を比較します

• 過去のconfigと編集中の設定を比較することも可能

user@lab# set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24

user@lab# show | compare

[edit interfaces]

+ ge-0/0/0 {

+ unit 0 {

+ family inet {

+ address 192.168.1.1/24;

+ }

+ }

+ }

ActiveConfiguration

(rollback 0)


# show | compare

user@lab# show | compare rollback [1-49]

Active configと比較して、ge-0/0/0にIPアドレスが追加されている

＋：追加

ー：削除

設定ファイルの復旧（rollback）

• rollback コマンド：設定ファイルの復旧を行います• 変更した設定ファイルを破棄したい場合は、Rollbackコマンドを投入します。（rollbackはrollback 0の略）

• rollback n（0-49）でファイル番号を指定すると、過去の設定をCandidate Configにコピーすることが可能で、容易に過去の状態に戻すことが可能です。（過去50世代分の設定ファイルを自動保存）

user@lab# rollback

user@lab# rollback ?

Possible completions: <[Enter]> Execute this command

0 2016-07-14 08:41:21 JST by root via cli




4 2016-07-13 15:57:20 JST by root via cli commit confirmed, rollback in 2mins

5 2016-07-12 15:21:37 JST by lab via netconf

6 2016-07-08 16:35:39 JST by lab via cli

7 2016-06-22 19:30:53 JST by lab via cli

8 2016-06-22 19:28:39 JST by lab via cli

9 2016-06-22 19:28:18 JST by lab via cli

…(snip)

commit オプション（commit confirmed / at）

• commit confirmed コマンド：一時的に設定を反映します• 変更を確定する場合は、時間内にcommitを実行します

• デフォルトでは10分（指定可能）

• 時間までにcommitされなければ、自動的にcommit前の状態に戻る

• commit at コマンド：日時を指定してcommitの実行を予約します• hh:mm:[ss] または “yyyy-mm-dd hh:mm:[ss]”

user@lab# commit confirmed 5


commit confirmed will be automatically rolled back in 5 minutes unless confirmed

commit complete

# commit confirmed will be rolled back in 5 minutes

user@lab# commit at "2016-04-20 00:00"


commit at will be executed at 2016-04-20 00:00:00 JST


※予約をキャンセルしたいときは、Operationalモードからclear system commit コマンドを実行

Configurationのロード（load）

• load コマンド：configurationファイルをロードします• loadコマンドはいくつかのオプションがあります

• load factory-default 工場出荷時のconfigをロード

• load override <filename> ロードしたconfigによる置き換え

• load merge <filename> ロードしたconfigを追加

• configファイルは外部のFTPサーバや機器内ディレクトリからロードすることも可能

user@lab# load ?


factory-default Override existing configuration with factory default

merge Merge contents with existing configuration

override Override existing configuration

patch Load patch file into configuration

replace Replace configuration data

set Execute set of commands on existing configuration

update Update existing configuration

user@lab# load merge /var/tmp/saved_config.txt

user@lab# load merge ftp://user:[email protected]/saved_config.txt

user@lab# load set terminal

[Type ^D at a new line to end input]

set services security-intelligence profile feeds-cc-p1 category CC

set services security-intelligence profile feeds-cc-p1 default-rule then action permit

set services security-intelligence profile feeds-cc-p1 default-rule then log

set services security-intelligence profile Inf-hosts category Infected-Hosts

set services security-intelligence profile Inf-hosts default-rule then action permit

set services security-intelligence profile Inf-hosts default-rule then log

set services security-intelligence policy pol-cc CC feeds-cc-p1

set services security-intelligence policy pol-cc Infected-Hosts Inf-hosts

set services advanced-anti-malware policy skyatp_test match application HTTP

set services advanced-anti-malware policy skyatp_test match verdict-threshold 3

set services advanced-anti-malware policy skyatp_test then action permit

set services advanced-anti-malware policy skyatp_test then notification log

set services advanced-anti-malware policy skyatp_test inspection-profile test

set services advanced-anti-malware policy skyatp_test fallback-options action permit

set services advanced-anti-malware policy skyatp_test fallback-options notification log

set services advanced-anti-malware policy skyatp_test whitelist-notification log

set services advanced-anti-malware policy skyatp_test blacklist-notification log

load complete

Configurationのロード（load set terminal）

• load set terminal コマンド：CLIで追加のsetコンフィグを貼り付けるときに使用• setコマンドの大量コピー&ペースト時にconfigのとりこぼしが防げます

CTRL+D

貼り付けたいconfigをterminal上でペーストし、最後に改行してからCTRL+Dを押して読み込む

キャンセルしたい場合はCTRL+Cで抜ける

[edit]

user@lab# load merge terminal


protocols {

ospf {

export static-route;

area 0.0.0.0 {

interface ge-0/0/0.0;



interface lo0.0 {

passive;

}

}

}

}

policy-options {

policy-statement static-route {

from {

protocol static;

route-filter 10.1.1.0/24 longer;

}

then accept;

}

}

load complete

• load merge terminal コマンド：CLIで追加のconfigを貼り付けるときに使用• 大量のコピー&ペースト時にもconfigのとりこぼしが防げます、最上位の階層から追加の

configを投入する階層までのパスが全部必要です

• relative オプションを付けると今いる階層に応じてconfigの階層もショートカットされます

Configurationのロード（load merge terminal）

interfaces, protocolsやpolicy-optionsなど最上位の構文から記述していく

[edit protocols ospf]

lab# load merge terminal relative


area 0.0.0.0 {

interface xe-1/0/0.0;

}

area 0.0.0.1 {

stub default-metric 10 no-summaries;

area-range 192.168.16.0/20;


}

area 0.0.0.2 {

nssa {

default-lsa {

default-metric 20;

metric-type 1;

type-7;

}

no-summaries;

area-range 172.16.12.0/22;

}

area-range 192.168.48.0/20;

}

load completeCTRL+D

protocols ospfの階層に移動しareaのconfigだけ追加

protocols { ospf { の記述は不要

CTRL+D

Configurationモード：コマンドサマリー

• 設定&確認コマンド• set : パラメータを設定する際に使用します

• delete : パラメータを削除する際に使用します

• show : 設定した内容を確認します

• show | compare : 編集中のconfigと稼働中のconfigを比較します

• 設定反映コマンド• commit : 編集した設定をactive configに反映させます

• rollback : 過去のconfigをロードして編集内容を元に戻します

• load : 設定したファイルをロードする際に使用します

便利なショートカットキー• カーソルの移動

Ctrl-B 1文字戻る

Ctrl-F 1文字進む

Ctrl-A 行頭に移動

Ctrl-E 行末に移動

• 文字の削除Delete/Backspace カーソル前の1文字を削除

Ctrl-D カーソル後の1文字を削除

Ctrl-K カーソルから行末までを削除

Ctrl-U 行をすべて削除

Ctrl-W 現在入力途中の単語または、カーソルより左側の1単語を削除

• その他Ctrl-P or ↑ コマンド履歴の前を表示

Ctrl-N or ↓ コマンド履歴の次を表示

? 次に入力すべきコマンドやパラメータのヒント

コマンド補完と構文エラー

• コマンド補完機能• Spaceキー/ Tabキー：固定値を補完

• Tabキーはユーザが定義したpolicy名やFilter名の補完も可能

• 構文エラーの通知• 構文に誤りがあるとsyntax errorと表示される

• ^ マークはエラーとなる項目を示す

user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input ?


TEST [firewall family inet filter]

user@lab# set interfaces ge-0/0/0 unit 0 family inet filter input T[tab]

user@lab# load replase

^

syntax error, expecting <command>.

Configurationモード: Operationalモードのコマンドを実行

• runコマンドにより、Configurationモードにおいてshowコマンド等を実行し、status等確認することができます• Operationalモードで確認可能な全てのコマンドの実行が可能• Operationalモードに戻る必要なし

root@lab# run show interfaces


Interface index: 134, SNMP ifIndex: 508

Link-level type: Ethernet, MTU: 1514, Link-mode: Full-duplex, Speed:

100mbps,

BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled,

Source filtering: Disabled, Flow control: Disabled, Auto-

negotiation: Enabled,

Remote fault: Online

Device flags : Present Runnin

(snip)

root@lab# show interfaces

ge-0/0/0 {

unit 0;

}

ge-0/0/1 {

unit 0 {

family ethernet-

switching {

vlan {

members

vlan-trust;

(snip)

runコマンドを使用し、interfaceの状態を確認 interfaceの設定を確認

JUNOSシステム設定

システム設定

• JUNOSデバイスのシステムに関する主な設定• ユーザ設定

• ホスト名の設定

• 時刻設定

• DNS設定

• デバイスのサービス設定

• 管理インタフェース設定

• ログの設定

• SNMP設定

システム設定

• ユーザ設定• rootユーザのパスワードを設定

• rootユーザ以外のユーザアカウントを作成• デフォルトでは3つのユーザクラスを選択可能

• read-only ：view（show コマンドなど）

• operator ：clear, network, reset, trace, view（デーモンの停止, ping/telnet, etc）

• super-user：all（すべて）

root# set system root-authentication plain-text-password

New password:

Retype new password:

root# set system login user TEST class super-user authentication plain-text-password

New password:

Retype new password:

システム設定

• ホスト名の設定

• 時刻設定• Time zoneを指定する

• NTPサーバを指定する

• DNS設定

root# set system host-name LAB

root# set system time-zone Asia/Tokyo

root# set system name-server 192.168.1.100

root# set system ntp server 10.10.10.100

システム設定

• デバイスのサービス設定• telnet, sshによるアクセスを有効にする

• FTP, netconfのサービスを有効にする

root# set system services ftp

root# set system services netconf ssh

root# set system services telnet

root# set system services ssh

root# set system services ssh root-login allow RootユーザとしてSSHでログインしたい場合に設定

システム設定

• 管理インタフェース設定• 例１：EXの管理インタフェース(me0)を設定

• 例２：MX, SRXの管理インタフェース(fxp0)を設定

root# set interfaces me0 unit 0 family inet address 192.168.1.1/24

root# set interfaces fxp0 unit 0 family inet address 192.168.1.1/24

me0

EX3400 rear view SRX340 front view

fxp0

※管理ポートは、MX/SRXは”fxp0”、EXは”me0”、QFXは”em0”、 EX/QFXのVCでは”vme（virtual me）”と命名されています。Branch SRXのLow End（SRX300/320）など、Out of Bandの管理ポートが存在しないモデルもあります。

システム設定

• ログの設定• syslogサーバ、ファシリティ、ログレベルを指定

• 例：すべてのレベルのログを10.10.10.1へ送信する

■Syslogレベルについて

高 emergency: ソフトウェアコンポーネントの機能停止を招く状況のメッセージalert: データベースなどのデータ破損など、直ちに修復が必要な状況のメッセージcritical: 物理的なエラーなど重大な問題がある状況のメッセージerror: 上記よりも深刻度の低いエラー状況のメッセージwarning: モニタリングの必要性がある状況のメッセージnotice: エラーではないが、特別な処理が必要となる可能性がある状況のメッセージinfo: 対象のイベントまたは非エラー状況のメッセージ

低 any: すべてのレベルのメッセージ

root# set system syslog host 10.10.10.1 any any

システム設定

• SNMP設定• SNMPコミュニティを作成する

• 例：コミュニティ名をpublicに設定、読み込みのみ許可

• SNMPトラップを設定する• 例：トラップの送信元をLoopback 0に、宛先を10.10.10.1に設定

root# set snmp community public authorization read-only

root# set snmp trap-options source-address lo0

root# set snmp trap-group <group-name> targets 10.10.10.1

JUNOSインタフェース設定

インタフェースタイプの表記

• インタフェースタイプにより以下のように表記されます

ge-0/0/0

Type: fe-x/x/x: Fast Ethernet ports

ge-x/x/x: Gigabit Ethernet ports

xe-x/x/x: 10 Gigabit Ethernet ports

et-x/x/x: 40/100 Gigabit Ethernet ports

FPC slot: Flexible PIC Concentrator (line card) →筐体ナンバー

PIC slot: Physical Interface Card →アップリンクモジュール

Port number

• その他のインタフェース

• ae0～: LAGインタフェース

• lo0: Loopbackインタフェース

• me0: EXシリーズの管理インタフェース

• fxp0: SRX, MXシリーズの管理インタフェース

PICと FPC

FPCはBOX型の筐体番号、Chassis型のラインカード番号に相当します。

PICはFPCに接続されるアップリンクモジュールを指します。

Chassis 型BOX型

FPCPIC

Port

xx-X/X/X

※BOX型におけるOn-Board Portは、xx-0/0/Xと表現されます

インタフェース設定

• インタフェースの設定は物理プロパティの設定と論理プロパティの設定に分かれます

• 物理プロパティの設定• データリンクプロトコル• リンクスピード、半/全2重通信• MTU

• 論理プロパティの設定• プロトコルファミリー

• inet (IPv4の設定)• inet6 (IPv6の設定)• mpls• ethernet-switching

interfaces {

interface-name {

physical-properties;

[…]

unit unit-number {

logical-properties;

[…]

}

}

}

インタフェース名配下に物理プロパティを設定

Unit#配下に論理プロパティを設定

物理/論理インタフェース設定例

ge-0/0/0 {

description TEST;

speed 1g;

mtu 1400;

ether-options {

no-auto-negotiation;

link-mode full-duplex;

}

unit 0 {

description TEST2;

family inet {

address 10.10.10.1/24;

}

}

unit 100 {

description TEST3;

family inet6 {

address 1::1/64;

}

}

}

物理プロパティ

論理プロパティ

Unit ナンバーとは

• ロジカルプロパティを設定する際には”unit”とよばれる単位で設定します• 一般的なネットワークOSであるサブインタフェースに相当するもの

• unit 0がメインインタフェースに相当

• 1つの物理インタフェースに複数作成することも可能

• インタフェースを動作させるために最低1つは必須

• 物理インタフェースge-0/0/0 の unit 0 は、”ge-0/0/0.0”と表記

• showコマンド等でunitナンバーを指定しない場合はunit 0として認識されます

ge-0/0/0unit 0family inet

ge-0/0/0

unit 0family ethernet-switching

Data

L3設定

L2設定

IP

Data ETHIP

ETH

ge-0/0/0 {

unit 0 {

family inet {

address 192.168.1.1/24;

}

}

}

ge-0/0/0 {

unit 0 {

family ethernet-switching {

interface-mode access;

}

}

}

複数unitの設定例

• 1つの物理インタフェースに複数のunitを使用するケース• unitごとにvlan-idを設定して振り分け

• IPアドレスやFirewall Filterもunitごとに個別に設定可能

ge-0/0/0Packet

unit 10vlan-id 10

unit 20vlan-id 20

unit 30vlan-id 30

ge-0/0/0 {

vlan-tagging;

unit 10 {

vlan-id 10;

family inet {

address 192.168.1.1/24;

}

}

unit 20 {

vlan-id 20;

family inet {

address 172.16.1.1/24;

}

}

unit 30 {

vlan-id 30;

family inet {

address 10.1.1.1/24;

}

}

}

Vlan 10

Vlan 20

Vlan 30Packet

Packet

L3インタフェースの作り方

• EX/QFX/SRXでは、L3の設定を二通りの方法で行うことができます• インタフェースに直接L3の設定を行う

(Routed Port)• ルーター寄りの設定

• “no switchport” のようなもの

• 1つのセグメントには1つのポートのみ

• VLANを受け、複数のセグメントを収容したい場合はunitを複数作成する(次ページ)

• VLANを作成し、VLANにL3の設定を行った上で、インターフェイスとVLANを紐付ける (Switch Port)• スイッチ寄りの設定

• 1つのセグメントに複数のポートが所属できる

• 1つのポートで複数のVLANを使いたい場合、trunkに設定し、所属するVLANを増やす

set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24

set vlans v10 vlan-id 10

set vlans v10 l3-interface irb.10

set interfaces irb unit 10 family inet address 192.168.10.1/24

set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members v10

set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v10

Routed Port

Switch Port

ge-0/0/0 ge-0/0/X

VLAN 10

ge-0/0/0

ge-0/0/1

VLAN xx

ge-0/0/x

ge-0/0/y

unit 0family inet192.168.1.1

unit 0family inet192.168.x.x

irb.10192.168.10.1

irb.x192.168.x.x

管理者側から強制的にインタフェースを落とす方法

• Disableコマンドを使用してインタフェースを落とすroot# set interfaces ge-0/0/2 disable

[edit]

root# commit

commit complete

Admin（オペレーター）モードの操作の確認root# show interfaces

ge-0/0/2 {

disable;

unit 0 {

family inet {

address 140.0.0.12/24;

• Disableコマンドを消去してインタフェースをあげるroot# delete interfaces ge-0/0/2 disable

[edit]

root# commit

commit complete

root# run show interfaces terse

Interface Admin Link Proto Local

Remote

ge-0/0/0 up up

ge-0/0/1 up down

ge-0/0/2 down down

root# run show interfaces terse

Interface Admin Link Proto Local

Remote

ge-0/0/0 up up

ge-0/0/1 up down

ge-0/0/2 up up

admin（オペレータ）の強制的なインタフェースのダウン

JUNOS経路設定

Static Routeの設定

設定例

[edit routing-options]

root# show

static {

route 0.0.0.0/0 next-hop 172.30.25.1;

route 172.28.102.0/24 {

next-hop 10.210.11.190;

no-readvertise;

}

}

IPv4デフォルトルートの設定

経路を広報させないための設定

マネージメント用の経路などに利用

# set routing-options static route <あて先アドレス>next-hop <ネクストホップアドレス># set routing-options static route <あて先アドレス>オプション設定

• Static route設定

• 同じあて先にstatic routeを設定する場合はqualified-next-hopのオプションを利用しpreference(優先)の設定を施します

[edit routing-options]

root# show

static {

route 0.0.0.0/0 {

next-hop 172.30.25.1;

qualified-next-hop 172.30.25.5 {

preference 7;

}

}

}

制限付きネクストホップの設定

Network A172.29.100.0/24 .1

.1.2

172.30.25.0/30ge-0/0/1

172.30.25.4/30

.5.6

ge-1/0/0

primary

secondaryInternet

Primary route

※Juniperのstatic routeのpreferenceは5

例: インターネット接続のためのデフォルトルートの設定

Secondary route

※preferenceを7に設定することで優先度を下げる

• showコマンドでstatic routeを確認する

root> show route protocol static

inet.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 00:41:59

> to 172.30.25.1 via ge-0/0/1.0

…デフォルトルート

プロトコルとpreference

ネクストホップのアドレスとインタフェース

Static Routeの確認

Firewall Filter (ACL) の設定

Firewall Filterの設定

term <second-term>

term <first-term>

thenfrom

match

match

test-filter

アクション:許可、不許可など

FW filter名

discard 各termに適合しなかった場合、discardします

※新しくtermを作成した際など、評価の順番を変更する際はinsertコマンドを利用して意図した順番にTermを入れ替えて下さい

適合条件:アドレスなど

thenfrom

• FWフィルタとは個々のパケットのフローを制御するためのステートレスなフィルタリングポリシーです（=ACL）

• FWフィルタではtermと呼ばれる条件付けのブロックを定義します

• フィルタ内のtermはtop→downの順番で精査されます

term名

no match

no match


例１： 10.10.10.0/24からの通信を許可しないFWフィルタを作成

root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24

root# set firewall family inet filter FW-FILTER term BLOCK then discard

root# set firewall family inet filter FW-FILTER term PERMIT then accept

root# show firewall family inet filter FW-FILTER

term BLOCK {

from {

source-address {

10.10.10.0/24;

}

}

then {

discard;

}

}

term PERMIT {

then accept;

}

FW filter名

term名

適合条件:10.10.10.0/24からの通信

アクション:不許可

他のIPからの通信を許可

root# set interfaces ge-0/0/0 unit 0 family inet filter input FW-FILTER


例１：作成したFWフィルタをインタフェースへ適用

root# show interfaces ge-0/0/0

unit 0 {

family inet {

filter {

input FW-FILTER;

}

}

}

ge-0/0/0に入ってくる通信に対してFW-FILTERを適用

※FWフィルタの設定を有効にする際(commitする際)にcommit confirmを利用すると万が一設定を誤ってしまった場合にも切り戻しが可能になります


例2： Termの順序入れ替え

root# set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24

root# set firewall family inet filter FW-FILTER term BLOCK then discard

root# set firewall family inet filter FW-FILTER term PERMIT then accept

root# set firewall family inet filter FW-FILTER term BLOCK2 from protocol udp

root# set firewall family inet filter FW-FILTER term BLOCK2 then discard

Termは設定した順番で設定ファイルに書き込みが行われます。一方で、意図したフィルターを掛けるためには適切な順序でTermを記載する必要があります（上記例では、all PERMIT termの後にBLOCK2が書かれているので、Lookupがされないことに注意）

• insert コマンド：Firewall FilterやFirewall Policyのterm順序を変更する

root# insert firewall family inet filter FW-FILTER term BLOCK2 before term PERMIT

root# insert firewall family inet filter FW-FILTER term PERMIT after term BLOCK2

OR

All permitのあとにtermがあるのでこの順序だとこのtermはLookupされない


例2： Termの順序入れ替え

意図した順番でtermが記載されていることを確認した上で、commitを行います

root# show firewall family inet

filter FW-FILTER {

term BLOCK {

from {

source-address {

10.10.10.0/24;

}

}

then {

discard;

}

}

term BLOCK2 {

from {

protocol udp;

}

then {

discard;

}

}

term PERMIT {

then accept;

}

}

insertコマンドによりterm BLOCK2がPERMITの前に移動している

Packet Forwarding Engine

Routing Engine

CPU

lo0


例3： JUNOS製品へのマネージメント通信を制限する1. FWフィルタを作成する

• 192.168.1.0/24のセグメントからSSHでの通信のみ許可

2. 作成したFWフィルタをlo0 (ループバックインタフェース)に適用する

root# show firewall family inet

filter MANAGEMENT {

term PERMIT {

from {

source-address {

192.168.1.0/24;

}

protocol tcp;

destination-port ssh;

}

then accept;

}

}

root# show interfaces

lo0 {

unit 0 {

family inet {

filter {

input MANAGEMENT;

}

address

10.10.10.1/24;

}

}

}

マネージメント通信はlo0を経由する

※EX, QFXシリーズ自身への通信を制御する場合、lo0および、me0(EX), em0(QFX)へFirewall Filterを適用する必要があります。※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)

Ethernet Switching“EX/QFX” course

Juniper Network, K.K.

JUNOS Hands-on Training

Training Outline Ethernet Switching "EX/QFX" course

トレーニング内容（後半）記載ページ

ジュニパーのイーサネット・スイッチポートフォリオ P.111

LAB.1 JUNOSの基本的な操作・設定 P.121

LAB.2 Interfaceの設定 P.135

LAB.3 Routingの設定 P.148

LAB.4 Firewall Filterの設定 P.155

Virtual Chassisとは P.161

Virtual Chassis Deep Dive P.176

LAB.5 Virtual Chassisの設定 P.195

Wrap up P.209

TIPs to be JUNOS Experts P.211

Appendix A: Virtual Chassis Fabric P.242

Appendix B: Multi-Chassis LAG P.253

Appendix C: Zero Touch Provisioning P.271

ジュニパーのイーサネットスイッチ・ポートフォリオ

ジュニパーのイーサネットスイッチングプラットフォーム

Ethernet Switch

EX series

Datacenter Fabric Switch

QFX series

キャンパス・データセンターで利用されるオールマイティなL2/L3イーサネット・スイッチ (2008~)• 1G/10G/40G/100GbE• L2/L3 Switching• L2/L3 Protocols(STP, LACP, OSPF, BGP, …)• 802.1x, WebAuth• PoE, PoE+• Virtual Chassis (up to 10 members)• Junos Fusion Enterprise• MACsec

データセンタでの利用に特化したハイスペック・イーサネット・スイッチ (2011~)• 10G/25G/40G/50G/100GbE• L2/L3 Low-Latency Switching• L2/L3 Protocols(STP, LACP, OSPF, BGP, …)• Clos IP Fabric• L2 Overlay - VXLAN, EVPN-VXLAN• MPLS• Virtual Chassis (up to 10 members)• Virtual Chassis Fabric (up to 20 members)• Junos Fusion, QFabric (up to 128 members)

※ 128 member support for Junos Fusion is Roadmap. FRS supports up to 64 members.

基本的な操作方法は全く一緒!!

EX シリーズ固定型スイッチ

12 port 10/100/1000BASE-T

固定の電源ユニット

ファンレス

2 SFPアップリンク

PoE/PoE+

最大4台までのVirtual Chassis lite

24/48 port 10/100/1000BASE-T

固定の電源ユニットとファン

静音

4 port SFPアップリンク

PoE/PoE+


24/48 10/100/1000BASE-T

PoE/PoE+

データセンタエアフロー

最大10 メンバ Virtual Chassis

固定の電源ユニットとファントレイ

外付け冗長化電源

4 port SFP/SFP+ アップリンク

PoE/PoE+

データセンタエアフロー

モジュール型の電源ユニットとファントレイ

4 port GbE SFP アップリンクモジュール(オプション)

2 port 10GbE XFP アップリンクモジュール(オプション)

最大10 メンバ Virtual Chassis

128 GbpsVirtual Chassis backplane

32 x 1/10GBASE-SFP+/-T

全てのポートでワイヤーレートを実現するパフォーマンス

冗長電源・冷却

省スペース

拡張スロット×2

最大10メンバ Virtual Chassis

EX4200との混在Virtual Chassisが可能

MACsec

EX2200-C EX2200 EX3300 EX4200 EX4550

ALL L2/L3 Models(No L2 Dedicated)

※Legacy L2 Switching モデル

EX シリーズ固定型スイッチ(ELS)

12 port 10/100/1000BASE-T

固定の電源ユニット

ファンレス

2 port 10Gアップリンク

PoE/PoE+


24/48 port 10/100/1000BASE-T

固定の電源ユニットとファン

静音

4 port 10Gアップリンク

PoE/PoE+


24/48 10/100/1000BASE-T

PoE/PoE+

データセンターエアフロー

40 10GbE fiber ports

筐体内モジュール型の冗長電源ユニットとファントレイ


MACsec

24/48 10/100/1000BASE-T32 port 1000BASE-X

PoE/PoE+

データセンターエアフロー

40 10GbE fiber ports



MACsec

24 10GbE ports

4x40GbEポート

拡張スロット×2


省スペース


EX4300との混在Virtual Chassisが可能

MACsecハードウェアサポート

EX2300-C EX2300 EX3400 EX4300 EX4600

ALL L2/L3 Models(No L2 Dedicated)

※ELS（Enhanced Layer2 Switching）モデル

EX シリーズモジュラー型スイッチ

4/8/14 スロット(RE/Fabric含む)のシャーシモデル

2台のVirtual Chassisをサポート

冗長化されたファブリックとREモジュール

スロットあたり240Gbps のパフォーマンス

40 ポート 10/100/1000BASE-T ラインカード

40 ポート 1000BASE-X ラインカード

32ポート 10GBase-X ラインカード

4ポート 40GBase-Xラインカード

VPLS, Logical system

EX9200

40x1G

32x10G

4x40G

2x100G+ 8x10GEX9204 EX9208 EX9214

※ELS（Enhanced Layer2 Switching）モデル

EXシリーズ・ラインナップ

Ports

Modular

Hardware Resiliency

Logical Scale

Perf

orm

ance

EX2200-C EX2200

EX3300

EX4200

EX4300

EX4550

EX9200

Access

Aggre

gation

Core

10 G

bE

40 /

100 G

bE

1 G

bE

EX4600

EX3400

EX2300-C EX2300

Route Engine

Line Card

EXシリーズ・バーチャルシャーシ

2台以上、10台以下のEX/QFXシリーズをソフトウェアの力で1台のシャーシシステムとしてエミュレーションする仮想化スイッチング・テクノロジー

・ハイパフォーマンス

・広帯域バックプレーン

・シャーシ型スイッチと同等の信頼性

・シャーシ型スイッチと同等のHA機能（GRES/NSR/NSB）

・シンプルなL2/L3ネットワークデザイン

・容易な管理性（Single Console/NSSU）

・物理的な制約からの解放 ~320Gbpsbackplane

Admin

Switch to Manage

= 1！

Virtual Chassis

10 Slots

シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供

各種EXシリーズにおけるVC機能の比較EX2200-VC Lite EX2300-VC Lite EX3300-VC EX3400-VC EX4200/4550-VC EX4300/4600-VC

Target Market(Dominant)

Branch;small campus

access

Branch;small campus

accessCampus access Campus access

Campus access;data center TOR

Campus access; aggregation;

datacenter TOR

Marketing Name

Virtual Chassis-Lite Virtual Chassis-Lite Virtual Chassis Virtual Chassis Virtual Chassis Virtual Chassis

Uplinks Up to 4x1GbE Up to 4x10GbE Up to 4x10GbE2x40GbE or/and

4x10GbE128G or 2x10GbE

4x40GbE and/orNx10GbE

Backplane Speed

Up to 8 Gbps Up to 80 Gbps Up to 80 Gbps Up to 160 Gbps + 128 Gbps 320 Gbps +

HA Capability No Partial Yes Yes Yes Yes Yes

License for Virtual Chassis

Base(12.3以降) 要License Base Base Base Base

LCD No No Yes No Yes Yes

Virtual Chassis Members

Up to 4 Up to 4 Up to 10 Up to 10Up to 10 mixed

Virtual Chassis with EX4200/4500

Up to 10 mixed Virtual Chassis with

EX4300/4600

QFX-Series Multiple Fabric Architecturefor Datacenter ToR

Juniper Architectures

Open Architectures

MC-LAG

…

Virtual Chassis

Up to 10 members

Qfabric/JUNOS Fusion

Up to 128 members

IP Fabricw/ Overlay

L3 Fabric

Virtual Chassis Fabric

Up to 20 members

QFX5100

QFXシリーズ・ラインナップ

Datacenter Switching Portfolio

SPINE

MODULAR

LEAF

FIXED

QFX5100

QFX5100-24Q

HIGH DENSITY40GbE

HIGH DENSITY 10/25/40/50/100GbE

QFX10008 QFX10016

QFX10002-72

Up to 480 X 100 GE Ports

High Density 40/100GbE

QFX10002-36

HIGH DENSITY10GbE

QFX5200

QFX5110-48S

QFX5110-32Q

LAB.1 JUNOSの基本的な操作・設定

管理用IP(me0)

: 192.168.1.x/24

Group1

• Tokyo-1： .1

• Nagoya-1：.2

• Osaka-1： .3

• Fukuoka-1：.4

Ethernet Switching "EX/QFX" courseTopology (Lab.1：基本操作) – グループ1

ge-0/0/0

ge-0/0/10

ge-0/0/1ge-0/0/1

ge-0/0/1

.1 .2

.3 .4ge-0/0/1

ge-0/0/0

ge-0/0/10 ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-1

Tokyo-1 Nagoya-1

EX3400

Tokyo-1 Nagoya-1

Fukuoka-1

Ethernet Switching "EX/QFX" courseTopology (Lab.1：基本操作) – グループ2

ge-0/0/0

ge-0/0/10

ge-0/0/1

.5 .6

.7 .8ge-0/0/1

ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-2

Tokyo-1 Nagoya-1

EX3400

Tokyo-2 Nagoya-2

Fukuoka-2

管理用IP(me0)

: 192.168.1.x/24

Group1

• Tokyo-2： .5

• Nagoya-2：.６

• Osaka-2： .７

• Fukuoka-2：.８

ge-0/0/1

ge-0/0/1

ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

--- JUNOS 9.3S1.6 built 2009-05-28 13:53:44 UTC

root@Amenistic:RE:0% cli

root>

JUNOSへのログイン

初期設定状態のEXにアカウント’root’でログインします。

cliコマンドでJUNOSのOperationalモードを起動します。

– rootアカウントはserial console、またはssh接続時のみ使用可能です。

– 今回は事前にIPアドレス, rootパスワード, ssh, telnetを設定済みです。

• Root Password： Juniper

– Tera TermからSSHv2接続で接続してください。

Operationalモードのshowコマンド実行

構成やバージョンなど基本情報の確認を実施します。– Active configurationを表示

– ハードウェア情報を表示

– ソフトウェアバージョンの確認

– インタフェースのステータス一覧の表示

– ルーティングテーブル表示

– MACアドレステーブル表示

– サポートを受ける際に必要な機器情報（RSI）を一括取得

※出力が一画面に入らない場合、 | no-more オプションを追加すると最後まで表示されます

root> show version

root> show configuration

root> show chassis hardware

root> show interface terse

root> show route

root> show ethernet-switching table

root> request support information

rootアカウントのパスワード設定 (設定済)

Configuration Modeに入り、設定変更の準備を行います。

下記の手順でrootアカウントにパスワードを設定します。

– root password: Juniper

※rootパスワード設定は必須です。設定が存在しないとcommitに失敗します。

root> configure

root# set system root-authentication plain-text-password(改行後パスワード入力)

root# commit

管理インタフェース（me0）に対して管理用アドレスを付与します。

– アドレス192.168.1.xx/24（xx = Topologyで指定された第4オクテット）を付与する

show interfacesコマンドで、設定したme0インタフェースのconfigを確認します。

管理インタフェース（me0）へのアドレス付与(設定済)

me0

EX3400 rear view

# set interface me0 unit 0 family inet address 192.168.1.xx/24

{master:0}[edit]


新規アカウント作成

管理用アカウント”lab”を以下の設定で作成します。

commit完了後、一度rootユーザのセッションをログアウトします。

telnetで、作成したアカウントを使って正常にログインできることを確認します。

root# set system login user lab class super-user

root# set system login user lab authentication plain-text-password(改行後パスワード入力)

root# commit and-quit

root> exit

root@% exit

Username Password Class

lab lab123 super-user

login: lab

Password:

--- JUNOS 14.1X53-D15.2 built 2014-12-20 23:22:48 UTC

{master:0}

lab@>

サービスの起動とホスト名の設定

サービスの起動

– デフォルトでは各種サービスが起動していないため、追加で設定します。(telnet, ssh のみ事前に設定済み)

– ftp, httpで機器にアクセスできるようにします。

ホスト名の作成

– Topologyを参照して、各自がログインしている機器のホスト名を設定します。

変更したconfigの差分を確認

– Active configと比較して、設定が正しく追加されたことを確認しcommitします。

lab# set system services ftp

lab# set system services web-management http

lab# set system host-name Tokyo-1

lab# show | compare

lab# commit

サービス起動の確認

FTPによるアクセス

– Windowsからコマンドプロンプトを立ち上げFTPでアクセスできることを確認します。

• ftp 192.168.1.xx

• Rootを使用してログイン

• Lsコマンドでユーザディレクトリを表示できることを確認

– 表示されない場合、Windows FirewallでFTP許可が必要

ブラウザからWeb GUI(J-Web)へのアクセス

– ブラウザからアクセスし、J-Webの画面が表示されることを確認します。

• http://192.168.1.xx/

– root、または作成したユーザ(lab)を使用してログイン

http://192.168.1.xx/

Configurationの確認

ここまでで設定したconfiguration全体を確認します。

① Operationalモードから確認

稼働中のActive configを表示します。

② Configurationモードから確認

編集中のcandidate configを表示します。commit後に設定変更をしていなければ、Active configと同じ内容が表示されます。

lab@Tokyo-1> show configuration

lab@Tokyo-1> show configuration | display set

lab@Tokyo-1> configure

Entering configuration mode

[edit]

lab@Tokyo-1# show

lab@Tokyo-1# show | display set

同じConfigを異なる形式で表示

同じConfigを異なる形式で表示

Operationalモードのコマンドを表示

Configurationモードから、Operationalモードのコマンドを実行します。

① Configurationモードに入ります

② show interfacesコマンドを実行以下の2つのコマンドを実行し、表示される内容を確認します。

Operational Mode Configuration Mode

show interfaces show interfaces

run

lab@Tokyo-1> configure

lab@Tokyo-1# show interfaces

lab@Tokyo-1# run show interfaces

commit confirmed

誤った設定をしてしまった場合でも設定が自動で元に戻ることを確認します。

①コマンドプロンプトからping 192.168.1.xx -tを実行しておきます

②管理インタフェースの設定を削除

me0の設定を削除します。 ※commitはまだしないこと

③commit confirmed

commit confirmedオプションを使って、1分後に設定が戻るようにcommitします。

commit完了メッセージが表示された後、アクセス不能になりTera Termが切断されます。

④pingが応答が返ってきたら再度labでログインし、設定が戻っていることを確認

削除したme0の設定がもとに戻っていることを確認します。

lab@Tokyo-1# delete interfaces me0

lab@Tokyo-1# show | compare

lab@Tokyo-1# commit confirmed 1

lab@Tokyo-1> show configuration interfaces me0

Configurationをファイルに保存

次のLabを始める前に、saveコマンドでconfiguration fileをsaveします。

file listコマンドで正常にsaveできたことを確認します。

lab@Tokyo-1# save lab1-end_YYMMDD

Wrote 213 lines of configuration to 'lab1-end_YYMMDD'

{master:0}[edit]

lab@Tokyo-1# exit


lab@Tokyo-1> file list

/var/home/lab/:

.ssh/

lab1-end_YYMMDD

LAB.2 Interfaceの設定Link Aggregation/Vlan/IRB

Ethernet Switching "EX/QFX" courseTopology (Lab.2：インタフェースの設定)

ge-0/0/0

ge-0/0/10

ge-0/0/1

.1 .2

.3 .4ge-0/0/1

ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-X

Tokyo-1 Nagoya-1Tokyo-X Nagoya-X

Fukuoka-X

10.3.1.0/24(VLAN ID:30)

10.2.1.0/24 (VLAN ID:20)

10.4.1.0/24(VLAN ID:40)

10.1.1.0/24(VLAN ID:10) 172.16.2.0/24

(VLAN ID:200)172.16.1.0/24 (VLAN ID:100) ae0 ae0

irb.10

irb.10

irb.20 irb.20

irb.30 irb.30

irb.40

irb.40

irb.100

irb.100

irb.200

irb.200

ge-0/0/1

ge-0/0/1

ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

例：Tokyo-X の場合の IP アドレス設定

ge-0/0/0 (ae0)

ge-0/0/1 (irb.20) 10.2.1.1

ge-0/0/2 (irb.100) 172.16.1.1

ge-0/0/10 (ae0)

ae0 (irb.10) 10.1.1.1

各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定

各インタフェースの設定するIPアドレスの第4オクテット(x.x.x.X)に設定

LAG(Link Aggregation Group)の作成 ①

LAG（Link Aggregation Group）を作成します。

– LAGの設定準備

– LAGの作成（ae0）

– LAGに参加させるメンバーIFのdefault protocol-family (ethernet-switching)を削除

– LAGへのinterface追加

*LAGの場合、論理インタフェースプロパティはaeインタフェースに対して設定します。メンバーIFには設定しない(メンバーIFは論理IFを持たない）ことに留意してください。

# set chassis aggregated-devices ethernet device-count 1

# set interfaces ae0 unit 0 family ethernet-switching

# delete interfaces ge-0/0/0 unit 0

# delete interfaces ge-0/0/10 unit 0

# set interfaces ge-0/0/0 ether-options 802.3ad ae0

# set interfaces ge-0/0/10 ether-options 802.3ad ae0

LAG(Link Aggregation Group)の作成 ②LAGにLACPを設定します。

– LACPオプションの追加し、commitします。

LAGの正常性を確認します。

– LAGの状態を確認

• ae0がAdmin up, Link upのステータスであること

– LACPの状態を確認

• LACP protocolが以下の状態になっていること

– Receive State: Current

– Mux State: Collecting distributing

> show interfaces ae0

> show interface terse

# set interfaces ae0 aggregated-ether-options lacp active periodic fast

> show lacp interfaces ae0

VLANを作成し、アクセスポートを設定

VLANを作成し、インタフェースへの適用を行います。

– VLAN作成

• Topologyを参照し、機器が所属するVLAN を作成する

– インタフェースをaccess portに設定し、VLANに参加させる

lab@Tokyo# set vlans vlan10 vlan-id 10



lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode access

lab@Tokyo# set interface ae0 unit 0 family ethernet-switching vlan members vlan10

lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching interface-mode access

lab@Tokyo# set interface ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20

lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching interface-mode access

lab@Tokyo# set interface ge-0/0/2 unit 0 family ethernet-switching vlan members vlan100

Vlan & Interface : Sample Configuration

set vlans vlan10 vlan-id 10



set interfaces ae0 unit 0 family ethernet-switching interface-mode access

set interfaces ae0 unit 0 family ethernet-switching vlan members vlan10

set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access

set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members vlan20












Tokyo

Nagoya

Vlan & Interface : Sample Configuration



















Osaka

Fukuoka

VLANにIRBインタフェースを追加

VLANにIRB(Integrated Routing and Bridging=L3 vlan interface)を設定します。

VLANインタフェースにアドレスを追加

Topologyを参照し、該当するVLAN interfaceを作成してアドレスを設定する

VLANに対してL3インタフェースをひもづける

RSTPのdisable

デフォルトで動作しているRSTPは必要なくなったため、設定を削除する

lab@Tokyo# set interfaces irb unit 10 family inet address 10.1.1.x/24



lab@Tokyo# set vlans vlan10 l3-interface irb.10



lab@Tokyo# delete protocols rstp

IRB : Sample Configuration

set vlans vlan10 l3-interface irb.10






delete protocols rstp








Tokyo

Nagoya

IRB : Sample Configuration















Osaka

Fukuoka

インタフェース/VLAN/LACP動作確認

インタフェース, VLAN, LACPの確認コマンドで正常性を確認します。

隣接機器に対してpingを実施し、応答があることを確認します。

• ping [隣接機器のIRB IPアドレス]

– Ctrl+Cで停止

> show interfaces (terse)

> show ethernet-switching interfaces

> show vlans (detail)

> show lacp interfaces

※参考: VLANを作成し、トランクポートを設定する場合

VLANを作成し、インタフェースへの適用を行います。

– VLAN作成

• VLAN を作成する

– インタフェースをtrunk portに設定し、複数のVLANを参加させる




lab@Tokyo# set interface ae0 unit 0 family ethernet-switching interface-mode trunk




※本トレーニングコースのラボ構成にはTrunk Portの設定は出てきませんので、ここでは参考までに設定の方法を記載しています。実機には投入しないでください。

※参考: Legacy Layer2 Switchingモデルの場合

Legacy L2 Switchingモデル（SRX100～650、EX2200～EX4550など）の場合、一部、L2設定周りのCLIが異なり、以下のような設定方法となります。




set interfaces ae0 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/1 unit 0 family ethernet-switching port-mode access


set interfaces ge-0/0/2 unit 0 family ethernet-switching port-mode access


set vlans vlan10 l3-interface vlan.10



set interfaces vlan unit 10 family inet address 10.1.1.1/24




LAB.3 Routingの設定OSPF / Redistribute Static

Ethernet Switching "EX/QFX" courseTopology (Lab.3：ルーティングの設定)

ge-0/0/0

ge-0/0/10

ge-0/0/1

.1 .2

.3 .4ge-0/0/1

ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-X


Fukuoka-X

10.3.1.0/24(VLAN ID:30)

10.2.1.0/24 (VLAN ID:20)

10.4.1.0/24(VLAN ID:40)

10.1.1.0/24(VLAN ID:10) 172.16.2.0/24


irb.10

irb.10

irb.20 irb.20

irb.30 irb.30

irb.40

irb.40

irb.100

irb.100

irb.200

irb.200

OSPF Area 0.0.0.0

1.1.1.1/32 2.2.2.2/32

4.4.4.4/323.3.3.3/32

Passive

Passive

Passive

Passive

Loopback address（全グループ共通）

Tokyo： 1.1.1.1/32 Nagoya： 2.2.2.2/32

Osaka： 3.3.3.3/32 Fukuoka： 4.4.4.4/32

ge-0/0/1

ge-0/0/1

ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

OSPFでのルーティング

OSPFの設定を行います。

– Loopbackアドレス(lo0)を設定する

– Router-idを設定する

– OSPFに参加させたいインタフェースを追加する

–

– Passiveインタフェースを設定する

lab@Tokyo# set interfaces lo0 unit 0 family inet address 1.1.1.1/32

lab@Tokyo# set routing-options router-id 1.1.1.1

lab@Tokyo# set protocols ospf area 0 interface lo0.0

lab@Tokyo# set protocols ospf area 0 interface irb.10

lab@Tokyo# set protocols ospf area 0 interface irb.20

lab@Tokyo# set protocols ospf area 0 interface irb.100 passive

OSPF : Sample Configurationset interfaces lo0 unit 0 family inet address 1.1.1.1/32

set routing-options router-id 1.1.1.1

set protocols ospf area 0 interface lo0.0

set protocols ospf area 0 interface irb.10


set protocols ospf area 0 interface irb.100 passive

Tokyo

set interfaces lo0 unit 0 family inet address 2.2.2.2/32






Nagoya







Osaka







Fukuoka

OSPFの動作確認①

OSPFのネイバーのステータスを確認

DR/BDRの確認

OSPF経由で学習した経路を表示

Loopbackアドレスを送信元にしてping, tracerouteを実行し全体に疎通できることを確認します

lab@Tokyo> show ospf neighbor

lab@Tokyo> show ospf interface

lab@Tokyo> show route

lab@Tokyo> ping <宛先address> source <自機のLo0 address>

lab@Tokyo> traceroute <宛先address>

OSPFの動作確認②

OSPF経由で学習した経路のみを表示

OSPFデータベース（AREAごと）

ルータがアドバタイズしているLSAを表示

lab@Tokyo> show route protocol ospf

Tokyo>show ospf database area 0

Tokyo>show ospf database router advertising-router <対向router-id> detail

OSPFでのルーティング

Static RouteのOSPFへのRedistributeを行います。

– DummyのStatic Routeを設定する

– Static RouteをExportするPolicyを作成する

– OSPFにExport Policyを適用する

lab@Tokyo# set routing-options static route 9.9.9.X discard

lab@Tokyo# set policy-options policy-statement EXPORT-OSPF from protocol static

lab@Tokyo# set policy-options policy-statement EXPORT-OSPF then accept

lab@Tokyo# set protocols ospf export EXPORT-OSPF

LAB.4 Firewall Filter (ACL) の設定

Ethernet Switching "EX/QFX" courseTopology (Lab.4：アクセスリストの設定)

ge-0/0/0

ge-0/0/10

ge-0/0/1

.1 .2

.3 .4ge-0/0/1

ge-0/0/0

ge-0/0/10

ge-0/0/2

ge-0/0/2

ge-0/0/2

ge-0/0/2

Osaka-X


Fukuoka-X

10.3.1.0/24(VLAN ID:30)

10.2.1.0/24 (VLAN ID:20)

10.4.1.0/24(VLAN ID:40)

10.1.1.0/24(VLAN ID:10) 172.16.2.0/24


irb.10

irb.10

irb.20 irb.20

irb.30 irb.30

irb.40

irb.40

irb.100

irb.100

irb.200

irb.200

①各EXで図のようにEXからEXへ、telnetアクセスを禁止してください

②me0にfilteringをかけて、FTPアクセスを禁止してください

ge-0/0/1

ge-0/0/1

ge-0/0/0

ge-0/0/10ge-0/0/0

ge-0/0/10

Firewall Filterチェック順序

• Firewall Filterのチェック順序 Port → VLAN → Routerの順序にてFFを実行し、Egressは逆の手順にてFFを実行する

• RouterのFFは、同一VLAN内のswitchパケットに適用できない

ge-1/0/0

ge-1/0/5

ge-1/0/1 ge-1/0/3 ge-1/0/4

VLAN FF

Router FF

Port FF

VLAN FF

Router FF

Switch

Rx Packet

Port FF

VLAN FF

Router FF

Input

Router FF

VLAN FF

Tx Packet

Output

Port FF

Firewall Filter設定

Port/VLAN-based FF Router-based FF

パケットは、termの上位からルックアップされるマッチしたtermのactionを実行してぬける最後に暗黙のdeny(implicit-rule)が隠れている

firewall {

family ethernet-switching {

filter <filter-name> {

term <term-name> {

from {

<match conditions>； }

}

then <actions defined>;

}

term implicit-rule {

then discard;

}

}

}

}

firewall {

family inet {

filter <filter-name> {

term <term-name> {

from {

<match conditions>； }

}

then <actions defined>;

}

term implicit-rule {

then discard;

}

}

}

}

①Firewall Filterを使用してtelnetを制御Firewall Filterを設定します。

Filterをae0インタフェースへ適用します。

Filterが有効なことを確認するため、telnetで隣接機器にアクセスします。

telnet以外の通信(ping, OSPF)は依然可能なことを確認します。

Filterでdiscardされたtelnetのカウンタを確認します。

set firewall family ethernet-switching filter deny_telnet term t10 from ip-protocol tcp

set firewall family ethernet-switching filter deny_telnet term t10 from destination-port telnet

set firewall family ethernet-switching filter deny_telnet term t10 then discard

set firewall family ethernet-switching filter deny_telnet term t10 then count telnet_count

set firewall family ethernet-switching filter deny_telnet term t20 then accept

set interfaces ae0 unit 0 family ethernet-switching filter input deny_telnet

lab@Tokyo> telnet 10.1.1.3

Trying 10.1.1.3...

[Ctrl+Cで停止]

> show firewall

②Firewall Filterを使用して管理インタフェースを制御

Firewall Filterを設定する

Filterをインタフェースへ適用する

コマンドプロンプトからFTPで管理IPアドレスにアクセスできなくなったことを確認します。Filterでdiscardされたtelnetのカウンタを確認します。

※EX, QFXシリーズ自身への通信を制御する場合、lo0およびme0(EX)・em0(QFX)へFFを適用する必要があります。

※SRX, MXシリーズ自身への通信を制御する場合、lo0のみにFirewall Filterを適用することで制御可能となります。(管理インタフェースfxp0への適用は不要)

set firewall family inet filter deny_ftp term t10 from protocol tcp

set firewall family inet filter deny_ftp term t10 from destination-port ftp

set firewall family inet filter deny_ftp term t10 then discard

set firewall family inet filter deny_ftp term t10 then count ftp_count

set firewall family inet filter deny_ftp term t20 then accept

set interfaces lo0 unit 0 family inet filter input deny_ftp

set interfaces me0 unit 0 family inet filter input deny_ftp

> show firewall

Virtual Chassisとは、

ジュニパーのイーサネット・ファブリック

ジュニパーの解決策：ソフトウェアの力で仮想的にシャーシ型スイッチをエミュレート

レガシーなシャーシ型スイッチ

ネットワーク管理者

仮想シャーシ型スイッチ（イーサネット・ファブリック）

Devices to Manage

= 1 !!!L2/L3 Local Switching !!!

L2/L3 Protocol HA& ISSU !!!

シャーシ型スイッチをソフトウェアでエミュレートすることでボックス型スイッチにシャーシ型スイッチと同等のメリットを付与し、さらに物理的な制約を受けない仮想シャーシならではのメリットを提供

旧来のシャーシ型スイッチとVirtual Chassis技術

シャーシ型スイッチのメリット高信頼性ハードウェア

– 冗長ルーティングエンジン– 冗長スイッチファブリック– 冗長電源ユニット– 冗長ファントレイ

管理の簡便性– シングルイメージ– 単一のコンフィグファイル– 単一のマネージメントIPアドレス

パフォーマンスとスケーリング– ハイパフォーマンス– 大容量のバックプレーン– モジュラー型構成

RE 1

RE 0

LAG 1

LAG 2

Max 10 RU

Virtual Chassisによる更なるメリット: 物理配置の柔軟性

低消費電力

最小構成からスタート可能

必要最低限のラックスペース確保

Virtual Chassis

10 Slots

Max 480Gbps BackplanePer line-card

Virtual Chassisのトポロジー最大10メンバーまでであれば、仮想バックプレーンによる接続を使用した自由なトポロジーでL2/L3ファブリックを構成することが可能

Braid Ring

Spine & Leaf

※接続方法は、筐体間の距離に応じてCopper (DAC/QSFP-DAC）かFiberから選択

Combination

Virtual Chassisの仮想バックプレーン

前面・背面のファイバー・イーサネット・ポートを自由に仮想バックプレーンに変換してVCを構成することが可能

EX3400シリーズ

EX4300シリーズ

QFX5100シリーズ

10G*N Gbps 仮想バックプレーン（VCポート）

40G*N Gbps 仮想バックプレーン（VCポート）

Virtual ChassisのHigh Availability機能

RE間で各種プロトコルのステータスをコピーし、フェイルオーバーに備えることで障害時におけるL2/L3プロトコルへの影響を最小化

Kernel、FowardingTable、interface infoL3 Protocol State & L2 Protocol State

OSPF・BGP neighbor(L3 Protocol)

Member0 :RE 1

Member1 :LC 2

Member2:RE 0

Member3 :LC 3

Master RE

Backup RE

Master REに障害が発生しても無停止でプロトコル継続運用が可能な

Non Stop Routing（NSR）およびNon Stop Bridging（NSB）

LACP・xSTP neighbor(L2 Protocol)

Virtual ChassisのOSバージョンアップ

管理者によるUpgradeコマンドの発呼後、各RE、Linecardと順に再起動して新OSを反映するため、ラインカード跨ぎのインタフェースの保護構成を取ることとNSR/NSBとの併用でOSアップグレード時の影響を最小化することが可能

※すべての環境で1秒以内のダウンタイムを保証するものではありません。環境に応じた事前の検証をお勧めします。

Member0 :RE 1

Member1 :LC 2

Member2:RE 0

Member3 :LC 3

Master RE

Backup RE

Non Stop Software Upgrade（NSSU）により管理者は、コマンド一行で

システムダウンタイムを約1秒以内の想定※でOSのバージョンアップを実行


request system softwarenon-stop-upgrade !!!

Reboot 1st

Reboot 2nd

Reboot 4th

Reboot 3rd

異なるメディアスピードのラインカードをVirtual Chassis内で収容可能なため1GbE から 10GbE サーバーへのシームレスな移行をサポート

EX4300 EX4300

1GbE servers

QFX5100

10GbE servers

Virtual Chassis Mixed Mode


Devices to Manage

= 1 !!!

QFX5100

40GbE storages

※EX3300,EX3400ではMixed Mode Virtual Chassisはサポートされません。

DC Interconnect

（MPLS）

The Internet

コアVCと10 member Braid Ring VCによる2階層構成（コスト重視構成）

Virtual Chassisの使用例＠DCネットワーク：その1


Switches to Manage

= ３ !!!

DC Edge Router（MX）

Load-Balancer

Service Gateway（SRX）

Core Switch（QFX5100 VC）

Access Switch（ EX4300 VC）

Access Switch（ QFX5100 VC）

40GbE*N LAG

10 member Braid Ring VCPer Row

40GbE*N LAG

異なるLCへのNIC Teaming

異なるLCへのLAG

10G Server1G Server


10G POD1G POD

DC Interconnect

（MPLS）

The Internet

コアVCと2 member VCによる2階層構成（パフォーマンス重視構成）



Load-Balancer



Access Switch （ EX4300 VCs）

Access Switch（ QFX5100 VCs）

2～10 member VCsper Rack

……


L2/L3冗長プロトコルの管理は必要なし！e.g. xSTP,MC-LAG,TRILL,VRRP,OSPF,,,

2～10 member VCsper Rack

10GbE*N LAG 40GbE*N LAG


1G Server


10G Server

10G POD1G POD


管理セグメントのシンプル化



ZTPやオーケストレーションなど、自動化の配備には管理セグメントの整備が重要！

Access Switch（ QFX5100 VCs）

10G POD

…

…1GbB Management Network

Management Switch（ EX3400 VC）


Building 2Building 1

Core

キャンパスNWを1台のスイッチで収容するソリューション

最大80kmまでをVirtual Chaissの10GbEバックプレーンで収容

STP を排除したネットワークデザイン

EX3300Virtual Chassis

中小エンタープライズ（450ユーザ位まで）におけるキャンパスを一つのEX3400 Virtual Chassisで収容する例

EX3400Virtual Chassisx2

Closet 1A Closet 2A Closet 3A Closet 4A

Building 3 Building 4




Virtual Chassis を複数のワイヤリングクローゼット、ビル間で構築することで、

アップリンクポートの削減

必要管理デバイス数の削減

High Availability Virtual Chassis

VRRPや複雑なルーティング、VLANの管理が不要

10Gig10Gig 10Gig

EX3400 Virtual Chassis

Building 2

Closet 2A Closet 2B

Building 1

Core

10GbE LAGによるワイヤリングクローゼットからのアップリンク

多数の3400バーチャル・シャーシを冗長性を持って収容

EX4600Virtual Chassis

EX4600 Virtual Chassis をキャンパスにおけるAggregation/Coreスイッチとして使用する例

EX4300VirtualChassisx10




Closet 1A Closet 1B

既存のアグリゲーション/コア・スイッチと比較して圧倒的なコストパフォーマンス

コストは1/8 に

パフォーマンスは4倍に

STP を排除したネットワークデザイン

VRRPや複雑なルーティング、VLANの管理が不要

EX4600 Virtual Chassis

STP VRRP

距離が離れたキャンパスネットワークを1セットのVirtual Chassisで収容する例

Campus-ECampus-C Campus-D

EX4300

x2

Campus-F

Campus-A Campus-B

Virtual Chassis

EX4300

x2

EX4300

x2

EX4300

x2

EX4600 EX4600

〜x00km

Virtual Integrated Remote Campus

EX4600 ＆ EX4300Mixed Virtual Chassis

距離が離れたキャンパスネットワークを一台の仮想シャーシで集約することが可能

最大で10台のスイッチまでを一つの仮想シャーシとして設定、管理運用が可能

物理的に離れたデバイスであっても論理的に統合可能

異なるプラットフォーム間でのバーチャルシャーシ接続（e.g. QFX5100 + EX4300）

コア、1G/10G/40Gアクセス、マネジメント規模やサービスレベルに応じた様々なVCを提供

まとめ：Virtual Chassisによるメリット

Industry-only

Industry-only

Industry-only

Industry-only

これにより拡張し続けるデータセンターのネットワークをシンプルに管理運用することが可能に！

Virtual Chassis Deep Dive

Virtual Chassis™ Backplane Cabling

• Longest Virtual Chassis cable spans the entire Virtual Chassis

– もっともシンプルな接続方法

– VCの高さ・幅はVCケーブルの最大長5m以内

Option 1 – Dedicated Virtual Chassis Daisy-Chained Ring

Option 2 – Dedicated Virtual Chassis Braided Ring

Longest Virtual Chassis cable spans three switches

• VCの高さ、幅を約23mまで拡張する接続方法

5m 23 m


• Extend height and/or width of Virtual Chassis by GbE or 10GbE uplinks

– オプティックスのサポートする距離まで拡張可能 (70km)

• Extend Virtual Chassis across:

– ワイヤリングクローゼットを越えた接続

– データセンター内ラックを越えた接続

– データセンターの列を越えた接続、など

Option 3 – Extended Virtual Chassis

10GbE or 40GbE Virtual Chassis Extension

10GbE or 40GbE Virtual Chassis Extension

Up to 80 km

Virtual Chassis Location #1

Dedicated Virtual Chassis Backplane

Virtual Chassis Location #2


• Extend height and/or width of Virtual Chassis by GbE uplinks

– オプティックスのサポートする距離まで拡張可能 (80km)

• Extend Virtual Chassis across:

– データセンター内ラックを越えた接続

– データセンターの列を越えた接続

– データーセンターのWANを越えた接続、など

Option 4 –Virtual Chassis Mesh

10/40GbE Virtual Chassis Extension

Up to 80 km

Virtual Chassisの接続方法について -1

VCを構成する際には、VCの仮想バックプレーン（VCP）同士を接続する必要があります。プラットフォームによって工場出荷時の状態でVCPが設定されているものとそうでないものがあります。

ファイバーのイーサネットポートをVCPにコンバートするコマンドは以下で実行可能です。必要に応じてVCPの設定追加・削除をした上でVC接続を行ってください。

EX3300シリーズ EX4300シリーズ QFX5100シリーズ

デフォルトのVCP（xe-0/1/2~3）デフォルトのVCP

（et-0/2/2~3）

ファイバー・イーサネットポート


デフォルトのVCP（なし）


request virtual-chassis vc-port set pic-slot <pic-slot> port <port-number> member <member-id>

request virtual-chassis vc-port delete pic-slot <pic-slot> port <port-number> member <member-id>

Virtual Chassisのコンポーネント“Master”, “Backup” および “Linecard”

– Master switch (active RE)– 相互接続された VC switchの1つのスイッチがマスターになります。

JUNOSを起動しておりVirtual Chassisの管理を実施します。• すべてのvirtual chassisを管理するデーモンおよびコントロールプロトコルを動作させる

• すべてのインタフェースを管理する、ハードウェアフォワーディングの管理を実施

– Backup switch (backup RE)– 相互接続された VC switchの1つのスイッチがバックアップになります。

JUNOSを起動しておりバックアップとしてマスターと連携を実施します。• GRES使用時は、RE0とハードウェアフォワーディングテーブルの同期をとっている

• RE0が故障した場合にRE0に変わり、シャーシの管理やインタフェース管理を実施

– “Linecard” switch (Linecard)– その他のメンバーになっているスイッチはすべてラインカードになります。

JUNOSを起動しておりラインカードとして動作している。• Non Preprovisioned Modeの場合、マスターかバックアップが故障した場合,ラインカードのひとつが新しいバック

アップとして動作します

Virtual Chassisの構成方法について-1

VCを構成する際には、Plug-and-PlayでのVC構成を提供する“Non-Preprovisioned mode”と最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。

Non-preprovisoned Configuration‐ マスター･セレクション・アルゴリズムにより自動的にVCを構成することが可能

Master-ship priority値や起動順序により、master/backup/linecardを決定

Master/BackupREは, master-ship priority 255を推奨

‐ REの障害時には、Linecard役の中から1台がREに昇格する

Preprovisoned Configuration‐ 明示的にREやLinecardに指定したスイッチを作成することにより、より明示的な運用の実現とAdvanced Licenseの消費を抑えることが可能

※ NSSUはPreprovisioned Configurationでのみサポート


より簡易性が求められるネットワークへのデプロイ時には“Non-Preprovisioned mode”でVCを構成します。“Non-Preprovisioned mode”では予め設定されたルールに基づき、どの筐体がRouting Engineの役割を担うか自動的に計算されてVCが構成されます。

• マスターRE（RE0）選定

起動するときにはすべてのスイッチで以下項目比較の元、マスターの選定が行われる

Master 選定の優先順位:

1．マスターシップの優先順位が最も高い (0－255までの優先順位、デフォルト値は 128)

2．以前動作していたときにマスターに選定されていた

3．起動している時間が長い (起動している時間が1分以上違う場合)

4．MAC アドレスの小さいほう

※マスターが選定された後、マスターREと同じ選定方式により、バックアップREスイッチの選定が実施される

• Linecard

バーチャル・シャーシを構成する残りのスイッチは、ラインカードとして動作

マスター、バックアップが何らかの理由によりフェイルした場合、マスターREと同じ選定方式によりラインカードからバックアップスイッチの選定を実施

> set virtual-chassis member <member-id> mastership-priority <priority 1-255>

set virtual-chassis preprovisioned

set virtual-chassis member 0 role routing-engine

set virtual-chassis member 0 serial-number 111111111111

set virtual-chassis member 1 role line-card


set virtual-chassis member 2 role line-card


set virtual-chassis member 3 role routing-engine



より高いSLAが求められるネットワークへのデプロイ時には“Preprovisioned mode”でのVC構成を推奨されます。“Preprovisioned mode”では設定によりシリアルでのハードウェアとRole管理によるより安定した運用と、OSアップグレード時にミニマムなダウンタイムでの実施完了を期待できるNSSU（Non Stop Software Upgrade）サービスが提供されます。

Preprovisioned modeを宣言

各筐体毎のシリアルNo.を投入

任意の筐体2台でRouting-Engine Roleを宣言、その他の筐体のRoleはすべてLinecard

root@Juniper> show virtual-chassis ?


<[Enter]> Execute this command

active-topology Virtual chassis active topology

device-topology PFE device topology

login

mode Virtual chassis mode information

protocol Show virtual chassis protocol information

status Virtual chassis information

vc-path Show virtual-chassis packet path

vc-port Virtual chassis port information

| Pipe through a command

{master:0}

Virtual Chassisの確認方法について-1

lab@lab> show virtual-chassis?

root> show virtual-chassis status

Virtual Chassis ID: 0019.e255.3740

Mastership Neighbor List

Member ID Status Serial No Model priority Role ID Interface

0 (FPC 0) Prsnt BM0208124253 ex4200-24t 128 Master* 1 vcp-0

2 vcp-1

1 (FPC 1) Prsnt BM0208124327 ex4200-24t 128 Backup 2 vcp-0

0 vcp-1

2 (FPC 2) Prsnt BM0208124235 ex4200-24t 128 Linecard 0 vcp-0

1 vcp-1

Member ID for next new member: 3 (FPC 3)


“show virtual-chassis status”コマンドにて構成されたVCの状態を確認することが可能です。

root> show virtual-chassis status

Preprovisioned Virtual Chassis

Virtual Chassis ID: 0019.e255.3740

Mastership Neighbor List

Member ID Status Serial No Model priority Role ID Interface

0 (FPC 0) Prsnt BM0208124253 ex4200-24t 129 Master* 1 vcp-0

2 vcp-1

1 (FPC 1) Prsnt BM0208124327 ex4200-24t 129 Backup 2 vcp-0

0 vcp-1

2 (FPC 2) Prsnt BM0208124235 ex4200-24t 0 Linecard 0 vcp-0

1 vcp-1

Non-Preprovisioned Modeの場合、DefaultではすべてのメンバーのMastership Priorityは128となる（REはマニュアルで255に変更することを推奨）

Preprovisioned Modeの場合、REのMastership Priorityが129となり、LinecardのMastership Priorityは0となる

root@Juniper> show virtual-chassis vc-port

fpc0:

--------------------------------------------------------------------------

Interface Type Trunk Status Speed Neighbor

or ID (mbps) ID Interface

PIC / Port

vcp-0 Dedicated 2 Up 32000 1 vcp-1


1/0 Configured -1 Up 1000 1 vcp-255/1/1


fpc1:

--------------------------------------------------------------------------



PIC / Port



1/0 Configured -1 Up 1000


fpc2:

--------------------------------------------------------------------------

…


“show virtual-chassis vc-port”コマンドにてVCバックプレーンの状態を確認することが可能です。

Virtual Chassis Mixed Mode

EX4300EX4600QFX5100

QFX5100,EX4600,EX4300などにおいては、異なるメディアのプラットフォームを1台のVCとして構成させることも可能です。

その場合はVCに組み込む前に以下のコマンドでVCのMixed Modeを宣言して機器をRebootする必要があります。Mixed Mode VCはVCを構成するメンバー全ての筐体で宣言する必要が有ります。

request virtual-chassis mode mixed

request system reboot

Virtual Chassisへのアクセスについて -1

Virtual Chassisを構成すると、複数台のスイッチが1台の仮想シャーシ型スイッチとして動作します。VCへのアクセスはConsole接続経由とネットワーク経由と二種類の選択肢がありますが、それぞれ以下の様な概念で動作しています。

・コンソールアクセスネットワーク管理者は任意のラインカード上のコンソールポートに接続すると、接続コネクションが内部的にMaster REにリダイレクトされる。つまり物理的な場所を気にする必要なくREにアクセスすることが可能です。


Member2 :LC 2

Member3 :LC 3

Member4 :LC 4

Console

Master RE

Backup RE

Virtual Chassisへのアクセスについて -2

・ネットワークアクセス仮想管理アドレスであるVME（Virtual Management Ethernet）にIPアドレスを付与することでMaster REがVMEアドレスへのアクセス要求に返答を行います。これによりひとつのIPアドレスで仮想シャーシへのネットワークアクセスが提供されます。

ケーブリングはMaster REになりうる2つの筐体でのみリンクアップさせておけば他は不要です。


Member2 :LC 2

Member3 :LC 3

Member4 :LC 4

SSH,Telnet,FTP,etc…Master RE

Backup RE

mgmt

mgmt

管理セグメント

set interface vme unit 0 family inet address <address/mask>

set chassis redundancy graceful-switchover

set routing-options nonstop-routing

set ethernet-switching-options nonstop-bridging

set system commit synchronize

set chassis redundancy graceful-switchover

set routing-options nonstop-routing

set protocols layer2-control nonstop-bridging

set system commit synchronize

Virtual ChassisのHA機能について

Routing Engine（RE）の障害時に出来る限り高速な切り替わりを提供するためには、以下の4行の設定投入をしておく必要があります。VCの初期構成時点で使用しているL2/L3プロトコルの種類に限らずこの4行の設定は無条件に投入しておくことをおすすめします。

EX3400/4300/EX4600/QFX5100シリーズ

EX3300シリーズ

KernelやInterface、L2/L3テーブルをRE間で同期

L3のプロトコルステータスをRE間で同期

L2のプロトコルステータスをRE間で同期

おまじない

Virtual Chassis バックプレーン増強について

同一VCメンバー間で複数の仮想バックプレーン（VCP）が接続されたことをVCが認識すると、その間は自動的にLAGが構成され、バックプレーン帯域がリンク数＊Nへと増強されていきます。この際、設定は特に必要ありません。

Virtual Chassisに関するドキュメント

以下にVirtual Chassisを解説する各種資料がありますので、必要に応じてご参照ください。

・Linkshttps://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathway-pages/qfx-series/virtual-chassis.pdf

https://www.juniper.net/techpubs/en_US/junos14.1/topics/concept/virtual-chassis-ex-qfx-series-mixed-understanding.html

・Whitepaperhttp://www.juniper.net/us/en/local/pdf/whitepapers/2000427-en.pdf

・Day One Bookshttp://hydra.ck.polsl.pl/~helot/ipad/DayOne-Book/Configuring%20EX%20Series%20Switches.pdf

https://www.juniper.net/techpubs/en_US/junos14.1/information-products/pathway-pages/qfx-series/virtual-chassis.pdf

http://www.juniper.net/us/en/local/pdf/whitepapers/2000427-en.pdf

http://hydra.ck.polsl.pl/~helot/ipad/DayOne-Book/Configuring EX Series Switches.pdf

Virtual Chassisに関するドキュメント

• Virtual Chassis for Cloud Builders

http://www.slideshare.net/JuniperJapan/vc4-cb-201505

Virtual Chassisの使い方や内部動作詳細を日本語で解説！

http://www.slideshare.net/JuniperJapan/vc4-cb-201505

LAB.5 Virtual Chassis の設定

Ethernet Switching "EX/QFX" courseTopology (Lab.5：Virtual Chassisを構成)

Tokyo

Nagoya

Osaka

Fukuoka

※EX3400シリーズは工場出荷状態では2つの40GbEインタフェースがVC Portとしてデフォルトで設定されています。本トレーニングではケーブルの都合上、4つの10GbEインターフェイスのうち老番の2ポートをVC Portとして事前設定してあります。

0 1 2 3

10GbE（xe-0/2/0-1）

VCP（xe-0/2/2-3 configured）

● ●VCP（Factory Default)

EX3400 Rear View

VC事前確認①

VCを構成する前に、単体のEXで以下のことを事前確認してください。

• Member-idが”0”であること

• Member ID for next new memberが”1” であること

• Mixed modeが”N”または”NA”となっていること

• Master priorityが”128”であること

• Config上にvirtual-chassisに関連する設定が何も入っていないこと

EXのJunos SWバージョンが他のメンバーと同一であること

> show virtual-chassis

Virtual Chassis ID: 2d90.26d8.22f2

Virtual Chassis Mode: Enabled

Mstr Mixed Neighbor List

Member ID Status Serial No Model prio Role Mode ID Interface

0 (FPC 0) Prsnt BR0208392392 ex4200-24t 128 Master* N

Member ID for next new member: 1 (FPC 1)

# show virtual-chassis

VC事前確認② EX3400

VCに使用するポートの設定を確認します。

• 2つのポート2/2, 2/3がVC Portに設定されていること

• TypeがConfiguredと表示されていること

• StatusがAbsent, またはDownであること

{master:0}

lab@EX3400> show virtual-chassis vc-port

fpc0:

--------------------------------------------------------------------------



PIC / Port

2/3 Configured Absent




①VC Basic Setup (non pre-provisioned)

・Tokyo以外のスイッチで、電源をOFFにします。

・（Tokyoのみ）VC管理用インタフェースとしてme0の設定をvmeに移しておきます。

・TokyoとNagoyaのVC Portを接続し、Nagoyaの電源をONにします。TokyoがMasterに選定されますので、TokyoのIPアドレスに接続しなおします。

・同様に、Osaka、Fukuokaをそれぞれ順に接続し、電源を起動します。

root> request system halt at now

# rename interfaces me0 to vme

# commit

①VC基本構成確認

以下のコマンドでVCのステータスを確認します。

以下のコマンドでVCメンバーの機器にログインできます。

> show virtual-chassis status

> show virtual-chassis vc-port

> show virtual-chassis login

> request session member <member-id>

②mastership priorityの変更 (non pre-provisioned)

• Mastership Priorityを変更して、任意のEXをMaster RE、Backup REに指定します。

• 以下の設定はMasterとなっているスイッチで実行してください。

Master Priority =255


0

1

2

3

root# set virtual-chassis member 0 mastership-priority 255

root# set virtual-chassis member 2 mastership-priority 255

Root# commit synchronize

②mastership priorityの変更 (non pre-provisioned)

Mastership Priorityが変更され、ステータスが更新されたことを確認します。

TokyoとNagoya間のVCケーブルを抜去し、ステータスやVCポートの遷移を確認します。



0

1

2

3

root> show virtual-chassis

root> show virtual-chassis vc-port statistics

root> show virtual-chassis

③Virtual Chassisのリセット

• VCを解体して、4台の個別なスイッチに戻す

• VCPケーブルを抜き、各スイッチでステータスを確認

解体後、で以下コマンドを実行して各種VC情報を消去（以下はBackup-RE の例）

Pre-Master REmember-id 0

Pre-Backup REmember-id 2

Pre line-cardmember-id 1

Pre line-cardmember-id 3

0

1

2

3

root> request virtual-chassis reactivate

root> request virtual-chassis recycle member-id 0



root> request virtual-chassis renumber member-id 1 new-member-id 0

④Pre-provisioning configuration

• VCをPreprovision Configurationで構成する

• Master REに以下の設定を投入後、各メンバーのVCポートを接続

シリアル番号は適宜修正をしてください。

root# set virtual-chassis preprovisioned

root# set virtual-chassis member 0 role routing-engine

root# set virtual-chassis member 0 serial-number xxxxxxxxxxxx

root# set virtual-chassis member 1 role line-card


root# set virtual-chassis member 2 role line-card


root# set virtual-chassis member 3 role routing-engine


Role = Routing Engine


0

1

2

3

⑤Virtual Chassis HA

• RE間のテーブルやプロトコルの同期設定を行うことで、RE障害のダウンタイムを軽減する



0

1

2

3

root# set chassis redundancy graceful-switchover

root# set routing-options nonstop-routing

root# set protocols layer2-control nonstop-bridging

root# set system commit synchronize


• OSPFの設定をVC-1・VC-2に投入した後に、Master REをHaltしてNSRの効果を確認する



0

1

2

3



0

1

2

3

VC-1 (192.168.1.1) VC-2 (192.168.1.5)

ae0(ge-1/0/23)

ae0(ge-2/0/23)

ae0(ge-1/0/23)

ae0(ge-2/0/23)

ae0 10.1.1.x/24

Lo0: 1.1.1.1/32 Lo0: 2.2.2.2/32

set chassis aggregated-devices ethernet device-count 1

set interfaces ge-1/0/23 ether-options 802.3ad ae0


set interfaces ae0 unit 0 family inet address 10.1.1.1/24



set protocols ospf area 0.0.0.0 interface ae0.0

set protocols ospf area 0.0.0.0 interface lo0.0


• 設定サンプル




set interfaces ae0 unit 0 family inet address 10.1.1.2/24



set protocols ospf area 0.0.0.0 interface ae0.0

set protocols ospf area 0.0.0.0 interface lo0.0

VC-1 (192.168.1.1)

VC-2 (192.168.1.5)

{master:0}[edit]

root@Tokyo-1# run request system reboot member 0 at now

Reboot the system at now? [yes,no] (no) yes


• 確認方法（VC-1のMaster REをRebootしたときに、対向のVC-2側のOSPF neighborが切れないことを確認）

{master:0}[edit]

root@Tokyo-2# run show ospf neighbor detail

Address Interface State ID Pri Dead

10.1.1.1 ae0.0 Full 1.1.1.1 128 38

Area 0.0.0.0, opt 0x52, DR 10.1.1.2, BDR 10.1.1.1

Up 00:03:24, adjacent 00:03:24

VC-1 (192.168.1.1)

VC-2 (192.168.1.5)

⑥Virtual Chassis の目視での確認方法

• Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。

QFX5100の場合 SYS (System)

MST (Master)

• 消灯：システムがパワーオフ、もしくはHalt状態• 点灯：JUNOSがスイッチ上で動作している状態• 点滅：以下のうちどれかの状態

• Virtual Chassis（VC）のメンバースイッチ• Virtual Chassis Fabric（VCF）のメンバースイッチ

• 消灯：VC/VCFのLinecardとして動作• 点灯：以下のうちどれかの状態

• スタンドアローンスイッチ• VCのMaster REスイッチ• VCFのMaster REスイッチ

• 点滅：以下のうちどれかの状態• VCのBackup REスイッチ• VCFのBackup REスイッチ

⑥Virtual Chassis の目視での確認方法

• Virtual Chassisの状態はStatus LEDを目視することで状態の確認を行うことが可能です。

EX3400/EX4300の場合 SYS (System)

MST (Master)

• 点灯：JUNOSがスイッチ上で動作している状態• 点滅：スイッチが起動中の状態• 消灯：システムがパワーオフ、もしくはHalt状態

• Standaloneの場合• 消灯：システムがパワーオフ、もしくはHalt状態• 点灯：JUNOSがスイッチ上で動作している状態

• Virtual Chassisの場合• 点灯：VCのMaster REスイッチ• 点滅：VCのBackup REスイッチ• 消灯：VCのLinecardスイッチ、もしくはHalt状態

TIPs to be JUNOS Experts

俳句の表示

検証作業やトラブルシュートに疲れたときには、JUNOSに前向きな気持ちの言葉を表示させ、管理者の気持ちを和らげることが可能です

root> show version and haiku

※コマンドを打つ度、異なった前向きなポエムが表示される


Model: ex2200-c-12p-2g

Junos: 14.1X53-D25.2

JUNOS EX Software Suite [14.1X53-D25.2]

JUNOS FIPS mode utilities [14.1X53-D25.2]

JUNOS Online Documentation [14.1X53-D25.2]

JUNOS EX 2200 Software Suite [14.1X53-D25.2]

JUNOS Web Management Platform Package

[14.1X53-D25.2]

Look, mama, no hands!

Only one finger typing.

Easy: commit scripts.



Junos: 14.1X53-D25.2






[14.1X53-D25.2]

Juniper babies

The next generation starts

Gotta get more sleep



Junos: 14.1X53-D25.2






[14.1X53-D25.2]

Weeks of studying,

Days of lab exercises:

JNCIE.

設定のコピー

• copy コマンドにより特定の設定をコピーすることが可能


ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/26;

root# copy interfaces ge-0/0/1 to ge-0/0/0


ge-0/0/0 {

unit 0 {

family inet {

address

192.168.1.1/26;

ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/26;

ge-0/0/1の設定をge-0/0/0へコピー

設定の書き換え

• rename コマンドにより設定したvariable やエレメントを書き換えることも可能

ge-0/0/0のaddressを192.168.2.1/26へ変更

root# rename interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/26 to address 192.168.2.1/26


ge-0/0/0 {

unit 0 {

family inet {

address

192.168.1.1/26;

ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/26;


ge-0/0/0 {

unit 0 {

family inet {

address

192.168.2.1/26;

ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/26;

設定の項目の置換

• replace コマンドにより設定内の文字列を置換することも可能

ge-0/0/0のaddressを192.168.2.1/26へ変更

root# replace pattern /26 with /24


ge-0/0/0 {

unit 0 {

family inet {

address

192.168.2.1/26;

ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/26;


ge-0/0/0 {

unit 0 {

family inet {

address

192.168.2.1/24;

ge-0/0/1 {

unit 0 {

family inet {

address

192.168.1.1/24;

activate/deactivate

• deactivateコマンドを使うことで、設定の一部を削除することなく無効にすることが可能なので、障害時の切り分けなどに便利

192.168.1.2/24を無効化

root# deactivate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24


ge-0/0/1 {

unit 0 {

family inet {

address 192.168.1.1/24;

address 192.168.1.2/24;


ge-0/0/1 {

unit 0 {

family inet {

address 192.168.1.1/24;

inactive: address 192.168.1.2/24;

192.168.1.2/24の無効化を解除（有効化）

root# activate interfaces ge-0/0/1 unit 0 family inet address 192.168.1.2/24

wildcard range set/delete -1

• wildcard rangeコマンドを使用することで、インタフェースなど複数の対象に対して同じ設定内容を適用することが簡単に可能


root#

root# wildcard range set interfaces ge-0/0/[0-3,5,!2] mtu 9000


ge-0/0/0 { mtu 9000; }

ge-0/0/1 { mtu 9000; }

ge-0/0/3 { mtu 9000; }

ge-0/0/5 { mtu 9000; }

ge-0/0/0-1,3,5のMTU設定が一括で投入されている

[0-3, 5, !2] ⇒ 0～3と5、ただし2は除く

wildcard range set/delete -2

• 同様にDeleteも可能

root# wildcard range delete interfaces ge-0/0/[0-1] mtu


ge-0/0/0 { mtu 9000; }

ge-0/0/1 { mtu 9000; }

ge-0/0/3 { mtu 9000; }

ge-0/0/5 { mtu 9000; }


ge-0/0/3 { mtu 9000; }

ge-0/0/5 { mtu 9000; }

interface-range -1

• interface-rangeを使用することで、複数のインタフェースをグループ化して共通の設定を行う事が可能。この設定はwildcardと異なりコンフィグ内に保持される為、一度作成してしまえば様々な設定に対する繰り返しの利用が可能


root#

root# set interfaces interface-range CLIENTS member-range ge-0/0/0 to ge-0/0/1

root# set interfaces interface-range CLIENTS member ge-0/0/3

root# set interfaces interface-range CLIENTS mtu 9000


interface-range CLIENTS {

member ge-0/0/3;

member-range ge-0/0/0 to ge-0/0/1;

mtu 9000;

}

CLIENTSというメンバーに入っている、ge-0/0/0-1,3のMTUを一括設定

interface-range -2

• Range内の個別インタフェース毎に特有の設定を追加することも可能

root# set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/24


interface-range CLIENTS {

member ge-0/0/3;


mtu 9000;

}

CLIENTSというメンバー共通でない設定をIF単体に設定設定


interface-range clients {

member ge-0/0/3;


mtu 9000;

}

ge-0/0/0 {

unit 0 {

family inet {

address 10.0.0.1/24;

}

}

}

階層間の移動 -1

同じ階層の設定を複数作成する際は階層を移動することで作成する構文を省略することが可能です

例1: FWフィルタの設定(topの階層から設定)

[edit]

set firewall family inet filter FW-FILTER term BLOCK from source-address 10.10.10.0/24

set firewall family inet filter FW-FILTER term BLOCK from destination-address 192.168.1.0/24

set firewall family inet filter FW-FILTER term BLOCK from dscp cs5

set firewall family inet filter FW-FILTER term BLOCK from port https

set firewall family inet filter FW-FILTER term BLOCK from port http

# show firewall

family inet{

filter FW-FILTER{

term BLOCK{

from{

source-address{

10.10.10.0/24;

}

destination-address{

192.168.1.0/24;

}

dscp cs5;

port[ https http ];

}

}

}

}

※設定を投入する際は繰り返しset firewall family…fromと入力する必要がある

# show firewall

family inet {

filter FW-FILTER {

term BLOCK {

from {

source-address {

10.10.10.0/24;

}

destination-address {

192.168.1.0/24;

}

dscp cs5;

port [ https http ];

}

}

}

}

[edit firewall family inet filter FW-FILTER term BLOCK from]

set source-address 10.10.10.0/24

set destination-address 192.168.1.0/24

set dscp cs5

set port https

set from port http


例2: FWフィルタの設定(firewall filter FW-FILTER term BLOCK fromの階層から設定)

※設定を投入する際はfirewall family…fromまでを省略して入力することができる

※コマンド入力時、set や delete、show の前に top や up <階層数> を入れると今いる階層から移動せずに今いる階層を無視して入力・表示することができる


• 階層間は、editコマンドで移動することができます

• exit：直前にいたレベルに戻ります• TOPでEXITを実行すると、Operationalモードに戻ります

• OperationalモードでEXITを実行すると、システムからLogoutします• Shellモードから`cli`でOperationalモードに移動した場合は、Shellモードに戻ります

• up:一つ上のレベルに移動します

• top：最上位のレベルに移動します

# show firewall

family inet{

filter FW-FILTER{

term BLOCK{

from{

source-address{

10.10.10.0/24;

}

destination-address{

192.168.1.0/24;

}

dscp cs5;

port[ https http ];

}

}

}

}

Top

Down

Editで

階層

を指

定

Topで

最上

位へ

upで

一つ

上へ

※top edit や up <階層数> edit と入れると１回の入力で今いる階層から任意の階層に移動することができる

Automatic Configuration Archival

• Automatic Configuration Archival機能を使用することで、自動的に最新のコンフィグをリモートのFTP/SCPサーバにバックアップすることが可能

• アップロードのタイミングは、コミットの度もしくは一定時間毎のいずれか、あるいは両方を選択可能

1. コミットの度にリモートのサーバにコンフィグをバックアップする設定:

user@Junos# set system archival configuration transfer-on-commit

user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP-

server-ip/directory

2. 一定時間おきにリモートのサーバにコンフィグをバックアップする設定:

(例: 1440分 = 24時間おき)

[

user@Junos# set system archival configuration transfer-interval 1440

user@Junos# set system archival configuration archive-sites ftp:// loginname:loginpassword@FTP-

server-ip/directory

annotate

• annotateコマンドを使うと、自由に注釈をつけることが可能、テスト時・運用時などに便利

今いる階層の直下にあるコンフィグアイテムが対象、注釈内容はコンフィグアイテムの上部に/* XXXX */と書かれる

root# annotate interfaces ge-0/0/0 “borrowed the cable directory from Yoshida-san”

[edit]

lab# edit routing-instances

[edit routing-instances]

lab# annotate cust-1 "L3VPN test"


lab# edit cust-1

[edit routing-instances cust-1]

lab# annotate protocols

Don'tForgetInjectDirectRoute

[edit routing-instances cust-1]

lab# up


lab# show

/* L3VPN test */

cust-1 {

instance-type vrf;



route-distinguisher 192.168.1.1:1001;

vrf-target target:64512:1001;

vrf-table-label;

/* Don'tForgetInjectDirectRoute */

protocols {

bgp {

group cust-1 {

description "Receive-Routes 1000"

（snip）

※コメント内容にスペース(空白)が含まれるときはコメント両端を引用符(" ")でくくる※コメントを消すときは annotate xxxx "" というように引用符("")で上書きする※show configuration | display set では表示されない※コンフィグを張り付けるときに直接 /* xxxx */ 構文を挿入できる

機器の初期化

Junos機器を初期化する手法は主に以下の3つ

• Configuration modeで load factory-default

• 実行すると、Candidate Configurationにデフォルトの設定がロードされる

• 実際に初期設定に戻すには、rootパスワードの設定とCommitが必要となる

• 設定のみを戻したいときに有効で、ログや過去のConfig(rollback)などは削除されない

• Operation modeで request system zeroize

• 実行すると、全ての設定やログ、ユーザの作成したファイルが削除され、再起動する

• システムファイルは削除されない

• USBメモリやCFからのFormat install

• USBメモリやCFにJunosイメージを書き込み、ブートローダーからJunosを再インストールする

• システムファイルを含むディスク上の全てのデータが削除され、新たにJunosがインストールされる

• 実行方法は機種によって異なり、JTACから指示された場合を除き、一般的に使用する必要はない

コントロールパケットのキャプチャ

以下のコマンドを使用することにより、コントロールパケット(REが受信するパケット)をキャプチャする事が可能

• このコマンドでキャプチャできるパケットは、PFEで処理されずREで処理されるパケットに限られる

• ICMP Echo(ping)等、PFEによってオフロード処理されるパケットは表示されないので注意

• パケット内容の詳細まで確認したい場合は extensive オプションなどを使用する

root> monitor traffic interface xe-1/2/0.0

verbose output suppressed, use <detail> or <extensive> for full protocol decode

Address resolution is ON. Use <no-resolve> to avoid any reverse lookup delay.

Address resolution timeout is 4s.

Listening on xe-1/2/0.0, capture size 96 bytes

11:39:06.772930 Out IP truncated-ip - 11 bytes missing! 192.168.1.1.bgp > 192.168.1.2.32794: P

635171747:635171766(19) ack 995070346 win 16384 <nop,nop,timestamp 3971359530 2610569>: BGP,

length: 19

11:39:06.803191 In IP 192.168.1.2.32794 > 192.168.1.1.bgp: . ack 19 win 5360 <nop,nop,timestamp

2637232 3971359530>

…

…

groups/apply-groups

設定の一部をgroupという形で切り出し、apply-groupsで任意の階層に適用する事が可能

• 例: 全てのOSPFインタフェースのHello-IntervalとDead-Intervalを変更

root# show groups

OSPF_COMMON {

protocols {

ospf {

area <*> {

interface <st*> {

hello-interval 5;

dead-interval 20;

}

}

}

}

}

root# show protocols ospf

apply-groups OSPF_COMMON;

area 0.0.0.0 {

interface st0.1;

interface st0.2;

interface lo0.0 {

passive;

}

}

# show protocols ospf | display inheritance

area 0.0.0.0 {

interface st0.1 {

##

## '5' was inherited from group 'OSPF_COMMON'

##

hello-interval 5;

##


##

dead-interval 20;

}

interface st0.2 {

##


##

hello-interval 5;

##


##

dead-interval 20;

}

interface lo0.0 {

passive;

}

}

自動的に共通設定が適用される

※CommitしてもConfigはきちんとグループ化されたままとなる実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する

インタフェース名やエリア名、IPアドレス等のユーザが自由入力する値は<*>とすると全てに適用される

特定のインタフェースのみに適用したい場合などは、<st*> といったように一部の文字列を指定することも可能

prefix-list / apply-path

設定に含まれるIPアドレスから自動的にリストを生成し、Firewall Filterに適用することが可能

root# show protocols bgp

group GROUP-A {

neighbor 1.1.1.1;

neighbor 2.2.2.2;

}


ge-0/0/0 { unit 0 { family inet {

address 1.1.1.0/30;

} } }

ge-0/0/1 { unit 0 { family inet {

address 2.2.2.0/30;

} } }

fxp0 { unit 0 { family inet {

address 192.168.1.10/24;

} } }

root# show policy-options

prefix-list BGP-PEERS {

apply-path "protocols bgp group <*> neighbor <*>";

}

prefix-list LOCALNETS {

apply-path "interfaces <ge-*> unit <*> family inet

address <*>";

}

root# show policy-options | display inheritance

prefix-list BGP-PEERS {

##

## apply-path was expanded to:

## 1.1.1.1/32;

## 2.2.2.2/32;

##

apply-path "protocols bgp group <*> neighbor

<*>";

}

prefix-list LOCALNETS {

##

## apply-path was expanded to:

## 1.1.1.0/30;

## 2.2.2.0/30;

##

apply-path "interfaces <ge-*> unit <*>

family inet address <*>";

}

※実際に適用される設定を確認したい場合は、 show configuration | display inheritance コマンドを使用する

IPアドレスが自動的コピーされる

show configuration groups junos-defaults

暗黙の初期コンフィグを確認することが可能

user@host> show configuration groups junos-defaults## Defines the default for dynamic-profiles#dynamic-profiles {

<*> {variables {

junos-interface-unit {internal;valid-path "interface_unit_number|unit-number unit interface interface-set";

}junos-interface-ifd-name {

internal;valid-path "interface_name|interface-name interface interface-set|underlying-

interface";}junos-underlying-interface-unit {

internal;valid-path "interface_unit_number|unit-number unit interface interface-set";

}junos-underlying-interface {

internal;valid-path underlying-interface;

}junos-subscriber-ip-address {

internal;valid-path "source address inet|address demux-source inet|address source-address

from term fast-update-filter inet|address destination-address from term fast-update-filter inet|destination route";

}

(snip)

mike@juniper1> help topic interfaces address

Configuring the Interface Address

You assign an address to an interface by specifying the address when configuring the

protocol family. For the inet family, you configure the interface's IP address. For the

iso family, you configure one or more addresses for the loopback interface. For the ccc,

tcc, mpls, tnp, and vpls families, you never configure an address.

オンライン・マニュアル

• 豊富な機能の help コマンド

• help topic : プロトコルや機能の一般的な説明を表示

• help reference : プロトコルや機能の設定方法を表示（コマンド・レファレンス）

• help syslog : syslog メッセージの説明

JUNOS : help topic

コマンドの概要を確認することが可能

user@host> help topic ospf dead-interval

Modifying the Router Dead Interval

If a router does not receive a hello packet from a neighbor within a fixed

amount of time, the router modifies its topological database to indicate

that the neighbor is nonoperational. The time that the router waits is

called the router dead interval. By default, this interval is 40 seconds

(four times the default hello interval).

To modify the router dead interval, include the dead-interval statement.

This interval must be the same for all routers on a shared network.

dead-interval seconds;

For a list of hierarchy levels at which you can include this statement,

see the statement summary section for this statement.

JUNOS : help reference

• コマンドのオンラインマニュアルを参照することが可能

user@host> help reference oam action

action (OAM)

Syntax

action {

syslog (OAM Action);

link-down;

send-critical-event;

}

Hierarchy Level

[edit protocols oam ethernet link-fault-management action-profile]

Release Information

Statement introduced in JUNOS Release 8.5.

…

Description

Define the action or actions to be taken when the OAM fault event occurs.

Usage Guidelines

See Specifying the Actions to Be Taken for Link-Fault Management Events.

JUNOS : help apropos

• 確実に覚えていないコマンド（うろ覚えの場合など）を文字列で検索することが可能

user@host# help apropos vstp

set logical-systems <name> protocols vstp

VLAN Spanning Tree Protocol options

set logical-systems <name> protocols vstp disable

Disable VSTP

set protocols vstp

VLAN Spanning Tree Protocol options

set protocols vstp disable

Disable VSTP

user@host# > help apropos vstp

help topic stp vstp

VLAN Spanning Tree Protocol instance configuration

help topic stp vstp-requirements

Requirements, limitations for VLAN Spanning Tree Protocol

help reference stp vstp

VLAN Spanning Tree Protocol configuration

help reference stp vlan-vstp

VLAN configuration for VLAN Spanning Tree Protocol

Configuration mode

Operation mode

lab@Router# set protocols ospf traceoptions flag ?


all Trace everything

database-description Trace database description packets

error Trace errored packets

event Trace OSPF state machine events

flooding Trace LSA flooding

general Trace general events

hello Trace hello packets

lsa-ack Trace LSA acknowledgement packets

lsa-request Trace LSA request packets

lsa-update Trace LSA update packets

normal Trace normal events

packet-dump Dump the contents of selected packet types

packets Trace all OSPF packets

policy Trace policy processing

route Trace routing information

spf Trace SPF calculations

state Trace state transitions

task Trace routing protocol task processing

timer Trace routing protocol timer processing

例: OSPF Trace-option注目したいパケットタイプを細かく指定することが可能

CLI：Trace／充実したdebug機能

• JUNOSでは，プロトコル別にTrace-optionsを非常に細かく設定可能です。

• このTraceの出力先はファイル出力、あるいはmonitorコマンドでReal-timeに画面にてモニタ表示

• トラブルシューティングに役立つ情報を的確に抜き出すことができます

10.0b2 Seconds: 13 Time: 14:50:48

Interface Link Input packets (pps) Output packets (pps)

ge-0/0/0 Up 54175 (4) 4126 (0)

ge-0/0/1 Down 399 (0) 37 (0)

ge-0/0/2 Up 5110 (1) 4224 (0)

ge-0/0/3 Down 0 (0) 0 (0)

ge-0/0/4 Down 0 (0) 0 (0)

ge-0/0/5 Down 0 (0) 0 (0)

ge-0/0/6 Down 0 (0) 0 (0)

Bytes=b, Clear=c, Delta=d, Packets=p, Quit=q or ESC, Rate=r, Up=^U, Down=^D

CLI：monitor／リアルタイムにトラフィックを監視

• monitorコマンドで現在のI/F別トラフィック状況を見ることが出来ます

• 表示はAUTOリフレッシュされるため、継続的なモニタリングが可能

• トラフィックの傾向や障害箇所の特定に役立ちます

rescue configuration

• 基本となるconfigurationを予め定義(保存)することが可能保存方法: > request system configuration rescue save

削除方法: > request system configuration rescue delete

• Rescue configurationの反映方法

• Rollbackコマンドからのロード

# rollback rescue

• ハードウェアからのロード

• SRXシリーズはRESET CONFIGボタンを押すことでハードウェアからロードすることができます。

※15秒以上押し続けるとfactory defaultがロードされます

例: SRX300

root# rollback rescue

load complete

root# commit

• 一部のEXシリーズはLCDパネルでメンテナンスモードを操作することでハードウェアからロードすることができます。

例: EX3300

vSRX on your laptop ~PCで始めるvSRX~

• 仮想Router/FirewallであるvSRXをLaptop PC上で動作させるための指南書

http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505

実際のデバイスと同様の設定作成や仕様確認をPC上で実施することが可能！

http://www.slideshare.net/JuniperJapan/vsrx-laptop-201505

Appendix

Appendix AVirtual Chassis Fabric

Routing Engine

Line Card

Virtual Chassis Fabricとは

2台以上20台以下のQFX5100シリーズ/EX4300 スイッチを接続することで仮想的に1台のシャーシ型システムとして動作させるL2/L3 イーサネットファブリックテクノロジー

シャーシ型スイッチのメリットをすべて実現した上で、仮想シャーシならではの新たな価値を提供


Devices to Manage

= 1 !!!

Routing Engine

Line Card

旧来のシャーシ型スイッチとVirtual Chassis技術

シャーシ型スイッチのメリット高信頼性ハードウェア

– 冗長ルーティングエンジン– 冗長スイッチファブリック– 冗長電源ユニット– 冗長ファントレイ

管理の簡便性– シングルイメージ– 単一のコンフィグファイル– 単一のマネージメントIPアドレス

パフォーマンスとスケーリング– ハイパフォーマンス– 大容量のバックプレーン– モジュラー型構成

LAG 2

LAG 1

Virtual Chassis による更なるメリット: 物理配置の柔軟性

低消費電力

最小構成からスタート可能

必要最低限のラックスペース

Virtual Chassis Fabricによる更なるメリット: 10 Member ⇒ 20 Memberまでのサポート

Intelligent Bandwidth Allocation

Bi-directional Multicast Distribution Trees

FCoE Transit (DCBX Support, QFX Only)

Virtual Chassis FabricVirtual Chassis

Architectural Choice – Virtual Chassis Fabric vs. Virtual Chassis

Spine & Leaf

Braid Ring

High-Performance MeshFat Tree

• Spine & Leafトポロジー構成

• SpineにはQFX5100が必要

• LeafはQFX5100,EX4300などから選択が可能

• 最大で20メンバーまで（Max 4 Spine & 28 Leafs）

• バージョンアップ時にはNSSUをサポート

• Ring、Tree、Mesh、Spine & Leafなど自由なトポロジーで構成が可能

• EX3300～MXまで様々なHWでサポート

• 最大で10メンバーまで

• バージョンアップ時にはNSSUをサポート

Virtual Chassis Fabricの構成オプション2 or 4 Spine Node Deployments

2 Spine Nodes

10GbE 10GbE10GbE

QFX5100-24Q

1 2 30

10GbE 10GbE

3 4

QFX5100-48S

1 2

2 X uplinks

• 30 x 10GbE racks

• 1440 x 10GbE ports 6:1 OS

10GbE 10GbE10GbE

QFX5100-24Q

1 2 28

10GbE 10GbE

3 4

1 2 3 4

QFX5100-24Q QFX5100-96S8 X uplinks

• 28 x 10GbE racks

• 2688 x 10GbE ports 3:1 OS

4 Spine Nodes

40GbE 40GbE1 X Switch to Manage 1 X Switch to Manage

Virtual Chassis Fabricをサポートするプラットフォーム

QFX5100-24Q (40GbE)

QFX5100-48S (10GbE)

10/40GbE Spine Nodes

EX4300 (1GbE)

QFX5100-48S (10GbE)

QFX3500 (10GbE) QFX3600 (40GbE)

1/10/40GbE Leaf Nodes

QFX5100-24Q (40GbE)QFX5100-96S (10GbE)

QFX5100-48T (10G-T)

最大 20 Members(2x Spine + 18x Leaf or 4x Spine + 16x Leaf)

異なるメディアスピードのスイッチをVirtual Chassis Fabric内で収容可能なため1GbE から 10GbE, 40GbE 環境へのシームレスな移行をサポート

EX4300 EX4300

1GbE Servers

QFX5100-48S/48T

10GbE Servers

Mixed Speed Fabric(1G to 40G)


Devices to Manage

= 1 !!!

QFX5100-24Q

40GbE Storages

DC Interconnect

（MPLS）

The Internet

4x spine, 16x leaf による1G & 10G Mixed VCF構成 (Max 16 racks per VCF)

Virtual Chassis Fabricの使用例(1)＠DCネットワーク


Switches to Manage

= 1 !!! For ~28 Racks


Load-Balancer


Spine Switch(QFX5100-24Q x4)

Access Switch（ EX4300-48T x8） Access Switch

（ QFX5100-48T x8）



10G Server1G Server

10G POD1G POD

DC Interconnect

（MPLS）

The Internet

奇数ラック、偶数ラックでのVCF分割による高可用設計 (Max 60 racks per 2x VCFs)

Virtual Chassis Fabricの使用例(2)＠DCネットワーク


Switches to Manage

= 3 !!! For ~60 racks


Load-Balancer


Spine Switch for Even VCF(QFX5100-24Q x2)

Access Switch（ EX4300-48T x10） Access Switch

（ QFX5100-48T x10）

異なるVCFへのTeaming

Important Server

Cluster Server

VCFまたぎのClustering

Spine Switch for Odd VCF(QFX5100-24Q x2)

`

Core VC Switch(QFX5100-24Q x2)

Virtual Chassis Fabricの構成方法について -1

QFX5100/EX4300の出荷時の状態では、スイッチの動作モードはVCモードとなっており、そのままではVCFを構成することができません。VCFを構成するにあたっては、VCFのライセンスを投入後、以下のコマンドを使用して、スイッチをVirtual Chassis Fabricモードに変更する必要があります。

> request virtual-chassis mode fabric

# set virtual-chassis preprovisioned

# set virtual-chassis member 0 role routing-engine

# set virtual-chassis member 0 serial-number 111111111111

# set virtual-chassis member 1 role routing-engine


# set virtual-chassis member 2 role line-card


# set virtual-chassis member 3 role line-card


…

Virtual Chassis Fabricの構成方法について -2VCFを構成する際には、Plug-and-PlayでのVCF構成を提供する“Non-Preprovisioned mode”と、Spineについての設定のみを投入する”Auto-Provisioned mode”、最低限の設定投入によりVCを構成する“Preprovisioned mode”から選択が可能です。

一般的により高いSLAが求められるデータセンターへのデプロイ時には“Preprovisioned mode”でのVCF構成を推奨します。これによりシリアルでのハードウェア管理による、より安定した運用と、OSアップグレード時におけるNSSUサービスが提供されます。

Preprovisioned modeを宣言

Spineとして動作させる2～4台の筐体をRouting-Engineとするその他の筐体のRoleはすべてLine-card

各筐体毎のシリアルNo.を投入

Appendix BMulti-Chassis LAG

Juniperの提供する冗長化技術

筐体を跨いだLink Aggregation(LAG)が組める技術として、主に以下のアーキテクチャを提供しています。

MC-LAG Virtual Chassis Virtual Chassis Fabric

管理負荷を下げつつ、ハイパフォーマンスな転送を実現するSpine-Leaf型のファブリックトポロジーを構成したい方に

管理の負荷を下げつつ、柔軟なデザインを実現したい方

スパニングツリーなどを使用せずに標準化プロトコルでL2冗長を構成したい方

20台までを、仮想的な1台のシャー型スイッチとして管理

10台までを、仮想的な1台のシャー型スイッチとして管理

アーキテクチャ選択MC-LAG vs Virtual Chassis

MC-LAG Virtual Chassis

1 2 1 10

MC-LAG Virtual Chassis

コントロールプレーン Active-Active Active-Standby

データプレーン Active-Active Active-Active

管理 2台別々 10台まで1台として管理

設定同期手動(※Roadmap）自動

対向デバイスから見たL2ネイバー１台に見える１台に見える

対向デバイスから見たL3ネイバー２台に見える１台に見える

バージョンアップ１台ずつ(ISSU) NSSU/ISSU(※Roadmap)

Active Active

それぞれが独立して動き、MAC、I/Fの状態を交換

REはHot-stanbyConfigも常に同期

スイッチ台数が増えてくると、管理面で差が出てきます。

MC-LAG対応プラットフォーム

MXシリーズ QFXシリーズ EX9200 EX4600シリーズ EX4300シリーズその他のEXシリーズ

MC-LAG

Active/Active構成

Active/Standby構成

VRRPとの組合せ

L2VPN(MPLS)との組合せ

VPLSとの組合せ

MC-LAG基本構成

• MC-LAGを構成する上での基本

• Node1・2の間はMACアドレスやLinkのステータスを同期しています。(ICCP)

• MC-LAGにつながるLAG機器とはLACPでステータスを交換します。

Node1 Node2

LACP

ICCP

MC-LAGを構成するスイッチはどちらもActive (Master/Backup等の関係では無い)ので、ここではNode1、Node2と呼びます。

LACP info: Role System System Port Port Port

priority identifier priority number key

et-0/0/48.0 Actor 127 54:1e:56:69:4e:00 127 1 3

et-0/0/48.0 Partner 127 00:00:ae:00:00:02 127 2 1002

et-0/0/49.0 Actor 127 54:1e:56:69:4e:00 127 2 3

et-0/0/49.0 Partner 127 00:00:ae:00:00:02 127 32770 1002

MC-LAG基本構成

• スイッチTOR1から見るとMC-LAGは単なるLAGにしか見えません。

• LACPで見ても、どちらのMACも同じMACが見えます。

Node1 Node2

TOR1

et-0/0/49.0 et-0/0/48.0

TOR1でのLACPのステータス出力例

(Node1)

(Node2)

LACP

用語の整理

• MC-LAGは各ベンダーで用語が異なりますが、ジュニパーでは以下の用語を使用します。

• ICCP(Inter-chassis control protocol)：MACやLinkの状態をNode間で共有する為の制御通信用途で、TCPセッションにより確立されます。

• ICL(Inter-Chassis Link)：スイッチ間の物理Link。ICL-PLとも言います。出来る限りここをLAGで構成するデザインが推奨です。

• MC-AE(またはMC-links)：スイッチまたぎのLAGを指します。AEはAggregated Ethernetの略です。

• S-LINK(Single-homed Link)：冗長されてないLinkです。既存の収容、NW移行やメンテ等で一時的にこの構成になりえます。

MC-AEMC-links

S-Link

Node1 Node2

ICL

ICCP

用語の整理(つづき)

• 出来る限り、ICCPの接続用途で管理セグメントも使いましょう。

• ICCPが切れてしまう状況は、Sprit Brainという絶対に避けたい状況です。

• ICLのバックアップとして、管理セグメントを使った

ICCPのやりとりができます。(backup-liveness-detection)

• ただし、ユーザパケットは転送しません。あくまでSprit状態を避ける為のラストリゾートです。

MC-AEMC-links

S-Link

Node1 Node2

ICL

ICCP

管理用セグメント

ICL故障発生時の動作の詳細は以下で確認できます。https://www.juniper.net/techpubs/en_US/junos15.1/topics/concept/lag-multichassis-feature-summary.html#jd0e106

L3の冗長構成は?

デフォルトGWの冗長について

• 方式は2つあります。

– VRRP over IRB方式

• Node同士でVRRPを構成

– MAC Sync方式

• Node同士で同じIP、MACを構成

• Juniperでは以下の理由からVRRP方式を推奨しています。

1. TOR1からみると結局UplinkはLAGなので、トラフィックは分散できる。

2. VRRP Backup側でも受け取ったユーザトラフィックは転送できる実装の為、ICLを通ったり、Uplinkが偏ったりしない。

3. MAC Sync方式では、Routing Protocolが話せない。(あくまでNode間で同期しているのはMC-LAG関連情報だけなのです)

TOR1

別セグメント別セグメント

実IP 192.168.1.253/24仮想IP 192.168.1.254 実IP 192.168.1.252/24

Default GW192.168.1.254

VRRP方式の構成例

(1)LAGのハッシュにより分散

(2)VRRP Backup側でもパケットをフォワーディング

Irb.1Irb.1

Irb.2 Irb.2

設定方法；

• 基礎となる設定設定項目 Node1 Node2 備考

Device-count 10 10 必要なMC-LAG数+1を設定

switch-options service-id

16384 16384 2台とも同じ値にする

ICCP用I/F irb.4000 irb.4000 irb + unit 番号(とりあえずVlan-idと一緒がおすすめ)

ICCP用Vlan 4000 4000 渡りのLAGにこのVlanを所属させる

ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 ICCPだけで使いますので/30とかでも可et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ICCP

例はNode1の設定例ですが、IRBのアドレス値を変えれば、Node2用の設定となります。どちらか一方にだけ投入する設定はありません。

Node1設定コマンドset chassis aggregated-devices ethernet device-count 10

set switch-options service-id 16384


set vlans VLAN4000 vlan-id 4000

set vlans VLAN4000 l3-interface irb.4000

※Node1の設定例

設定方法；

• 基礎設定その2設定項目 Node1 Node2 備考

ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので/30とかでも可

ICL InterceのID ae0 ae0 aeはaggregated-ethernetの略で、LAG用仮想I/F名

ae0に所属させる物理I/F

et-0/0/22et-0/0/23

et-0/0/22et-0/0/23

その他 LACP FastモードVlan4000

LACP FastモードVlan4000

LACPとVlan4000をae0に設定

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

ae0

Node1 Node2

ICCP

Node1設定コマンドset multi-chassis multi-chassis-protection 192.168.254.27 interface ae0

Node2のアドレスを設定

set interfaces et-0/0/22 ether-options 802.3ad ae0


set interfaces ae0 aggregated-ether-options lacp active periodic fast

set interfaces ae0 unit 0 family ethernet-switching interface-mode trunk

set interfaces ae0 unit 0 family ethernet-switching vlan members VLAN4000


設定方法；

• 基礎設定その3設定項目 Node1 Node2 備考

ICCP用IPアドレス 192.168.254.26/24 192.168.254.27/24 VLAN4000だけで使いますので/30とかでも可

session-establishment-hold-time

100 100 ICCPセッション確立までの時間(秒)

BFD minimum-interval

1000 1000 お互いのICCP間で行うBFD死活監視の間隔(msec) 1000以上にしてください

BFD multiplier 3 3 回数minimum-interval x multiplier = ダウンまでの時間

backup-liveness-detection

172.27.113.26 172.27.113.27 管理I/Fに付与したIPアドレスを指定

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

ae0

Node1 Node2ICCP

管理用セグメント

set protocols iccp local-ip-addr 192.168.254.26

set protocols iccp peer 192.168.254.27 session-establishment-hold-time 100

set protocols iccp peer 192.168.254.27 liveness-detection minimum-interval 1000

set protocols iccp peer 192.168.254.27 liveness-detection multiplier 3

set protocols iccp peer 192.168.254.27 backup-liveness-detection backup-peer-ip 172.27.113.27


設定方法；• 接続が間違えていなければ次のようにみえるはずです。

• よくあるうっかりミス：そもそもLAG(ae0)がUpしていない。▶最初に使用するLAGの数を登録する必要があります。

10とするとae0～ae9までI/Fが作られます。

• 基本設定の確認

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

ae0

Node1 Node2ICCP

lab@node1# run show iccp

Redundancy Group Information for peer 192.168.254.27

TCP Connection : Established

Liveliness Detection : Up

Backup liveness peer status: Up

Client Application: MCSNOOPD

Client Application: l2ald_iccpd_client

Client Application: lacpd


設定方法；

• 次にTORスイッチを収容するLAGを設定します。

• MC-Linksの設定

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ae1

設定項目 Node1 Node2 備考

LAG I/F名 ae1 ae1

LACP system-id 00:00:ae:00:00:01 00:00:ae:00:00:01 同じ値を設定します。LAG毎に変更します。

LACP admin-key 1001 1001 同じ値を設定します。LAG毎に変更します。

mc-ae mc-ae-id 1001 1001 同じ値を設定します。LAG毎に変更します。

mc-ae chassis-id 0 1 Node毎に変えます。

mc-ae status-control Active standby

mc-ae init-delay-time 60 60 I/FがUpとなってからLACPがdistributingになるまでの時間です。電源投入時など、ProtocolがUpするまでの時間待たせることができます。


set interfaces ae1 aggregated-ether-options lacp active periodic fast

set interfaces ae1 aggregated-ether-options lacp system-id 00:00:ae:00:00:01

set interfaces ae1 aggregated-ether-options lacp admin-key 1001

set interfaces ae1 aggregated-ether-options mc-ae mc-ae-id 1001

set interfaces ae1 aggregated-ether-options mc-ae chassis-id 0

set interfaces ae1 aggregated-ether-options mc-ae mode active-active

set interfaces ae1 aggregated-ether-options mc-ae status-control active

set interfaces ae1 aggregated-ether-options mc-ae init-delay-time 60


設定方法；

• MC-Linksの確認

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ae1

対向との設定が合っていて、正しく接続されていれば、次の様に表示されます。

lab@node1# run show interfaces mc-ae id 1001

Member Link : ae1

Current State Machine's State: mcae active state

Local Status : active

Local State : up

Peer Status : active

Peer State : up

Logical Interface : ae1.0

Topology Type : bridge

Local State : up

Peer State : up

Peer Ip/MCP/State : 192.168.254.27 ae0.0 up

設定方法；

• VLAN1001をae1に追加します。ICL(ae0)にも追加するのを忘れないでください。

• Mc-linksへのVlanの組み込み

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ae1


Vlan名 V1001 V1001

Vlan-id 1001 1001ae0

set vlans v1001 vlan-id 1001

set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk

set interfaces ae1 unit 0 family ethernet-switching vlan members v1001

set interfaces ae1 unit 0 family ethernet-switching storm-control default

set interfaces ae0 unit 0 family ethernet-switching vlan members v1001


設定方法；

• Vlan1001にサーバのデフォルトゲートウェイとなるアドレスを設定します。

• [Option]L3 Routing(Default Gateway)の設定

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ae1

実IP 192.168.1.253/24仮想IP 192.168.1.254

実IP 192.168.1.252/24


I/F名 irb unit 1001 irb unit 1001

実IP 192.168.1.253/24 192.168.1.252/24

仮想IP 192.168.1.254 192.168.1.254

Priority 200 100

Accept-data 設定する設定する

set vlans v1001 l3-interface irb.1001

set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 virtual-address 192.168.1.254

set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 priority 100

set interfaces irb unit 1001 family inet address 192.168.1.253/24 vrrp-group 1 accept-data


設定方法；

• Default Gatewayアドレスが冗長されているか確認します。

• 下記の様になっていない場合

– ICL(ae0)にVLAN1001が設定されているか確認して下さい。

• L3 Routing(Default Gateway)の確認

et-0/0/0 et-0/0/0

et-0/0/22

et-0/0/23

Node1 Node2

ae1

実IP 192.168.1.253/24仮想IP 192.168.1.254

実IP 192.168.1.252/24

Node1

Node2

ae0

{master:0}[edit]

lab@node1# run show vrrp

Interface State Group VR state VR Mode Timer Type Address

irb.1001 up 1 master Active A 0.359 lcl 192.168.1.253

vip 192.168.1.254

lab@node2# run show vrrp

Interface State Group VR state VR Mode Timer Type Address

irb.1001 up 1 backup Active D 2.718 lcl 192.168.1.252

vip 192.168.1.254

mas 192.168.1.253

Appendix CZero Touch Provisioning

ZTP(Zero-touch Provisioning)とは

• DCにToRスイッチを新設するオペレーションは簡単だが、大量のスイッチを展開することを考慮すると手間は膨大

• ZTPとは、スイッチの初期導入時においてJUNOSのバージョンとコンフィグを自動でプロビジョニングする機能 (Junos 12.2よりサポート)

• 主に海外のOTT, DC事業者などにおいて広く使われている

ZTPと従来のオペレーションとの比較

Legacy

Ops

ZTP

開梱

開梱ネットワークに接続して起動

ZTP サービスイン

起動してコンソールからセッ

トアップ

ネットワークに接続

OSバージョンアップ・ダウン

初期設定サービスイン

膨大な数のToRを設置しなくてはいけないDC等の場合には、ZTPによるOPEXの削減効果は絶大！

ZTPのコンポーネント

ゼロタッチ：装置にコンソールなどでのログインが不要

電源を入れるだけ!

用意するのはDHCPサーバとファイルサーバの2つ

ネットワーク経由で自動的にOSや設定情報を装置に転送し反映

工場出荷状態で動作するため特別な設定は不要

DHCPサーバ

ファイルサーバ

EX/QFXスイッチ

- 装置にIPアドレスを付与- TFTPサーバのアドレスを通知- 取得すべきConfigファイル名を通知

-Configファイル-OSファイル

動作シーケンス

スイッチはシリアルとMACアドレスを含むDHCPリクエストを送信

DHCP OptionでTFTPサーバのIPアドレスとOS/Configのファイル名を通知

DHCPサーバ

ファイルサーバ(TFTP/FTP/HTTP)

EX/QFXスイッチ

2. DHCP Discover/Request

4. File Request(指定されたファイル名)

5. Download files

1. デフォルト設定で起動ZTPスタート！

3. DHCP Offer/ACK(ファイルサーバ+ファイル名)

6. ダウンロードしたファイルでOSとConfigを書き換えcommit

- 装置にIPアドレスを付与- TFTPサーバのアドレスを通知- 取得すべきConfigファイル名を通知

-Configファイル-OSファイル

JUNOS ZTP の流れ

スイッチはDHCPサーバからIPアドレス、DGW、FTP/TFTP Server、Junos Image とConfigのファイル名を受け取る

スイッチが Auto image installation (AIU) プロセスを開始する

新しいOSイメージをインストール

NO

新しい設定をCommit

START

YES

スイッチをネットワークに接続して、電源を投入する (工場出荷状態のスイッチ)

ブートアップ完了後、スイッチがDHCPリクエストをアクティブリンクから送信する

END

指定されたバージョンのOSが既に入っている

か？

AIUプロセスがJunos ImageとConfig fileをダウンロード

新しい設定をCommit

再起動

筐体の識別

筐体のMACアドレス

ddns-update-style none;option option-66 code 66 = string;option space NEW_OP;option NEW_OP.config-file-name code 1 = text;option NEW_OP-encapsulation code 43 = encapsulate NEW_OP;

subnet 192.168.1.0 netmask 255.255.255.0 {range 192.168.1.1 192.168.1.200;default-lease-time 6000;max-lease-time 7200;option routers 192.168.1.1;option subnet-mask 255.255.255.0;

host switch1 {hardware ethernet 2c:6b:f5:3a:6e:41;fixed-address 192.168.1.11;option NEW_OP.config-file-name "switch1.cfg";option option-66 "192.168.1.100";

}

host switch2 {hardware ethernet 64:87:88:B7:45:81;fixed-address 192.168.1.12;option NEW_OP.config-file-name "switch2.cfg";option option-66 "192.168.1.100";

}}

DHCPサーバの設定筐体背面又は底面のシールに筐体のMACが記載

筐体のMACアドレスに+1したものを設定に記述

option space NEW_OP;

option NEW_OP.image-file-name code 0 = text;

option NEW_OP.config-file-name code 1 = text;

option NEW_OP-encapsulation code 43 = encapsulate NEW_OP;

group {

option tftp-server-name "17.176.31.71";

option log-servers 17.176.31.72;

option ntp-servers 17.176.31.73;

option NEW_OP.image-file-name "/images/jinstall-qfx.tgz";

option NEW_OP.transfer-mode "ftp";

host tor-qfx5100-1 {

hardware ethernet 88:e0:f3:71:a0:82;

fixed-address 172.16.31.19;

option host-name "tor-qfx5100-1";

option NEW_OP.config-file-name “tor-qfx5100-1.config";

}

host tor-qfx5100-1 {

hardware ethernet f8:c0:01:c6:96:81;

fixed-address 172.16.31.20;

option host-name “tor-qfx5100-2";

option NEW_OP.config-file-name “tor-qfx5100-2.config";

}

}

Vendor Specific options （Auto image upgradeに必要）

Auto configurationで指定される設定ファイル

MACアドレスから IPアドレスおよびシステムのホストネームへのマッピング

Syslog and NTP servers

JUNOS ZTP – DHCP Server Configuration（サンプル）

投入されるOSイメージシンボリックリンクを指定することも可能

可用性一貫性効率

ZTPが提供するもの

導入にかかる時間を削減

機器故障時の交換にかかる時間を削減設定ミスの削減

Any EX & QFX Switches Any EX & QFX Switches Any EX & QFX Switches

ZTP + Script

ConfigServer

ZTP Clients

MACアドレス/Serialベースではなく、ネットワークの情報を元にConfigを投入

②LLDP等

Simple Sample: https://github.com/jeremyschulman/jctyztp

Port Y

Switch X

スイッチXのポートYと繋がっているポートにはXXXを追加！

https://github.com/jeremyschulman/jctyztp

Thank you

【EX/QFX】JUNOS ハンズオントレーニング資料　EX/QFX シリーズサービス...

Technology

Transcript of 【EX/QFX】JUNOS ハンズオントレーニング資料　EX/QFX シリーズサービス...

【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス...

Technology

Transcript of 【EX/QFX】JUNOS ハンズオントレーニング資料 EX/QFX シリーズ サービス...

【EX/QFX】JUNOS ハンズオントレーニング資料　EX/QFX シリーズサービス...

Transcript of 【EX/QFX】JUNOS ハンズオントレーニング資料　EX/QFX シリーズサービス...