Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

イーサネットスイッチングおよびレイヤー2透過モードの概要

 

レイヤー2透過モードでは、既存のルーティングインフラストラクチャに変更を加えることなく、ファイアウォールを導入できます。ファイアウォールは、複数の VLAN セグメントを備えたレイヤー2スイッチとして導入され、VLAN セグメント内にセキュリティーサービスを提供します。セキュアワイヤは、バンプの導入を可能にするレイヤー2透過モードの特別なバージョンです。

レイヤー2インタフェースとして定義されたインタフェースがある場合、デバイスは透明モードで動作します。レイヤー2インターフェイスとして構成された物理インタフェースがない場合、デバイスはルートモード (デフォルトモード) で動作します。

SRX シリーズデバイスでは、透過モードによってレイヤー2スイッチング機能のための完全なセキュリティサービスが提供されます。これらの SRX シリーズデバイスでは、1つまたは複数の Vlan を構成してレイヤー2スイッチングを実行できます。VLAN は、同一のフラッディングまたはブロードキャスト特性を共有する一連の論理インタフェースです。仮想 LAN (VLAN) と同様に、VLAN は複数のデバイスの1つまたは複数のポートにまたがります。したがって、SRX シリーズデバイスは、同じレイヤー2ネットワークに参加する複数の Vlan を備えたレイヤー2スイッチとして機能できます。

透過モードでは、SRX シリーズデバイスによって、IP パケットヘッダー内の送信元または宛先の情報を変更せずにデバイスを通過するパケットがフィルタリングされます。透過モードは、ルーターや保護されたサーバーの IP 設定を再構成する必要がないため、主に信頼されていないソースからのトラフィックを受信するサーバーを保護する場合に便利です。

透過モードでは、デバイス上のすべての物理ポートがレイヤー2インターフェイスに割り当てられます。レイヤー3トラフィックをデバイス経由でルーティングしないでください。レイヤー2ゾーンは、レイヤー2のインターフェイスをホストするように設定することができ、レイヤー2ゾーン間でセキュリティポリシーを定義できます。パケットがレイヤー2ゾーン間で移動している場合、セキュリティポリシーがこれらのパケットに適用されます。

表 1レイヤー2スイッチングに対して透過的モードでサポートされていないセキュリティ機能の一覧が記載されています。

表 1: 透過モードでサポートされるセキュリティー機能

モードタイプ

対応していない

透過モード

  • アプリケーション層ゲートウェイ (Alg)

  • ファイアウォールユーザー認証 (FWAUTH)

  • 侵入検知と防御 (IDP)

  • 画面

  • AppSecure

  • 統合脅威管理(UTM)

  • NAT(ネットワーク アドレス変換)

  • VPN

SRX300、SRX320、SRX340、SRX345、SRX550M での各デバイスでは、DHCP サーバーの伝達はレイヤー2透過モードではサポートされていません。

さらに、SRX シリーズデバイスでは、レイヤー2透過モードのレイヤー2機能をサポートしていません。

  • スパニングツリープロトコル (STP)、RSTP、または—MSTP は、ネットワーク’トポロジにフラッディングループが存在しないことを保証することをユーザーの責任としています。

  • IPv4 の—ホストツールーターシグナリングプロトコルをインターネットグループ管理プロトコル (IGMP) で検出することで、マルチキャストグループメンバーシップを近隣ルーターに報告し、IP マルチキャスト中にグループメンバーが存在するかどうかを確認します。

  • ダブルタグ付き Vlan または IEEE 802.1 Q VLAN 識別子は、802.1 Q パケット内に“カプセル化さ”れてい—ます (q VLAN タグで q とも呼ばれます) SRX シリーズデバイスではタグなしまたはシングルタグ VLAN 識別子のみがサポートされています。

  • Nonqualified VLAN ラーニングでは、VLAN—vlan 内での学習に使用されるのは MAC アドレスのみです。 SRX シリーズデバイスの学習は認定されています。つまり、VLAN 識別子と MAC アドレスの両方が使用されます。

また、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、SRX650 の各デバイスでは、一部の機能がサポートされていません。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。以下の機能は、前述のデバイスのレイヤー2透過モードではサポートされていません。

  • レイヤー2インターフェースでの G-ARP

  • 任意のインターフェイスでの IP アドレス監視

  • IRB 経由の伝送トラフィック

  • ルーティングインスタンスの IRB インターフェイス

  • IRB インターフェイスのレイヤー3トラフィックの処理

    IRB のインターフェイスは擬似インターフェイスであり、reth インターフェイスおよび冗長化グループに属していません。

SRX5000 ラインモジュールポートコンセントレーターのレイヤー2透過モード

SRX5000 ラインモジュールポートコンセントレーター (SRX5K-MPC) は、レイヤー2透過モードをサポートし、レイヤー2透過モードで SRX シリーズデバイスが設定されているときにトラフィックを処理します。

SRX5K-MPC がレイヤー2モードで動作している場合、レイヤー2トラフィックをサポートするように、SRX5K-MPC のすべてのインターフェイスをレイヤー2スイッチングポートとして設定できます。

セキュリティ処理ユニット (SPU) はレイヤー2スイッチング機能のすべてのセキュリティサービスをサポートし、MPC は受信パケットを SPU に配信し、SPU でカプセル化された送信パケットをアウトゴーイングインターフェイスに転送します。

SRX シリーズデバイスがレイヤー2透過モードで構成されている場合、レイヤー2モードで動作する MPC 上のインターフェイスを有効にするには、1つまたは複数の論理ユニットを物理インタフェースEthernet switching上に定義することによって、ファミリーアドレスタイプをとします。後で、レイヤー2セキュリティゾーンの構成と透過的モードでのセキュリティポリシーの設定を進めることができます。これができれば、受信および送信パケットを処理するように設定された next-hop トポロジーが実現します。

セキュリティデバイスにおける透過モードでの IPv6 フローについて

透過モードでは、SRX シリーズデバイスは、パケット MAC ヘッダーの送信元または宛先の情報を変更することなく、デバイスを通過するパケットをフィルタリングします。透過モードは、ルーターや保護されたサーバーの IP 設定を再構成する必要がないため、主に信頼されていないソースからのトラフィックを受信するサーバーを保護する場合に便利です。

デバイス上のすべての物理インターフェイスがレイヤー2インターフェイスとして設定されている場合、デバイスは透過モードで動作します。物理インタフェースは、その論理インタフェースが [ ethernet-switchingedit interfaces interface-name unit unit-number family] 階層レベルのオプションで設定されている場合、レイヤー2インターフェースです。デバイスで透明モードを定義または有効にするためのコマンドはありません。レイヤー2インタフェースとして定義されたインタフェースがある場合、デバイスは透明モードで動作します。すべての物理インターフェイスがレイヤー3インターフェイスとして設定されている場合、デバイスはルートモード (デフォルトモード) で動作します。

デフォルトでは、IPv6 フローはセキュリティデバイスにドロップされています。ゾーン、画面、ファイアウォールポリシーなどのセキュリティ機能によって処理を有効にするには、[ mode flow-basededit security forwarding-options family inet6] 階層レベルの設定オプションを使用して、IPv6 トラフィック用のフローベースの転送を有効にする必要があります。モードを変更する場合は、デバイスを再起動する必要があります。

透過モードでは、レイヤー2のインターフェイスをホストするようにレイヤー2ゾーンを構成し、レイヤー2ゾーン間でセキュリティーポリシーを定義できます。パケットがレイヤー2ゾーン間で移動している場合、セキュリティポリシーがこれらのパケットに適用されます。透過モードでは、IPv6 トラフィックに対して以下のセキュリティー機能がサポートされています。

以下のセキュリティー機能は、透過モードの IPv6 フローではサポートされていません

  • 論理システム

  • IPv6 GTPv2

  • J-Web インターフェイス

  • NAT

  • IPsec VPN

  • DNS、FTP、および TFTP Alg を除き、その他のすべての Alg はサポートされていません。

Vlan と IPv6 フロー用のレイヤー2論理インタフェースは、Vlan と IPv4 フロー用のレイヤー2論理インタフェースを構成するのと同じです。VLAN 内の管理トラフィック用に、統合型ルーティングおよびブリッジング (IRB) インターフェイスを構成することもできます。IRB インターフェイスは、透過モードで許可されている唯一のレイヤー3インターフェイスです。SRX シリーズデバイスの IRB インターフェイスは、トラフィック転送やルーティングをサポートしていません。IRB インターフェイスは、IPv4 と IPv6 の両方のアドレスを使用して設定できます。IRB インターフェイスに IPv6 アドレスを割り当てるには、[ edit interfaces irb unit number family inet6] 階層レベルのaddress 設定ステートメントを使用します。IRB インターフェイスに IPv4 アドレスを割り当てるには、[ addressedit interfaces irb unit number family inet] 階層レベルの設定ステートメントを使用します。

SRX シリーズデバイス上のイーサネットスイッチ機能は、ジュニパーネットワークス MX シリーズルーターのスイッチング機能に似ています。ただし、MX シリーズルーターでサポートされているすべてのレイヤー2ネットワーク機能が SRX シリーズデバイスでサポートされるわけではありません。Ethernet Switching and Layer 2 Transparent Mode Overviewを参照してください。

SRX シリーズデバイスは、各レイヤー 2 VLAN の MAC アドレスと関連インターフェイスを含む転送テーブルを保持しています。IPv6 のフロー処理は、IPv4 フローに似ています。Layer 2 Learning and Forwarding for VLANs Overviewを参照してください。

セキュリティデバイスにおけるレイヤー2透過モードシャーシクラスターについて

レイヤー2透過モードの SRX シリーズデバイスのペアをシャーシクラスターに接続することで、ネットワークノードの冗長化を実現できます。シャーシクラスターで構成された場合、1つのノードがプライマリデバイスとして動作し、他方はセカンダリデバイスとして機能し、システムまたはハードウェアに障害が発生したときにプロセスとサービスのステートフルフェイルオーバーを確実に行います。プライマリデバイスに障害が発生した場合、セカンダリデバイスはトラフィックの処理を引き継ぎます。

レイヤー2透過モードシャーシクラスターでプライマリデバイスに障害が発生した場合、障害が発生したデバイスの物理ポートが数秒後にアクティブになる (起動される) ようになります。

シャーシクラスターを形成するために、同じ種類のサポートされた SRX シリーズデバイスを組み合わせて、同一のシステムとして機能することで、同じように全体的なセキュリティを同じように適用できます。

レイヤー2透過モードのデバイスは、アクティブ/バックアップおよびアクティブ/アクティブシャーシクラスター構成に導入できます。

レイヤー2透過モードのデバイスでは、次のシャーシクラスター機能はサポートされていません。

  • 無償 arp—新たに選択されたマスターは、冗長化されたイーサネットインターフェイスのリンク上にあるマスターシップの変更をネットワークデバイスに通知する無償 arp 要求を送信できません。

  • アップストリームデバイス—の IP アドレス監視エラーを検出できません。

冗長グループは、両方のノード上のオブジェクトのコレクションを含む構成要素です。冗長グループは、1つのノードではプライマリであり、他方はバックアップされています。ノード上で、冗長グループがプライマリになっている場合、そのノード上のオブジェクトがアクティブになっています。冗長グループがフェイルオーバーすると、そのすべてのオブジェクトが一緒にフェイルオーバーされます。

アクティブ/アクティブシャーシクラスター構成で 1 ~ 128 の番号が付けられた1つまたは複数の冗長グループを作成できます。各冗長性グループには、1つ以上の冗長イーサネットインターフェイスが含まれています。冗長化されたイーサネットインターフェイスは、クラスターの各ノードからの物理インターフェイスを含む擬似インターフェイスです。冗長イーサネットインターフェイスの物理インターフェイスは、高速イーサネットまた—はギガビットイーサネットと同じ種類でなければなりません。ノード0で冗長グループがアクティブになっている場合、ノード0上のすべての関連する冗長イーサネットインターフェイスの子リンクがアクティブになります。冗長グループがノード1にフェイルオーバーすると、ノード1上のすべての冗長イーサネットインターフェイスの子リンクがアクティブになります。

アクティブ/アクティブシャーシクラスター構成では、冗長化グループの最大数は、構成した冗長イーサネットインターフェイスの数と同じになります。アクティブ/バックアップシャーシクラスター構成では、サポートされる冗長グループの最大数は2つです。

レイヤー2透過モードでデバイスに冗長イーサネットインターフェイスを構成することは、レイヤー3ルートモードのデバイスに冗長化されたイーサネットインターフェイスを構成するのと似ています。これは、次のような違いがあります。レイヤー2透過モードのデバイスの冗長イーサネットインターフェイスは、レイヤー 2論理インタフェースとして構成されています。

冗長化されたイーサネットインターフェイスは、アクセスインターフェイス (インターフェイスで受信したタグなしパケットに1つの VLAN ID が割り当てられる) またはトランクインターフェイスとして設定できます (インターフェイスで受け付けられた VLAN id のリストと、必要に応じてネイティブ vlan idタグなしのパケットを受信しています)。物理インターフェイス (シャーシクラスター内の各ノードから1つ) は、親の冗長化イーサネットインターフェイスに子インターフェイスとしてバインドされます。

レイヤー2透過モードでは、MAC ラーニングは冗長化されたイーサネットインターフェイスをベースにしています。MAC テーブルは、シャーシクラスターデバイスのペアとの間で、冗長化されたイーサネットインターフェイスとサービス処理ユニット (SPUs) に同期しています。

IRB インターフェイスは、管理トラフィックのみに使用されます。また、冗長イーサネットインターフェイスや冗長構成グループに割り当てることはできません。

単一の非クラスター化デバイスに対して使用可能なすべて Junos OS スクリーンオプションは、レイヤー2透過モードシャーシクラスターのデバイスで使用できます。

レイヤー2透過モードでは、スパニングツリープロトコル (STPs) はサポートされていません。導入トポロジにループ接続が存在しないことを確認する必要があります。

SRX デバイスでのアウトオブバンド管理の設定

構成することができ fxp0デバイス上でレイヤー2インターフェイスが定義されている場合でも、レイヤー3インターフェイスとしての SRX シリーズデバイス上のアウトオブバンド管理インターフェイス。の例外と fxp0インターフェイスでは、デバイス’のネットワークポートにレイヤー2とレイヤー3のインターフェイスを定義できます。

SRX300、SRX320、srx550m での各デバイスに fxp0 のアウトオブバンド管理インターフェイスはありません。(プラットフォームのサポートは、インストールの Junos OS リリースによって異なります)。

イーサネット スイッチング

イーサネットスイッチングは、イーサネット MAC アドレス情報を使用して、LAN セグメント (または VLAN) 内またはその内部でイーサネットフレームを転送します。SRX1500 デバイスでのイーサネットスイッチングは、ASICs を使用してハードウェアで実行されます。

Junos OS リリース 15.1 X49-D40 では、このset protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用してレイヤー2透過型ブリッジモードとイーサネットスイッチングモードを切り替えます。モードを切り替えた後、設定を有効にするためにデバイスを再起動する必要があります。表 2は SRX シリーズデバイスのデフォルトレイヤー2グローバルモードについて説明しています。

表 2: SRX シリーズデバイス上のデフォルトレイヤー2グローバルモード

Junos OS リリース

プラットフォーム

デフォルトレイヤー2グローバルモード

説明

Junos OS リリース 15.1 X49 の前-D50

および

Junos OS リリース 17.3 R1 以降

SRX300、SRX320、SRX340、SRX345

スイッチングモード

なし

Junos OS リリース 15.1 X49-D50 to Junos OS Release 15.1 X49-D90

SRX300、SRX320、SRX340、SRX345

スイッチングモード

デバイスでレイヤー2グローバルモード構成を削除すると、デバイスは透過的なブリッジモードになります。

Junos OS リリース 15.1 X49-D100 以降

SRX300、SRX320、SRX340、SRX345、SRX550、SRX550M で

スイッチングモード

デバイスでレイヤー2グローバルモード構成を削除すると、デバイスはスイッチングモードになります。透過型set protocols l2-learning global-mode transparent-bridgeブリッジモードに[edit]切り替えるには、階層レベル下でコマンドを設定します。デバイスを再起動して設定を有効にします。

Junos OS リリース 15.1 X49-D50 以降

SRX1500

透過型ブリッジモード

なし

スイッチングモードでサポートされているレイヤー2プロトコルは、リンクアグリゲーション制御プロトコル (LACP) です。

冗長化されたイーサネットインターフェイスでレイヤー2透過モードを構成できます。冗長化されたイーサネットインターフェイスを定義するには、以下のコマンドを使用します。

  • set interfaces interface-name ether-options redundant-parent reth-interface-name

  • set interfaces reth-interface-name redundant-ether-options redundancy-group number

SRX シリーズデバイスでのレイヤー2スイッチングの例外

SRX シリーズデバイス上のスイッチング機能は、ジュニパーネットワークス MX シリーズルーターのスイッチング機能に似ています。ただし、MX シリーズルーターの以下のレイヤー2ネットワーク機能は SRX シリーズデバイスではサポートされていません。

  • レイヤー2制御プロトコル—これらのプロトコルは、VPLS ルーティングインスタンスの顧客エッジインターフェイスで、高速スパニングツリープロトコル (RSTP) または複数のスパニングツリープロトコル (MSTP) のために、MX シリーズルーターで使用されます。

  • 仮想スイッチルーティングインスタンス—仮想スイッチング・ルーティング・インスタンスは、MX シリーズルーターで1つ以上の vlan をグループ化するために使用されます。

  • 仮想プライベート LAN サービス (VPLS) ルーティングインスタンス—VPLS ルーティングインスタンスは、MX シリーズルーターで使用され、VPN のサイトセット間のポイントツーマルチカーソル LAN 実装を対象としています。

Release History Table
リリース
説明
Junos OS リリース 15.1 X49-D40 では、このset protocols l2-learning global-mode(transparent-bridge | switching)コマンドを使用してレイヤー2透過型ブリッジモードとイーサネットスイッチングモードを切り替えます。