Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

セキュリティデバイスに対する混合モード (透過およびルートモード) について理解する

 

混合モードでは、透明モード (レイヤー 2) とルートモード (レイヤー 3) の両方をサポートしています。これはデフォルトのモードです。レイヤー2インタフェースとレイヤー3インターフェイスの両方を、個別のセキュリティーゾーンを使用して同時に設定することができます。

混合モード構成では、変更をコミットした後、デバイスを再起動する必要があります。ただし、SRX5000 ラインデバイスの場合、再起動は必要ありません。

SRX4100 と SRX4200 のデバイスは、透過およびルートモードの両方で論理システムをサポートしています。

SRX4600 デバイスは、ルートモードでのみ論理システムをサポートしています。

混合モード (透過およびルートモード):

  • IRB インターフェイス間、および IRB のインターフェイスとレイヤー3のインターフェイス間でルーティングが行われるわけではありません。

デバイスは 2 図 1つの独立したデバイスのようになっています。1つのデバイスはレイヤー2透過モードで動作し、もう一方のデバイスはレイヤー3ルーティングモードで実行されます。しかし、どちらのデバイスも独立して動作します。IRB インターフェイス間と IRB インターフェイスとレイヤー3インターフェイス間ではルーティングが行われないため、レイヤー2とレイヤー3のインターフェイスの間でパケットを転送することはできません。

図 1: 透明およびルートモードの混在したアーキテクチャ
透明およびルートモードの混在したアーキテクチャ

混在モードでは、イーサネット物理インターフェイスはレイヤー2インターフェイスまたはレイヤー3インターフェイスのいずれかになりますが、イーサネット物理インターフェイスを同時に使用することはできません。ただし、レイヤー2とレイヤー3ファミリは、同じデバイス上の別々の物理インタフェース上に存在することができます。

表 1は、イーサネット物理インターフェイスタイプとサポートされるファミリータイプを示しています。

表 1: イーサネットの物理インターフェイスとサポートされているファミリータイプ

イーサネット物理インターフェイスタイプ

サポートされるファミリータイプ

レイヤー2インターフェイス

ethernet-switching

レイヤー3インターフェイス

inet および inet6

複数のルーティングインスタンスがサポートされています。

デフォルトルーティングインスタンスまたはユーザー定義irb.xルーティングインスタンスのいずれかを使用して、同じデフォルトルーティングインスタンスの中で、擬似インターフェイスとレイヤー3インターフェイスの両方を設定できます。参照図 2してください。

図 2: 透明およびルートモードの混在
透明およびルートモードの混在

レイヤー2インターフェイスからのパケットは同じ VLAN 内で切り替えられます。または、IRB インターフェイスを使用してホストに接続します。パケットは、独自の IRB インターフェイスを介して、他の IRB インターフェイスやレイヤー3インターフェイスにルーティングすることはできません。

レイヤー3インターフェイスからのパケットは、別のレイヤー3インターフェイスにルーティングされます。IRB インターフェイスを介して、パケットをレイヤー2インターフェイスにルーティングすることはできません。

表 2混在モードでサポートされているセキュリティ機能とレイヤー2スイッチングの透過モードでサポートされていない機能を示します。

表 2: 混合モード (透過およびルートモード) でサポートされるセキュリティー機能

モードタイプ

対応していない

混合モード

  • アプリケーション層ゲートウェイ (Alg)

  • ファイアウォールユーザー認証 (FWAUTH)

  • 侵入検知と防御 (IDP)

  • 画面

  • AppSecure

  • 統合脅威管理(UTM)

ルートモード (レイヤー3インターフェイス)

  • NAT(ネットワーク アドレス変換)

  • VPN

透過モード (レイヤー2インターフェイス)

  • 統合脅威管理(UTM)

  • NAT(ネットワーク アドレス変換)

  • VPN

Junos OS リリース 12.3 X48-D10 および Junos OS リリース 17.3 R1 では、いくつかの条件が混在モードの運用に適用されます。以下の条件を確認してください。

  • SRX300、SRX320、SRX340、SRX345、SRX550M で、SRX1500 デバイスでは、混在モード (レイヤー2およびレイヤー 3) を使用してイーサネットスイッチングおよび仮想プライベート LAN サービス (VPLS) を構成することはできません。

  • SRX5400、SRX5600、SRX5800 の各デバイスでは、VLAN の構成時にデバイスを再起動する必要はありません。

Release History Table
リリース
説明
Junos OS リリース 12.3 X48-D10 および Junos OS リリース 17.3 R1 では、いくつかの条件が混在モードの運用に適用されます。