例:混合モード (透過およびルートモード) を使用して SRX シリーズデバイスを構成することで、セキュリティサービスを向上させる
透過モード (レイヤー 2) とルートモード (レイヤー 3) の両方を使用して SRX シリーズデバイスを同時に構成して、導入を簡素化し、セキュリティサービスを向上させることができます。
この例では、インターフェイス ge-0/0/1.0 へのレイヤー2トラフィックと、インターフェイス ge-0/0/2.0 から interface ge-0/0/3.0 へのレイヤー3トラフィックを渡す方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRX シリーズデバイス
4台の Pc
開始する前に:
レイヤー2およびレイヤー3インターフェイス用に別のセキュリティーゾーンを作成します。「Understanding Layer 2 Security Zonesて」を参照してください。
概要
さまざまなビジネスグループがレイヤー2またはレイヤー3ベースのセキュリティソリューションを持っている企業では、単一の混合モード構成を使用することで、導入が簡素化されます。混合モードの構成では、統合型スイッチングとルーティングによってセキュリティサービスを提供することもできます。
さらに、混合モードを使用して、スタンドアロンおよびシャーシクラスターモードの両方で SRX シリーズデバイスを構成できます。
混合モード (デフォルトモード) では、レイヤー2インタフェースとレイヤー3インターフェイスの両方を、個別のセキュリティーゾーンを使用して同時に設定できます。
混合モード構成では、変更をコミットした後、デバイスを再起動する必要があります。ただし、SRX5000 ラインデバイスの場合、再起動は必要ありません。
この例では、まず、イーサネットスイッチと呼ばれるレイヤー2ファミリタイプを構成して、レイヤー2インターフェイスを特定します。IP アドレス 10.10.10.1/24 を IRB インターフェイスに設定します。次に、ゾーン L2 を作成し、x 2 インターフェイスを、0/0/1.0 および ge-0/0/0.0 に追加します。
次に、レイヤー3ファミリのタイプとして inet を設定し、レイヤー3インターフェイスを識別します。IP アドレス 192.0.2.1/24 を interface ge-0/0/2.0、および IP アドレス 192.0.2.3/24 から interface ge-0/0/3 に設定します。次に、ゾーン L3 を作成し、x 3 インターフェイスを 0/0/2.0 および ge-0/0/3.0 に追加します。
Topology
図 1は、混合モードトポロジを示しています。
表 1は、この例で設定されたパラメーターを示しています。
表 1: レイヤー2とレイヤー3のパラメーター
パラメーター | 説明 |
|---|---|
L2 | レイヤー2ゾーン |
ge-0/0/1.0 および ge-0/0/0.0 | レイヤー2のレイヤーに追加されています。 |
L3 | レイヤー3ゾーンです。 |
ge-0/0/2.0 および ge-0/0/3.0 | レイヤー3のレイヤーに追加されています。 |
10.10.10.1/24 | IRB インターフェイスの IP アドレス。 |
192.0.2.1/24 および 192.0.2.3/24 | レイヤー3インターフェイスの IP アドレス。 |
構成
CLI 簡単構成
この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。
set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 10
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members 10
set protocols l2-learning global-mode transparent-bridge
set interfaces irb unit 10 family inet address 10.10.10.1/24 set security zones security-zone L2 interfaces ge-0/0/1.0
set security zones security-zone L2 interfaces ge-0/0/0.0
set vlans vlan-10 vlan-id 10
set vlans vlan-10 l3-interface irb.10
set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.1/24
set interfaces ge-0/0/3 unit 0 family inet address 192.0.2.3/24
set security policies default-policy permit-all
set security zones security-zone L2 host-inbound-traffic system-services any-service
set security zones security-zone L2 host-inbound-traffic protocols all
set security zones security-zone L3 host-inbound-traffic system-services any-service
set security zones security-zone L3 host-inbound-traffic protocols all
set security zones security-zone L3 interfaces ge-0/0/2.0
set security zones security-zone L3 interfaces ge-0/0/3.0
ステップごとの手順
次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、を参照してください。 設定モードでの CLI エディターの使用『 CLI ユーザーガイドを参照してください。
レイヤー2およびレイヤー3インターフェイスを構成するには、次のようにします。
- レイヤー2インタフェースを構成するレイヤー2ファミリータイプを作成します。[edit interfaces]user@host# set ge-0/0/0 unit 0 family ethernet-switching interface-mode accessuser@host# set ge-0/0/0 unit 0 family ethernet-switching vlan members 10user@host# set ge-0/0/1 unit 0 family ethernet-switching interface-mode accessuser@host# set ge-0/0/1 unit 0 family ethernet-switching vlan members 10
- 透過型ブリッジモードで動作するようにレイヤー2インターフェイスを構成します。[edit protocols]user@host# set l2-learning global-mode transparent-bridge
- IRB インターフェイスの IP アドレスを設定します。[edit interfaces]user@host# set irb unit 10 family inet address 10.10.10.1/24
- レイヤー2インターフェイスを構成します。[edit security zones security-zone L2 interfaces]user@host# set ge-0/0/1.0user@host# set ge-0/0/0.0
- VLAN を構成します。[edit vlans vlan-10]user@host# set vlan-id 10user@host# set l3-interface irb.10
- レイヤー3インターフェイスの IP アドレスを構成します。[edit interfaces]user@host# set ge-0/0/2 unit 0 family inet address 192.0.2.1/24user@host# set ge-0/0/3 unit 0 family inet address 192.0.2.3/24
- トラフィックを許可するようにポリシーを設定します。[edit security policies]user@host# set default-policy permit-all
- レイヤー3インターフェイスを構成します。[edit security zones security-zone]user@host# set L2 host-inbound-traffic system-services any-serviceuser@host# set L2 host-inbound-traffic protocols alluser@host# set L3 host-inbound-traffic system-services any-serviceuser@host# set L3 host-inbound-traffic protocols alluser@host# set L3 interfaces ge-0/0/2.0user@host# set L3 interfaces ge-0/0/3.0
結果
構成モードからshow interfaces、、、 show security policiesshow vlans、およびshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスの設定が完了したら、設定commitモードから入力します。
検証
構成が正常に機能していることを確認します。
レイヤー2およびレイヤー3のインターフェイスとゾーンの確認
目的
レイヤー2とレイヤー3のインターフェイスとレイヤー2およびレイヤー3のゾーンが作成されていることを確認します。
アクション
動作モードから、 show security zonesコマンドを入力します。
user@host> show security zones Security zone: HOST
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
Security zone: L2
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/0.0
ge-0/0/1.0
Security zone: L3
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 2
Interfaces:
ge-0/0/2.0
ge-0/0/3.0
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
意味
出力には、レイヤー 2 (L2) およびレイヤー 3 (L3) ゾーン名と、L2 および L3 ゾーンにバインドされたレイヤー2およびレイヤー3インターフェイスの数と名前が表示されます。
レイヤー2およびレイヤー3セッションの検証
目的
レイヤー2およびレイヤー3セッションがデバイス上で確立されていることを確認します。
アクション
動作モードから、 show security flow sessionコマンドを入力します。
user@host> show security flow session Session ID: 1, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.75/54395 --> 228.102.70.76/9876;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 1209, Bytes: 1695018, Out: 228.102.70.76/9876 --> 10.102.70.75/54395;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0, Session ID: 2, Policy name: default-policy-logical-system-00/2, Timeout: 58, Valid In: 10.102.70.19/23364 --> 228.102.70.20/23364;udp, Conn Tag: 0x0, If: ge-0/0/0.0, Pkts: 401, Bytes: 141152, Out: 228.102.70.20/23364 --> 10.102.70.19/23364;udp, Conn Tag: 0x0, If: ge-0/0/1.0, Pkts: 0, Bytes: 0,
意味
この出力には、デバイス上のアクティブセッションと’各セッションに関連したセキュリティーポリシーが表示されます。
Session ID 1—レイヤー2セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。
default-policy-logical-system-00/2—レイヤー2トラフィックを許可したデフォルトのポリシー名。
In—受信フロー (送信元および宛先レイヤー2の IP アドレスと、それぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションのソースインターフェースは、ge-0/0/0.0) です。
Out—リバースフロー (送信元および宛先レイヤー2の IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、宛先インターフェイスは、このセッションでは、ge 0/0/1.0)。
Session ID 2—レイヤー2セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。
default-policy-logical-system-00/2—レイヤー2トラフィックを許可したデフォルトのポリシー名。
In—受信フロー (送信元および宛先レイヤー 2 IP アドレスと、それぞれの送信元および宛先ポート番号、セッションは ICMP、およびこのセッションのソースインターフェースは、ge-0/0/0.0) です。
Out—リバースフロー (送信元および宛先レイヤー2の IP アドレスと、それぞれの送信元および宛先のポート番号、セッションは ICMP、宛先インターフェイスは、このセッションでは、ge 0/0/1.0 です)。