Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:混合モード (透過およびルートモード) を使用して SRX シリーズデバイスを構成することで、セキュリティサービスを向上させる

 

透過モード (レイヤー 2) とルートモード (レイヤー 3) の両方を使用して SRX シリーズデバイスを同時に構成して、導入を簡素化し、セキュリティサービスを向上させることができます。

この例では、インターフェイス ge-0/0/1.0 へのレイヤー2トラフィックと、インターフェイス ge-0/0/2.0 から interface ge-0/0/3.0 へのレイヤー3トラフィックを渡す方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズデバイス

  • 4台の Pc

開始する前に:

  • レイヤー2およびレイヤー3インターフェイス用に別のセキュリティーゾーンを作成します。「Understanding Layer 2 Security Zonesて」を参照してください。

概要

さまざまなビジネスグループがレイヤー2またはレイヤー3ベースのセキュリティソリューションを持っている企業では、単一の混合モード構成を使用することで、導入が簡素化されます。混合モードの構成では、統合型スイッチングとルーティングによってセキュリティサービスを提供することもできます。

さらに、混合モードを使用して、スタンドアロンおよびシャーシクラスターモードの両方で SRX シリーズデバイスを構成できます。

混合モード (デフォルトモード) では、レイヤー2インタフェースとレイヤー3インターフェイスの両方を、個別のセキュリティーゾーンを使用して同時に設定できます。

混合モード構成では、変更をコミットした後、デバイスを再起動する必要があります。ただし、SRX5000 ラインデバイスの場合、再起動は必要ありません。

この例では、まず、イーサネットスイッチと呼ばれるレイヤー2ファミリタイプを構成して、レイヤー2インターフェイスを特定します。IP アドレス 10.10.10.1/24 を IRB インターフェイスに設定します。次に、ゾーン L2 を作成し、x 2 インターフェイスを、0/0/1.0 および ge-0/0/0.0 に追加します。

次に、レイヤー3ファミリのタイプとして inet を設定し、レイヤー3インターフェイスを識別します。IP アドレス 192.0.2.1/24 を interface ge-0/0/2.0、および IP アドレス 192.0.2.3/24 から interface ge-0/0/3 に設定します。次に、ゾーン L3 を作成し、x 3 インターフェイスを 0/0/2.0 および ge-0/0/3.0 に追加します。

Topology

図 1は、混合モードトポロジを示しています。

図 1: 混合モードトポロジ
混合モードトポロジ

表 1は、この例で設定されたパラメーターを示しています。

表 1: レイヤー2とレイヤー3のパラメーター

パラメーター

説明

L2

レイヤー2ゾーン

ge-0/0/1.0 および ge-0/0/0.0

レイヤー2のレイヤーに追加されています。

L3

レイヤー3ゾーンです。

ge-0/0/2.0 および ge-0/0/3.0

レイヤー3のレイヤーに追加されています。

10.10.10.1/24

IRB インターフェイスの IP アドレス。

192.0.2.1/24 および 192.0.2.3/24

レイヤー3インターフェイスの IP アドレス。

構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、を参照してください。 設定モードでの CLI エディターの使用CLI ユーザーガイドを参照してください。

レイヤー2およびレイヤー3インターフェイスを構成するには、次のようにします。

  1. レイヤー2インタフェースを構成するレイヤー2ファミリータイプを作成します。
  2. 透過型ブリッジモードで動作するようにレイヤー2インターフェイスを構成します。
  3. IRB インターフェイスの IP アドレスを設定します。
  4. レイヤー2インターフェイスを構成します。
  5. VLAN を構成します。
  6. レイヤー3インターフェイスの IP アドレスを構成します。
  7. トラフィックを許可するようにポリシーを設定します。
  8. レイヤー3インターフェイスを構成します。

結果

構成モードからshow interfaces、、、 show security policiesshow vlans、およびshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

レイヤー2およびレイヤー3のインターフェイスとゾーンの確認

目的

レイヤー2とレイヤー3のインターフェイスとレイヤー2およびレイヤー3のゾーンが作成されていることを確認します。

アクション

動作モードから、 show security zonesコマンドを入力します。

user@host> show security zones

意味

出力には、レイヤー 2 (L2) およびレイヤー 3 (L3) ゾーン名と、L2 および L3 ゾーンにバインドされたレイヤー2およびレイヤー3インターフェイスの数と名前が表示されます。

レイヤー2およびレイヤー3セッションの検証

目的

レイヤー2およびレイヤー3セッションがデバイス上で確立されていることを確認します。

アクション

動作モードから、 show security flow sessionコマンドを入力します。

user@host> show security flow session

意味

この出力には、デバイス上のアクティブセッションと’各セッションに関連したセキュリティーポリシーが表示されます。

  • Session ID 1—レイヤー2セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。

  • default-policy-logical-system-00/2—レイヤー2トラフィックを許可したデフォルトのポリシー名。

  • In—受信フロー (送信元および宛先レイヤー2の IP アドレスと、それぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションのソースインターフェースは、ge-0/0/0.0) です。

  • Out—リバースフロー (送信元および宛先レイヤー2の IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、宛先インターフェイスは、このセッションでは、ge 0/0/1.0)。

  • Session ID 2—レイヤー2セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。

  • default-policy-logical-system-00/2—レイヤー2トラフィックを許可したデフォルトのポリシー名。

  • In—受信フロー (送信元および宛先レイヤー 2 IP アドレスと、それぞれの送信元および宛先ポート番号、セッションは ICMP、およびこのセッションのソースインターフェースは、ge-0/0/0.0) です。

  • Out—リバースフロー (送信元および宛先レイヤー2の IP アドレスと、それぞれの送信元および宛先のポート番号、セッションは ICMP、宛先インターフェイスは、このセッションでは、ge 0/0/1.0 です)。