Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ルートベース IPsec VPN

 

ルートベースVPNは、宛先IPアドレスに基づきトンネルを通過するトラフィックを決定するルートが、2つのエンド ポイント間に作成されたIPsec VPNトンネルを参照する設定です。

ルートベースIPsec VPNについて

ルートベースのVPNを使用すると、数十のセキュリティ ポリシーを設定して、2つのサイト間にある1つのVPNトンネルを通過するトラフィック規制できます。この場合、稼働するのは1セットのIKEおよびIPsec SAのみです。ポリシーベースのVPNとは異なり、ルートベースのVPNにおけるポリシーは、VPNトンネルではなく宛先アドレスを指します。Junos OSが、パケット’の宛先アドレスにトラフィックを送信するために使用するインターフェイスを見つけるためにルートを検索すると、次を通じてルートが検出されます:セキュア トンネル インターフェイス(st0.x)。トンネル インターフェイスは特定のVPNトンネルに紐付けされており、ポリシー アクションが許可されている場合、トラフィックはトンネルにルーティングされます。

Note

セキュア トンネル(st0)インターフェイスは、1個のIPv4アドレスと1個のIPv6アドレスのみを同時にサポートしています。これは、すべてのルートベースVPNに適用されます。このdisableオプションは、st0インターフェイスではサポートされていません。

ルートベースVPNの使用例は次のとおりです。

  • 2個のLAN間には、重複するサブネットまたはIPアドレスがあります。

  • ネットワークではハブアンドスポーク VPNトポロジーが使用されており、スポークツースポーク トラフィックが必要です。

  • プライマリVPNとバックアップVPNが必要です。

  • 動的ルーティング プロトコル(OSPF、RIP、BGPなど)は、VPN全体で実行されています。

    Note

    ポイントツーマルチポイントVPNインターフェイスを介したRIPデマンド回線の設定はサポートされていません。

複数のリモート サイト間でVPNを設定する場合は、ルートベースVPNの使用をお勧めします。ルートベースのVPNを使用すると、複数のリモート サイト間におけるスポーク間のルーティングが可能になり、設定、監視、トラブルシューティングを容易に行えます。

例:ルートベース VPN の設定

この例では、支店と本社のオフィス間で安全にデータを転送できるように、ルートベースのIPsec VPNを設定する方法を示しています。

要件

この例では、次のハードウェアを使用しています。

  • 任意のSRXシリーズ デバイス

  • SSG140デバイス

開始する前に、 IPsec VPN Overviewをお読みください。

概要

この例では、トンネル リソースを節約しながらVPNトラフィックを細やかに制限できるよう、シカゴにある支店のルートベースVPNを設定します。シカゴ支店のユーザーは、このVPNを使用してカリフォルニア州サニーベールの本社に接続します。

Figure 1 ルートベースVPNトポロジーの例を示しています。このトポロジーでは、SRXシリーズ デバイスはサニーベールに、SSGシリーズ デバイス(サードパーティー製デバイス)はシカゴにあります。

Figure 1: ルートベースVPNトポロジー
ルートベースVPNトポロジー

この例では、インターフェイス、IPv4 のデフォルト ルート、セキュリティ ゾーン、アドレス ブックを設定します。次にIKE、IPsec、セキュリティ ポリシー、TCP-MSSパラメータを設定します。この例で使用されている特定の設定パラメータについては、Table 1からTable 5を参照してください。

Table 1: インターフェイス、静的ルート、セキュリティ ゾーン、アドレス ブックの情報

機能

名前

設定パラメータ

インターフェイス

ge-0/0/0.0

192.0.2.1/24

 

ge-0/0/3.0

10.1.1.2/30

 

st0.0(トンネル インターフェイス)

10.10.11.10/24

静的ルート

0.0.0.0/0(デフォルトルート)

ネクスト ホップはst0.0です。

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

 

untrust

  • IKEは唯一許可されているシステム サービスです。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

 

vpn

st0.0インターフェイスは、このゾーンにバインドされています。

   
   

Table 2: IKE設定パラメータ

機能

名前

設定パラメータ

プロポーザル

ike-proposal

  • 認証方法:rsa-signatures

  • Diffie-Hellmanグループ:group14

  • 認証アルゴリズム:sha256

  • 暗号化アルゴリズムaes-256-cbc

ポリシー

ike-policy

  • モード:メイン

  • プロポーザル リファレンス:ike-proposal

  • IKEポリシー認証方法:rsa-signatures

ゲートウェイ

gw-sunnyvale

  • IKE ポリシーの参照:ike-policy

  • 外部インターフェイス:ge-0/0/3.0

  • ゲートウェイ アドレス:10.2.2.2

Table 3: IPsec設定パラメータ

機能

名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha-256

  • 暗号化アルゴリズムaes-256-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

  • PFS:Diffie-Hellmanグループ2

VPN

ipsec_vpn1

  • IKEゲートウェイ リファレンス:gw-sunnyvale

  • IPsecポリシー リファレンス:ipsec_pol

  • インターフェイスへのバインド:st0.0

Table 4: セキュリティ ポリシー設定パラメータ

目的

名前

設定パラメータ

セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

vpn

  • 一致する条件:

    • source-address sunnyvale

    • destination-address chicago

    • application any

  • アクション:permit

セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。

vpn

  • 一致する条件:

    • source-address chicago

    • destination-address sunnyvale

    • application any

  • アクション:permit

Table 5: TCP-MSS設定パラメータ

目的

設定パラメータ

TCP-MSSは、TCPスリーウェイ ハンドシェイクの一部としてネゴシエートされ、TCPセグメントの最大サイズをネットワークのMTU制限に適応するよう制限します。VPNトラフィックの場合、IPsecカプセル化のオーバーヘッドと、IPおよびフレームのオーバーヘッドにより、物理インターフェイスのMTUを超えるESPパケットが発生する可能性があります。これは、フラグメント化を引き起こします。フラグメント化により、帯域幅とデバイス リソースが増加します。

Note: MTUが1500以上のイーサネットベース ネットワークでは、ほとんどの場合で1350を開始値としてお勧めします。最適なパフォーマンスを実現するためには、さまざまなTCP-MSS値を試す必要があるかもしれません。たとえば、パス内にMTUが小さいデバイスが存在したり、PPPやフレーム リレーなどの追加オーバーヘッドがあったりすると、値を変更する必要がある場合もあります。

MSS値:1350

設定

基本的なネットワークおよびセキュリティ ゾーン情報の設定

CLI Quick Configuration

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLI User GuideUsing the CLI Editor in Configuration Modeを参照してください。

インターフェイス、静的ルート、セキュリティゾーン、アドレス ブックの情報を設定するには、次の手順に従います。

  1. イーサネット インターフェイス情報を設定します。
  2. 静的ルートの情報を設定します。
  3. untrustセキュリティ ゾーンを設定します。
  4. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。
  5. セキュリティ ゾーンにインターフェイスを割り当てます。
  6. セキュリティ ゾーンで許可されたシステム サービスを指定します。
  7. trustセキュリティ ゾーンを設定します。
  8. trustセキュリティ ゾーンにインターフェイスを割り当てます。
  9. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。
  10. vpnセキュリティ ゾーンを設定します。
  11. セキュリティ ゾーンにインターフェイスを割り当てます。

Results

設定モードから、show interfacesshow routing-optionsshow security zones、およびshow security address-book のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IKEの設定

CLI Quick Configuration

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを[edit]階層レベルで CLI にコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLI User GuideUsing the CLI Editor in Configuration Modeを参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEプロポーザルを作成します。
  2. IKEプロポーザルの認証方法を定義します。
  3. IKEプロポーザルのDiffie-hellmanグループを定義します。
  4. IKEプロポーザルの認証アルゴリズムを定義します。
  5. IKEプロポーザルの暗号化アルゴリズムを定義します。
  6. IKEポリシーを作成します。
  7. IKEポリシー モードを設定します。
  8. IKEプロポーザルへのリファレンスを指定します。
  9. IKEポリシーの認証方法を定義します。
  10. IKEゲートウェイを作成し、その外部インターフェイスを定義します。
  11. IKE ポリシーのリファレンスを定義します。
  12. IKEゲートウェイ アドレスを定義します。
  13. IKEゲートウェイ バージョンを定義します。

Results

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IPsecの設定

CLI Quick Configuration

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLI User GuideUsing the CLI Editor in Configuration Modeを参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecトレース オプションを有効にします。
  2. IPsecプロポーザルを作成します。
  3. IPsecプロポーザル プロトコルを指定します。
  4. IPsecプロポーザルの認証アルゴリズムを指定します。
  5. IPsecプロポーザルの暗号化アルゴリズムを指定します。
  6. IPsecポリシーを作成します。
  7. IPsecプロポーザル リファレンスを指定します。
  8. IKEゲートウェイを指定します。
  9. IPsecポリシーを指定します。
  10. バインドするインターフェイスを指定します。

Results

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

セキュリティ ポリシーの設定

CLI Quick Configuration

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLI User GuideUsing the CLI Editor in Configuration Modeを参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
  2. vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

Results

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

TCP-MSSの設定

CLI Quick Configuration

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLI User GuideUsing the CLI Editor in Configuration Modeを参照してください。

TCP-MSS情報を設定するには、次の手順に従います。

  1. TCP-MSS情報を設定します。

Results

設定モードから、show security flowコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

SSGシリーズ デバイスの設定

CLI Quick Configuration

参照用に、SSGシリーズ デバイスの設定が提供されています。SSGシリーズ デバイスの設定について、詳しくは ScreenOSの概念と例のリファレンスガイドhttp://www.juniper.net/techpubs)を参照してください。

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、 commit設定モードから入力します。

Step-by-Step Procedure

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

IKEステータスの検証

Purpose

IKEステータスを検証します。

Action

Note

検証プロセスを開始する前に、192.0.2.10/24ネットワーク内のホストから198.51.100.10/24ネットワーク内のホストにトラフィックを送信する必要があります。ルートベースVPNでは、SRXシリーズ デバイスからトンネルを通ってトラフィックを開始できます。IPsecトンネルをテストする場合は、VPNの片側にあるデバイスからVPNの別の側にある第2デバイスにテスト トラフィックを送信することをお勧めします。たとえば、192.0.2.10から198.51.100.10に向けてpingを開始します。

動作モードから show security ike security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ike security-associations index index_number detailコマンドを使用します。

user@host> show security ike security-associations
user@host> show security ike security-associations index 1 detail

Meaning

このshow security ike security-associationsコマンドは、アクティブなIKE SAをすべて表示します。SAが表示されない場合、IKEの確立に問題が発生しています。設定でIKEポリシー パラメータと外部インターフェイスの設定を確認してください。

SAが表示される場合は、次の情報を確認します。

  • インデックス—これは各IKE SAに固有の値で、show security ike security-associations index detailコマンドで使用してSAに関する詳細情報を取得できます。

  • リモート アドレス—リモートIPアドレスが正しいことを検証します。

  • 都道府県

    • アップ—IKE SAが確立されています。

    • ダウン—IKE SA確立時に問題が発生しました。

  • モード—適切なモードが使用されていることを確認します。

設定で以下が適切か検証します。

  • 外部インターフェイス(IKEパケットを受信するインターフェイスが必要です)

  • IKEポリシー パラメータ

  • 事前共有鍵情報

  • プロポーザル パラメータ(両方のピアで一致する必要があります)

show security ike security-associations index 1 detailコマンドは、インデックス番号1のセキュリティ アソシエーションに関する追加情報を表示します。

  • 使用している認証および暗号化アルゴリズム

  • ライフタイム

  • トラフィック統計情報(トラフィックが双方向へ正しく流れていることを検証するために使用できます)

  • ロール情報

    Note

    トラブルシューティングは、レスポンダ ロールを使用してピア上で実行することが最適です。

  • イニシエータとレスポンダの情報

  • 作成されたIPsec SAの数

  • 進行中のネゴシエーション数

IPsecステータスの検証

Purpose

IPsecステータスを検証します。

Action

動作モードから show security ipsec security-associations コマンドを入力します。コマンドからインデックス番号を取得した後、show security ipsec security-associations index index_number detailコマンドを使用します。

user@host> show security ipsec security-associations
user@host> show security ipsec security-associations index 16384 detail

Meaning

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は16384です。この値をshow security ipsec security-associations indexコマンドと併用して、この特定のSAに関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあり、NATトラバーサルが未実装であることを示しています。(NATトラバーサルは、ポート4500またはその他のランダムな数字の大きいポートを使用します。)

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。3363/unlim値は、ライフタイムが3363秒で終了すること、ライフサイズが指定されていないため無制限であることを示しています。IPsecはVPNが起動した後はIKEに依存しないため、ライフタイムがライフタイムと異なる可能性があります。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

  • 仮想システム(vsys)はルート システムであり、常に0が表示されます。

show security ipsec security-associations index 16384 detailコマンドからの出力には、次の情報が表示されます。

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。

    プロキシIDの不一致は、最も一般的なIPsecエラーの原因の1つです。IPsec SAが表示されない場合は、プロキシID設定などのIPsecプロポーザルが、両方のピアに対して適切であるか確認します。ルートベースVPNの場合、デフォルトのプロキシIDは、ローカル = 0.0.0.0/0、リモート = 0.0.0.0/0、サービス = anyです。同じピアIPからの複数のルートベースVPNで問題が発生する可能性があります。この場合、各IPsec SAに固有のプロキシIDを指定する必要があります。一部のサードパーティー ベンダーでは、プロキシIDを手動で入力して照合する必要があります。

  • もう1つの一般的なIPsec障害の原因は、STインターフェイス バインディングの未指定です。IPsecを完了できない場合は、kmdログを確認するか、トレース オプションを設定します。

IPsecセキュリティ アソシエーションの統計情報とエラーの確認

Purpose

IPsecセキュリティ アソシエーションにおける、ESPおよび認証ヘッダーのカウンターとエラーを確認します。

Action

動作モードから、統計情報を表示するVPNのインデックス番号を使用してshow security ipsec statistics index index_numberコマンドを入力します。

user@host> show security ipsec statistics index 16384

show security ipsec statisticsコマンドを使用して、すべてのSAの統計情報とエラーを確認することもできます。

すべてのIPsec統計情報を消去するには、clear security ipsec statisticsコマンドを使用します。

Meaning

VPN全体でパケット損失の問題が発生した場合、show security ipsec statisticsまたはshow security ipsec statistics detailのコマンドを数回実行して、暗号化および復号化されたパケット カウンターが増加していることを確認できます。加えて、他のエラー カウンターが増加しているかどうかも確認する必要があります。

VPN全体におけるトラフィック フローのテスト

Purpose

VPN全体で、トラフィック フローを検証します。

Action

SRXシリーズ デバイスからpingコマンドを使用して、リモート ホストPC へのトラフィック フローをテストできます。ルート ルックアップが正しく実行され、ポリシー ルックアップで適切なセキュリティ ゾーンが参照されるように、ソース インターフェイスを指定してください。

動作モードから ping コマンドを入力します。

ssg-> ping 10.10.11.10 interface ge-0/0/0 count 5

SSGシリーズ デバイスから、pingコマンドを使用することもできます。

user@host> ping 198.51.100.1 from ethernet0/6

Meaning

SRXシリーズまたはSSGシリーズ デバイスからのpingコマンドが失敗した場合は、ルーティング、セキュリティ ポリシー、エンド ホスト、ESPパケットの暗号化または復号化に問題がある可能性があります。

St0インターフェイスにおけるCoSサポートについて

Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、分類子、ポリサー、キューイング、スケジューリング、シェーピング、書き換えマーカー、仮想チャネルなどのCoS(サービス クラス)を、ポイントツーポイントVPN用にセキュア トンネル インターフェイス(st0)上に設定できるようになりました。

st0トンネル インターフェイスは、ルートベースVPNでクリアテキスト トラフィックをIPsec VPNトンネルにルーティングするために使用できる内部インターフェイスです。次のCoS機能は、使用可能なすべてのSRXシリーズ デバイスおよびvSRX2.0上のst0インターフェイスでサポートされています。

  • 分類子

  • ポリサー

  • キューイング、スケジューリング、シェーピング

  • 書き換えマーカー

  • 仮想チャネル

Note

Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、キューイング、スケジューリング、シェーピング、仮想チャネルに対するサポートが、SRX5400、SRX5600、SRX5800デバイスのst0インターフェイスに追加されました。記載されているすべてのCoS機能に対するサポートが、SRX1500、SRX4100、SRX4200デバイスのst0インターフェイスに追加されました。 Junos OSリリース17.4R1以降、記載されているすべてのCoS機能に対するサポートが、SRX4600デバイスのst0インターフェイスに追加されました。

VPN st0インターフェイスにおけるCoSサポートの制限

VPN st0インターフェイスにおけるCoSサポートには、次の制限が適用されます。

  • ソフトウェア キューの最大数は2048です。st0インターフェイスの数が2048を超えると、すべてのst0インターフェイスに対して十分なソフトウェア キューを作成できません。

  • st0インターフェイスのCoS機能には、ルートベースVPNのみ適用できます。Table 6は、異なるタイプのVPNにおけるst0 CoS機能のサポート状況を示しています。

    Table 6: VPNにおけるCoS機能のサポート状況

    分類子機能サイトツーサイトVPN(P2P)AutoVPN(P2P)サイトツーサイト/AutoVPN/AD-VPN(P2MP)

    分類子、ポリサー、書き換えマーカー

    対応

    対応

    対応

    st0論理インターフェイスをベースにしたキューイング、スケジューリング、シェーピング

    対応

    未対応

    未対応

    仮想チャネルをベースにしたキューイング、スケジューリング、シェーピング

    対応

    対応

    対応

  • SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでは、1個のst0論理インターフェイスを複数のVPNトンネルにバインドできます。st0論理インターフェイスの8個のキューは、トラフィックを異なるトンネルにリルートできないため、事前トンネリングはサポートされていません。

    Note

    仮想チャネル機能は、SRX300、SRX320、SRX340、SRX345、SRX550HMの各デバイスで回避策として使用できます。

  • st0トンネル インターフェイス上でCoSシェーピング レートを定義する場合は、次の制限を考慮してください。

    • トンネル インターフェイス上のシェーピング レートは、物理エグレス インターフェイスより小さくなければなりません。

    • シェーピング レートは、ESP/AHヘッダーと外部IPヘッダーカプセル化を備えた、内側レイヤー3クリアテキスト パケットを含むパケットのサイズのみ測定します。物理インターフェイスにより追加された外側レイヤー2カプセル化は、シェーピング レート測定で考慮されません。

    • 物理インターフェイスがシェーピングされたGREまたはIP-IPトンネル トラフィックのみ伝送している場合、CoSは期待どおりに動作します。物理インターフェイスが他のトラフィックを伝送することでトンネル インターフェイスのトラフィックに使用できる帯域幅が減少すると、CoSは期待どおり機能しません。

  • SRX550M、SRX5400、SRX5600、SRX5800のデバイスにおいて、ポリサー設定の帯域幅制限とバースト サイズ制限値はシステム単位ではなくSPU単位で適用されます。これは、物理インターフェイスの場合と同じポリサー動作です。

Related Documentation

Release History Table
Release
Description
Junos OSリリース17.4R1以降、記載されているすべてのCoS機能に対するサポートが、SRX4600デバイスのst0インターフェイスに追加されました。
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、キューイング、スケジューリング、シェーピング、仮想チャネルに対するサポートが、SRX5400、SRX5600、SRX5800デバイスのst0インターフェイスに追加されました。記載されているすべてのCoS機能に対するサポートが、SRX1500、SRX4100、SRX4200デバイスのst0インターフェイスに追加されました。
Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、分類子、ポリサー、キューイング、スケジューリング、シェーピング、書き換えマーカー、仮想チャネルなどのCoS(サービス クラス)を、ポイントツーポイントVPN用にセキュア トンネル インターフェイス(st0)上に設定できるようになりました。