Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

パケットベースの転送

SRX デバイスは、パケット モードとフロー モードという 2 つのモードで動作します。フロー モードでは、SRX はトラフィックの状態またはセッションを分析することで、すべてのトラフィックを処理します。これは、トラフィックのステートフル処理とも呼ばれる。パケット モードでは、SRX はパケット単位でトラフィックを処理します。これは、トラフィックのステートレス処理とも呼ばれる。

パケットベースの処理について

パケットを実行しているデバイスとジュニパーネットワークスしJunos OS出たパケットは、パケット ベースの処理を受ける可能性があります。パケットベースまたはステートレスのパケット処理は、パケットを個別に処理します。各パケットは個別に評価され、処理されます。ステートレス パケットベースの転送は、フロー情報や状態情報に関係なく、パケット単位で実行されます。各パケットは個別に評価され、処理されます。

図 1 は 、パケット ベース転送のトラフィック フローを示しています。

図 1:パケットベース転送のトラフィック フロー Traffic Flow for Packet-Based Forwarding

デバイスにパケットが入り込むと、分類子、フィルター、ポリシーが適用されます。次に、パケットのエグレス インターフェイスはルート ルックアップによって決定されます。パケットのエグレス インターフェイスが見つかったら、フィルターが適用され、パケットがキューに入って送信スケジュールされたエグレス インターフェイスに送信されます。

パケットベースの転送では、特定の接続に属する前のパケットまたは後続のパケットに関する情報は必要ありません。トラフィックを許可または拒否する決定はパケット固有です。このアーキテクチャには、個々のフローや状態を追跡せずにパケットを転送できる、大規模拡張というメリットがあります。

最初のJunos OSリリース15.1X49-D100 SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX650 では、パケット キャプチャの最大キャプチャ サイズが 1,520 バイトに拡張され、1500 バイトのデータと 12 バイトの ジュニパー イーサネット ヘッダーのキャプチャが可能です」

選択的ステートレス パケットベース サービスについて

選択的なステートレス パケットベース サービスでは、フローベース転送とパケットベース転送の両方をシステムで同時に使用できます。ACL(アクセス コントロール リスト)とも呼ばれるステートレス ファイアウォール フィルターを使用して、パケットベースのステートレス転送を必要とするトラフィックを選択的に転送して、ステートフル フローベースの転送を回避できます。以下のトラフィックは、デフォルトのフローベース転送パスに従います。フローベースの転送を迂回する場合は、フロー セッション拡張制約を明示的に回避したいトラフィックに役立ちます。

デフォルトでは、実行ジュニパーネットワークスセキュリティ デバイスはJunos OSフローベースの転送を使用します。選択的ステートレス パケットベース サービスでは、入力フィルター条件に基づいて選択したトラフィックにパケットベースの処理のみを提供するデバイスを設定できます。その他のトラフィックはフローベース転送のために処理されます。フローベースの転送を迂回する機能は、セッション拡張の制約や、セッションの作成と保守のコストを回避したい導入環境に役立ちます。

選択的ステートレス パケット ベース処理用にデバイスを設定すると、システムに入るパケットは、特定の条件に応じて異なる方法で処理されます。

  • パケットが入力フィルター条件で指定された一致条件を満たす場合、パケット モードとしてマークされ、設定済みのパケット モード機能すべてが適用されます。フローベースのセキュリティ機能は適用されません。これは、ユーザーを迂回します。

  • パケットがパケット モードのフラグが立てされていない場合、通常の処理が実行されます。このトラフィックには、サービスMPLSを除くすべてのサービスを適用できます。

図2は、 フローベースの処理を迂回する、選択的なステートレスパケットベースサービスによるトラフィックフローを示しています。

図 2:選択的ステートレス パケットベース サービスによるトラフィック フロー Traffic Flow with Selective Stateless Packet-Based Services

パケットがインターフェースに入ってくると、インターフェイスに設定された入力パケット フィルターが適用されます。

  • パケットがファイアウォール フィルターで指定された条件と一致する場合、アクションの大きな変更 packet-mode はパケットに設定されます。パケットモード アクションでは、パケット キー バッファのビット フィールドが更新されます。このビット フィールドは、フローベースの転送をバイパスする必要があるかどうかを判断するために使用されます。その結果、パケット モード アクションを使用するパケットは、フローベースの転送を完全に迂回します。パケットのエグレス インターフェイスは、ルート ルックアップによって決定されます。パケットのエグレス インターフェイスが見つかったら、フィルターが適用され、パケットがキューに入って送信スケジュールされたエグレス インターフェイスに送信されます。

  • パケットがこのフィルター条件で指定された条件と一致しない場合、フィルタで設定された他の条件に対して評価されます。すべての条件が評価された後で、パケットがフィルター内の条件と一致すると、パケットは無音で破棄されます。パケットが破棄されるのを防ぐには、すべてのパケットを受け入れるアクションを指定するフィルタで条件を設定します。

指定されたステートレス サービス のセットは、選択的なステートレス パケット ベース サービスで利用できます。

  • IPv4 ルーティング(ユニキャスト およびマルチキャスト プロトコル)

  • サービス クラス (CoS)

  • リンク フラグメント化および LFI(インターリーブ)

  • GRE(一般ルーティングのカプセル化)

  • レイヤー 2 スイッチング

  • MPLS(MPLS)

  • ステートレス ファイアウォール フィルター

  • CRTP(Compressed Real-Time Transport Protocol)

MPLS サービスを必要とするトラフィックはパケット モードで処理する必要があります。状況によっては、ステートフル インスペクション、NAT、IPsec などのフロー モードでのみ提供可能なこのトラフィックに特定のサービスを同時に適用する必要があります。フロー モードとパケット モードの両方でトラフィックを処理するには、トンネル インターフェイスを介して接続された複数のルーティング インスタンスを設定する必要があります。1 つのルーティング インスタンスは、フロー モードでパケットを処理するように設定する必要があります。もう一方のルーティング インスタンスは、パケットをパケット モードで処理するように設定する必要があります。トンネル インターフェイスを使用してルーティング インスタンスを接続すると、ルーティング インスタンス間のトラフィックが転送パスに再びインジェクトされ、別の転送方法を使用して再処理できます。

選択的ステートレス パケットベース サービスの設定の概要

この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500でサポートされています。選択的ステートレス パケットベース サービスは、ACL(アクセス コントロール リスト)とも呼ばれるステートレス ファイアウォール フィルターを使用して設定します。ファイアウォール フィルターで一致条件を指定してトラフィックをパケット ベースの転送に分類し、アクションを指定するために大きなアクション packet-mode を設定します。一致条件とアクションが定義されると、ファイアウォール フィルタが関連するインターフェースに適用されます。

ファイアウォール フィルターを設定するには、以下の手順に合います。

  1. アドレス ファミリーを定義します—まず、ファイアウォール フィルタが一致するパケットのアドレス ファミリーを定義します。ファミリー名を定義するには、 を指定 inet して IPv4 パケットをフィルタリングします。指定 mpls してパケットをMPLSします。クロス ccc 接続をフィルタレイヤー 2 スイッチング指定します。
  2. 条件を定義 — フィルタリング基準を指定する 1 つ以上の条件と、一致した項目が発生した場合に実行するアクションを定義します。各条件は、一致条件とアクションという 2 つのコンポーネントで構成されています。
    • 一致条件 — 実行するアクションにパケットが一致する必要がある特定の特性を指定します。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、IP プロトコル フィールドなど、さまざまな一致条件を定義できます。

    • アクション — パケットが一致条件に一致した場合に実行する処理を指定します。可能なアクションは、パケットを受け入れる、破棄、または拒否することです。次の期間に進む。何も実行する必要はありません。

      ある用語には 1 つののみを指定(または除外)できますが、アクションの大括弧を任意に組 action み合わせて指定できます。アクションの変更には、デフォルト アクション accept が含まれます。たとえば、アクションの大サイズ変更を指定してアクションを指定しない場合、指定したアクションの大仕事が実装され、パケットが受け入れされます。

      この packet-mode アクションの、フローベースの転送をバイパスするトラフィックを指定します。他のアクションと同様に、 などのその他のアクションと共にアクションを変更 packet-mode accept することができます count

  3. ファイアウォール フィルターをインターフェイスに適用する — ファイアウォール フィルターをインターフェイスに適用して、ファイアウォール フィルターを有効にします。

パケットがインターフェースに入ってくると、インターフェイスに設定された入力パケット フィルターが適用されます。パケットが指定された条件に一致し、アクションが設定されている場合、パケットはフローベースの転送 packet-mode を完全にバイパスします。

フィルターを設定する場合、ファイアウォール フィルター内の条件の順序に気を付けしてください。パケットは、各用語が設定に記載されている順序でテストされます。最初の一致条件が見つかった場合、その条件に関連付けられたアクションがパケットに適用され、アクションの指定が含まれていない限り、ファイアウォール フィルターの next term 評価が終了します。アクションが含まれている場合は、一致するパケットがファイアウォール フィルターの次の条件に対して評価されます。そうしないと、一致するパケットはファイアウォール フィルターの後続の条件に対して評価されません next term

選択的ステートレス パケット ベース サービス用にファイアウォール フィルターを構成する場合、次の手順に示します。

  • 不要なパケットドロップを回避するためにフローをバイパスする必要があるトラフィックを正確に識別します。

  • 必ず、ファイアウォール フィルターにパケット モード アクションを適用し、パケット ベースのフロー パスに関係するすべてのインターフェイスに適用してください。

  • フローベースの転送を使用するホスト バウンド TCP トラフィックを設定してください。このトラフィックは、アクションの指定指定に使用したファイアウォール フィルター条件を指定する際に packet-mode 除外します。フローをバイパスするように設定されたホストバウンド TCP トラフィックは破棄されます。特定のステートレス パケット ベース サービスでは、非同期フロー モード処理はサポートされていません。

  • アクションを変更して、入力パケット フィルター(出力ではなく packet-mode )を設定します。

注:

選択的ステートレス パケットベース サービスでは、ネスト型ファイアウォール フィルタ(別のフィルタの範囲内でフィルタを設定する)はサポートされていません。

選択的ステートレス パケットベース サービスを設定できる一般的な導入シナリオは次のとおりです。

  • プライベート LAN と WAN インターフェイス間のトラフィック フロー(イントラネット トラフィックなど)では、エンドツーエンドの転送がパケット ベース

  • プライベート LAN と安全性の高い WAN インターフェイス間のトラフィック フロー(トラフィックがパケットベースの転送とフローベースの転送を使用してセキュアなトラフィックと安全性がそれぞれないトラフィック)

  • プライベート WAN リンクがダウンした場合にフローベース IPsec WAN にフェイルオーバーするプライベート LAN と WAN インターフェイス間のトラフィック フロー

  • フローベース LAN からパケット ベースの WAN へのMPLS フロー

例:エンドツーエンドのパケットベース転送向け、選択的なステートレス パケットベース サービスの設定

この例では、エンドツーエンドのパケットベース転送のために、選択的にステートレスパケットベースのサービスを設定する方法を示しています。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500でサポートされています。

要件

開始する前に、以下を実行します。

  • ステートレス ファイアウォール フィルターを構成する方法を理解する。

  • 基本的な接続を確立します。.

概要

この例では、各デバイス上のインターフェイスのIPアドレスを設定します。R0 の場合は 10.1.1.2/24 です。R1 の場合、これらは 10.1.1.1/24、10.2.1.1/24、203.0.113.1/30 です。R2 の場合は 203.0.113.2/30 です。R3の場合は10.2.1.2/24です静的ルートを作成し、デバイスのネクスト ホップ アドレスを次のように関連付けます。 R0 は 10.1.1.2、R1 は 198.51.100.2、R2 は 203.0.113.1、R3 は 10.2.1.1 です。

次にデバイスR1で Untrustと呼ばれるゾーンを設定し、それをインターフェイスge-0/0/3に割り当てします。信頼と呼ばれるゾーンを作成し、インターフェイスge-0/0/1およびge-0/0/2を割り当てします。trust と untrust ゾーンを設定して、サポートされるアプリケーション サービスをインバウンド サービスとして使用できます。送信元アドレス、宛先アドレス、アプリケーションからのトラフィックをゾーン間で通過できます。

次に、ファイアウォール フィルター bypass-flow-filter を作成し、内部インターフェイス ge-0/0/1 と ge-0/0/2 間のトラフィックと一致する bypass-flow-term-1 および bypass-flow-term-2 という用語を定義します。これはパケット モード アクションの指定と同じになります。accept-rest という用語を定義すると、残っているすべてのトラフィックを受け入れる必要があります。最後に、ファイアウォール フィルターの bypass-flow-filter を内部インターフェイス ge-0/0/1 および ge-0/0/2 に適用します(外部インターフェイスには適用されません)。その結果、すべての内部トラフィックがフローベースの転送を迂回し、インターネット間のトラフィックはフローベースの転送をバイパスしません。

図 3 は 、この例で使用されているネットワーク トポロジを示しています。

図 3:エンドツーエンドのパケットベース サービスを使用したイントラネット トラフィック Intranet Traffic Using End-to-End Packet-Based Services

企業の支社/拠点はプライベート WAN を通じて互いに接続されています。この内部トラフィックでは、セキュリティが問題ではなされないため、パケット転送が必要になります。そのため、このトラフィックでは、フローベースの転送をバイパスするために、選択的ステートレス パケットベース サービスを設定します。残りのトラフィックは、インターネット間で、フローベース転送を使用します。

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI 使用 」を 参照してください

エンドツーエンドのパケットベース転送用に選択的なステートレス パケットベース サービスを設定するには、次の手順に示します。

  1. デバイス R0、R1、R2、R3 のインターフェイスの IP アドレスを設定します。

  2. 静的ルートを作成し、デバイス R0、R1、R2、R3 に適切なネクスト ホップ アドレスを関連付ける。

  3. セキュリティ ゾーンを設定し、インターフェイスを割り当てる。

  4. ゾーンのアプリケーション サービスを設定します。

  5. セキュリティ ポリシーの設定

  6. ファイアウォール フィルターを作成し、すべてのパケットベース転送トラフィックの条件を定義します。

  7. 残りのトラフィックに別の用語を指定します。

  8. 該当するインターフェイスにファイアウォール フィルタを適用します。

結果

設定モードから、 、 、 および のコマンドを入力して show interfaces show routing-options 設定を確認 show firewall します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

エンドツーエンドのパケットベース設定の検証

目的

選択的なステートレス パケットベース サービスが設定されていることを検証します。

アクション

設定モードから、 show interfacesshow routing-options show security zones show security policies 、および のコマンドを入力 show firewall します。

出力がファイアウォール フィルター、インターフェイス、ポリシーの意図した設定を示することを確認します。

条件が、パケットをテストする順序で記載されているのを確認します。ファイアウォール フィルタ内で条件を移動するには、 コマンドを使用 insert します。

イントラネット トラフィックでのセッション確立の検証

目的

イントラネット内のインターフェイスにトラフィックが送信されると、セッションが確立されます。

アクション

セッションが確立確認するには、以下のタスクを実行します。

  1. デバイスで、 R1 動作モード コマンドを入力 clear security flow session all して、既存のセキュリティ フロー セッションすべてのクリアを行います。

  2. デバイスで、 R0 動作モード コマンドを入力 ping してトラフィックをデバイスに送信します R3

  3. デバイスで、デバイスからからを通過するトラフィックを使用して R1 R0 R3 R1 、動作モード コマンドを入力 show security flow session します。

注:

確立されたセッションを検証するには、コマンドがパケットを送受信している間に コマンド show security flow session ping を入力してください。

最初のリリース Junos OS および 15.1X49-D30 Junos OS リリース 17.3R1、セッション フローの概要には CP セッション ID が含まれます。

この出力は、セッション間の送信トラフィック R0 R3 とセッションが確立されていないトラフィックを示しています。この例では、 インターフェイスと会社のイントラネット トラフィックにアクションを bypass-flow-filter packet-mode Internal 1 Internal 2 適用しました。この出力は、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスするため、セッションが確立されていないと検証します。

インターネット トラフィックでのセッション確立の検証

目的

インターネットへのトラフィック送信時にセッションが確立されるのを検証します。

アクション

インターネットへのトラフィックがフローベースの転送とセッションを使用しているか確認するには、以下のタスクを実行します。

  1. デバイスで、 R1 動作モード コマンドを入力 clear security flow session all して、既存のセキュリティ フロー セッションすべてのクリアを行います。

  2. デバイスで、 R0 動作モード コマンドを入力 ping してトラフィックをデバイスに送信します R2

  3. デバイスで、 から から R1 を送信するトラフィックを R0 R2 使用 R1 して、 動作モード コマンドを入力 show security flow session します。

注:

確立されたセッションを検証するには、コマンドがパケットを送受信している間に コマンド show security flow session ping を入力してください。

出力は、デバイスから確立されたセッションに R0 送信 R1 されるトラフィックを示しています。この例では、会社のインターネット トラフィックに対してインターフェースにアクションを適用 bypass-flow-filter packet-mode Internet したくはありません。この出力では、インターネットへのトラフィックがフローベース転送を正しく使用しているか検証するため、セッションが確立されます。

デバイスからデバイスにトラフィックを R3 R2 送信し、このセクションのコマンドを使用して確立されたセッションを検証します。

例: パケットベースからフローベースへの転送向け、選択的ステートレス パケットベース サービスの設定

この例では、パケットベースのフローベース転送に対して、選択的にステートレスパケットベースのサービスを設定する方法を示しています。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500でサポートされています。

要件

開始する前に、以下を実行します。

  • ステートレス ファイアウォール フィルターを構成する方法を理解する。

  • 基本的な接続を確立します。.

概要

この例では、各デバイス上のインターフェイスのIPアドレスを設定します。デバイスR0(198.51.100.9/24)の場合、R1 の場合は、198.51.100.10/24 および 203.0.113.5/24 です。R2の場合は203.0.113.9/24ですデバイス R1 では、ルーティング インスタンス間に内部サービス インターフェイス lt-0/0/0 を設定し、2 つの仮想デバイス間のピア関係を設定します。次に、Primary-VR ゾーンと Internet-VR-ZONE の 2 つのセキュリティ ゾーンを作成し、関連するインターフェイスを割り当て、サポートされるアプリケーションとプロトコルを許可する設定を行います。

次にポリシーを設定し すべてのパケットが許可を指定します仮想デバイス ルーティング インスタンス Internet-VR を設定し、インターフェイスをフローベース転送に割り当てる。デバイスR0 OSPF R1、R2でデバイスの設定を有効にします。デバイス R2 では、パケット モード アクションのリポートを含む bypass-flow-term という用語を使用して、フィルター バイパス フロー フィルタを設定します。一致条件が指定されていないため、このフィルターは適用されたインターフェースを通過するすべてのトラフィックに適用されます。

デバイス R1 では、ファイアウォール フィルターの bypass-flow-filter を内部インターフェイス ge-0/0/2.0 および lt-0/0/0.0 に適用します。フィルタは、Internet-VR ルーティング インスタンスに関連付けられているインターフェイスには適用されません。その結果、プライマリ ルーティング インスタンスに関連付けられた LAN インターフェイスを通過する全トラフィックがパケット ベースの転送を使用し、Internet-VR ルーティング インスタンスを通過するトラフィックはすべてフローベースの転送を使用します。

図 4 は 、この例で使用されているネットワーク トポロジを示しています。

図 4:パケットベース転送のための選択的ステートレス パケットベース サービス Selective Stateless Packet-Based Services for Packet-Based Forwarding

プライベート LAN に面したインターフェイスはセキュリティ サービスを必要としますが、WAN に面したインターフェイスにはセキュリティが必要です。この例では、2 つのルーティング インスタンス(1 つがパケット ベースの転送を処理する、もう 1 つはフローベースの転送)を処理して、セキュアなトラフィックと安全性の高いトラフィックがないトラフィック用に、パケット ベース転送とフローベース転送の両方を設定します。

構成

手順

CLI迅速な設定

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI 使用 」を 参照してください

エンドツーエンドのパケットベース転送用に選択的なステートレス パケットベース サービスを設定するには、次の手順に示します。

  1. インターフェイスの IP アドレスを設定します。

  2. ルーティング インスタンス間に内部サービス インターフェイスを設定します。

  3. セキュリティ ゾーンを設定します。

  4. ポリシーを設定します。

  5. 仮想デバイス ルーティング インスタンスを設定します。

  6. ネットワークOSPFインターフェイスで有効にします。

  7. ファイアウォール フィルタを作成し、パケット ベースの転送トラフィックという用語を定義します。

  8. 該当するインターフェイスにファイアウォール フィルタを適用します。

結果

設定モードから、 、および のコマンド show interfaces を入力して show protocols show security show routing-instances 設定を確認 show firewall します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モード commit から を入力します。

検証

設定が正常に機能されていることを確認します。

パケットベースからフローベースへの設定の検証

目的

選択的なステートレス パケットベース サービスが、パケット ベースからフローベースの転送用に設定されていることを検証します。

アクション

設定モードから、 show interfacesshow protocols show security show routing-instances 、および のコマンドを入力 show firewall します。

出力がファイアウォール フィルター、ルーティング インスタンス、インターフェイス、ポリシーの意図した設定を示することを確認します。

条件が、パケットをテストする順序で記載されているのを確認します。ファイアウォール フィルタ内で条件を移動するには、 コマンドを使用 insert します。

LANトラフィックでのセッション確立の検証

目的

LAN 内のインターフェイス上でトラフィックが送信されると、セッションが確立検証します。

アクション

セッションが確立確認するには、以下のタスクを実行します。

  1. デバイスで、 R1 動作モードから コマンドを入力 clear security flow session all して、既存のすべてのセキュリティ フロー セッションを消去します。

  2. デバイスで、 R0 動作モードから コマンドを入力 ping してトラフィックをデバイスに送信します Primary-VR

  3. デバイス上で R1 、デバイスからを送信するトラフィックが R0 動作モードから R1 コマンドを入力 show security flow session します。

注:

確立されたセッションを検証するには、コマンドがパケットを送受信している間に コマンド show security flow session ping を入力してください。

この出力は、セッション間の送信トラフィック R0 Primary-VR とセッションが確立されていないトラフィックを示しています。この例では、インターフェイスと会社の LAN トラフィックにアクションを指定して bypass-flow-filter packet-mode ge-0/0/0 lt-0/0/0.0 適用しました。この出力は、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスするため、セッションが確立されていないと検証します。

インターネット トラフィックでのセッション確立の検証

目的

インターネットへのトラフィック送信時にセッションが確立されるのを検証します。

アクション

インターネットへのトラフィックがフローベースの転送とセッションを使用しているか確認するには、以下のタスクを実行します。

  1. デバイスで、 R1 動作モードから コマンドを入力 clear security flow session all して、既存のすべてのセキュリティ フロー セッションを消去します。

  2. デバイスで、 R0 動作モードから コマンドを入力 ping してトラフィックをデバイスに送信します R2

  3. デバイスで R1 、動作モードから、 を介して送信する R0 トラフィックが コマンド R2 R1 を入力 show security flow session します。

注:

確立されたセッションを検証するには、コマンドがパケットを送受信している間に コマンド show security flow session ping を入力してください。

出力は、デバイスから確立されたセッションに R0 送信 R2 されるトラフィックを示しています。この例では、会社のインターネット トラフィックのルーティング インスタンスにアクションアクションを適用 bypass-flow-filter packet-mode Internet-VR したくはありません。この出力では、インターネットへのトラフィックがフローベース転送を正しく使用しているか検証するため、セッションが確立されます。

セッションは、 と の間でトラフィックが流れる場合ではなく、その間でトラフィックが流れる場合にのみ確立 lt-0/0/0.1 ge-0/0/3 ge-0/0/2 されます lt-0/0/0.0

セッション キャッシュについて

概要

SRX5K-MPC(IOC2)、SRX5K-MPC3-100G10G(IOC3)、SRX5K-MPC3-40G10G(IOC3)が、SRX5400、SRX5600、SRX5800のデバイスでセッション キャッシュをサポートし、セッション キャッシュを選択的にインストールします。

セッション キャッシュは、IOC 上のネットワーク プロセッサー(NP)と SPU 間の会話をキャッシュするために使用されます。会話には、セッション、GTP-U トンネル トラフィック、IPsec VPN トンネル トラフィックなどがあります。会話には、受信トラフィック用とリバース トラフィック用の 2 つのセッション キャッシュ エントリーがあります。トラフィック イングレスおよびエグレス ポートの場所に応じて、2 つのエントリーが同じネットワーク プロセッサーまたは異なるネットワーク プロセッサー内に存在する場合があります。IIOC は、IPv6 セッション用のセッション キャッシュをサポートしています。

セッション キャッシュ エントリは セッション ウィングとも呼ばれる.

IOCのセッションキャッシュは、Express Path(旧サービスオフロード)機能を活用して、高遅延やIPsecパフォーマンス低下などの問題を回避できます。

セッション キャッシュのエントリ レコード:

  • 変換のトラフィックを転送するSPU

  • どのエグレス ポートに変換のトラフィックを Express Path モードで転送する必要があります。

  • Express Path モードで変換を実行する場合など、エグレス トラフィックNAT実行する処理

Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 から、IOC のセッションのセッション キャッシュが特定のパフォーマンス問題の解決に役立ちます。SPU は、後続のトラフィックを特定のアンカー SPU に転送するよう IOC セッション キャッシュに指示できます。

Junos OS リリース 15.1X49-D10から、SRX5K-MPC(IOC2)および IOC3 は、改善されたフロー モジュールとセッション キャッシュを介して VPN セッション アフィニティをサポートしています。IOC2 Junos OS リリース 12.3X48-D30から、セッション キャッシュを介した VPN セッション アフィニティがサポートされています。

その他のトラフィックは、5 要素の鍵情報に基づいて、SPUs にハッシュされました。VPN トラフィックは固定 SPU の概念を採用しました。これはフロー SPU の機能と必ずしも一致する必要はなかったためです。ネットワーク プロセッサーがパケットをフロー SPU に転送できるのは、5 要素のハッシュに基づく場合のみです。その後、フロー SPU はパケットを固定された SPU に転送しました。これにより VPN トラフィックに追加ホップが作成され、スイッチ ファブリックの帯域幅が無駄に使え、VPN スループットがおよそ半分減少しました。このパフォーマンス低下は、固定された SPU で処理した後もトラフィックがフロー SPU に戻る必要があったためです。

これで、セッション キャッシュ テーブルが IOC で拡張され、NP セッションがサポートされます。Express Path トラフィックと NP トラフィックは、IPC 上で同じセッション キャッシュ テーブルを共有します。Express Path トラフィックは、ローカルまたは別の IOC に IOC 自体によって転送されます。トラフィックは SPU からのサービスを必要としないのでです。NP トラフィックは、セッション キャッシュに指定された SPU に転送され、さらに処理されます。すべてのセッション キャッシュ エントリーは、Express Path セッション トラフィックと NP トラフィックの両方で共有されます。

コマンドを実行する必要がある IIOC でセッション キャッシュを有効 set chassis fpc <fpc-slot> np-cache にするには、

注:

IOC2 と IOC3 は、遅延セッション削除メカニズムを利用します。同じセッション(同じ 5 つの要素を持つセッション)は、削除してから即座に再インストールされ、IPC にキャッシュされません。

選択的セッション キャッシュのインストール

高遅延を回避し、IPSec パフォーマンスを向上し、貴重なリソースをより有効活用するために、フロー モジュールと IOC の両方に特定の優先メカニズムを適用します。

IIOC は、セッション キャッシュ使用率のしきい値を維持および監視します。また、IIOC はセッション キャッシュの使用量を SPU に伝えるので、特定のセッション キャッシュ使用率のしきい値に達すると、SPU は優先トラフィック セッションに対してセッション キャッシュのインストール要求のみを送信します。

このようなアプリケーションにはIDP、ALG はパケットを順序に合って処理する必要があります。1 つの SPU には、1 つのセッションに属するパケットを処理する複数のフロー スレッドがあります。LBT、POT パケット順序では、トラフィックが確実にファイアウォールを通過します。また、同じセッションに属するパケットを順序に合って処理するアプリケーションを保証することはできません。フローのシリアル化により、1 つの SPU フロー スレッド処理パケットのみ同時に同じセッションに属する方法が提供され、アプリケーションはパケットを順に受信、処理、送信できます。他のフロー スレッドは、他のセッションに対してフローのシリアル化処理を同時に実行できます。

次の 4 つの優先レベルを使用して、IPC にセッション キャッシュをインストールできるトラフィックのタイプを決定します。

  • Priority 1 (P1)— IPSec および Express Path 認定トラフィック

  • Priority 2 (P2)— フラグメント化の順序

  • Priority 3 (P3)— NAT/SZ(セッションのシリアル化)トラフィック

  • Priority 4(P3)— その他すべてのタイプのトラフィック

IIOC は、セッション キャッシュの使用率のしきい値を維持および監視し、現在のリアルタイム セッション キャッシュ使用率を SPU に更新します。SPU は、優先度の高い特定のトラフィック セッションに対してセッション キャッシュをインストールする必要があります。優先度の高いトラフィック セッションのセッション キャッシュ使用率は以下の表に示されています。

表 1:セッションキャッシュの設置バー

トラフィック タイプ

0% < 25% < 0%

使用率が 25% < 50% <

50% <の<75%

使用率が 100% < 75% <

IPsec および Express Path トラフィック

はい

はい

はい

はい

フラグメント化の順序トラフィック

はい

はい

はい

いいえ

NAT/SZ トラフィック

はい

はい

いいえ

いいえ

その他のトラフィック

はい

いいえ

いいえ

いいえ

IOC 上のセッション エントリーを節約するために、フロー モジュールは選択的に IOC にセッションをインストールします。IOC は、セッションのインストールを簡単に選択するために、対応するしきい値を維持して、フロー モジュール(IOC 上のセッション キャッシュ テーブルの完全な状態)を示す表示を提供します。メタ ヘッダーの 2 ビットが追加され、現在のキャッシュ テーブルの使用率ステータスが示されます。SPU に送信されるパケットはすべて、これらの 2 つのステータス ビットを転送して、フロー モジュールに IOC 上のキャッシュ テーブルの使用率を通知します。

セッション キャッシュを使用した IPsec VPN セッション アフィニティの強化

SRX シリーズは完全に分散されたシステムであり、IPsec トンネルが割り当てされ、特定の SPU に固定されます。IPsec トンネルに属するトラフィックはすべて、トンネルで固定された SPU 上で暗号化され、暗号化解除されます。IOCは、IPsecのパフォーマンスを向上させるために、IOCを改善して、トンネルを固定したSPU上で(暗号化と暗号化解除の後に)IPsecトンネルベースのトラフィックのセッションを作成し、セッションのセッションキャッシュをインストールして、IOCがパケット転送オーバーヘッドを最小限に抑えるために、同じSPUに直接パケットをリダイレクトできます。Express Path トラフィックと NP トラフィックは、IPC 上で同じセッション キャッシュ テーブルを共有します。

IIOC でセッション キャッシュを有効にし、選択した FPC(フレキシブル PIC コンセントレータ)で Express Path(旧サービス オフロード)モード用のセッションかどうかを決定するために、セキュリティ ポリシーを設定する必要があります。

IPsec VPN アフィニティを有効にするには、 コマンドを使用 set security flow load-distribution session-affinity ipsec します。

注:

IPsec VPN アフィニティを有効にするには、 コマンドを使用して IPC でセッション キャッシュを有効にする必要 set chassis fpc <fpc-slot> np-cache があります。

NP セッション キャッシュを使用したフラグメント化パケットの順序

セッションは、通常のパケットとフラグメント化されたパケットの両方で構成されている場合があります。ハッシュベース分散では、5 要素と 3 要素の鍵を使用して、正常なパケットとフラグメント化されたパケットをそれぞれ異なる SPUs に配信できます。デバイスSRX シリーズ、セッションのすべてのパケットが処理する SPU に転送されます。転送と処理の遅延により、処理 SPU はセッションのパケット順序を保証しない可能性があります。

IIOC のセッション キャッシュにより、フラグメント化されたパケットを使用したセッションのパケットが確実に順序付けされます。セッションの正常なパケットにセッション キャッシュ エントリが割り当てされ、フラグメント化されたパケットを見つけるために 3 要素の鍵が使用されます。フロー モジュールは、セッションの最初のフラグメント 化されたパケットを受信すると、IOC がセッション キャッシュ エントリを更新して、SPU のフラグメント化されたパケットを記憶できます。その後、IOC はセッションのすべての後続パケットを SPU に転送して、フラグメント化されたパケットを持つセッションのパケットを順序付けします。

対称型の太い IPsec トンネルを理解する

Junos OS 19.4R1、SRX5400、SRX5600、SRX5800、vSRXのインスタンスから、太いトンネル技術が導入され、IPsecトンネルのスループット値が最大10倍の現在値に改善されます。

リリース 21.1R1 Junos OSから、MX-SPC3 サービス カードで fat IPsec トンネルを設定できます。

新しい CLI コマンドが導入され、太い IPsec トンネルを有効にできます。デフォルトでは、太い IPsec トンネル機能は無効になっています。新しくCLIされた CLI は fat-core 、階層 set security distribution-profile 内です。fat-core を有効にした場合は、以下の設定が表示されます。

Fat IPsecトンネルを設定する前に、以下が設定されていることを確認します。

  • 高速パス転送を行う場合は、 コマンドを使用してセッション情報用に IOC キャッシュを設定 set chassis fpc FPC slot np-cache します。

  • セッション アフィニティを有効にするには、 コマンドを使用 set security flow load-distribution session-affinity ipsec します。

  • 電源モードを有効にするには、 コマンドを使用 set security flow power-mode-ipsec します。

リリース履歴テーブル
リリース
説明
19.4R1
Junos OS 19.4R1、SRX5400、SRX5600、SRX5800、vSRXのインスタンスから、太いトンネル技術が導入され、IPsecトンネルのスループット値が最大10倍の現在値に改善されます。
15.1X49-D30
最初のリリース Junos OS および 15.1X49-D30 Junos OS リリース 17.3R1、セッション フローの概要には CP セッション ID が含まれます。
15.1X49-D10
Junos OS リリース 15.1X49-D10 および Junos OS リリース 17.3R1 から、IOC のセッションのセッション キャッシュが特定のパフォーマンス問題の解決に役立ちます。
15.1X49-D10
Junos OS リリース 15.1X49-D10から、SRX5K-MPC(IOC2)および IOC3 は、改善されたフロー モジュールとセッション キャッシュを介して VPN セッション アフィニティをサポートします。
12.1X48-D30
IOC2 Junos OS リリース 12.3X48-D30から、セッション キャッシュを介した VPN セッション アフィニティがサポートされています。