パケットベースの転送
SRXデバイスは、パケットモードとフローモードの2つの異なるモードで動作します。フロー モードでは、SRX はトラフィックの状態またはセッションを分析することにより、すべてのトラフィックを処理します。これは、トラフィックのステートフル処理とも呼ばれます。パケット モードでは、SRX はパケット単位でトラフィックを処理します。これは、トラフィックのステートレス処理とも呼ばれます。
パケットベースの処理について
Junos OS を実行しているジュニパーネットワークスデバイスを出入りするパケットは、パケットベースの処理を受ける可能性があります。パケットベースまたはステートレスのパケット処理は、パケットを個別に処理します。各パケットは、治療のために個別に評価されます。ステートレス パケットベースの転送は、フロー情報や状態情報に関係なく、パケット単位で実行されます。各パケットは、治療のために個別に評価されます。
図 1 は、パケットベース転送のトラフィック フローを示しています。
パケットがデバイスに入ると、分類子、フィルター、ポリサーが適用されます。次に、パケットのエグレス インターフェイスがルート ルックアップによって決定されます。パケットのエグレスインターフェイスが見つかったら、フィルターが適用され、パケットはキューに入られ、送信のためにスケジュールされたエグレスインターフェイスに送信されます。
パケットベースの転送では、特定の接続に属する以前のパケットまたは後続のパケットに関する情報は必要なく、トラフィックを許可または拒否する決定はパケット固有です。このアーキテクチャは、個々のフローや状態を追跡せずにパケットを転送するため、大規模なスケーリングのメリットがあります。
Junos OSリリース15.1X49-D100以降、SRX100では、 SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX650 の各キャプチャ サイズは、パケット キャプチャの最大キャプチャ サイズを 1520 バイトに拡張して、1500 バイトのデータと 12 バイトのジュニパー イーサネット ヘッダーをキャプチャできます」
選択的なステートレス パケットベース サービスの理解
選択的なステートレス パケットベース サービスにより、フローベース転送とパケットベース転送の両方をシステムで同時に使用できます。ACL(アクセスコントロールリスト)とも呼ばれるステートレスファイアウォールフィルターを使用して、ステートフルフローベースの転送を回避するために、パケットベースのステートレス転送を必要とするトラフィックを選択的に誘導できます。それほど向かっていないトラフィックは、デフォルトのフローベース転送パスに従います。フローベース転送のバイパスは、フロー セッションスケーリング制約を明示的に回避したいトラフィックに便利です。
デフォルトでは、Junos OSを実行するジュニパーネットワークスのセキュリティデバイスは、フローベースの転送を使用します。選択的なステートレスパケットベースのサービスでは、入力フィルター条件に基づいて、選択されたトラフィックに対してのみパケットベースの処理を提供するようにデバイスを設定できます。その他のトラフィックは、フローベースの転送のために処理されます。フローベース転送のバイパスは、セッションスケーリングの制約やセッション作成や保守のコストを回避したい導入に便利です。
デバイスを選択的なステートレス パケットベース処理に設定すると、システムに入るパケットは特定の条件に応じて異なる方法で処理されます。
入力フィルター条件で指定された一致条件を満たすパケットは、パケット モードとしてマークされ、設定されたすべてのパケット モード機能が適用されます。フローベースのセキュリティ機能は適用されない。回避します。
パケットモードにフラグが立てられない場合、通常の処理を受けます。MPLS を除くすべてのサービスは、このトラフィックに適用できます。
図 2 は、フローベースの処理をバイパスする、選択的なステートレス パケットベース サービスを持つトラフィック フローを示しています。
パケットがインターフェイス上に入ってくると、インターフェイスに設定された入力パケットフィルターが適用されます。
パケットが ファイアウォールフィルターで指定された条件に一致する場合、
packet-mode
アクション修飾子がパケットに設定されます。パケットモードアクション修飾子は、パケットキーバッファのビットフィールドを更新します。このビットフィールドを使用して、フローベースの転送をバイパスする必要があるかどうかを判断します。その結果、パケットモードアクション修飾子を持つパケットは、フローベースの転送を完全にバイパスします。パケットのエグレス インターフェイスは、ルート ルックアップによって決定されます。パケットのエグレスインターフェイスが見つかったら、フィルターが適用され、パケットはキューに入られ、送信のためにスケジュールされたエグレスインターフェイスに送信されます。パケットがこのフィルター条件で指定された条件に一致しない場合、そのパケットはフィルターで設定された他の条件に対して評価されます。すべての用語が評価された後、パケットがフィルター内の条件に一致しない場合、パケットは通知なく破棄されます。パケットが廃棄されるのを防ぐために、フィルターで、すべてのパケットを受け入れるアクションを指定する条件を設定します。
ステートレス サービスの定義されたセットは、選択的なステートレス パケットベース サービスで利用できます。
IPv4 ルーティング(ユニキャストおよびマルチキャスト プロトコル)
サービス クラス (CoS)
リンク フラグメント化とインターリービング(LFI)
GRE(一般ルーティングのカプセル化)
レイヤー 2 スイッチング
MPLS(Multiprotocol Label Switching)
ステートレス ファイアウォール フィルター
CRTP(Compressed Real-Time Transport Protocol)
MPLS サービスを必要とするトラフィックはパケット モードで処理する必要がありますが、状況によっては、ステートフル インスペクション、NAT、IPsec などのフロー モードでのみ提供できる特定のサービスをこのトラフィックに同時に適用する必要がある場合があります。フロー モードとパケット モードの両方でトラフィックを処理するようシステムに指示するには、トンネル インターフェイスを介して接続された複数のルーティング インスタンスを設定する必要があります。1 つのルーティング インスタンスはフロー モードでパケットを処理するように設定し、もう一方のルーティング インスタンスはパケット モードでパケットを処理するように設定する必要があります。トンネル インターフェイスを使用してルーティング インスタンスを接続する場合、これらのルーティング インスタンス間のトラフィックは再び転送パスにインジェクトされ、別の転送方法を使用して再処理できます。
選択的ステートレス パケットベース サービス構成の概要
この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。選択的なステートレス パケット ベースのサービスは、ACL(アクセス コントロール リスト)とも呼ばれるステートレス ファイアウォール フィルターを使用して設定します。ファイアウォールフィルターで一致条件を指定することで、トラフィックをパケットベースの転送に分類し、アクション修飾子を packet-mode
設定してアクションを指定します。一致条件とアクションが定義されると、ファイアウォールフィルターが関連するインターフェイスに適用されます。
ファイアウォールフィルターを設定するには:
パケットがインターフェイス上に入ってくると、インターフェイスに設定された入力パケットフィルターが適用されます。パケットが指定された条件に一致し packet-mode
、アクションが設定されている場合、パケットはフローベースの転送を完全にバイパスします。
フィルターを設定する場合は、ファイアウォール フィルター内の条件の順序に注意してください。パケットは、設定に記載されている順序で各条件に対してテストされます。最初の一致条件が見つかった場合、その条件に関連付けられたアクションがパケットに適用され、アクション修飾子が含まれていない限り next term
、ファイアウォールフィルターの評価は終了します。アクションが next term
含まれている場合、一致するパケットはファイアウォールフィルターの次の条件に対して評価されます。そうでない場合、一致するパケットはファイアウォールフィルター内の後続の条件に対して評価されません。
選択的なステートレスパケットベースサービスにファイアウォールフィルターを設定する場合:
不要なパケットドロップを回避するために、フローをバイパスする必要があるトラフィックを正確に特定します。
必ず、パケットベースフローパスに関係するすべてのインターフェイスに、パケットモードアクションを使用してファイアウォールフィルターを適用してください。
フローベースの転送を使用するように、ホストバウンド TCP トラフィックを必ず設定してください。アクション修飾子を含むファイアウォール フィルター条件に一致条件を指定する場合は、このトラフィックを
packet-mode
除外します。フローをバイパスするように設定されたホストバウンド TCP トラフィックは破棄されます。選択的なステートレス パケットベース サービスでは、非同期フローモード処理はサポートされていません。アクション修飾子で入力パケットフィルター(出力ではありません)を設定します
packet-mode
。
ネストファイアウォールフィルター(別のフィルターの条件内にフィルターを設定)は、選択的なステートレスパケットベースサービスではサポートされていません。
選択的なステートレス パケットベースサービスを設定できる典型的な導入シナリオは次のとおりです。
エンドツーエンドの転送がパケットベースであるイントラネットトラフィックなど、プライベートLANとWANインターフェイス間のトラフィックフロー
プライベートLANと安全性の高くないWANインターフェイス間のトラフィックフローでは、トラフィックがパケットベースの転送とフローベースの転送を使用して、安全性が高く、安全性が高くないトラフィックをそれぞれ使用します。
プライベートWANリンクがダウンした場合のフローベースIPsec WANへのフェイルオーバーによるプライベートLANとWANインターフェイス間のトラフィックフロー
フローベース LAN からパケットベース MPLS WAN へのトラフィック フロー
例:エンドツーエンドのパケットベース転送向けの選択的なステートレスパケットベースサービスの設定
この例では、エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定する方法を示しています。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。
要件
開始する前に、以下を行います。
ステートレス ファイアウォール フィルターを構成する方法を理解する。
基本的な接続性を確立します。.
概要
この例では、各デバイスのインターフェイスのIPアドレスを設定します。R0の場合は10.1.1.2/24です。R1 の場合、10.1.1.1/24、10.2.1.1/24、および 203.0.113.1/30 です。R2の場合は203.0.113.2/30です。R3の場合は10.2.1.2/24です次のようにデバイスに静的ルートを作成し、ネクストホップ アドレスを関連付けます。R0 は 10.1.1.2、R1 は 198.51.100.2、R2 は 203.0.113.1、R3 は 10.2.1.1 です。
デバイスR1では、untrustと呼ばれるゾーンを設定し、インターフェイスge-0/0/3に割り当てます。また、 trustと呼ばれるゾーンを作成し、インターフェイスge-0/0/1とge-0/0/2を割り当てます。trust ゾーンと untrust ゾーンを設定して、サポート対象のすべてのアプリケーション サービスをインバウンド サービスとして許可します。ゾーン間を通過する送信元アドレス、宛先アドレス、アプリケーションからのトラフィックを許可します。
次に、ファイアウォールフィルターのバイパスフローフィルターを作成し、内部インターフェイスge-0/0/1とge-0/0/2の間のトラフィックに一致し、パケットモードアクション修飾子を含むバイパスフロー条件-1とバイパスフロー条件-2という用語を定義します。条件 accept-rest を定義して、残りのトラフィックをすべて受け入れます。最後に、内部インターフェイスge-0/0/1およびge-0/0/2にファイアウォールフィルターバイパスフローフィルターを適用します(外部インターフェイスには適用されません)。その結果、すべての内部トラフィックはフローベースの転送をバイパスし、インターネットとの間のトラフィックはフローベースの転送をバイパスしません。
図 3 は、この例で使用するネットワーク トポロジーを示しています。
企業の支社は、プライベート WAN を介して相互に接続されています。この内部トラフィックでは、セキュリティが問題ではないため、パケット転送が必要です。したがって、このトラフィックでは、フローベースの転送をバイパスするように、選択的なステートレスパケットベースサービスを設定することにします。インターネットとの間の残りのトラフィックは、フローベースの転送を使用します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
{device R0} [edit] set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R1} set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24 set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24 set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30 set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2 set security zones security-zone untrust interfaces ge-0/0/3 set security zones security-zone trust interfaces ge-0/0/1 set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone untrust host-inbound-traffic system-services all set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application any set security policies from-zone trust to-zone untrust policy Internet-traffic then permit set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application any set security policies from-zone untrust to-zone trust policy Incoming-traffic then permit set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application any set security policies from-zone trust to-zone trust policy Intrazone-traffic then permit set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-mode set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24 set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-mode set firewall family inet filter bypass-flow-filter term accept-rest then accept set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-filer set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
{device R2} set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 10.1.1.2/30 set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R3} [edit] set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.21.1.2/24 set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定するには:
デバイスR0、R1、R2、およびR3上のインターフェイスのIPアドレスを設定します。
{device R0} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.2/24
{device R1} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet address 10.1.1.1/24
user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.1/24
user@host#set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30
{device R2} [edit] user@host#
set interfaces ge-0/0/3 description "Internet" unit 0 family inet address 203.0.113.1/30
{device R3} [edit] user@host#
set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet address 10.2.1.2/24
静的ルートを作成し、デバイスR0、R1、R2、およびR3に適切なネクストホップアドレスを関連付けます。
{device R0} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
{device R1} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.1
{device R2} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 203.0.113.2
{device R3} [edit] user@host#
set routing-options static route 0.0.0.0/0 next-hop 10.2.1.1
セキュリティ ゾーンを設定し、インターフェイスを割り当てます。
{device R1} [edit] user@host#
set security zones security-zone untrust interfaces ge-0/0/3
user@host#set security zones security-zone trust interfaces ge-0/0/1
user@host#set security zones security-zone trust interfaces ge-0/0/2
ゾーンのアプリケーション サービスを設定します。
{device R1} [edit] user@host#
set security zones security-zone trust host-inbound-traffic system-services all
user@host#set security zones security-zone untrust host-inbound-traffic system-services all
セキュリティ ポリシーの設定
{device R1} [edit] user@host#
set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address any destination-address any application any
user@host#set security policies from-zone trust to-zone untrust policy Internet-traffic then permit
user@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic match source-address any destination-address any application any
user@host#set security policies from-zone untrust to-zone trust policy Incoming-traffic then permit
user@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic match source-address any destination-address any application any
user@host#set security policies from-zone trust to-zone trust policy Intrazone-traffic then permit
ファイアウォールフィルターを作成し、すべてのパケットベースの転送トラフィックの条件を定義します。
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 from source-address 10.1.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term–1 from destination-address 10.2.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-1 then packet-mode
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from source-address 10.2.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 from destination-address 10.1.1.0/24
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term-2 then packet-mode
残りのトラフィックの別の条件を指定します。
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term accept-rest then accept
関連するインターフェイスにファイアウォールフィルターを適用します。
{device R1} [edit] user@host#
set interfaces ge-0/0/1 description "Internal 1" unit 0 family inet filter input bypass-flow-filer
user@host#set interfaces ge-0/0/2 description "Internal 2" unit 0 family inet filter input bypass-flow-filer
結果
設定モードから、 、 、 show routing-options
コマンドを入力して設定をshow interfaces
show firewall
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
{device R0} [edit] user@host# show interfaces ge-0/0/1 { description “Internal 1” unit 0 { family inet { address 10.1.1.2/24 } } }
{device R0} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 10.1.1.1; }
{device R2} [edit] user@host# show interfaces ge-0/0/3 { description “Internet” unit 0 { family inet { address 203.0.113.2/30; } } }
{device R2} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 203.0.113.1; }
{device R3} [edit] user@host# show interfaces ge-0/0/2 { description “Internal 2” unit 0 { family inet { address 10.2.1.2/24; } } }
{device R3} user@host# show routing-options static { route 0.0.0.0/0 next-hop 10.2.1.1; }
{device R1} [edit] user@host# show interfaces ge-0/0/1 { description “internal 1” unit 0 { family inet { filter { input bypass-flow-filter; } address 10.1.1.1/24; } } } ge-0/0/2 { description “Internal 2” unit 0 { family inet { filter { input bypass-flow-filter; } address 10.2.1.1/24; } } } ge-0/0/3 { description “Internet” unit 0 { family inet { address 203.0.113.1/30; } } } {device R1} [edit] user@host# show routing-options static { route 0.0.0.0/0 next-hop 203.0.113.1; } {device R1} [edit] user@host# show firewall family inet { filter bypass-flow-filter { term bypass-flow-term-1 { from { source-address { 10.1.1.0/24; } destination-address { 10.2.1.0/24; } } then packet-mode; } term bypass-flow-term-2 { from { source-address { 10.2.1.0/24; } destination-address { 10.1.1.0/24; } } then packet-mode; } term accept-rest { then accept; } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
エンドツーエンドのパケットベース設定の検証
目的
選択的なステートレス パケットベース サービスが設定されていることを確認します。
アクション
設定モードから、 、show security policies
show routing-options
show security zones
および コマンドをshow firewall
入力show interfaces
します。
ファイアウォールフィルター、インターフェイス、ポリシーの意図した設定が出力に表示されていることを確認します。
条件が、パケットをテストする順序で示されていることを確認します。コマンドを使用して、ファイアウォールフィルター内で条件を insert
移動できます。
イントラネット・トラフィックでのセッション確立の検証
目的
イントラネット内のインターフェイスにトラフィックを送信する際に、セッションが確立されていることを確認します。
アクション
セッションが確立されていることを確認するには、以下のタスクを実行します。
デバイス
R1
で、 運用モードclear security flow session all
コマンドを入力して、既存のすべてのセキュリティフローセッションをクリアします。デバイス
R0
で、 運用モードping
コマンドを入力して、トラフィックをデバイスに送信しますR3
。デバイス
R1
で、 から を通じてR3
R1
送信されるトラフィックがある場合R0
は、 運用モードshow security flow session
コマンドを入力します。Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
確立されたセッションを確認するには、コマンドがパケットの show security flow session
送受信中に ping
コマンドを入力してください。
Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、セッション フローの概要には、CP セッション ID が含まれています。
{device R0} user@host> ping 192.0.2.2 -c 10
PING 192.0.2.2 (192.0.2.2) 56(84) bytes of data. 64 bytes from 192.0.2.2: icmp_seq=1 ttl=63 time=6.07 ms 64 bytes from 192.0.2.2: icmp_seq=2 ttl=63 time=4.24 ms 64 bytes from 192.0.2.2: icmp_seq=3 ttl=63 time=2.85 ms 64 bytes from 192.0.2.2: icmp_seq=4 ttl=63 time=6.14 ms ...
{device R1} user@host>show security flow session
Flow Sessions on FPC10 PIC1: Session ID: 410000077, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 198.51.100.1/3 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Out: 192.0.2.2/32055 --> 198.51.100.1/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000198 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000079, Policy name: Internet-traffic/5, Timeout: 2, Valid In: 198.51.100.1/5 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Out: 192.0.2.2/32055 --> 198.51.100.1/5;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000163 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000090, Policy name: Internet-traffic/5, Timeout: 4, Valid In:198.51.100.1/7 --> 192.0.2.2/32055;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Out: 192.0.2.2/32055 --> 198.51.100.1/7;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000088 Total sessions: 1
出力は、 から R0
R3
に送信されるトラフィックとセッションが確立されていないことを示しています。この例では、インターフェイスInternal 1
とpacket-mode
Internal 2
会社のイントラネットトラフィックに 対して、 と アクション修飾子を適用bypass-flow-filter
しています。この出力では、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスしているため、セッションが確立されていないことを確認します。
インターネットトラフィックでのセッション確立の検証
目的
トラフィックがインターネットに送信されるときにセッションが確立されていることを確認します。
アクション
インターネットへのトラフィックがフローベースの転送を使用し、セッションが確立されていることを確認するには、以下のタスクを実行します。
デバイス
R1
で、 運用モードclear security flow session all
コマンドを入力して、既存のすべてのセキュリティフローセッションをクリアします。デバイス
R0
で、 運用モードping
コマンドを入力して、トラフィックをデバイスに送信しますR2
。デバイス
R1
で、 から からR1
にR2
送信されるR0
トラフィックがある場合、 運用モードshow security flow session
コマンドを入力します。
確立されたセッションを確認するには、コマンドがパケットの show security flow session
送受信中に ping
コマンドを入力してください。
{device R0} user@host> ping 203.0.113.6
PING 203.0.113.6 (203.0.113.6): 56 data bytes 64 bytes from 203.0.113.6: icmp_seq=0 ttl=63 time=2.326 ms 64 bytes from 203.0.113.6: icmp_seq=1 ttl=63 time=2.569 ms 64 bytes from 203.0.113.6: icmp_seq=2 ttl=63 time=2.565 ms 64 bytes from 203.0.113.6: icmp_seq=3 ttl=63 time=2.563 ms 64 bytes from 203.0.113.6: icmp_seq=4 ttl=63 time=2.306 ms 64 bytes from 203.0.113.6: icmp_seq=5 ttl=63 time=2.560 ms 64 bytes from 203.0.113.6: icmp_seq=6 ttl=63 time=4.130 ms 64 bytes from 203.0.113.6: icmp_seq=7 ttl=63 time=2.316 ms ...
{device R1} user@host> show security flow session
Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
出力には、デバイスR0
から確立されたセッションにR1
送信されるトラフィックが表示されます。この例では、会社のインターネットトラフィックのpacket-mode
インターフェイスInternet
で アクション修飾子と を適用bypass-flow-filter
していません。この出力では、インターネットへのトラフィックがフローベースの転送を正しく使用していることを確認し、そのためセッションが確立されます。
デバイスR3
R2
間のトラフィックを送信し、このセクションのコマンドを使用して確立されたセッションを確認します。
例:パケットベースからフローベースの転送に対する選択的ステートレスパケットベースサービスの設定
この例では、パケットベースからフローベースの転送に対して、選択的なステートレス パケットベース サービスを設定する方法を示します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。
要件
開始する前に、以下を行います。
ステートレス ファイアウォール フィルターを構成する方法を理解する。
基本的な接続性を確立します。.
概要
この例では、各デバイスのインターフェイスのIPアドレスを設定します。デバイスR0を198.51.100.9/24として使用する場合。R1の場合は、 は198.51.100.10/24および203.0.113.5/24です。R2の場合は203.0.113.9/24ですデバイスR1では、ルーティングインスタンス間に内部サービスインターフェイスlt-0/0/0を設定し、2つの仮想デバイス間のピア関係を設定します。次に、プライマリ-VR ゾーンと Internet-VR-ゾーンという 2 つのセキュリティ ゾーンを作成し、関連するインターフェイスを割り当て、サポートされるすべてのアプリケーションとプロトコルを許可するように構成します。
次に、ポリシーを設定し、すべてのパケットが許可されるように指定します。仮想デバイス ルーティング インスタンス Internet-VR を設定し、フローベースの転送用にインターフェイスを割り当てます。デバイス R0、R1、および R2 で OSPF を有効にします。デバイスR2では、パケットモードアクション修飾子を含むバイパスフロー条件でフィルターバイパスフローフィルターを設定します。一致条件を指定していないため、このフィルターは適用されるインターフェイスを通過するすべてのトラフィックに適用されます。
最後に、デバイスR1では、内部インターフェイスge-0/0/2.0およびlt-0/0/0.0にファイアウォールフィルターバイパスフローフィルターを適用します。Internet-VR ルーティング インスタンスに関連付けられたインターフェイスにはフィルターを適用しません。その結果、プライマリ ルーティング インスタンスに関連付けられた LAN インターフェイスを通過するすべてのトラフィックはパケットベースの転送を使用し、Internet-VR ルーティング インスタンスを通過するすべてのトラフィックはフローベースの転送を使用します。
図 4 は、この例で使用するネットワーク トポロジーを示しています。
プライベートLANに面したインターフェイスにはセキュリティサービスは必要ありませんが、WANに面したインターフェイスにはセキュリティが必要です。この例では、パケットベースの転送とフローベースの転送の両方を、2 つのルーティング インスタンス(パケットベースの転送を処理するインスタンスとフローベースの転送を処理する)を設定することで、安全性が高く、安全性が高くないトラフィックを設定します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
{device R0} set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24 set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
{device R1} set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24 set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24 set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16 set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16 set security zones security-zone Primary-VR-zone host-inbound-traffic system-services all set security zones security-zone Primary-VR-zone host-inbound-traffic protocols all set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0 set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0 set security zones security-zone Internet-VR-zone host-inbound-traffic system-services all set security zones security-zone Internet-VR-zone host-inbound-traffic protocols all set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0 set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1 set security policies default-policy permit-all set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1 set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0 set protocols ospf area 0.0.0.0 interface ge-0/0/2.0 set protocols ospf area 0.0.0.0 interface lt-0/0/0.0 set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1 set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0 set firewall family inet filter bypass-flow-filter term bypass-flow-term then accept set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-mode set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filter set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
{device R2} set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24 set protocols ospf area 0.0.0.0 interface ge-0/0/3
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定するには:
インターフェイスのIPアドレスを設定します。
{device R0} [edit] user@host#
set interfaces description “Connect to Primary VR” ge-0/0/2 unit 0 family inet address 198.51.100.9/24
{device R1} [edit] user@host#
set interfaces description “Connect to R0” ge-0/0/2 unit 0 family inet address 198.51.100.10/24
user@host#set interfaces description “Connect to R2” ge-0/0/3 unit 0 family inet address 203.0.113.5/24
{device R2} [edit] user@host#
set interfaces description “Connect to Internet-VR” ge-0/0/3 unit 0 family inet address 203.0.113.9/24
ルーティング インスタンス間の内部サービス インターフェイスを設定します。
{device R1} [edit] user@host#
set interfaces lt-0/0/0 unit 0 encapsulation frame-relay dlci 100 peer-unit 1 family inet address 192.0.2.1/16
user@host#set interfaces lt-0/0/0 unit 1 encapsulation frame-relay dlci 100 peer-unit 0 family inet address 192.0.2.2/16
セキュリティ ゾーンを設定します。
{device R1} [edit] user@host#
set security zones security-zone Primary-VR-zone host-inbound-traffic system-services all
user@host#set security zones security-zone Primary-VR-zone host-inbound-traffic protocols all
user@host#set security zones security-zone Primary-VR-zone interfaces ge-0/0/2.0
user@host#set security zones security-zone Primary-VR-zone interfaces lt-0/0/0.0
user@host#set security zones security-zone Internet-VR-zone host-inbound-traffic system-services all
user@host#set security zones security-zone Internet-VR-zone host-inbound-traffic protocols all
user@host#set security zones security-zone Internet-VR-zone interfaces ge-0/0/3.0
user@host#set security zones security-zone Internet-VR-zone interfaces lt-0/0/0.1
ポリシーを設定します。
{device R1} [edit] user@host#
set security policies default-policy permit-all
仮想デバイスルーティングインスタンスを設定します。
{device R1} [edit] user@host#
set routing-instances Internet-VR instance-type virtual-router interface lt-0/0/0.1
user@host#set routing-instances Internet-VR instance-type virtual-router interface ge-0/0/3.0
ネットワーク内のすべてのインターフェイスで OSPF を有効にします。
{device R0} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
{device R1 for Primary-VR} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/2.0
user@host#set protocols ospf area 0.0.0.0 interface lt-0/0/0.0
{device R1 for Internet-VR} [edit] user@host#
set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.1
user@host#set routing-instances Internet-VR protocols ospf area 0.0.0.0 interface ge-0/0/3.0
{device R2} [edit] user@host#
set protocols ospf area 0.0.0.0 interface ge-0/0/3
ファイアウォールフィルターを作成し、パケットベースの転送トラフィックの条件を定義します。
{device R1} [edit] user@host#
set firewall family inet filter bypass-flow-filter term bypass-flow-term then accept
user@host#set firewall family inet filter bypass-flow-filter term bypass-flow-term then packet-mode
関連するインターフェイスにファイアウォールフィルターを適用します。
{device R1} [edit] user@host#
set interfaces ge-0/0/2 unit 0 family inet filter input bypass-flow-filter
user@host#set interfaces lt-0/0/0 unit 0 family inet filter input bypass-flow-filter
結果
設定モードから、 、show routing-instances
show protocols
show security
および のコマンドをshow interfaces
入力して、設定をshow firewall
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
{device R0} [edit] user@host# show interfaces ge-0/0/2 { description “Connect to Primary-VR” unit 0 { family inet { address 198.51.100.9/24 } } }
{device R0} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/2.0; } }
{device R2} [edit] user@host# show interfaces ge-0/0/3 { description “Connect to Internet-VR” unit 0 { family inet { address 203.0.113.9/24; } } }
{device R2} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/3.0; } }
{device R1} [edit] user@host# show interfaces ge-0/0/2 { description “Connect to R0” unit 0 { family inet { filter { input bypass-flow-filter; } address 198.51.100.10/24; } } } lt-0/0/0 { unit 0 { encapsulation frame-relay; dlci 100; peer-unit 1; family inet { filter { input bypass-flow-filter } address 192.0.2.1/16; } } unit 1{ encapsulation frame-relay; dlci 100; peer-unit 0; family inet { address 192.0.2.2/16 ; } } } {device R1} [edit] user@host# show protocols ospf { area 0.0.0.0/0 { interface ge-0/0/2.0; interface lt-0/0/0.0; } } {device R1} [edit] user@host# show firewall filter bypass-flow-filter { term bypass-flow-term { then { packet-mode; accept; } } }
{device R1} [edit] user@host# show routing-instances Internet-VR { instance-type virtual-router; interface lt-0/0/0.1; interface ge-0/0/3.0; protocols { ospf { area 0.0.0.0 { interface ge-0/0/3.0; lt-0/0/0.1; } } } }
{device R1} [edit] user@host# show security security zone Primary-VR-zone { host-inbound-traffic { system-services { all; { protocols { all; { { intefaces { ge-0/0/2.0; lt-0/0/0.0; { { security zone Internet-VR-zone { host-inbound-traffic { system-services { all; { protocols { all; } } intefaces { ge-0/0/3.0; lt-0/0/0.1; { { policies { default-policy { permit-all; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
パケットベースからフローベースの設定への検証
目的
選択的ステートレスパケットベースサービスが、パケットベースからフローベースの転送に対して設定されていることを確認します。
アクション
設定モードから、 、show routing-instances
show protocols
show security
および コマンドをshow firewall
入力show interfaces
します。
ファイアウォール フィルター、ルーティング インスタンス、インターフェイス、ポリシーの意図した設定が出力に示されていることを確認します。
条件が、パケットをテストする順序で示されていることを確認します。コマンドを使用して、ファイアウォールフィルター内で条件を insert
移動できます。
LANトラフィックのセッション確立の検証
目的
LAN 内のインターフェイスでトラフィックが送信された場合、セッションが確立されていることを確認します。
アクション
セッションが確立されていることを確認するには、以下のタスクを実行します。
デバイス
R1
では、運用モードから コマンドを入力して、clear security flow session all
既存のすべてのセキュリティフローセッションをクリアします。デバイス
R0
では、運用モードから コマンドをping
入力して、トラフィックをデバイスに送信しますPrimary-VR
。デバイス
R1
で、 を介してデバイスR0
から送信されるトラフィックを使用してR1
、 運用モードから コマンドをshow security flow session
入力します。
確立されたセッションを確認するには、コマンドがパケットを show security flow session
送受信している間に ping
コマンドを入力してください。
{device R0} user@host> ping 192.0.2.1
PING 192.0.2.1 (192.0.2.1): 56 data bytes 64 bytes from 192.0.2.1: icmp_seq=0 ttl=63 time=2.208 ms 64 bytes from 192.0.2.1: icmp_seq=1 ttl=63 time=2.568 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=63 time=2.573 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=63 time=2.310 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=63 time=1.566 ms 64 bytes from 192.0.2.1: icmp_seq=5 ttl=63 time=1.569 ms ...
{device R1} user@host> show security flow session
0 sessions displayed
出力は、 から R0
Primary-VR
に送信されるトラフィックとセッションが確立されていないことを示しています。この例では、インターフェイスge-0/0/0
とlt-0/0/0.0
会社のLANトラフィックに 対して packet-mode
アクション修飾子 で を適用bypass-flow-filter
しました。この出力では、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスしているため、セッションが確立されていないことを確認します。
インターネットトラフィックでのセッション確立の検証
目的
トラフィックがインターネットに送信されるときにセッションが確立されていることを確認します。
アクション
インターネットへのトラフィックがフローベースの転送を使用し、セッションが確立されていることを確認するには、以下のタスクを実行します。
デバイス
R1
では、運用モードから コマンドを入力して、clear security flow session all
既存のすべてのセキュリティフローセッションをクリアします。デバイス
R0
では、運用モードから コマンドをping
入力して、トラフィックをデバイスに送信しますR2
。デバイス
R1
では、 から から にR2
R1
送信されるR0
トラフィックで、 運用モードから コマンドをshow security flow session
入力します。root@host> show security flow session Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Total sessions: 0
確立されたセッションを確認するには、コマンドがパケットを show security flow session
送受信している間に ping
コマンドを入力してください。
{device R0} user@host> ping 192.0.2.1 -c 10
PING 60.0.0.1 (60.0.0.1) 56(84) bytes of data. 64 bytes from 192.0.2.1: icmp_seq=1 ttl=64 time=1.98 ms 64 bytes from 192.0.2.1: icmp_seq=2 ttl=64 time=1.94 ms 64 bytes from 192.0.2.1: icmp_seq=3 ttl=64 time=1.92 ms 64 bytes from 192.0.2.1: icmp_seq=4 ttl=64 time=1.89 ms ...
{device R1} user@host> show security flow session
Session ID: 189900, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/0 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/0;icmp, If: ge-0/0/3.0 Session ID: 189901, Policy name: default-policy/2, Timeout: 2 In: 198.51.100.9/1 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/1;icmp, If: ge-0/0/3.0 Session ID: 189902, Policy name: default-policy/2, Timeout: 4 In: 198.51.100.9/2 --> 192.0.2.1/5924;icmp, If: lt-0/0/0.1 Out: 192.0.2.1/5924 --> 198.51.100.9/2;icmp, If: ge-0/0/3.0 3 sessions displayed
出力には、デバイスR0
から確立されたセッションにR2
送信されるトラフィックが表示されます。この例では、企業のインターネットトラフィックのpacket-mode
ルーティングインスタンスInternet-VR
に アクション修飾子と を適用bypass-flow-filter
していません。この出力では、インターネットへのトラフィックがフローベースの転送を正しく使用していることを確認し、そのためセッションが確立されます。
セッションは、 と の間でトラフィックが流れている場合と、 の間lt-0/0/0.1
ge-0/0/3
を流れている場合ではなく、 の間ge-0/0/2
lt-0/0/0.0
でトラフィックが流れている場合にのみ確立されることに注意してください。