Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

フロー セッションの TAP モード

TAP モードでは、SRX シリーズ デバイスがスイッチのミラー ポートに接続され、スイッチを通過するトラフィックのコピーが提供されます。TAP モードの SRX シリーズ デバイスは、TAP インターフェイスからの受信トラフィックを処理し、セキュリティ ログを生成して、検知された脅威、アプリケーションの使用状況、ユーザーの詳細に関する情報を表示します。

セキュリティ フロー セッションの TAP モードサポートについて

Junos OS リリース 18.3R1 以降、TAP モードはセキュリティ フロー セッションをサポートします。セキュリティ フロー セッション設定は、非 TAP モードと同じままです。TAPモードで動作するようにデバイスを設定すると、デバイスはセキュリティログ情報を生成し、検知された脅威、アプリケーションの使用状況、受信トラフィックに応じたユーザーの詳細に関する情報を表示します。TAP モードは、TAP インターフェイスが設定されている場合、フロー ステータスで有効になります。

VLANの有無を問わず、TAPインターフェイスでトラフィックを受信できます。デフォルトでは、すべてのデバイスで、 FLOW SYN-check および sequence-check オプションは 階層レベルで [set security] 無効になっています。

Junos OS リリース 20.1R1 以降では、TAP モードを使用して、外部と内部の IP ヘッダーのカプセル化を解除し、フロー セッションを作成することで、埋め込み IP-IP トンネルと 1 レベルの埋め込み GRE トンネルの最大 2 つのレベルを検査できます。SRX シリーズ デバイスでは、最大 8 つの TAP インターフェイスを設定できます。

例:TAP モードでのセキュリティ フロー セッションの設定

この例では、SRX デバイスが TAP モードで設定されている場合のセキュリティ フロー セッションを設定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズ デバイス

  • Junos OS リリース 19.1R1

概要

この例では、SRX デバイスが TAP モードで設定されている場合のセキュリティ フロー セッションを設定します。セッションは、TCP SYNパケットを受信し、セキュリティポリシーで許可された場合に作成されます。

構成

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

TAP モードでセキュリティ フロー セッションを設定するには、

  1. セキュリティ フロー セッションを設定します。

結果

設定モードから、 コマンドを入力して設定を show security flow 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

TAP モードでのセキュリティ セッション設定の検証

目的

セキュリティ セッションに関する情報を検証します。

アクション

動作モードから、 コマンドを show security flow session 入力します。

意味

TAP モードでデバイス上で現在アクティブなすべてのセキュリティ セッションに関する情報を表示します。

リリース履歴テーブル
リリース
説明
20.1R1
Junos OS リリース 20.1R1 以降では、TAP モードを使用して、外部と内部の IP ヘッダーのカプセル化を解除し、フロー セッションを作成することで、埋め込み IP-IP トンネルと 1 レベルの埋め込み GRE トンネルの最大 2 つのレベルを検査できます。