サービスセット
サービスセットについて
Junos OSでは、アダプティブサービスインターフェイス(AS)またはマルチサービスラインカード(MS-DPC、MS-MIC、MS-MPC)で実行するサービスの集合を定義するサービスセットを作成できます。サービス セットは、インターフェイス スタイル サービス セットまたはネクストホップ スタイル サービス セットとして設定できます。
インターフェイスサービスセットは、インターフェイス全体のアクション修飾子として使用されます。インターフェイスを通過するパケットにサービスを適用する場合、インターフェイススタイルのサービスセットを使用できます。
ネクストホップサービスセットは、特定のサービスを適用するルートベースの方法です。特定のネクストホップ宛てのパケットのみが、明示的な静的ルートの作成によって処理されます。この設定は、仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)テーブル全体にサービスを適用する必要がある場合や、ルーティングの決定によりサービスの実行が必要であると判断した場合に便利です。ネクストホップサービスが設定されている場合、サービスインターフェイスは、一方の脚が内部インターフェイス(ネットワーク内)に設定され、もう一方の脚が外部インターフェイス(ネットワーク外)として設定された2脚のモジュールと見なされます。
サービスセットの非アクティブ化またはサービスセットの削除操作中のパケットドロップを回避するには、まずサービスセットに対応するインターフェイスをダウンし、しばらく待ってから、サービスセットを非アクティブ化または削除します。ただし、トラフィックフローが非常に多い場合は、この回避策は役に立ちません。
サービスセットを設定するには、 [edit services] 階層レベルで以下のステートメントを含めます。
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
関連項目
サービスインターフェイスに適用するサービスセットの設定
サービスインターフェイスを設定して、サービスが実行される適応サービスインターフェイスを指定します。サービスインターフェイスは、次のセクションで説明するサービスセットタイプのいずれかで使用されます。
インターフェイスサービスセットの設定
インターフェイスサービスセットは、インターフェイス全体のアクション修飾子として使用されます。サービスインターフェイスを設定するには、[edit services service-set service-set-name]階層レベルでinterface-serviceステートメントを含めます。
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
ルーターソフトウェアが論理ユニット番号を自動的に管理するため、デバイス名のみが必要です。サービスインターフェイスは、[edit interfaces interface-name階層レベルでunit 0 family inetを設定した適応型サービスインターフェイスである必要があります。
サービスセット定義を設定してサービスルールを定義してグループ化すると、ルーターにインストールされている1つ以上のインターフェイスにサービスを適用できます。サービスセットをインターフェイスに適用すると、パケットがPICに送信されるように自動的に確保されます。
定義済みのサービスセットをインターフェイスに関連付けるには、[edit interfaces interface-name unit logical-unit-number family inet service]階層レベルでinputまたはoutputステートメントとともにservice-setステートメントを含めます。
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
パケットがインターフェイスに入る場合、一致方向は inputです。パケットがインターフェイスを離れる場合、一致方向は outputです。サービスセットは、サービスが適用された後も入力インターフェイス情報を保持するため、入力インターフェイス情報に依存するフィルタークラス転送や宛先クラス使用率(DCU)などの機能は引き続き機能します。
インターフェイスの入力側と出力側に同じサービスセットを設定します。オプションで各サービスセットに関連付けられたフィルターを含めて、ターゲットを絞り込み、トラフィックを追加で処理できます。service-filter定義なしでservice-setステートメントを含めると、ルーターソフトウェアは一致条件がtrueであると仮定し、自動的に処理するサービスセットを選択します。
フィルターを使用してサービスセットを設定する場合、インターフェイスの入力側と出力側で設定する必要があります。
インターフェイスの各側に複数のサービスセット定義を含めることができます。複数のサービスセットを含めた場合、ルーターソフトウェアは、設定に表示される順番でそれらを評価します。システムは、サービスフィルターで一致するものを見つけた最初のサービスセットを実行し、後続の定義を無視します。1つのインターフェイスには、最大6つのサービスセットを適用できます。インターフェイスに複数のサービスセットを適用する場合、サービスフィルターを設定し、インターフェイスに適用する必要があります。
追加のステートメントにより、入力サービス セットの実行後にトラフィックを処理するためのフィルターを指定できます。このタイプのフィルターを設定するには、[edit interfaces interface-name unit logical-unit-number family inet service input]階層レベルでpost-service-filterステートメントを含めます。
post-service-filter filter-name;
post-service-filterステートメントは、サービスインターフェイスがMS-MICまたはMS-MPC上にある場合、サポートされません。
例については、「 例:サービスセットの設定」を参照してください。
Junos OS拡張提供パッケージで設定されたインターフェイススタイルのサービスセットでは、イングレスインターフェイスがVRFインスタンスの一部であり、サービスインターフェイスが同じVRFインスタンスの一部ではない場合、トラフィックのサービスを受けることができません。
サービスセットに設定されたマルチサービスPICが管理上オフラインになるか、障害が発生すると、IDPサービスセットで設定されたインターフェイスに入るすべてのトラフィックが通知なしにドロップされます。このトラフィック損失を回避するには、[edit services service-set service-set-name service-set-options]階層レベルでbypass-traffic-on-pic-failureステートメントを含めます。このステートメントを設定すると、マルチサービスPICに障害が発生したりオフラインになったりした場合に、インターフェイススタイルサービスが設定されていないかのように、影響を受けるパケットが転送されます。この問題は、IDPサービスセットを使用したJunos Application Aware(以前はダイナミックアプリケーション認識と呼ばれていました)設定にのみ適用されます。この転送機能は、当初はパケット転送エンジン(PFE)でのみ機能していました。Junos OSリリース11.3以降、パケット転送機能は、バイパスサービスセット用にルーティングエンジンによって生成されるパケットにも拡張されています。
ネクストホップサービスセットの設定
ネクストホップサービスセットは、特定のサービスを適用するルートベースの方法です。特定のネクストホップ宛てのパケットのみが、明示的な静的ルートの作成によって処理されます。この設定は、仮想プライベートネットワーク(VPN)ルーティングおよび転送(VRF)テーブル全体にサービスを適用する必要がある場合や、ルーティングの決定によりサービスの実行が必要であると判断した場合に便利です。
ネクストホップサービスが設定されている場合、ASまたはマルチサービスPICは、一方の脚が内部インターフェイス(ネットワーク内)に設定され、もう一方の脚が外部インターフェイス(ネットワーク外)として設定された2脚のモジュールと見なされます。
インターフェイスサービスセットが設定されていない場合にのみ、8000を超えるIFLインデックスを作成できます。
ドメインを設定するには、[edit interfaces interface-name unit logical-unit-number]階層レベルでservice-domainステートメントを含めます。
service-domain (inside | outside);
service-domain設定は、インターフェイス内外のネクストホップサービスの設定と一致する必要があります。内部インターフェイスと外部インターフェイスを設定するには、[edit services service-set service-set-name]階層レベルでnext-hop-serviceステートメントを含めます。指定するインターフェイスは、同じAS PIC上の論理インターフェイスである必要があります。この目的のためにunit 0を設定することはできません。また、選択した論理インターフェイスを別のサービスセットによって使用してはなりません。
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
サービスが適用されるトラフィックは、スタティックルートを使用して内部インターフェイスに強制されます。例えば:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
サービスが適用されると、トラフィックは外部インターフェイスを経由して出ます。その後、パケット転送エンジン(PFE)でルックアップが実行され、ASまたはマルチサービスPICからパケットが送信されます。
リバーストラフィックは外部インターフェイスに入り、サービスを受けて内部インターフェイスに送信されます。内部インターフェイスは、ASまたはマルチサービスPICからトラフィックを転送します。
トラフィック方向の決定
ネクストホップサービスセットを設定する場合、AS PICは2つの部分からなるインターフェイスとして機能し、1つの部分が 内部 インターフェイス、もう1つの部分が 外部 インターフェイスです。以下の一連のアクションが実行されます。
これら2つの部分を論理インターフェイスに関連付けるには、
service-domainステートメントで2つの論理インターフェイス(1つはinside値、もう1つはoutside値)を設定し、内部または外部サービスインターフェイスとしてマークします。ルーターは、ネクストホップルックアップテーブルを使用して、サービス対象のトラフィックを内部インターフェイスに転送します。
サービスが適用されると、トラフィックは外部インターフェイスから出ます。次に、ルーターから送信されるパケットに対してルート検索が実行されます。
外部インターフェイスでリバーストラフィックが戻ると、適用されたサービスは元に戻されます。例えば、IPsecトラフィックが復号化されたり、NATアドレスがマスク解除されたりします。その後、サービスされたパケットが内部インターフェイスに出現し、ルーターがルート検索を実行し、トラフィックがルーターを出ます。
サービスルールの一致方向は、入力、出力、入出力のいずれであっても、特定の内部または外部インターフェイスを介するのではなく、AS PICを介したトラフィックフローに関して適用されます。
パケットが AS PIC に送信されると、パケットの方向情報も一緒に伝送されます。これは、インターフェイススタイルとネクストホップスタイルの両方のサービスセットに当てはまります。
インターフェイススタイルのサービスセット
パケットの方向は、パケットが interface-service ステートメントが適用される(転送プレーンに対して)パケット転送エンジンインターフェイスに出入りするかどうかによって決まります。これは、ステートレスファイアウォールフィルターの入出力方向と似ています。
一致方向は、ネットワーク トポロジーによっても異なる場合があります。例えば、ルーター上の他のインターフェイスを保護するために使用される1つのインターフェイスを介してすべての外部トラフィックをルーティングし、このインターフェイスでさまざまなサービスを具体的に設定できます。あるいは、優先度の高いトラフィックに1つのインターフェイスを使用し、そのインターフェイスに特別なサービスを設定しますが、他のインターフェイスのトラフィック保護は気にしなくてもよいでしょう。
ネクストホップスタイルのサービスセット
パケットの方向は、AS PICへのパケットのルーティングに使用されるAS PICインターフェイスによって決定されます。 inside-interface ステートメントを使用してトラフィックをルーティングする場合、パケットの方向は inputです。 outside-interface ステートメントを使用してパケットをAS PICに誘導する場合、パケットの方向は outputになります。
サービスセットを適用するインターフェイスは、一致方向に影響します。例えば、以下の設定を適用します。
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
match-direction inputを設定する場合は、以下のステートメントを含めます。
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
match-direction outputを設定する場合は、以下のステートメントを含めます。
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
2つの設定の本質的な違いは、一致方向とスタティックルートのネクストホップが、AS PICの内部または外部インターフェイスのいずれかを指す変更であることです。
関連項目
サービスセットの制限事項の設定
サービスセットの容量には、以下の制限を設定できます。
サービスセットごとに許可されるフローの最大数を制限できます。最大値を設定するには、
[edit services service-set service-set-name]階層レベルでmax-flowsステートメントを含めます。[edit services service-set service-set-name] max-flows number;
max-flowsステートメントでは、単一のフロー制限値を割り当てることができます。IDS サービス セットについてのみ、さまざまなタイプのフロー制限をより細かく制御して指定できます。詳細については、MS-DPCでのIDSルールセットの設定のsession-limitステートメントの説明を参照してください。注:アグリゲートマルチサービス(AMS)インターフェイスがサービスセットのサービスインターフェイスとして設定されている場合、サービスセットに設定された
max-flow値がAMSインターフェイスの各メンバーインターフェイスに適用されます。つまり、4 つのアクティブメンバーインターフェイスを持つ AMS インターフェイスを使用するサービスセットのmax-flow値として 1000 を設定した場合、各メンバーインターフェイスはそれぞれ 1000 フローを処理できるため、実効max-flow値は 4000 になります。伝送制御プロトコル(TCP)で許可される最大セグメント サイズ(MSS)を制限できます。最大値を設定するには、
[edit services service-set service-set-name]階層レベルでtcp-mssステートメントを含めます。[edit services service-set service-set-name] tcp-mss number;
TCPプロトコルは、2つのピア間のセッション接続確立中にMSS値をネゴシエートします。ネゴシエートされるMSS値は、主に通信ピアが直接接続されているインターフェイスのMTUに基づいています。しかし、ネットワーク内では、TCPパケットがたどるパスのリンクMTUにばらつきがあるため、まだMSS値の範囲内にある一部のパケットが、該当するパケットのサイズがリンクのMTUを超えるとフラグメント化されることがあります。
ルーターがSYNビットとMSSオプションが設定されたTCPパケットを受信し、パケットで指定されたMSSオプションが
tcp-mssステートメントで指定されたMSS値よりも大きい場合、ルーターはパケット内のMSS値をtcp-mssステートメントで指定された低い値に置き換えます。tcp-mss mss-valueパラメーターの範囲は、 536 から 65535です。受信したSYNパケットと、MSS値が変更されたSYNパケットの統計情報を表示するには、
show services service-sets statistics tcp-mss動作モードコマンドを発行します。このトピックの詳細については、 Junos OS運用管理ライブラリを参照してください。Junos OSリリース17.1R1以降、MS-MPCのサービスセットごとのセッション設定レートを制限できるようになりました。許可される最大設定レートを設定するには、
[edit services service-set service-set-name]階層レベルでmax-session-setup-rateステートメントを含めます。[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
最大セッション設定レートは、1秒あたりに許可されるセッション設定の最大数です。このレートに達すると、追加のセッション設定試行は削除されます。
max-session-setup-ratenumberの範囲は 1 から 429,496,729 です。numberkを使用して、セットアップレートを数千セッションとして表すこともできます。Junos OS Release 18.4R1以降、max-session-setup-rateは1k=1000です。Junos OSリリース18.4R1以前では、1k=1024。max-session-setup-rateステートメントを含めない場合、セッション設定レートは制限されません。
関連項目
例:サービスセットの設定
my-input-service-setとmy-output-service-setの2つのサービスセットをインターフェイス全体に適用します。すべてのトラフィックがmy-input-service-set適用されています。サービスセットが適用された後、my_post_service_input_filterを使用して追加のフィルタリングが行われます。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
サービスインターフェイスプールの設定
サービスPICがマルチキャストトラフィックを受け入れるようにする
マルチキャストトラフィックをアダプティブサービスまたはマルチサービスPICに送信できるようにするには、[edit services service-set service-set-name]階層レベルにallow-multicastステートメントを含めます。このステートメントが含まれていない場合、マルチキャストトラフィックはデフォルトで破棄されます。このステートメントは、ネクストホップサービスセットを使用するマルチキャストトラフィックにのみ適用されます。インターフェイスサービスセットの設定はサポートされていません。マルチキャストパケットに対しては、単方向フローのみが作成されます。
関連項目
インターフェイスへのフィルターとサービスの適用
サービスセット定義を設定してサービスルールを定義してグループ化すると、ルーター上の1つ以上のインターフェイスにサービスを適用できます。定義されたサービスセットをインターフェイスに関連付けるには、[edit interfaces interface-name unit logical-unit-number family inet service]階層レベルでinputまたはoutputステートメントとともにservice-setステートメントを含めます。
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
インターフェイスでサービスを有効にした場合、リバースパス転送はサポートされません。管理インターフェイス(fxp0)またはループバックインターフェイス(lo0)でサービスを設定することはできません。
インターフェイスの入力側と出力側で異なるサービスセットを設定できます。ただし、双方向サービスルールを持つサービスセットの場合は、inputステートメントとoutputステートメントの両方に同じサービスセット定義を含める必要があります。serviceステートメントに含めるサービスセットは、[edit services service-set service-set-name]階層レベルでinterface-serviceステートメントで設定する必要があります。詳細については、サービスインターフェイスに適用するサービスセットの設定を参照してください。
拒否アクションを含む入力ファイアウォールフィルターとステートフルファイアウォールルールを含むサービスセットでインターフェイスを設定した場合、ステートフルファイアウォールルールがパケットで実行される前に、ルーターは入力ファイアウォールフィルターを実行します。その結果、パケット転送エンジンがインターフェイスを介してインターネット制御メッセージプロトコル(ICMP)エラーメッセージを送信すると、入力方向にパケットが表示されないため、ステートフルファイアウォールルールがパケットをドロップする可能性があります。
可能な回避策は、入力方向のステートフルファイアウォールの後に実行されるため、拒否アクションを実行するための転送テーブルフィルターを含めるか、ローカルで生成されたICMPパケットがステートフルファイアウォールサービスに行かないように出力サービスフィルターを含めることです。
サービスフィルターの設定
オプションで各サービスセットに関連付けられたフィルターを含めて、ターゲットを絞り込み、トラフィックを追加で処理できます。service-filter定義なしでservice-setステートメントを含めると、ルーターソフトウェアは一致条件がtrueであると見なし、処理するサービスセットを自動的に選択します。
サービスフィルターを設定するには、[edit]階層レベルでfirewallステートメントを含めます。
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
サービスフィルターを設定するには、アドレスファミリーとして inet を指定する必要があります。
サービスフィルターは、ファイアウォールフィルターと同様の方法で設定します。サービスフィルターの一致条件はファイアウォールフィルターと同じですが、以下の特定のアクションがあります。
count—カウンタ合計にパケットを追加します。log—パケットを記録します。port-mirror- パケットをポートミラーリングします。sample—パケットをサンプリングします。service—サービス処理のためにパケットを転送します。skip—サービス処理からパケットを除外します。
ファイアウォールフィルターの設定の詳細については、 『ルーティングポリシー、ファイアウォールフィルタ、およびトラフィックポリサーユーザーガイド』を参照してください。
また、インターフェイスの各側に複数のサービスセット定義を含めることもできます。複数のサービスセットを含めた場合、ルーターソフトウェアは設定で指定された順序でそれらを評価します。サービスフィルターで一致するものを見つけた最初のサービスセットを実行し、後続の定義は無視します。
追加のステートメントにより、入力サービス セットの実行後にトラフィックを処理するためのフィルターを指定できます。このタイプのフィルターを設定するには、[edit interfaces interface-name unit logical-unit-number family inet service input]階層レベルでpost-service-filterステートメントを含めます。
post-service-filter filter-name;
ソフトウェアは、サービスセットを選択して実行した場合にのみ、ポストサービスフィルタリングを実行します。トラフィックが設定されたサービスセットの一致基準を満たさない場合、postserviceフィルターは無視されます。 post-service-filter ステートメントは、サービスインターフェイスがMS-MICまたはMS-MPC上にある場合、サポートされません。
サービスセットをインターフェイスに適用する例については、 例:サービスインターフェイスの設定を参照してください。
インターフェイスへのフィルター適用の詳細については、 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリを参照してください。フィルターの一般的な情報については、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
NAT処理がパケットに適用された後は、出力サービスフィルターの対象になりません。サービスフィルターは、未変換のトラフィックのみに影響を与えます。
例:サービスインターフェイスの設定
my-service-setサービスセットをインターフェイス全体に適用します。my_input_filterによって受け入れられたすべてのトラフィックmy-input-service-set適用されています。サービスセットが適用された後、 my_post_service_input_filterフィルターを使用して追加のフィルタリングが行われます。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
2つの冗長性インターフェイス( rsp0 と rsp1、および関連サービス)を設定します。
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
関連項目
サービスインターフェイスのアドレスとドメインの設定
ASまたはマルチサービスPICでは、[edit interfaces interface-name unit logical-unit-number family inet]階層レベルにaddressステートメントを含めることで、システムログメッセージの送信元アドレスを設定します。
address address { ... }
address値を設定して、インターフェイスにIPアドレスを割り当てます。ASまたはマルチサービスPICは、通常、family inetステートメントを使用して設定されたIPバージョン4(IPv4)アドレスのみをサポートしますが、IPsecサービスは、family inet6ステートメントを使用して設定されたIPバージョン6(IPv6)アドレスもサポートします。
同じルーティングインスタンス内の複数のインターフェイスに同じアドレスを設定した場合、Junos OSは最初の設定のみを使用し、残りのアドレス設定は無視され、アドレスのないインターフェイスを残すことができます。アドレスが割り当てられていないインターフェイスは、番号なしイーサネットインターフェイスのドナーインターフェイスとして使用できません。
例えば、以下の設定では、インターフェイスxe-0/0/1.0のアドレス設定は無視されます。
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
サービスインターフェイスに固有ではない、設定できるその他のアドレッシングプロパティについては、 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。
service-domainステートメントは、インターフェイスがネットワーク内で使用されるか、リモートデバイスとの通信に使用されるかを指定します。ソフトウェアは、この設定を使用して、適用するデフォルトのステートフルファイアウォールルールを決定し、サービスルールのデフォルトの方向を決定します。ドメインを設定するには、[edit interfaces interface-name unit logical-unit-number]階層レベルでservice-domainステートメントを含めます。
service-domain (inside | outside);
ネクストホップサービスセット定義でインターフェイスを設定する場合、 service-domain 設定は inside-service-interface および outside-service-interface ステートメントの設定と一致する必要があります。詳細については、 サービスインターフェイスに適用するサービスセットの設定を参照してください。
関連項目
サービスセットのシステムログの設定
サービス セットに対してシステム ログ メッセージを生成する方法を制御するプロパティを指定します。これらの値は、 [edit interfaces interface-name services-options] 階層レベルで設定された値を上書きします。
サービスセット固有のシステムログ値を設定するには、[edit services service-set service-set-name]階層レベルでsyslogステートメントを含めます。
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
システムログターゲットサーバーを指定するホスト名またはIPアドレスで host ステートメントを設定します。ホスト名 local は、システムログメッセージをルーティングエンジンに送信します。外部システムログサーバーの場合、(セッション確立をトリガーした)初期データパケットが配信されたのと同じルーティングインスタンスからホスト名に到達できる必要があります。指定できるシステムログホスト名は1つだけです。 source-address パラメータは、ms、rms、およびmamsインターフェイスでサポートされています。
Junos OSリリース17.4R1以降、階層レベルのサービス [edit services service-set service-set-name] セットごとに、最大4つのシステムログサーバー(ローカルシステムログホストとリモートシステムログコレクターの組み合わせ)を設定できます。
Junos OSは、fxp.0インターフェイスを介した外部システムログサーバーへのシステムログメッセージのエクスポートをサポートしていません。これは、システムログメッセージの高い伝送速度とfxp.0インターフェイスの限られた帯域幅が、いくつかの問題を引き起こす可能性があるためです。外部システムログサーバーには、ルーティング可能なインターフェイスを介して到達可能でなければなりません。
表 1 は、 [edit services service-set service-set-name syslog host hostname] 階層レベルの設定ステートメントで指定できる重大度レベルを示しています。 emergency から info までのレベルは、重症度が最も高い(機能への影響が最も大きい)ものから最も低いものへと順に並んでいます。
重大度レベル |
説明 |
|---|---|
|
すべての重大度レベルを含む |
|
システムパニック、またはルーターの機能を停止させるその他の状態 |
|
システムデータベースの破損など、直ちに修正が必要な状態 |
|
ハードドライブエラーなどのクリティカルな状態 |
|
通常、緊急、アラート、クリティカルレベルのエラーほど深刻な結果をもたらさないエラー状態 |
|
監視が必要な状態 |
|
エラーではないが、特別な対応が必要と思われる状態 |
|
関心のあるイベントまたはエラーなしの状態 |
通常の操作中は、システムログの重大度レベルを error に設定することをお勧めします。PICリソースの使用状況を監視するには、レベルを warningに設定します。侵入検知システムエラーが検出されたときに侵入攻撃に関する情報を収集するには、特定のサービスセットに対してレベルを notice に設定します。設定またはログNAT機能をデバッグするには、レベルを infoに設定します。
システムログメッセージの詳細については、 システムログエクスプローラを参照してください。
指定されたシステムログホストに記録するメッセージのクラスを選択するには、[edit services service-set service-set-name syslog host hostname]階層レベルにclassステートメントを含めます。
class class-name;
指定されたシステムログホストへのすべてのログ記録に1つの特定のファシリティコードを使用するには、[edit services service-set service-set-name syslog host hostname]階層レベルにfacility-overrideステートメントを含めます。
facility-override facility-name;
サポートされているファシリティは、authorization、daemon、ftp、kernel、user、およびlocal7までのlocal0です。
このシステムログホストへのすべてのログ記録にテキストプレフィックスを指定するには、[edit services service-set service-set-name syslog host hostname]階層レベルでlog-prefixステートメントを含めます。
log-prefix prefix-value;
関連項目
サービスルールの設定
サービスセットを構成するルールとルールセットの集合を指定します。ルーターは、設定に表示される順序でルールセットを実行します。サービスタイプごとに含めることができるルールセットは1つだけです。各サービスタイプのルール名とコンテンツは、各タイプの [edit services name] 階層レベルで設定します。
侵入検出サービス(IDS)ルールは
[edit services ids]階層レベルで設定します。詳細については、MS-DPCカードの MS-DPC上のIDSルールの設定 とMS-MPCカードの MS-MPCでのネットワーク攻撃に対する保護の設定 を参照してください。IP セキュリティ(IPsec)ルールは、
[edit services ipsec-vpn]階層レベルで設定します。詳細については、「 Junos VPN Site Secureについて」を参照してください。ネットワークアドレス変換(NAT)ルールは、
[edit services nat]階層レベルで設定します。詳細については、 Junos Address Awareネットワークアドレッシングの概要を参照してください。パケットトリガー加入者とポリシー制御(PTSP)ルールは、
[edit services ptsp]階層レベルで設定します。詳細については、 PTSPサービスルールの設定を参照してください。DS-Lite または 6rd ソフトワイヤのソフトワイヤルールは、
[edit services softwire]階層レベルで設定します。詳細については、 ソフトワイヤルールの設定を参照してください。ステートフルファイアウォールルールは、
[edit services stateful-firewall]階層レベルで設定します。詳細については、「 ステートフルファイアウォールルールの設定」を参照してください。
サービスセットを構成するルールとルールセットを設定するには、 [edit services service-set service-set-name] 階層レベルで以下のステートメントを含めます。
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
サービスタイプごとに、1つ以上の個別のルール、または1つのルールセットを含めることができます。
IPsecルールを使用してサービスセットを設定する場合、他のサービスのルールを含めることはできません。ただし、他のサービスのルールを含む別のサービスセットを設定し、両方のサービスセットを同じインターフェイスに適用することはできます。
また、サービスセット内にJunos Application Aware(以前はダイナミックアプリケーション認識と呼ばれていました)機能を含めることもできます。そのためには、[edit services service-set]階層レベルでidp-profileステートメントを、アプリケーション識別(APPID)ルール、必要に応じてアプリケーション認識型アクセスリスト(AACL)ルール、policy-decision-statistics-profileを含める必要があります。Junos Application Aware機能を使用する場合、単一のインターフェイスに適用できるサービスセットは1つだけです。詳細については、MS-DPCでのIDSルールの設定、APPIDの概要、ルーティングデバイス用アプリケーション認識サービスインターフェイスユーザーガイドを参照してください。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。
max-session-setup-rateは1k=1000です。