サービスセット
サービスセットについて
Junos OSでは、AS(アダプティブサービスインターフェイス)またはマルチサービスラインカード(MS-DPC、MS-MIC、MS-MPC)によって実行されるサービスの集合を定義するサービスセットを作成できます。サービス セットは、インターフェイス スタイルのサービス セットまたはネクストホップスタイルのサービス セットとして設定できます。
インターフェイス サービス セットは、インターフェイス全体のアクション修飾子として使用されます。インターフェイスを通過するパケットにサービスを適用する場合、インターフェイススタイルのサービスセットを使用できます。
ネクストホップ サービス セットは、特定のサービスを適用するルートベースの方法です。特定のネクストホップ宛てのパケットのみが、明示的なスタティックルートの作成によって処理されます。この設定は、仮想プライベートネットワーク(VPN)のルーティングと転送(VRF)テーブル全体にサービスを適用する必要がある場合や、ルーティングの決定によりサービスの実行が必要と判断された場合に便利です。ネクストホップ サービスが設定されている場合、サービス インターフェイスは、一方のレッグが内部インターフェイス(ネットワークの内部)として設定され、もう一方のレッグが外部インターフェイス(ネットワークの外部)として設定された 2 本足のモジュールと見なされます。
サービス セットの非アクティブ化またはサービス セットの削除操作中にパケットがドロップしないようにするには、まずサービス セットに対応するインターフェイスを停止し、しばらく待機し、後でサービス セットを非アクティブ化または削除します。ただし、トラフィックフローが非常に多い場合、この回避策は役に立ちません。
サービスセットを設定するには、 [edit services] 階層レベルに以下のステートメントを含めます。
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
参照
サービス インターフェイスに適用するサービス セットの設定
サービスインターフェイスを設定して、サービスを実行する適応サービスインターフェイスを指定します。サービス インターフェイスは、次のセクションで説明するサービス セット タイプのいずれかで使用します。
インターフェイス サービス セットの設定
インターフェイス サービス セットは、インターフェイス全体のアクション修飾子として使用されます。サービスインターフェイスを設定するには、[edit services service-set service-set-name]階層レベルでinterface-serviceステートメントを含めます。
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
ルーターのソフトウェアが論理ユニット番号を自動的に管理するため、デバイス名のみが必要です。サービスインターフェイスは、[edit interfaces interface-name階層レベルでunit 0 family inetを設定した適応型サービスインターフェイスである必要があります。
サービス セット定義を設定してサービス ルールを定義およびグループ化すると、ルーターにインストールされている 1 つ以上のインターフェイスにサービスを適用できます。サービス セットをインターフェイスに適用すると、パケットがPICに誘導されることが自動的に保証されます。
定義済みのサービス セットをインターフェイスに関連付けるには、[edit interfaces interface-name unit logical-unit-number family inet service]階層レベルで input または output ステートメントに service-set ステートメントを含めます。
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
パケットがインターフェイスに入る場合、一致方向は inputです。パケットがインターフェイスを離れる場合、一致方向は outputです。サービス セットは、サービス適用後も入力インターフェイス情報を保持するため、フィルタークラス転送や宛先クラス使用率(DCU)など、入力インターフェイス情報に依存する機能は引き続き機能します。
インターフェイスの入力側と出力側に同じサービス セットを設定します。オプションで、各サービスセットに関連付けられたフィルターを含めることで、ターゲットを絞り込み、さらにトラフィックを処理することができます。service-filter定義なしで service-set ステートメントを含めると、ルーター ソフトウェアは一致条件が真であると見なし、処理するサービス セットを自動的に選択します。
フィルターを使用してサービスセットを設定する場合、インターフェイスの入力側と出力側に設定する必要があります。
インターフェイスの各側に複数のサービス セット定義を含めることができます。複数のサービス セットが含まれている場合、ルーター ソフトウェアは、構成に表示される順序でそれらを評価します。システムは、サービス フィルタで一致するものを検出した最初のサービス セットを実行し、それ以降の定義を無視します。インターフェイスには、最大6つのサービスセットを適用できます。インターフェイスに複数のサービス セットを適用する場合は、サービス フィルターも設定してインターフェイスに適用する必要があります。
追加のステートメントを使用すると、入力サービスセット実行後にトラフィックを処理するためのフィルターを指定することができます。このタイプのフィルターを設定するには、[edit interfaces interface-name unit logical-unit-number family inet service input]階層レベルでpost-service-filterステートメントを含めます。
post-service-filter filter-name;
post-service-filterステートメントは、サービス インターフェイスが MS-MIC または MS-MPC 上にある場合はサポートされません。
例については、「 例:サービス セットの設定」を参照してください。
Junos OS extension-provide パッケージで設定されたインターフェイススタイルのサービス セットでは、イングレス インターフェイスが VRF インスタンスの一部であり、サービス インターフェイスが同じ VRF インスタンスの一部ではない場合、トラフィックは処理されません。
サービス セットに設定されたマルチサービス PIC が管理上オフラインになるか、障害が発生すると、IDP サービス セットで設定されたインターフェイスに入るすべてのトラフィックは、通知なしにドロップされます。このトラフィック損失を回避するには、[edit services service-set service-set-name service-set-options]階層レベルでbypass-traffic-on-pic-failureステートメントを含めます。このステートメントを設定すると、マルチサービスPICの障害やオフラインが発生した場合に、インターフェイススタイルのサービスが設定されていないかのように、影響を受けるパケットが転送されます。この問題は、IDP サービス セットを使用した Junos Application Aware(旧称動的アプリケーション認識)設定にのみ該当します。この転送機能は、当初はパケット転送エンジン(PFE)でのみ動作していました。Junos OS リリース 11.3 以降、パケット転送機能は、バイパス サービス セット向けにルーティングエンジンが生成するパケットにも拡張されています。
ネクストホップ サービス セットの設定
ネクストホップ サービス セットは、特定のサービスを適用するルートベースの方法です。特定のネクストホップ宛てのパケットのみが、明示的なスタティックルートの作成によって処理されます。この設定は、仮想プライベートネットワーク(VPN)のルーティングと転送(VRF)テーブル全体にサービスを適用する必要がある場合や、ルーティングの決定によりサービスの実行が必要と判断された場合に便利です。
ネクストホップ サービスが設定されている場合、ASまたはマルチサービスPICは、一方のレッグが内部インターフェイス(ネットワークの内部)として設定され、もう一方のレッグが外部インターフェイス(ネットワークの外部)として設定された2本足のモジュールと見なされます。
インターフェイス サービス セットが設定されていない場合にのみ、8000 を超える IFL インデックスを作成できます。
ドメインを設定するには、[edit interfaces interface-name unit logical-unit-number]階層レベルでservice-domainステートメントを含めます。
service-domain (inside | outside);
service-domain 設定は、ネクストホップ サービスの内部および外部インターフェイスの構成と一致している必要があります。内部インターフェイスと外部インターフェイスを設定するには、[edit services service-set service-set-name]階層レベルでnext-hop-serviceステートメントを含めます。指定するインターフェイスは、同じAS PIC上の論理インターフェイスである必要があります。この目的のためにunit 0を設定することはできません。また、選択した論理インターフェイスを別のサービスセットで使用しないでください。
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
サービスが適用されるトラフィックは、静的ルートを使用して内部インターフェイスに強制されます。例えば:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
サービスが適用されると、トラフィックは外部インターフェイスを経由して終了します。次に、パケット転送エンジン(PFE)でルックアップが実行され、ASまたはマルチサービスPICからパケットが送信されます。
リバース トラフィックは外部インターフェイスに入り、サービスを受けてから内部インターフェイスに送信されます。内部インターフェイスは、ASまたはマルチサービスPICからトラフィックを転送します。
トラフィック方向の決定
ネクストホップ サービス セットを設定すると、AS PIC は 2 つの部分で構成されたインターフェイスとして機能し、1 つの部分が 内部 インターフェイス、もう 1 つの部分が 外部 インターフェイスになります。以下の一連のアクションが実行されます。
2つの部分を論理インターフェイスに関連付けるには、
service-domainステートメントで2つの論理インターフェイス(1つはinside値、もう1つはoutside値)を設定し、内部または外部のサービスインターフェイスとしてマークします。ルータは、ネクストホップ ルックアップ テーブルを使用して、処理対象のトラフィックを内部インターフェイスに転送します。
サービスが適用されると、トラフィックは外部インターフェイスから出ます。次に、ルーターから送信されるパケットに対してルート検索が実行されます。
リバース トラフィックが外部インターフェイスに戻ると、適用されたサービスは取り消されます。たとえば、IPsec トラフィックが復号化されたり、NAT アドレスがマスクされなくなったりします。次に、サービスされたパケットが内部インターフェイスに出現し、ルータがルート ルックアップを実行し、トラフィックがルータを出ます。
サービスルールの一致方向は、入力、出力、または入力/出力のいずれであっても、特定の内部または外部インターフェイスを介さず、AS PICを介するトラフィックフローに関して適用されます。
パケットがAS PICに送信されると、パケットの方向情報も一緒に伝えられます。これは、インターフェイススタイルとネクストホップスタイルのサービスセットの両方に当てはまります。
インターフェイス スタイル サービス セット
パケットの方向は、 interface-service ステートメントが適用されるパケット転送エンジンインターフェイス(転送プレーンに関して)にパケットが出入りするかによって決まります。これは、ステートレス ファイアウォール フィルターの入力方向と出力方向と似ています。
一致方向は、ネットワーク トポロジによっても異なります。例えば、ルーター上の他のインターフェイスを保護するために使用される 1 つのインターフェイスを介してすべての外部トラフィックをルーティングし、このインターフェイス上でさまざまなサービスを特別に設定できます。または、1 つのインターフェイスを優先トラフィックに使用し、そのインターフェイスに特別なサービスを設定しながら、他のインターフェイスのトラフィックの保護を気にしないという方法もあります。
ネクストホップスタイルサービスセット
パケットの方向は、AS PICにパケットをルーティングするために使用されるAS PICインターフェイスによって決定されます。 inside-interface ステートメントを使用してトラフィックをルーティングする場合、パケットの方向は input になります。 outside-interface ステートメントを使用してパケットをAS PICに転送する場合、パケット方向は outputになります。
サービス セットを適用するインターフェイスは、一致の方向に影響します。たとえば、次の設定を適用します。
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
match-direction inputを設定する場合、以下のステートメントを含めます。
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
match-direction outputを設定する場合、以下のステートメントを含めます。
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
2つの設定の本質的な違いは、一致方向と静的ルートのネクストホップが変更され、AS PICの内部または外部インターフェイスのいずれかを指すことです。
参照
サービス セットの制限の設定
サービス セットの容量には、以下の制限を設定できます。
サービス セットごとに許可されるフローの最大数を制限できます。最大値を設定するには、
[edit services service-set service-set-name]階層レベルでmax-flowsステートメントを含めます。[edit services service-set service-set-name] max-flows number;
max-flowsステートメントでは、1 つのフロー制限値を割り当てることができます。IDS サービスセットの場合のみ、さまざまなタイプのフロー制限をより細かく制御して指定できます。詳細については、MS-DPC での IDS ルール セットの設定のsession-limitステートメントの説明を参照してください。手記:集約されたマルチサービス(AMS)インターフェイスがサービスセットのサービスインターフェイスとして設定されている場合、サービスセットに設定された
max-flow値がAMSインターフェイスの各メンバーインターフェイスに適用されます。つまり、4 つのアクティブなメンバーインターフェイスを持つ AMS インターフェイスを使用するサービス セットのmax-flow値として 1000 を設定した場合、各メンバー インターフェイスはそれぞれ 1000 個のフローを処理できるため、有効なmax-flow値は 4000 になります。伝送制御プロトコル(TCP)で許容される最大セグメントサイズ(MSS)を制限できます。最大値を設定するには、
[edit services service-set service-set-name]階層レベルでtcp-mssステートメントを含めます。[edit services service-set service-set-name] tcp-mss number;
TCPプロトコルは、2つのピア間のセッション接続確立中にMSS値をネゴシエートします。ネゴシエートされる MSS 値は、主に、通信ピアが直接接続されているインターフェイスの MTU に基づきます。ただし、ネットワークでは、TCPパケットがたどるパス上のリンクMTUの変動により、関連するパケットのサイズがリンクのMTUを超えると、MSS値内に十分収まっている一部のパケットがフラグメント化される可能性があります。
ルーターがSYNビットとMSSオプションが設定されたTCPパケットを受信し、パケットで指定されたMSSオプションが
tcp-mssステートメントで指定されたMSS値よりも大きい場合、ルーターはパケット内のMSS値をtcp-mssステートメントで指定された低い値に置き換えます。tcp-mss mss-valueパラメーターの範囲は、 536 から 65535 までです。受信したSYNパケットと、MSS値が変更されたSYNパケットの統計情報を表示するには、
show services service-sets statistics tcp-mss運用モードコマンドを発行します。このトピックの詳細については、 Junos OS 管理ライブラリを参照してください。Junos OS リリース 17.1R1 以降、MS-MPC のサービス セットごとにセッション設定レートを制限することができます。許可される最大セットアップ レートを設定するには、
[edit services service-set service-set-name]階層レベルでmax-session-setup-rateステートメントを含めます。[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
最大セッション セットアップ レートは、1 秒あたりに許可されるセッション セットアップの最大数です。このレートに達すると、それ以降のセッション設定の試行は破棄されます。
max-session-setup-ratenumber の範囲は 1 から 429,496,729 です。また、numberkを使用して、セットアップレートを数千セッションで表すこともできます。Junos OS リリース 18.4R1以降、max-session-setup-rateでは1k=1000となります。Junos OS リリース 18.4R1 より前は、1k=1024。max-session-setup-rateステートメントを含めない場合、セッション セットアップ レートは制限されません。
参照
例:サービス セットの設定
my-input-service-setとmy-output-service-setの2つのサービスセットをインターフェイス全体に適用します。すべてのトラフィックmy-input-service-set適用されていますサービス セットが適用されると、my_post_service_input_filter を使用して追加のフィルタリングが行われます。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
サービス インターフェイス プールの設定
サービスPICがマルチキャストトラフィックを受け入れることを可能にする
マルチキャストトラフィックがアダプティブサービスまたはマルチサービスPICに送信されるようにするには、[edit services service-set service-set-name]階層レベルにallow-multicastステートメントを含めます。このステートメントが含まれていない場合、マルチキャストトラフィックはデフォルトで破棄されます。このステートメントは、ネクストホップ サービス セットを使用したマルチキャスト トラフィックにのみ適用されます。インターフェイス サービス セットの設定はサポートされていません。マルチキャスト パケットに対しては、単方向フローのみが作成されます。
参照
インターフェイスへのフィルターとサービスの適用
サービス セット定義を設定してサービス ルールを定義およびグループ化すると、ルーター上の 1 つまたは複数のインターフェイスにサービスを適用できます。定義済みのサービス セットをインターフェイスに関連付けるには、[edit interfaces interface-name unit logical-unit-number family inet service]階層レベルでinput または output ステートメントに service-set ステートメントを含めます。
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
インターフェイスでサービスを有効にする場合、リバースパス転送はサポートされません。管理インターフェイス(fxp0)またはループバックインターフェイス(lo0)でサービスを設定することはできません。
インターフェイスの入力側と出力側で異なるサービス セットを設定できます。ただし、双方向サービス ルールを持つサービス セットの場合は、input ステートメントと output ステートメントの両方に同じサービス セット定義を含める必要があります。service ステートメントに含めるサービス セットは、[edit services service-set service-set-name] 階層レベルの interface-service ステートメントで設定する必要があります。詳細については、サービス インターフェイスに適用するサービス セットの設定を参照してください。
拒否アクションを含む入力ファイアウォールフィルターと、ステートフルファイアウォールルールを含むサービスセットでインターフェイスを設定すると、ステートフルファイアウォールルールがパケットで実行される前に、ルーターが入力ファイアウォールフィルターを実行します。その結果、パケット転送エンジンがインターネット制御メッセージプロトコル(ICMP)エラーメッセージをインターフェイスを介して送信すると、ステートフルファイアウォールルールは、入力方向で見られなかったパケットを破棄する可能性があります。
考えられる回避策は、入力方向のステートフルファイアウォールの後に実行されるため、拒否アクションを実行する転送テーブルフィルターを含めるか、ローカルで生成されたICMPパケットがステートフルファイアウォールサービスに送信されないように出力サービスフィルターを含めることです。
サービス フィルターの設定
オプションで、各サービスセットに関連付けられたフィルターを含めることで、ターゲットを絞り込み、さらにトラフィックを処理することができます。service-filter定義を指定せずに service-set ステートメントを含めると、ルーター ソフトウェアは一致条件が真であると見なし、処理するサービス セットを自動的に選択します。
サービスフィルターを設定するには、[edit]階層レベルでfirewallステートメントを含めます。
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
サービスフィルターを設定するには、アドレスファミリーとして inet を指定する必要があります。
サービスフィルターは、ファイアウォールフィルターと同様の方法で設定します。サービスフィルターの一致条件はファイアウォールフィルターと同じですが、以下のアクションがあります。
count- パケットをカウンター合計に追加します。log- パケットをログに記録します。port-mirror—パケットをポートミラーリングします。sample—パケットをサンプルします。service- サービス処理のためにパケットを転送します。skip- パケットをサービス処理から除外します。
ファイアウォールフィルターの設定の詳細については 、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
また、インターフェイスの各側に複数のサービス セット定義を含めることもできます。複数のサービス セットが含まれている場合、ルーター ソフトウェアは構成で指定された順序でそれらを評価します。サービス・フィルタで一致するものを検出した最初のサービス・セットを実行し、それ以降の定義は無視します。
追加のステートメントを使用すると、入力サービスセット実行後にトラフィックを処理するためのフィルターを指定することができます。このタイプのフィルターを設定するには、[edit interfaces interface-name unit logical-unit-number family inet service input]階層レベルでpost-service-filterステートメントを含めます。
post-service-filter filter-name;
ソフトウェアは、サービス セットを選択して実行した場合にのみ、サービス後のフィルタリングを実行します。トラフィックが設定されたサービスセットのいずれにも一致条件を満たさない場合、postserviceフィルターは無視されます。 post-service-filter ステートメントは、サービス インターフェイスが MS-MIC または MS-MPC 上にある場合はサポートされません。
サービス セットをインターフェイスに適用する例については、「 例:サービス インターフェイスの設定」を参照してください。
インターフェイスへのフィルター適用の詳細については、 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリを参照してください。フィルターの一般的な情報については 、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
NAT処理が適用されたパケットは、出力サービスフィルターの対象にはなりません。サービスフィルターは、変換されていないトラフィックにのみ影響します。
例:サービス インターフェイスの設定
my-service-setサービスセットをインターフェイス全体に適用します。my_input_filter が受け入れるすべてのトラフィックは、my-input-service-set適用されています。サービス セットが適用されると、 my_post_service_input_filter フィルターを使用して追加のフィルター処理が行われます。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
2つの冗長インターフェイス、 rsp0 と rsp1、および関連サービスを設定します。
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
参照
サービスインターフェイスのアドレスとドメインの設定
ASまたはマルチサービスPICでは、[edit interfaces interface-name unit logical-unit-number family inet]階層レベルでaddressステートメントを含めることで、システムログメッセージの送信元アドレスを設定します。
address address { ... }
address値を設定して、インターフェイスにIPアドレスを割り当てます。ASまたはマルチサービスPICは、通常、family inetステートメントを使用して設定されたIPバージョン4(IPv4)アドレスのみをサポートしますが、IPsecサービスは、family inet6ステートメントを使用して設定されたIPバージョン6(IPv6)アドレスもサポートします。
同じルーティング インスタンス内の複数のインターフェイスに同じアドレスを設定した場合、Junos OS は最初の設定のみを使用し、残りのアドレス設定は無視され、インターフェイスにアドレスがない状態になることがあります。アドレスが割り当てられていないインターフェースは、番号無し Ethernt インターフェースのドナー インターフェースとして使用できない
例えば、以下の設定では、インターフェース xe-0/0/1.0 のアドレス設定は無視されます。
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
サービスインターフェイスに固有でない、設定可能なその他のアドレッシングプロパティについては、 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。
service-domainステートメントは、インターフェイスをネットワーク内で使用するか、リモートデバイスとの通信に使用するかを指定します。ソフトウェアは、この設定を使用して、適用するデフォルトのステートフル ファイアウォール ルールを決定し、サービス ルールのデフォルトの方向を決定します。ドメインを設定するには、[edit interfaces interface-name unit logical-unit-number]階層レベルでservice-domainステートメントを含めます。
service-domain (inside | outside);
ネクストホップ サービス セット定義でインターフェイスを設定する場合、 service-domain 設定は inside-service-interface および outside-service-interface ステートメントの設定と一致している必要があります。詳しくは、 サービス インターフェイスに適用するサービス セットの設定を参照してください。
参照
サービスセットのシステムロギングの設定
サービス・セットのシステム・ログ・メッセージの生成方法を制御するプロパティーを指定します。これらの値は、 [edit interfaces interface-name services-options] 階層レベルで設定された値を上書きします。
サービスセット固有のシステムロギング値を設定するには、[edit services service-set service-set-name]階層レベルでsyslogステートメントを含めます。
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
hostステートメントに、システムログのターゲットサーバーを指定するホスト名またはIPアドレスを設定します。ホスト名localは、システムログメッセージをルーティングエンジンに送信します。外部システムログサーバーの場合、ホスト名は、(セッション確立のトリガーとなった)最初のデータパケットが配信されたのと同じルーティング インスタンスから到達可能である必要があります。システム・ロギング・ホスト名は1つだけ指定できます。source-address パラメータは、ms、rms、および mams インターフェイスでサポートされています。
Junos OS リリース 17.4R1以降、階層レベルのサービスセットごとに最大4つのシステムログサーバー(ローカルシステムログホストとリモートシステムログコレクターの組み合わせ) [edit services service-set service-set-name] 設定できます。
Junos OSは、fxp.0インターフェイスを介した外部システムログサーバーへのシステムログメッセージのエクスポートをサポートしていません。これは、システムログメッセージの伝送速度が高く、fxp.0インターフェイスの帯域幅が限られていると、いくつかの問題が発生する可能性があるためです。外部システムログサーバは、ルーティング可能なインターフェイスを介して到達できる必要があります。
表 1 は、 [edit services service-set service-set-name syslog host hostname] 階層レベルの設定ステートメントで指定できる重大度レベルを示しています。 emergency から info までのレベルは、重大度が最も高い(機能への影響が最も大きい)ものから最も低いものへと順に並んでいます。
重大度レベル |
形容 |
|---|---|
|
すべての重大度レベルを含む |
|
ルーターの機能を停止させてしまう、システム パニックなどの状態 |
|
システム データベースの破損などの、直ちに修正が必要な状態 |
|
ハードドライブのエラーなどの重大な状態 |
|
通常、緊急、アラート、クリティカルなレベルのエラーほど深刻な結果をもたらさないエラー状態 |
|
監視が必要な状態 |
|
エラーではないが、特別な対応が必要と思われる状態 |
|
関心のあるイベントまたはエラーなしの状態 |
通常の動作中は、システム ロギングの重大度レベルを error に設定することをお勧めします。PICリソースの使用状況を監視するには、レベルを warningに設定します。侵入検出システム・エラーが検出されたときに侵入攻撃に関する情報を収集するには、特定のサービス・セットのレベルを notice に設定します。設定をデバッグしたり、NAT 機能をログに記録したりするには、レベルを info に設定します。
システム ログ メッセージの詳細については、 システム ログ エクスプローラを参照してください。
指定したシステムログホストに記録するメッセージのクラスを選択するには、[edit services service-set service-set-name syslog host hostname]階層レベルでclassステートメントを含めます。
class class-name;
指定されたシステムログホストへのすべてのログ記録に1つの特定のファシリティコードを使用するには、[edit services service-set service-set-name syslog host hostname]階層レベルにfacility-overrideステートメントを含めます。
facility-override facility-name;
サポートされているファシリティは、 authorization、 daemon、 ftp、 kernel、 user、および local0 から local7です。
このシステムログホストへのすべてのログにテキストプレフィックスを指定するには、[edit services service-set service-set-name syslog host hostname]階層レベルでlog-prefixステートメントを含めます。
log-prefix prefix-value;
参照
サービス ルールの設定
サービス・セットを構成するルールおよびルール・セットの集合を指定します。ルーターは、設定に表示される順序でルール セットを実行します。サービスの種類ごとに含めることができるルールセットは 1 つだけです。各サービスタイプのルール名とコンテンツは、各タイプの [edit services name] 階層レベルで設定します。
侵入検出サービス(IDS)ルールは、
[edit services ids]階層レベルで設定します。詳細については、MS-DPC カード用 MS-DPCのIDSルールの設定 および MS-MPCカード用MS-MPCのネットワーク攻撃に対する保護の設定 を参照してください。IP セキュリティ(IPsec)ルールは、
[edit services ipsec-vpn]階層レベルで設定します。詳細については、「 Junos VPN Site Secure について」を参照してください。ネットワークアドレス変換(NAT)ルールは、
[edit services nat]階層レベルで設定します。詳細については、 Junos Address Aware ネットワークアドレッシングの概要を参照してください。.パケットトリガー加入者とポリシーコントロール(PTSP)ルールは、
[edit services ptsp]階層レベルで設定します。詳しくは、 PTSPサービスルールの設定を参照してください。DS-Lite または 6rd ソフトワイヤのソフトワイヤ ルールは、
[edit services softwire]階層レベルで設定します。詳細については、 ソフトワイヤ ルールの設定を参照してください。ステートフル ファイアウォール ルールは、
[edit services stateful-firewall]階層レベルで設定します。詳細については、 ステートフル ファイアウォール ルールの設定を参照してください。
サービスセットを構成するルールおよびルールセットを設定するには、 [edit services service-set service-set-name] 階層レベルに以下のステートメントを含めます。
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
サービスの種類ごとに、1 つ以上の個別のルールまたは 1 つのルール セットを含めることができます。
IPsecルールを使用してサービスセットを設定する場合、他のサービスのルールを含めないでください。ただし、他のサービスのルールを含む別のサービス セットを設定し、両方のサービス セットを同じインターフェイスに適用することはできます。
また、サービス セット内に Junos Application Aware(旧称動的アプリケーション認識)機能を組み込むこともできます。そのためには、[edit services service-set]階層レベルで、アプリケーション識別(APPID)ルール、および必要に応じて、アプリケーション認識アクセスリスト(AACL)ルールとpolicy-decision-statistics-profileとともに、idp-profileステートメントを含める必要があります。Junos Application Awareの機能を使用する場合、単一のインターフェイスに適用できるサービス セットは1つだけです。詳細については、『MS-DPCでのIDSルールの設定』、『APPIDの概要』、および『ルーティングデバイス用アプリケーション認識型サービスインターフェイスユーザーガイド』を参照してください。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
max-session-setup-rateは1k=1000です。