Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

サービス セット

サービス セットについて

Junos OSでは、アダプティブ サービス インターフェイス(AS)またはマルチサービス ライン カード(MS-DPC、MS-MIC、MS-MPC)で実行するサービス の集めを定義するサービス セットを作成できます。サービス セットは、インターフェイススタイルのサービス セットとして、またはネクストホップスタイルのサービス セットとして設定できます。

インターフェイス サービス セットは、インターフェイス全体にわたるアクション指定として使用されます。インターフェイスを通過するパケットにサービスを適用する場合、インターフェイススタイルのサービス セットを使用できます。

ネクスト ホップ サービス セットは、特定のサービスを適用するルートベースの方法です。明示的な静的ルートを作成することでサービスを提供できるのは、特定のネクスト ホップ宛てのパケットのみです。この設定は、サービスを VPN(仮想プライベート ネットワーク)のルーティングおよび転送(VRF)テーブル全体に適用する必要がある場合や、ルーティングでサービスの実行を決定する必要がある場合に便利です。ネクストホップ サービスが設定されている場合、サービス インターフェイスは 1 つの足が内側のインターフェイス(ネットワーク内)、もう一方が外部インターフェイス(ネットワーク外)に設定された 2 本足のモジュールと見なされます。

サービス セットの非アクティブ化またはサービス セット削除操作中のパケット 損失を回避するには、まずサービス セットに対応するインターフェイスをダウンし、しばらく待ち、後でサービス セットを非アクティブまたは削除します。ただし、トラフィック フローが非常に多い場合は、この回避策を実行しても解決しません。

サービス セットを設定するには、階層レベルに以下のステートメントを [edit services] 含てます。

サービス セットをサービス インターフェイスに適用する設定

サービスを実行する適応型サービス インターフェイスを指定するには、サービス インターフェイスを設定します。サービス インターフェイスは、以下のセクションで説明されているサービス セット タイプのいずれかと一緒に使用されます。

インターフェイス サービス セットの設定

インターフェイス サービス セットは、インターフェイス全体にわたるアクション指定として使用されます。サービス インターフェイスを設定するには、階層レベルに interface-service ステートメントを [edit services service-set service-set-name] 含てます。

必要なのはデバイス名のみです。これは、ルーター ソフトウェアが論理ユニット番号を自動的に管理する機能です。サービス インターフェイスは、階層レベルで設定した適応型サービス unit 0 family inet インターフェイスである [edit interfaces interface-name 必要があります。

service-set 定義を設定してサービス ルールを定義してグループ化した場合、ルーターにインストールされた 1 つ以上のインターフェイスにサービスを適用できます。サービス セットをインターフェイスに適用すると、パケットが自動的にPICに送信されます。

定義されたサービス セットをインターフェイスに関連付けるには service-set input output 、 または ステートメントを階層レベルに [edit interfaces interface-name unit logical-unit-number family inet service] 含める:

パケットがインターフェースに入る場合、一致の方向は input.パケットがインターフェイスを離れる場合、一致の方向は output.サービス セットは、サービスが適用された後でも入力インターフェイス情報を保持します。したがって、入力インターフェイス情報に依存するフィルタ クラス転送や宛先クラスの使用(DCU)などの機能は引き続き機能します。

インターフェイスの入出力側に同じサービス セットを設定します。必要に応じて、各サービス セットに関連付けられたフィルタを含め、ターゲットを絞り込み、さらにトラフィックを処理することもできます。定義なしのステートメント service-setservice-filter 含める場合、ルーター ソフトウェアは一致条件が true と見なされ、自動的に処理されるサービス セットを選択します。

メモ:

サービス セットにフィルタを設定する場合、インターフェイスの入出力側にサービス セットを設定する必要があります。

インターフェイスの各側に複数のサービス セット定義を含めできます。複数のサービス セットを含める場合、ルーター ソフトウェアは、それらを設定に表示する順序で評価します。システムは、サービス フィルターで一致を見つけ、後続の定義を無視する最初のサービス セットを実行します。最大 6 つのサービス セットをインターフェイスに適用できます。複数のサービス セットをインターフェイスに適用する場合は、インターフェイスにサービス フィルタを設定して適用する必要があります。

追加のステートメントを使用して、入力サービス セットの実行後にトラフィックを処理するフィルタを指定できます。このタイプのフィルターを設定するには、階層レベルに post-service-filter ステートメントを [edit interfaces interface-name unit logical-unit-number family inet service input] 含てます。

サービス post-service-filter インターフェイスがMS-MICまたはMS-MPC上にある場合、ステートメントはサポートされていません。

たとえば、 例 : サービス セットの設定 を参照してください

メモ:

Junos OS 拡張提供パッケージで設定されたインターフェイススタイルのサービス セットでは、イングレス インターフェイスが VRF インスタンスの一部であり、サービス インターフェイスが同じ VRF インスタンスの一部ではない場合、トラフィックはサービス提供されません。

メモ:

サービス セットに設定されたマルチサービス PIC が管理的にオフラインになるか、障害が発生した場合、IDP サービス セットが設定されたインターフェイスに入るすべてのトラフィックが通知なしで破棄されます。このトラフィック 損失を回避するには、階層レベル bypass-traffic-on-pic-failure にステートメントを [edit services service-set service-set-name service-set-options] 含める必要があります。このステートメントが設定されている場合、インターフェイススタイルのサービスが設定されていない場合に、マルチサービスPICの障害またはオフライニング時に、影響を受けるパケットが転送されます。この問題は、サービス セットJunos Application Awareを使用したアプリケーション(旧 Dynamic Application Awareness)設定IDPにのみ適用されます。この転送機能は当初、PFE(パケット転送エンジン)でのみ機能しました。Junos OS リリース 11.3 から、パケット転送機能は、バイパス サービス セット用に ルーティング エンジン によって生成されたパケットにまで拡張されます。

ネクストホップ サービス セットの設定

ネクスト ホップ サービス セットは、特定のサービスを適用するルートベースの方法です。明示的な静的ルートを作成することでサービスを提供できるのは、特定のネクスト ホップ宛てのパケットのみです。この設定は、サービスを VPN(仮想プライベート ネットワーク)のルーティングおよび転送(VRF)テーブル全体に適用する必要がある場合や、ルーティングでサービスの実行を決定する必要がある場合に便利です。

ネクストホップ サービスが設定されている場合、ASまたはマルチサービスPICは、1つの足が(ネットワーク内の)インターフェイスとして設定された2本の足、もう一方が外部インターフェイス(ネットワーク外)として設定された2本足のモジュールと見なされます。

メモ:

8000を超える IFL インデックスを作成できるのは、インターフェイス サービス セットが設定されていない場合のみです。

ドメインを設定するには、階層レベルに service-domain ステートメントを [edit interfaces interface-name unit logical-unit-number] 含める:

この service-domain 設定は、インターフェイス内部および外部インターフェイスのネクスト ホップ サービスの設定と一致する必要があります。内部インターフェイスと外部インターフェイスを設定するには、 階層レベルに next-hop-service ステートメントを [edit services service-set service-set-name] 含める必要があります。指定するインターフェイスは、同じインターフェイスPIC上のAS必要があります。この目的で unit 0 設定することはできません。また、選択した論理インターフェイスを別のサービス セットで使用することはできません。

サービスが適用されるトラフィックは、静的ルートを使用して内部インターフェイスに強制されます。例えば:

サービスが適用されると、外部インターフェイスを使用してトラフィックが出て行く。次に、PFE(パケットパケット転送エンジンしてパケットをマルチサービス PIC から送信AS検索が実行されます。

リバース トラフィックは外部インターフェイスに入り、サービスが提供され、内部インターフェイスに送信されます。内部インターフェイスは、インターフェイスまたはマルチサービスPICからASを転送します。

トラフィックの方向の決定

ネクストホップ サービス セットを設定すると、AS PIC は 2 部のインターフェイスとして機能し、1 つのパートが内部インターフェイス、もう一部が外部インターフェイスになります。次に示す一連のアクションが実行されます。

  1. service-domain inside outside 2つの部分を論理インターフェイスに関連付けるには、2つの論理インターフェイスをステートメント、1つを値に、もう1つを値に設定して、内部または外部のサービス インターフェイスとしてマークします。

  2. ルーターは、ネクストホップ ルックアップ テーブルを使用して、サービスが必要なトラフィックを内部インターフェイスに転送します。

  3. サービスが適用されると、トラフィックは外部インターフェイスから出たのです。次に、ルーターから送信されるパケットでルート ルックアップが実行されます。

  4. リバース トラフィックが外部インターフェイスで戻されると、適用されたサービスは元に戻されません。たとえば、IPsecトラフィックは暗号化解除されNATは解除されません。次に、サービスされたパケットが内部インターフェイスに出現し、ルーターがルート ルックアップを実行して、トラフィックがルーターから出てきます。

入力、出力、入出力を含むサービス ルールの一致方向が、特定の内部インターフェイスまたは外部インターフェイスを介してではなく、AS PICを通過するトラフィック フローに対して適用されます。

パケットがPIC上のパケットにAS、パケット方向情報もそれに沿って転送されます。これは、インターフェイス スタイルとネクストホップ スタイルのサービス セットの両方に当てはまるのです。

インターフェイス スタイルのサービス セット

パケットの方向は interface-service 、ステートメントが適用されている(転送プレーンに関して)パケット転送エンジン インターフェースを入力するか、または残するかによって決定されます。これはステートレス ファイアウォール フィルターの入力方向と出力方向と似ています。

一致する方向は、ネットワーク トポロジによっても異なる可能性があります。たとえば、ルーター上の他のインターフェイスを保護するために使用される 1 つのインターフェイスを介してすべての外部トラフィックをルーティングし、このインターフェイス上でさまざまなサービスを設定できます。または、優先トラフィックには 1 つのインターフェイスを使用し、その上で特別なサービスを設定しますが、他のインターフェイスでのトラフィックの保護は気にしません。

ネクストホップ スタイルのサービス セット

パケットの方向は、パケットを別AS PICへのパケットルーティングに使用するpicインターフェイスASされます。ステートメントを使用して inside-interface トラフィックをルーティングする場合、パケットの方向は input.ステートメントを使用してパケット outside-interface をPICのASする場合、パケットの方向 outputは .

サービス セットを適用するインターフェイスが、一致方向に影響します。たとえば、以下の設定を適用します。

設定した場合は match-direction input、次のステートメントを含める必要があります。

設定した場合は match-direction output、次のステートメントを含める必要があります。

2つの設定の本質的な違いは、AS PICの内部または外部インターフェイスのいずれかを指して、一致方向と静的ルートのネクスト ホップの変化です。

サービス セットの制限の設定

サービス セット容量には、以下の制限を設定できます。

  • サービス セット当たり許容されるフローの最大数を制限できます。最大値を設定するには、階層レベルに max-flows ステートメントを含 [edit services service-set service-set-name] める:

    ステートメントでは max-flows 、1 つのフロー制限値を割り当てできます。サービス IDSセットの場合のみ、さまざまなフロー制限を細かく制御して指定できます。詳細については、 session-limit MS-IDSポリシー 設定 の ステートメントの説明 を参照DPC

    メモ:

    集約マルチサービス(AMS)インターフェイスがサービス セットのサービス インターフェイスとして設定されている場合、サービス セットに設定された値がAMS max-flow インターフェイスの各メンバー インターフェイスに適用されます。つまり、4 つのアクティブなメンバー インターフェイスを持つ AMS インターフェイスを使用するサービス セットの値として 1000 max-flow を設定した場合、各メンバー インターフェイスでそれぞれ 1,000 max-flow のフローを処理できます。その結果、有効な値は 4,000 になります。

  • TCP(伝送制御プロトコル)で許可される最大セグメント サイズ(MSS)を制限できます。最大値を設定するには、階層レベルに tcp-mss ステートメントを含 [edit services service-set service-set-name] める:

    TCP プロトコルは、2 つのピア間のセッション接続確立時に MSS 値をネゴシエートします。ネゴシエートされたMSS値は主に、通信しているピアが直接接続されるインターフェイスのMTUをベースにしています。しかし、ネットワークでは、TCP パケットが取得するパス上のリンク MTU の変動により、関連するパケットのサイズがリンクの MTU を超えると、MSS 値内に存在する一部のパケットがフラグメント化される可能性があります。

    ルーターが SYN ビットと MSS オプション セットを使用して TCP パケットを受信し、パケットで指定された MSS オプションがステートメントで指定された MSS tcp-mss 値よりも大きい場合、ルーターはパケット内の MSS tcp-mss 値をステートメントで指定された低い値に置き換える。パラメーターの範囲は tcp-mss mss-value から 536 です 65535

    受信した SYN パケットと、MSS 値が変更された SYN パケットの統計情報を表示するには、動作モード コマンドを show services service-sets statistics tcp-mss 発行します。このトピックの詳細については、 管理 ライブラリのJunos OSを参照してください

  • 最初の Junos OS リリース 17.1R1、MS-MPC のサービス セット当たりのセッション設定率を制限できます。許可される最大セットアップ レートを設定するには、ステートメントを階層レベル max-session-setup-rate[edit services service-set service-set-name] 含てます。

    最大セッション設定率は、1 秒あたり許容されるセッション設定の最大数です。このレートに達すると、追加のセッション設定の試みはドロップされます。

    の範囲は max-session-setup-rate number 1~429,496,729 です。k を使用して number、設定率を数千のセッションとして表現することもできます。 Junos OS リリース 18.4R1 で、1k=1000 で開始します max-session-setup-rate。リリース前Junos OS 18.4R1、1k=1024。ステートメントを含めない max-session-setup-rate 場合、セッション設定率は制限されない。

例: サービス セットの設定

2 つのサービス セット、 my-input-service-set および 、 my-output-service-setをインターフェイス全体に適用します。すべてのトラフィックが my-input-service-set 適用されています。サービス セットを適用した後に、 を使用して追加のフィルタリングを実行します my_post_service_input_filter

サービス インターフェイス プールの設定

サービス インターフェイス プールを設定するには、階層レベルに以下のステートメントを [edit services service-interface-pools] 含めます。

マルチキャスト トラフィックを受け入れるサービス PIC の有効化

適応型サービスまたはマルチサービスPIC allow-multicast にマルチキャスト トラフィックを送信するには、ステートメントを階層レベルに [edit services service-set service-set-name] 含める必要があります。このステートメントが含まれていない場合、デフォルトではマルチキャスト トラフィックがドロップされます。このステートメントは、ネクストホップ サービス セットを使用するマルチキャスト トラフィックにのみ適用されます。インターフェイス サービス セットの設定はサポートされていません。マルチキャスト パケットに対して作成される単一方向フローのみ。

インターフェースへのフィルタとサービスの適用

service-set 定義を設定してサービス ルールを定義してグループ化した場合、ルーター上の 1 つ以上のインターフェイスにサービスを適用できます。定義されたサービス セットをインターフェイスに関連付けるには service-set input output 、 または ステートメントを階層レベルに [edit interfaces interface-name unit logical-unit-number family inet service] 含める:

メモ:

インターフェイス上でサービスを有効にした場合、リバース パスフォワーディングはサポートされていません。管理インターフェイス( )またはループバック インターフェイス( )fxp0でサービスを設定することはできませんlo0

インターフェイスの入出力側に異なるサービス セットを設定できます。ただし、双方向サービス ルールを持つサービス セットについては、 と ステートメントの両方に同じサービス セット定義 input を含める output 必要があります。ステートメントに含めるサービス service interface-service [edit services service-set service-set-name] セットは、 階層レベルのステートメントで設定する必要があります。詳細については、「 サービス セットをサービス インターフェイスに適用するように設定する 」を 参照してください

メモ:

リジェクト アクションを含み、ステートフル ファイアウォール ルールを含むサービス セットを使用して、入力ファイアウォール フィルタを使用してインターフェイスを設定した場合、ステートフル ファイアウォール ルールがパケットで実行される前に、ルーターが入力ファイアウォール フィルタを実行します。その結果、パケット転送エンジン がインターフェイスからインターネット制御メッセージ プロトコル(ICMP)エラー メッセージを送信すると、ステートフル ファイアウォール ルールは入力方向に見えなされないため、パケットをドロップする可能性があります。

このタイプのフィルターはステートフル ファイアウォールの後に入力方向に実行される、またはローカルで生成された ICMP パケットがステートフル ファイアウォール サービスに移行されるのを防ぐ出力サービス フィルタを含めるなど、拒否アクションを実行する転送テーブル フィルタを含める方法があります。

サービス フィルターの構成

必要に応じて、各サービス セットに関連付けられたフィルタを含め、ターゲットを絞り込み、さらにトラフィックを処理することもできます。定義なしのステートメントservice-setservice-filterを含める場合、ルーター ソフトウェアは一致条件が true と見なされ、自動的に処理されるサービス セットを選択します。

サービス フィルターを設定するには、階層レベル firewall にステートメントを [edit] 含める:

メモ:

サービス フィルタを inet 設定するには、アドレス ファミリーとして指定する必要があります。

サービス フィルターは、ファイアウォール フィルターと同様の方法で設定します。サービス フィルターの一致条件はファイアウォール フィルターと同じですが、具体的なアクションは以下のとおりです。

  • count—合計でパケットを追加します。

  • log—パケットをログに記録します。

  • port-mirror—パケットのポート ミラーリング。

  • sample—パケットをサンプリングします。

  • service:サービス処理のためにパケットを転送します。

  • skip—サービス処理からパケットを除外します。

ファイアウォール フィルターの設定について、詳しくは ルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド を参照してください

インターフェイスの各面に複数のサービス セット定義を含めすることもできます。複数のサービス セットを含める場合、ルーター ソフトウェアはそれらを設定で指定された順序で評価します。サービス フィルタで一致を見つけ出した最初のサービス セットを実行し、後続の定義を無視します。

追加のステートメントを使用して、入力サービス セットの実行後にトラフィックを処理するフィルタを指定できます。このタイプのフィルターを設定するには、階層レベルに post-service-filter ステートメントを [edit interfaces interface-name unit logical-unit-number family inet service input] 含てます。

メモ:

このソフトウェアは、サービス セットを選択して実行した場合にのみ、ポストサービス フィルタリングを実行します。トラフィックが設定済みのサービス セットの一致条件を満たしていない場合、ポストサービス フィルタは無視されます。サービス post-service-filter インターフェイスがMS-MICまたはMS-MPC上にある場合、ステートメントはサポートされていません。

インターフェイスにサービス セットを適用する例については、「 例: サービス インターフェイスの 設定 」を参照してください

インターフェイスへのフィルタの適用について、詳しくは ルーティング デバイスのJunos OS ネットワーク インターフェイス ライブラリ を参照してください。フィルターの一般的な情報については、「 ルーティング ポリシー 、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド 」を参照してください

メモ:

パケットNATがパケットに適用された後、出力サービス フィルタの対象とはされません。サービス フィルターは、非送信トラフィックにのみ影響を与える。

例:サービス インターフェイスの設定

インターフェイス全体 my-service-set にサービス セットを適用します。受け入れられるすべてのトラフィック my_input_filtermy-input-service-set 適用されました。サービス セットを適用した後、フィルタを使用して追加のフィルタリングが実行 my_post_service_input_filter されます。

2 つの冗長インターフェイスと、および rsp0 rsp1関連サービスを設定します。

サービス インターフェイスのアドレスとドメインの設定

インターフェイスASマルチサービスPIC address で、ステートメントを階層レベルに含めて、システム ログ メッセージのソース アドレスを [edit interfaces interface-name unit logical-unit-number family inet] 設定します。

値を設定してインターフェイスに IP アドレスを割り当 address てる。通常、ASまたはマルチサービスPICは、ステートメントを使用して設定されたIPバージョン4(IPv4 family inet )アドレスのみをサポートしますが、IPsecサービスは、ステートメントを使用して設定されたIPv6(IPバージョン6 family inet6 )アドレスもサポートしています。

メモ:

同じルーティング インスタンス内の複数のインターフェイスで同じアドレスを設定した場合、Junos OS は最初の設定のみを使用します。残りのアドレス設定は無視され、アドレスなしでインターフェイスを残す可能性があります。割り当て済みアドレスを持つインターフェイスを、番号付けされていないイーサネット インターフェイスのアドレス指定インターフェイスとして使用することはできません。

たとえば、次の設定では、インターフェイス xe-0/0/1.0 のアドレス設定は無視されます。

複数のインターフェイスで同じアドレスを設定する方法の詳細については、「 インターフェイス アドレスの設定 」を参照してください

サービス インターフェイスに固有ではない設定が可能なその他のアアドレス プロパティの詳細については、 ルーティング デバイスのJunos OSネットワーク インターフェイス ライブラリ を 参照してください

ステートメント service-domain は、ネットワーク内でインターフェイスが使用されるのか、リモート デバイスと通信するかについて指定します。ソフトウェアはこの設定を使用して、適用するデフォルトのステートフル ファイアウォール ルールを決定し、サービス ルールのデフォルト方向を決定します。ドメインを設定するには、階層レベルに service-domain ステートメントを [edit interfaces interface-name unit logical-unit-number] 含める:

service-domainネクスト ホップ サービスセット定義でインターフェイスを設定する場合、設定は、 および inside-service-interface outside-service-interface ステートメントの設定と一致する必要があります。詳細については、「 サービス セットをサービス インターフェイスに適用するサービス セットの設定 」を参照してください。

サービス セットのシステム ロギングの設定

サービス セットに対してシステム ログ メッセージを生成する方法を制御するプロパティを指定します。これらの値は、階層レベルで設定された値を [edit interfaces interface-name services-options] 上書きします。

サービスセット固有のシステム ロギング値を設定するには、ステートメントを階層 syslog レベルに [edit services service-set service-set-name] 含てます。

ステートメントに host 、システム ログ ターゲット サーバーを指定するホスト名または IP アドレスを設定します。ホスト名は local 、システム ログ メッセージをホストホストにルーティング エンジン。外部システム ログ サーバーの場合、ホスト名は、最初のデータ パケット(セッションの確立をトリガーした)が配信されるのと同じルーティング インスタンスから到達可能である必要があります。システム ロギング ホスト名は 1 つしか指定できます。この source-address パラメータは、ms、rms、およびmamのインターフェイスでサポートされています。

Junos OS リリース 17.4R1 [edit services service-set service-set-name] から、階層レベルの下で、サービス セットごとに最大 4 台のシステム ログ サーバー(ローカル システム ログ ホストとリモート システム ログ コレクターの組み合わせ)を設定できます。

メモ:

Junos OS fxp.0 インターフェイスを介した外部システム ログ サーバーへのシステム ログ メッセージのエクスポートはサポートされていません。これは、システム ログ メッセージの高い伝送速度と fxp.0 インターフェイスの帯域幅の制限により、いくつかの問題が発生する可能性があるためです。外部システム ログ サーバーには、アウトアウト可能なインターフェイスから到達可能である必要があります。

表 1 は、階層レベルの設定ステートメントで指定できる重大度レベルを[edit services service-set service-set-name syslog host hostname]示しています。~のレベルはemergencyinfo、重大度が非常に高い(機能に最大の影響が及ぼす)順に示されます。

表 1:システム ログ メッセージの重大度レベル

重大度レベル

説明

any

すべての重大度レベルを含む

emergency

システムの変更、ルーターの機能停止を引き起こすその他の状態

alert

システム データベースの破損など、即時の修正が必要な状態

critical

ハード ドライブのエラーなどの重要な条件

error

一般に、重大な影響を受けないエラー状態は、緊急、警告、重大レベルのエラーよりも少ない

warning

監視を保証する条件

notice

エラーではないが、特別な取り扱いが保証される可能性がある条件

info

関連するイベントまたはエラー以外の条件

システム ロギングの重大度レベルは、通常の運用時に設定 error することをお勧めします。PICリソースの使用状況を監視するには、レベルを に設定します warning。侵入検出システム エラーが検出された notice 際に侵入攻撃に関する情報を収集するには、特定のサービス セットのレベルを設定します。設定をデバッグするか、機能のログNATするには、 にレベルを設定します info

システム ログ メッセージの詳細については、 System Log Explorer を参照してください

指定されたシステム ログ ホストに class ログに記録するメッセージ クラスを選択するには、ステートメントを階層レベルに [edit services service-set service-set-name syslog host hostname] 含てます。

指定されたシステム ログ ホストへのすべてのロギングに facility-override 1 つの特定の施設コードを使用するには、ステートメントを階層レベルに [edit services service-set service-set-name syslog host hostname] 含める:

サポートされる施設数は、 authorization、 、 daemonftpkernel、 、 、 userlocal0 、 ですlocal7

このシステム ログ ホストへのすべてのロギングにテキスト プレフィックスを指定するには、ステートメント log-prefix を階層レベルに [edit services service-set service-set-name syslog host hostname] 含める:

サービス ルールの設定

サービス セットを構成するルールとルール セットの収集を指定します。ルーターは、設定に表示される順序でルール セットを実行します。サービス タイプごとに 1 つのルール セットのみを含めできます。各サービス タイプのルール名とコンテンツは [edit services name] 、各タイプの階層レベルで設定します。

  • 階層レベルで 侵入検出サービス(IDS [edit services ids] )ルールを設定します。詳細については、「 MS-DPC カードの MS-DPC 上で IDS ルールを設定する 」および「 MS-MPC カードの MS-MPC に対するネットワーク攻撃に対する保護の設定 」を参照してください。

  • 階層レベルで IP セキュリティ(IPsec)ルールを設定します。詳細については、「 [edit services ipsec-vpn] IP セキュリティについて 」 をJunos VPN Site Secure.

  • 階層レベルでネットワーク アドレス変換(NAT) [edit services nat] ルールを設定します。詳細については、 [概要] を Junos Address Aware ネットワーク アドレッシング参照してください

  • パケットトリガーされた加入者と PTSP(ポリシー制御)ルールを階層レベルで設定します。詳細については、「 [edit services ptsp] PTSP サービス ルールの設定 」 を参照してください

  • DS-Lite または 6rd softwire [edit services softwire] のソフトワイヤ ルールは、階層レベルで設定します。詳細については、「 Softwire ルールの 設定 」を参照してください

  • 階層レベルでステートフル ファイアウォール ルールを [edit services stateful-firewall] 設定します。詳細については、「 ステートフル ファイアウォール ルールの設定 」を参照してください

サービス セットを構成するルールとルール セットを設定するには、階層レベルに以下のステートメントを含 [edit services service-set service-set-name] てます。

サービス タイプごとに、1 つ以上のルールまたは 1 つのルール セットを含めできます。

IPsec ルールでサービス セットを設定する場合、他のサービスのルールを含めずに設定する必要があります。ただし、他のサービスのルールを含む別のサービス セットを設定して、両方のサービス セットを同じインターフェイスに適用することができます。

メモ:

サービス セットには、Junos Application Aware Dynamic Application Awareness)機能を追加できます。これを行idp-profile[edit services service-set]うには、階層レベルのステートメントと、APPID(アプリケーション識別)ルール、および必要に応じてアプリケーション認識型アクセス リスト(AACLpolicy-decision-statistics-profile)ルールと、 を含める必要があります。単一の機能を使用すると、1 つのインターフェイスに 1 つのJunos Application Awareできます。詳細については、「 MS-DPC での IDS ルールの設定 」、APPID の概要、ルーティング デバイス用アプリケーション認識サービス インターフェイス ユーザー ガイド を参照してください

リリース履歴テーブル
リリース
説明
18.4R1
最初の Junos OS リリース 18.4R1、最大 session-setup-rate で 1k=1000 です。
17.1R1
最初の Junos OS リリース 17.1R1、MS-MPC のサービス セット当たりのセッション設定率を制限できます。