サービス インターフェイスの設定
サービス インターフェイス命名規則の概要
各インターフェイスには、メディア タイプ、FPCが設置されているスロット、PICがインストールされているFPC上の場所、PICポートを指定するインターフェイス名があります。インターフェイス名は、システム内の個々のネットワーク コネクターを一意に識別します。インターフェイス名は、インターフェイスを設定する場合や、ルーティング プロトコルなどさまざまな機能やプロパティを個別のインターフェイスで有効にする場合に使用します。システムは、たとえば コマンド内でインターフェイスに関する情報を表示する際に、インターフェイス名を使用 show interfaces します。
インターフェイス名は、次の形式で物理部、論理部、およびチャネル部で表されます。
physical<:channel>.logical
チャネル化されたDS3、E1、OC12、STM1インターフェイスを除くすべてのインターフェイスでは、名前のチャネル部を省略できます。
インターフェイス名の物理部は、単一の物理ネットワーク コネクターに対応する物理デバイスを識別します。インターフェイス名のこの部分には、次の形式が適用されます。
type-fpc/pic/port
type はメディア タイプで、ネットワーク デバイスを識別します。サービス インターフェイスでは、以下のいずれかを実行できます。
ams:AMS(アグリゲート マルチサービス)インターフェイス。AMSインターフェイスは、単一のインターフェイスとして機能するサービスインターフェイスのバンドルです。AMSインターフェイスはamsNN、AMSインターフェイス(例:)を識別する一意の番号を設定で示していますams0。AMSインターフェイスのメンバー インターフェイスは、プレフィックスをmams-持つ設定で識別されますmams-1/2/0( など)。cp—フロー コレクター インターフェイス。es:暗号化インターフェイス。gr:汎用ルーティング カプセル化トンネル インターフェイス。gre:このインターフェイスは内部で生成され、設定できません。ip:IP-over-IP カプセル化トンネル インターフェイス。ipip:このインターフェイスは内部で生成され、設定できません。ls:リンク サービス インターフェイス。lsq:リンク サービス IQ(インテリジェント キューイング)インターフェイス。音声サービスにも使用されます。mams:AMS インターフェイスのメンバー インターフェイス。ml:マルチリンク インターフェイス。mo:サービス インターフェイスを監視します。論理 インターフェイスmo-fpc/pic/port.16383 は、ルーター制御トラフィック用の内部生成された設定不可のインターフェイスです。ms:マルチサービス モジュラー インターフェイス カード(MS-MIC)とマルチサービス モジュラー ポート コンセントレータ(MS-MPC)上のマルチサービス インターフェイス。mt—マルチキャスト トンネル インターフェイス。このインターフェイスは自動的に生成されますが、必要に応じてプロパティを設定できます。mtun:このインターフェイスは内部で生成され、設定できません。rlsq:冗長 LSQ インターフェイス。rsp:冗長対応サービス インターフェイス。si:MX3D シリーズ ルーター上でのみ設定されたサービス インライン インターフェイス。sp:適応型サービス インターフェイス。論理インターフェイスsp-fpc/pic/port.16383 は、ルーター制御トラフィック用の内部生成された設定不可のインターフェイスです。tap:このインターフェイスは内部で生成され、設定できません。vt:仮想ループバック トンネル インターフェイス。
詳細については、
サービス パッケージの実現
AS PIC、マルチサービス PIC、マルチサービス DPC、および M7i ルーターの内部 ASM(適応型サービス モジュール)には、レイヤー 2 とレイヤー 3 の 2 つのサービス パッケージがあります。どちらのサービスパッケージも、すべての適応型サービスインターフェイスでサポートされますが、ASMでサポートされている統合パッケージを除き、PICごとに1つのサービスパッケージのみ有効にできます。単一のルーターに 2 つ以上の PIC をインストールすることで、両方のサービス パッケージを有効にできます。
グレースルーティング エンジン スイッチオーバー(GRES)は、ES PICを除くすべてのサービスPICおよびDPCで自動的に有効になります。TXマトリクス ルーターを除きM Series、MX シリーズ、T Seriesでサポートされます。レイヤー 3 サービスはスイッチオーバー後も状態を維持する必要がありますが、レイヤー 2 サービスは再起動します。IPsecサービスの場合、インターネット鍵交換(IKE)ネゴシエーションは保存されません。スイッチオーバーの後に再起動する必要があります。GRES の詳細については、「 高可用性ユーザー ガイド Junos OSを参照してください。
ポート単位ではなくPICごとにサービス パッケージを有効にできます。たとえば、レイヤー 2 サービス パッケージを設定した場合、PIC 全体で設定されたパッケージが使用されます。サービス パッケージを有効にするには、階層レベルに service-package [edit chassis fpc slot-number pic pic-number adaptive-services] ステートメントを含め、以下を指定しますlayer-2layer-3。
[edit chassis fpc slot-number pic pic-number adaptive-services] service-package (layer-2 | layer-3);
AS PIC show chassis hardware がサポートしているパッケージを確認するには、 コマンドを発行します。PIC がレイヤー 2 Link Services IIパッケージをサポートしている場合は、 に一覧表示され、レイヤー 3 Adaptive Services IIパッケージがサポートされている場合は、 として 表示されます。マルチサービスPICがサポートしているパッケージを確認するには、 コマンドを発行 show chassis pic fpc-slot slot-number pic-slot slot-number します。フィールド Package には値 または が表示 Layer-2 されます Layer-3。
ASMには、レイヤー2layer-2-3およびレイヤー3のサービスパッケージで利用可能な機能を組み合わせたデフォルトオプション()があります。
サービス パッケージの変更をコミットすると、PIC はオフラインで撮影され、すぐにオンラインに戻されます。PICをオフラインまたはオンラインにする必要はありません。
サービス パッケージを変更すると、以前のサービス パッケージに関連付けられているすべての状態情報が失われます。PICにアクティブなトラフィックが行き当たらがない場合にのみ、サービス パッケージを変更する必要があります。
各パッケージでサポートされるサービスは、PICとプラットフォーム タイプによって異なります。 表 1 は 、各 PIC およびプラットフォームの各サービス パッケージでサポートされるサービスを示しています。
AS およびマルチサービス PI では、リンク サービスのサポートには、Junos OS CoS コンポーネント、LFI(FRF.12)、MLFR エンドツーエンド(FRF.15)、MLFR UNI NNI(FRF.16)、MLPPP(RFC 1990)、マルチクラス MLPPP が含まれます。詳細については、「 レイヤー 2 サービス パッケージ の機能とインターフェイス 」と「レイヤー 2 サービス パッケージ機能と インターフェイス」を参照してください。
レイヤー 2 ASレイヤー 2 サービス用 PIC II は、レイヤー 2 サービス パッケージのみをサポートするために専用されています。
サービス |
ASM |
AS/AS2 PICsおよびマルチサービスPIC |
AS/AS2およびマルチサービスPIC |
AS2およびマルチサービスPIC |
AS2およびマルチサービスPIC |
|---|---|---|---|---|---|
| レイヤー 2 サービス パッケージ(のみ) | M7i | M7i、M10i、M20 | M40e および M120 | M320、T320、T640 | TX マトリクス |
リンクサービス: |
|||||
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
音声サービス: |
|||||
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
| レイヤー 3 サービス パッケージ(のみ) | M7i | M7i、M10i、M20 | M40e および M120 | M320、T320、T640 | TX マトリクス |
セキュリティサービス: |
|||||
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
アカウンティング サービス: |
|||||
|
はい |
はい |
はい |
はい |
はい |
|
いいえ |
いいえ |
いいえ |
はい |
いいえ |
|
はい |
はい |
○(M40e のみ) |
はい |
いいえ |
|
いいえ |
はい |
○(M40e のみ) |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
はい |
LNS サービス: |
|||||
|
はい |
○(M7iおよびM10iのみ) |
○(M120のみ) |
いいえ |
いいえ |
音声サービス: |
|||||
|
はい |
はい |
はい |
はい |
いいえ |
| レイヤー 2 およびレイヤー 3 サービス パッケージ(一般的な機能) | M7i | M7i、M10i、M20 | M40e および M120 | M320、T320、T640 | TX マトリクス |
RPM サービス: |
|||||
|
はい |
はい |
はい |
はい |
いいえ |
トンネル サービス: |
|||||
|
はい |
はい |
はい |
はい |
はい |
|
はい |
はい |
はい |
いいえ |
いいえ |
|
はい |
はい |
はい |
はい |
いいえ |
|
はい |
はい |
はい |
はい |
はい |
|
いいえ |
いいえ |
いいえ |
いいえ |
いいえ |
|
はい |
はい |
はい |
はい |
はい |
|
はい |
はい |
はい |
はい |
はい |
|
はい |
はい |
はい |
はい |
はい |
|
はい |
はい |
はい |
はい |
はい |
レイヤー 2 サービス パッケージの機能とインターフェイス
レイヤー 2 サービス パッケージを有効にした場合、リンク サービスを設定できます。次のASマルチサービスPICおよび ASMでは、リンクサービスで以下がサポートされます。
Junos CoS コンポーネント - レイヤー 2 サービス パッケージの機能とインターフェイスでは、Junos CoS コンポーネントがリンク サービス IQ(
lsq)インターフェイスでどのように動作するのかについて説明します。すべてのコンポーネントの詳細Junos CoSルーティング デバイスのJunos OS サービス クラス ユーザー ガイドを参照してください。FRF.12 エンドツーエンド フラグメント化を使用したフレーム リレー リンク上の LFI- FRF.12 の規格は、FRF.12、フレーム リレー フラグメント化実装契約の仕様に定義されています。
MLPPP リンク上の LFI。
MLFR UNI NNI(FRF.16)—FRF.16 の規格は、FRF.16.1、マルチリンク フレーム リレー UNI/NNI 実装契約の仕様に定義されています。
MLPPP(RFC 1990)
MLFR エンドツーエンド(FRF.15)
AS およびマルチサービス PIC 上の LSQ インターフェイスでは、設定構文はマルチリンクおよびリンク サービス PIC の場合とほとんど同じになります。主な違いは、 または の代わりに interface-type 記述子 lsq を使用する方法 ml です ls。レイヤー 2 サービス パッケージを有効にした場合、次のインターフェイスが自動的に作成されます。
gr-fpc/pic/port ip-fpc/pic/port lsq-fpc/pic/port lsq-fpc/pic/port:0 ... lsq-fpc/pic/port:N mt-fpc/pic/port pd-fpc/pic/port pe-fpc/pic/port sp-fpc/pic/port vt-fpc/pic/port
インターフェイス タイプ gr、 ip、mtpdpevtは、レイヤー 2 とレイヤー 3 のサービス パッケージの有効化に関して、AS およびマルチサービス PIC で使用可能な標準トンネル インターフェイスです。これらのトンネル インターフェイスは、表 1 に示すように、レイヤー 2 サービス パッケージが一部のトンネル機能をサポートしていないという点を除き、両方のサービス パッケージで同じ方法で機能します。
インターフェイス タイプは lsq-fpc/pic/port 、物理リンク サービスIQ(lsq)インターフェイスです。インターフェイス タイプから lsq-fpc/pic/port:0 lsq-fpc/pic/port:N FRF.16 バンドルを表します。これらのインターフェイス タイプは、 オプション に ステートメントを含めるときに mlfr-uni-nni-bundles 作成 [edit chassis fpc slot-number pic pic-number] されます。詳細については、「 レイヤー 2 サービス パッケージ機能 とインターフェイスとリンクおよびルーティング デバイスのマルチリンク サービス インターフェイス ユーザー ガイド 」を参照してください。
インターフェイス タイプ sp は、デバイスが必要とJunos OS。レイヤー 2 サービス パッケージの場合、インターフェイス sp は設定できません。ただし、無効にする必要があります。
詳細については、
サービスの構成手順
以下の一般的な手順に従って、サービスを設定します。
例: サービス インターフェイスの設定
次の設定には、インターフェイス上でサービスを設定するために必要なすべての項目が含まれています。
[edit]
interfaces {
fe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set Firewall-Set;
}
output {
service-set Firewall-Set;
}
}
address 10.1.3.2/24;
}
}
}
fe-0/1/1 {
unit 0 {
family inet {
filter {
input Sample;
}
address 172.16.1.2/24;
}
}
}
sp-1/0/0 {
unit 0 {
family inet {
address 172.16.1.3/24 {
}
}
}
}
}
forwarding-options {
sampling {
input {
family inet {
rate 1;
}
}
output {
cflowd 10.1.3.1 {
port 2055;
version 5;
}
flow-inactive-timeout 15;
flow-active-timeout 60;
interface sp-1/0/0 {
engine-id 1;
engine-type 136;
source-address 10.1.3.2;
}
}
}
}
firewall {
filter Sample {
term Sample {
then {
count Sample;
sample;
accept;
}
}
}
}
services {
stateful-firewall {
rule Rule1 {
match-direction input;
term 1 {
from {
application-sets Applications;
}
then {
accept;
}
}
term accept {
then {
accept;
}
}
}
rule Rule2 {
match-direction output;
term Local {
from {
source-address {
10.1.3.2/32;
}
}
then {
accept;
}
}
}
}
ids {
rule Attacks {
match-direction output;
term Match {
from {
application-sets Applications;
}
then {
logging {
syslog;
}
}
}
}
}
nat {
pool public {
address-range low 172.16.2.1 high 172.16.2.32;
port automatic;
}
rule Private-Public {
match-direction input;
term Translate {
then {
translated {
source-pool public;
translation-type source napt-44;
}
}
}
}
}
service-set Firewall-Set {
stateful-firewall-rules Rule1;
stateful-firewall-rules Rule2;
nat-rules Private-Public;
ids-rules Attacks;
interface-service {
service-interface sp-1/0/0;
}
}
}
applications {
application ICMP {
application-protocol icmp;
}
application FTP {
application-protocol ftp;
destination-port ftp;
}
application-set Applications {
application ICMP;
application FTP;
}
}
サービス インターフェイスのデフォルト タイムアウト設定の設定
インターフェイス全体に適用する特定のタイマーのグローバルデフォルト設定を指定できます。このタイプのステートメントは 3 種類があります。
inactivity-timeout—確立されたフローの非アクティブ タイムアウト期間を設定しますが、その後は無効になります。open-timeout:ネットワーク侵入に対する SYN-Cookie 防御と使用するために、伝送制御プロトコル(TCP)セッション確立のタイムアウト期間を設定します。close-timout—伝送制御プロトコル(TCP)セッションの終了のタイムアウト期間を設定します。
非アクティブ タイムアウト期間の設定を設定するには、 inactivity-timeout ステートメントを階層レベルに [edit interfaces interface-name services-options] 含てます。
[edit interfaces interface-name services-options] inactivity-timeout seconds;
デフォルト値は30秒です。可能な値の範囲は 4~86,400 秒です。アプリケーション プロトコル定義で設定した値によって、ここで指定された値が上書きされます。詳細については、「 アプリケーション プロパティ の設定 」を参照してください。
TCP セッション確立タイムアウト期間の設定を設定するには open-timeout 、ステートメントを階層レベルに [edit interfaces interface-name services-options] 含てます。
[edit interfaces interface-name services-options] open-timeout seconds;
デフォルト値は5秒です。可能な値の範囲は 4~224 秒です。デフォルト定義で設定した値侵入検出サービス(IDS)によって、ここで指定された値が上書きされます。詳しくは、 MS-IDSの設定 ルールの設定 を参照DPC。
TCP セッション終了タイムアウト期間の設定を設定するには close-timeout 、ステートメントを階層レベルに [edit interfaces interface-name services-options] 含てます。
[edit interfaces interface-name services-options] close-timeout seconds;
デフォルト値は1秒です。可能な値の範囲は 2~300 秒です。
キープアライブ メッセージの使用による TCP 非アクティブ タイムアウトの制御の向上
キープアライブ メッセージは自動的に生成され、TCP 非アクティブ タイムアウトを防きます。デフォルトのキープアライブ メッセージ数は 4 です。ただし、階層レベルで ステートメントを入力して、キープアライブ メッセージ tcp-tickles の数を [edit interaces interface-name service-options] 設定できます。
双方向 TCP フローに対してタイムアウトが生成されると、キープアライブ パケットが送信され、タイマーがリセットされます。フローで送信された連続するキープアライブ パケットの数がデフォルトまたは設定された制限を超えた場合、会話は削除されます。考えられるシナリオは、 inactivity-timer と の設定、デフォルト、設定された最大キープアライブ メッセージ数に応じてあります。
キープアライブ メッセージの設定値がゼロ
inactivity-timeoutで、NOT が設定されていない場合(この場合、デフォルトのタイムアウト値 30 が使用されます)、キープアライブ パケットは送信されません。会話内のフローが 30 秒を超えるアイドル状態の場合、会話は削除されます。キープアライブ メッセージの設定値がゼロ
inactivity-timeoutで、設定されている場合、キープアライブ パケットは送信されません。会話内のフローがアイドル状態で設定されたタイムアウト値を超える場合は、対話が削除されます。inactivity-timeoutデフォルトまたは設定された最大キープアライブ メッセージ数が正の整数である場合、会話内のフローはアイドル状態で、キープアライブ パケットのデフォルト値または設定値以上が送信されます。ホストが連続してキープアライブ パケットの設定数に応答しない場合、会話は削除されます。キープアライブ パケット間の間隔は 1 秒になります。ただし、ホストが ACK パケットを返送すると、対応するフローはアクティブになり、そのフローが再びアイドル状態になるまで、キープアライブ パケットは送信されません。
詳細については、
サービス インターフェイスのシステム ロギングの設定
インターフェイス全体に対してシステム ログ メッセージを生成する方法を制御するプロパティを指定します。階層レベルで同じプロパティに [edit services service-set service-set-name] 異なる値を設定した場合、サービスセット値によって、インターフェイスに設定された値が上書きされます。サービスセットプロパティの設定について、詳しくは サービスセットの システムロギングの設定 を参照してください。
マルチサービス(ms-)インターフェイスに対して Junos OS リリース 14.2R5、15.1R3、16.1R1 を開始すると、 [edit services-set service-set-name syslog host hostname class] 階層レベルで pcp-logs と alg-logs ステートメントを含めて、PCP および ALG のシステム ロギングを設定することはできません。pcpログとallg-logsオプションを含む設定をコミットしてmsインターフェイスのPCPおよびALGのシステムロギングを定義しようとすると、エラー メッセージが表示されます。
インターフェイス全体のデフォルト システム ロギング値を設定するには、ステートメントを階層 syslog レベルに [edit interfaces interface-name services-options] 含てます。
[edit interfaces interface-name services-options] syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; port port-number; } }
ステートメントに host 、システム ログ ターゲット サーバーを指定するホスト名または IP アドレスを設定します。ホスト名は local 、システム ログ メッセージをホストホストにルーティング エンジン。外部システム ログ サーバーの場合、ホスト名は、最初のデータ パケット(セッションの確立をトリガーした)が配信されるのと同じルーティング インスタンスから到達可能である必要があります。システム ロギング ホスト名は 1 つしか指定できます。
Junos OS リリース 17.4R1 から、階層の下の ms [edit interfaces interface-name services-options] インターフェイスの各サービス セットに対して、最大 4 台のシステム ログ サーバー(ローカル システム ログ ホストとリモート システム ログ コレクターの組み合わせ)を設定できます。
表 2 は、階層レベルの設定ステートメントで指定できる重大度レベルを[edit interfaces interface-name services-options syslog host hostname]示しています。~のレベルはemergencyinfo、重大度が非常に高い(機能に最大の影響が及ぼす)順に示されます。
重大度レベル |
説明 |
|---|---|
|
すべての重大度レベルを含む |
|
システムの変更、ルーターの機能停止を引き起こすその他の状態 |
|
システム データベースの破損など、即時の修正が必要な状態 |
|
ハード ドライブのエラーなどの重要な条件 |
|
一般に、重大な影響を受けないエラー状態は、緊急、警告、重大レベルのエラーよりも少ない |
|
監視を保証する条件 |
|
エラーではないが、特別な取り扱いが保証される可能性がある条件 |
|
イベントまたは非攻撃的な関心条件 |
システム ロギングの重大度レベルは、通常の運用時に設定 error することをお勧めします。PICリソースの使用状況を監視するには、レベルを に設定します warning。侵入検出システム エラーが検出された際に侵入 notice 攻撃に関する情報を収集するには、特定のインターフェイスのレベルを設定します。設定をデバッグするか、設定ネットワーク アドレス変換(NAT)機能をログに記録するには、 にレベルを設定します info。
システム ログ メッセージの詳細については、 System Log Explorer を参照してください。
指定されたシステム ログ ホストへのすべてのロギングに facility-override 1 つの特定の施設コードを使用するには、ステートメントを階層レベルに [edit interfaces interface-name services-options syslog host hostname] 含める:
[edit interfaces interface-name services-options] facility-override facility-name;
サポートされる施設には、 authorizationftpkerneldaemon、 userを含local0む 。local7
このシステム ログ ホストへのすべてのロギングにテキスト プレフィックスを指定するには、ステートメント log-prefix を階層レベルに [edit interfaces interface-name services-options syslog host hostname] 含める:
[edit interfaces interface-name services-options] log-prefix prefix-value;
詳細については、
MS-MPC および MS-MIC での TLS Syslog プロトコルの設定
トランスポート層 セキュリティ(TLS)の概要
Junos OS リリース 19.1R1 から、MX ルーターの MS-MPC または MS-MIC サービス カード上で実行されるサービスによって生成された syslog メッセージに対して、トランスポート層 セキュリティ(TLS)を設定できます。サービスには、以下のいずれかを実行できます。
Junos Address Aware(旧フォレスとNAT呼ば)
Junos VPN Site Secure(以前は IPsec 機能と呼ばば)
Junos Network Secure(旧ステートフル ファイアウォール機能と呼ば)
トランスポート層 TLS(セキュリティ)は、インターネットに暗号化技術を提供するアプリケーション レベルのプロトコルです。TLS は、このレベルのセキュリティのために、証明書とプライベートと公開の鍵交換ペアに依存しています。これは、ファイル転送、VPN 接続、インスタント メッセージング、ボイスオーバー IP(VoIP)など、ネットワーク上でデータを安全に交換する必要があるアプリケーションで最も広く使用されているセキュリティ プロトコルです。
TLS プロトコルは、証明書の交換、相互認証、ネゴシエートされた暗号に使用され、改ざんや盗聴の可能性からストリームを保護します。TLSはSSL(Secure Sockets Layer)と呼ばれる場合があります。TLS と SSL は相互運用性を持つため、現在のところ、TLS には下位互換性があります。
TLS のメリット
TLS は、プライバシー、認証、機密性、データ整合性を組み合わせて、クライアントとサーバー間のデータ転送を安全に行います。
TLS の 3 つの不可欠なサービス
TLS プロトコルは、暗号化、認証、データの整合性という 3 つの不可欠なサービスをその上で実行するアプリケーションに提供するように設計されています。
暗号化 — 暗号化にセキュアなデータ チャネルを確立するには、サーバーとクライアントが使用する暗号スイートと、データの暗号化に使用されるキーに同意する必要があります。TLS プロトコルは、この交換を実行するために、定義済みのハンドシェイク シーケンスを指定します。TLS は公開鍵暗号化を使用します。これにより、クライアントとサーバーは、暗号化されていないチャネルを使用して、お互いに事前の知識を確立することなく、共有の秘密鍵をネゴシエートできます。
認証 —TLS ハンドシェイクの一環として、このプロトコルにより、サーバーとクライアントの両方でアイデンティティを認証できます。クライアントとサーバー間の明示的な信頼性(サーバーによって生成された証明書をクライアントが受け入れるため)は、TLS の重要な側面です。サーバー認証が侵害されていない点が非常に重要です。しかし実際には、自己署名証明書と異常のある証明書は豊富に存在します。異常には、期限切れになった証明書、ドメイン名と一致しない共通名のインスタンスなどがあります。
整合性:暗号化と認証を実装した場合、TLS プロトコルはメッセージ フレーム メカニズムを実行し、メッセージ認証コード(MAC)を使用して各メッセージに署名します。MACアルゴリズムは有効なチェックサムを実行し、キーはクライアントとサーバーの間でネゴシエートされます。
TLS ハンドシェイク
各 TLS セッションは、最初にハンドシェイクで始まり、その間に、クライアントとサーバーが特定のセキュリティー キーと、そのセッションに使用する暗号化アルゴリズムに同意します。同時に、クライアントもサーバーを認証します。必要に応じて、サーバーはクライアントを認証できます。ハンドシェイクが完了すると、暗号化されたデータの転送を開始できます。
TLS による Syslog トラフィックの暗号化
TLS プロトコルにより、syslog メッセージがネットワークを使用して安全に送信および受信されます。TLS は証明書を使用して、通信を認証し、暗号化します。クライアントは、その証明書と公開キーを要求することでサーバーを認証します。必要に応じて、サーバーがクライアントに証明書を要求することもできます。このため、相互認証も可能です。
サーバーを識別するサーバー上の証明書と、サーバーが発行する 認証機関(CA)の証明書を、TLS でクライアントと一緒に使用して syslog トラフィックを暗号化する必要があります。
クライアントとサーバーの相互認証を行う場合、クライアントを識別するクライアントとの証明書、およびクライアントが発行する CA 証明書をサーバーで使用できる必要があります。相互認証により、syslog サーバーは許可されたクライアントからのログ メッセージのみ受け入れる必要があります。
TLS はセキュアなトランスポートとして使用され、次に示す syslog に対して主な脅威すべてに対抗します。
メッセージ内容の開示に対抗する機密性。
メッセージの変更に対してホップバイホップで対抗する整合性チェック。
対抗するサーバーまたは相互認証。
TLS バージョン
TLS のバージョンは次のとおりです。
TLSバージョン1.0 :アプリケーションと通信する間にプライバシーとデータの整合性を提供することで、ネットワーク上で安全な通信を提供します。
TLSバージョン1.1 — この拡張バージョンのTLSは、暗号ブロック連鎖(CBC)攻撃に対する保護を提供します。
TLSバージョン1.2 — この拡張バージョンのTLSは、暗号化アルゴリズムのネゴシエーションの柔軟性を向上します。
Syslog メッセージ構成用 TLS トランスポート プロトコルの概要
Junos OS リリース 19.1R1 から、MX シリーズ ルーター で MS-MPC または MS-MIC サービス カード上で実行されるサービスによって生成された syslog メッセージに トランスポート層 セキュリティ(TLS)を使用するように MX シリーズ ルーター設定できます。
MS-MICs および MS-MPC には、以下のサービス パッケージがプリインストールされ、事前設定されています。
Junos Traffic Vision(旧 Jflow と呼ば)
Junos Address Aware(旧称:NAT機能)
Junos VPN Site Secure(以前は IPsec 機能と呼ばば)
Junos Network Secure(以前はステートフル ファイアウォール機能と呼ばば)
Junos クリプト ベース PIC パッケージ
Junos・アプリケーション・レベル・ゲートウェイ
各サービス セットに対して最大 4 台の syslog サーバーを構成し、暗号化されたデータをサーバーに送信できます。
Syslog メッセージは、指定された一連の固有の設定パラメーター用に作成された専用接続を使用して送信されます。
送信元 IP アドレス
宛先 IP アドレス(TCP/TLS サーバー)
ポート
SSL プロファイル名(TLS 接続の場合)
メモ:ssl プロファイルが tcp ログ階層の下で設定されていない場合、それは非 TLS TCP トランスポートになります。
上記と同じパラメーターを持つ TCP/TLS ロギング設定を持つサービス セットが複数存在する場合、これらのすべてのサービス セットからのセッションから生成されたログは、同じ接続を共有します。
この機能は IPv4 と IPv6 の両方をサポートします。
ロギング イベントが発生しない場合でも、設定済みの TCP/TLS 接続は設定されるまで維持されます。
TCP/TLS sylog 設定のサポートにより、セキュリティが高く信頼性の高いログをデバイス上でのみデータ プレーン。
複数のアクティブなメンバーを持つアグリゲート マルチ サービス(AMS)では、各メンバーが個別の TCP/TLS 接続を作成し、各メンバー PIC によって生成された syslog が固有の接続を介して送信されます。
Syslog メッセージに対する TCP/TLS の設定
TCP/TLS トランスポート プロトコルを使用して、外部 Syslog サーバーに信頼性と安全性の高い方法で syslog メッセージを送信できます。
syslog メッセージ用に TCP/TLS プロトコルを設定するには、次の手順に示します。