論理システム向けIPv6
IPv6はIPv4の機能をベースに構築されており、IPアドレッシング、設定と保守、セキュリティを改善します。IPv6では、認証とデータ整合性の拡張機能がサポートされているため、プライバシーとセキュリティが強化されます。IPv6は128ビットアドレスを使用し、事実上無制限のデバイス(2の128乗)をサポートします。詳細については、次のトピックを参照してください。
論理システムのIPv6アドレスの概要
IPバージョン6(IPv6)は、IPアドレスのサイズをIPv4アドレスを構成する32ビットから128ビットに増やします。アドレスに余分なビットが与えられるたびに、そのアドレス空間のサイズは2倍になります。IPv6は、まもなく枯渇するIPv4アドレス空間よりもはるかに広いアドレス空間を持っています。
IPv6アドレスは、以下の機能用に論理システムで設定できます。
インターフェイス
ファイアウォール認証
フロー
ルーティング(BGPのみ)
ゾーンとセキュリティポリシー
画面オプション
ネットワークアドレス変換(インターフェイスNATを除く)
SSH、HTTPS、およびその他のユーティリティなどの管理操作
シャーシクラスター
IPv6セッションは、IPv4セッションの2倍のメモリを消費します。そのため、IPv6で使用可能なセッション数は、セキュリティプロファイルのフローセッションリソースに設定された予約済みクォータと最大クォータの半分になります。vtyコマンド show usp flow resource usage cp-session を使用して、フローセッションの使用状況を確認します。
関連項目
論理システムにおけるIPv6 Dual-Stack Liteについて
IPv6 Dual-Stack Lite(DS-Lite)を使用すると、エンドユーザーのソフトウェアを変更することなく、IPv6アクセスネットワークに移行できます。IPv4ユーザーは現在のハードウェアを使用して引き続きIPv4インターネットコンテンツにアクセスでき、IPv6ユーザーはIPv6コンテンツにアクセスできます。カスタマー エッジの DS-Lite ソフトワイヤ イニシエーターが IPv4 パケットを IPv6 パケットにカプセル化し、ソフトワイヤ コンセントレータが IPv4-in-IPv6 パケットのカプセル化を解除し、IPv4 NAT 変換も実行します。
特定のソフトワイヤコンセントレータと、そのソフトワイヤコンセントレータに接続するソフトワイヤイニシエータのセットは、1つの論理システムにのみ属することができます。プライマリ管理者は、[edit system security-profile resources] 階層レベルの dslite-softwire-initiator 設定ステートメントを使用して、論理システム内のソフトワイヤ コンセントレータに接続できるソフトワイヤ イニシエータの最大数および予約数を設定します。デフォルトの最大値はシステム最大値です。デフォルトの予約値は0です。
プライマリ管理者は、プライマリ論理システムに設定されたソフトワイヤコンセントレータに接続できるソフトワイヤイニシエータの最大数と予約済み数を指定するプライマリ論理システムのセキュリティプロファイルを設定することができます。プライマリ論理システムに設定されたソフトワイヤイニシエータの数は、デバイスで使用可能なソフトワイヤイニシエータの最大数にカウントされます。
ユーザー論理システム管理者は、ユーザー論理システムにソフトワイヤーコンセントレータを設定でき、プライマリ管理者は[edit security softwires]階層レベルでプライマリ論理システムにソフトワイヤーコンセントレータを設定できます。プライマリ管理者は、[edit logical-systems logical-system security softwires] 階層レベルでユーザー論理システム用のソフトワイヤコンセントレータを設定することもできます。
ソフトワイヤコンセントレータのIPv6アドレスは、物理インターフェイスまたはループバックインターフェイスで設定されたIPv6アドレスと一致できます。
関連項目
例:プライマリ、相互接続、およびユーザー論理システム用のIPv6の設定(プライマリ管理者のみ)
このトピックでは、プライマリ論理システムと相互接続論理システムのIPv6インターフェイス、静的ルート、ルーティングインスタンスの設定について説明します。また、ユーザー論理システムのためのIPv6論理トンネルインターフェイスの設定についても説明します。
要件
始める前に:
-
プライマリ管理者の設定プロセス全体においてこの手順がどのように、どこに位置するかについては、 SRXシリーズ論理システムプライマリ管理者の設定タスクの概要 を参照してください。
-
相互接続論理システムおよび論理トンネルインターフェイスについてを参照してください。
概要
このシナリオでは、相互接続論理システムを含むデバイス上の論理システムのインターフェイスを設定する方法を示しています。
-
相互接続論理システム向けに、この例では論理トンネルインターフェイスlt-0/0/0.0、lt-0/0/0.2、lt-0/0/0.4を設定します。この例では、vrと呼ばれるルーティングインスタンスを設定し、それにインターフェイスを割り当てます。
相互接続論理システムは仮想スイッチとして機能するため、VPLSルーティングインスタンスタイプとして設定されます。相互接続論理システムのlt-0/0/0インターフェイスは、カプセル化タイプとしてethernet-vplsで設定されます。プライマリ論理システムとユーザー論理システム内の対応するピア lt-0/0/0 インターフェイスは、カプセル化タイプとしてイーサネットで設定されます。
-
lt-0/0/0.0は、ルート論理システム上のlt-0/0/0.1に接続します。
-
lt-0/0/0.2 は、LSYS1 論理システム上の lt-0/0/0.3 に接続します。
-
lt-0/0/0.4 は、LSYS2 論理システム上の lt-0/0/0.5 に接続します。
-
-
root-logical-systemと呼ばれるプライマリ論理システムに対して、この例ではge-5/0/0を設定し、vr0ルーティングインスタンスに割り当てています。この例では、相互接続論理システム上のlt-0/0/0.0に接続するようにlt-0/0/0.1を設定し、vr0ルーティングインスタンスに割り当てます。この例では、他の論理システムとの通信を可能にする静的ルートを設定し、それらをvr0ルーティングインスタンスに割り当てます。
-
LSYS1論理システムの場合、この例では、相互接続論理システム上のlt-0/0/0.2に接続するようにlt-0/0/0.3を設定します。
-
LSYS2論理システムの場合、この例では、相互接続論理システム上のlt-0/0/0.4に接続するようにlt-0/0/0.5を設定します。
図1は、すべてのIPv6論理システムに対する仮想ルーターとそのインターフェイスを含む、この導入のトポロジーを示しています。
トポロジー
設定
このトピックでは、論理システムのインターフェイスを設定する方法について説明します。
- 相互接続論理システムに論理トンネルインターフェイスとルーティングインスタンスを設定する
- プライマリ論理システムのインターフェイス、ルーティングインスタンス、および静的ルートの設定
- ユーザー論理システム向けの論理トンネルインターフェイスの設定
相互接続論理システムに論理トンネルインターフェイスとルーティングインスタンスを設定する
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set forwarding-options family inet6 mode flow-based set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 0 peer-unit 1 set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 2 peer-unit 3 set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 encapsulation ethernet-vpls set logical-systems LSYS0 interfaces lt-0/0/0 unit 4 peer-unit 5 set logical-systems LSYS0 routing-instances vr instance-type vpls set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.0 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.2 set logical-systems LSYS0 routing-instances vr interface lt-0/0/0.4
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
相互接続システムlt-0/0/0インターフェイスとルーティングインスタンスを設定するには:
-
IPv6トラフィックのフローベース転送を有効にします。
[edit security] user@host# set forwarding-options family inet6 mode flow-based -
lt-0/0/0インターフェイスを設定します。
[edit logical-systems LSYS0 interfaces] user@host# set lt-0/0/0 unit 0 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 0 peer-unit 1 user@host# set lt-0/0/0 unit 2 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 2 peer-unit 3 user@host# set lt-0/0/0 unit 4 encapsulation ethernet-vpls user@host# set lt-0/0/0 unit 4 peer-unit 5
-
相互接続論理システムのルーティングインスタンスを設定し、そのlt-0/0/0インターフェイスを追加します。
[edit logical-systems LSYS0 routing-instances] user@host# set vr instance-type vpls user@host# set vr interface lt-0/0/0.0 user@host# set vr interface lt-0/0/0.2 user@host# set vr interface lt-0/0/0.4
結果
設定モードから、 show logical-systems interconnect-logical-system コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスの設定が完了したら、設定モードから commit を入力します。
user@host# show logical-systems LSYS0
interfaces {
lt-0/0/0 {
unit 0 {
encapsulation ethernet-vpls;
peer-unit 1;
}
unit 2 {
encapsulation ethernet-vpls;
peer-unit 3;
}
unit 4 {
encapsulation ethernet-vpls;
peer-unit 5;
}
}
}
routing-instances {
vr {
instance-type vpls;
interface lt-0/0/0.0;
interface lt-0/0/0.2;
interface lt-0/0/0.4;
}
}
プライマリ論理システムのインターフェイス、ルーティングインスタンス、および静的ルートの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set interfaces ge-5/0/0 vlan-taggingset interfaces ge-5/0/0 unit 0 vlan-id 600set interfaces lt-0/0/0 unit 1 encapsulation Ethernetset interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inet address 10.1.1.1/24set interfaces lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64set interfaces ge-5/0/0 unit 0 family inet address 10.99.99.1/24set interfaces ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64set routing-instances vr0 instance-type virtual-routerset routing-instances vr0 interface lt-0/0/0.1set routing-instances vr0 interface ge-5/0/0.0set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:777::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:888::/64 next-hop 2001:db8:1111::3set routing-instances vr0 routing-options rib vr0.inet6.0 static route 2001:db8:666::/64 next-hop 2001:db8:1111::5set routing-instances vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3set routing-instances vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
プライマリ論理システムインターフェイスを設定するには:
-
プライマリ(ルート)論理システムとlt-0/0/0.1インターフェイスを設定します。
[edit interfaces] user@host#
set ge-5/0/0 vlan-tagginguser@host#set ge-5/0/0 unit 0 vlan-id 600user@host#set lt-0/0/0 unit 1 encapsulation Ethernetuser@host#set lt-0/0/0 unit 1 peer-unit 0user@host#set lt-0/0/0 unit 1 family inet address 10.1.1.1/24user@host#set lt-0/0/0 unit 1 family inet6 address 2001:db8:1111::1/64user@host#set ge-5/0/0 unit 0 family inet address 10.99.99.1/24user@host#set ge-5/0/0 unit 0 family inet6 address 2001:db8:9999::1/64 -
プライマリ論理システムのルーティングインスタンスを設定し、インターフェイスを割り当てて、静的ルートを設定します。
[edit interfaces routing-instances] user@host#
set vr0 instance-type virtual-routeruser@host#set vr0 interface lt-0/0/0.1user@host#set vr0 interface ge-5/0/0.0user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:777/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:888/64 next-hop 2001:db8:1111::3user@host#set vr0 routing-options rib vr0.inet6.0 static route 2001:db8:1111:666/64 next-hop 2001:db8:1111::5user@host#set vr0 routing-options static route 192.168.7.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.8.0/24 next-hop 10.1.1.3user@host#set vr0 routing-options static route 192.168.6.0/24 next-hop 10.1.1.5
結果
設定モードから、 show interfaces および show routing-instances コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-5/0/0 {
vlan-tagging;
unit 0 {
vlan-id 600;
family inet {
address 10.99.99.1/24;
}
family inet 6{
address 2001:db8:9999:1/64;
}
}
}
lt-0/0/0 {
unit 1 {
encapsulation ethernet;
peer-unit 0;
family inet {
address 10.1.1.1/24;
}
family inet 6{
address 2001:db8:1111::1/64;
}
}
}
[edit]
user@host# show routing-instances
vr0 {
instance-type virtual-router;
interface ge-5/0/0.0;
interface lt-0/0/0;
routing-options {
rib vr0.inet6.0 {
static {
route 2001:db8:1111:888/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:777/64 next-hop 2001:db8:1111:3;
route 2001:db8:1111:666/64 next-hop 2001:db8:1111:5;
}
}
static {
route 192.168.7.0/24 next-hop 10.1.1.3;
route 192.168.8.0/24 next-hop 10.1.1.3;
route 192.168.6.0/24 next-hop 10.1.1.5;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
ユーザー論理システム向けの論理トンネルインターフェイスの設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 encapsulation ethernetset logical-systems LSYS1 interfaces lt-0/0/0 unit 3 peer-unit 2set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet address 10.1.1.3/24set logical-systems LSYS1 interfaces lt-0/0/0 unit 3 family inet6 address 2001:db8:1111:2/64set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 encapsulation ethernetset logical-systems LSYS2 interfaces lt-0/0/0 unit 5 peer-unit 4set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet address 10.1.1.5/24set logical-systems LSYS2 interfaces lt-0/0/0 unit 5 family inet6 address 2001:db8:1111::5/64
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
-
最初のユーザー論理システム用にlt-0/0/0インターフェイスを設定します。
[edit logical-systems LSYS1 interfaces lt-0/0/0 unit 3] user@host#
set encapsulation ethernetuser@host#set peer-unit 2user@host#set family inet address 10.1.1.3/24user@host#set family inet6 address 2001:db8:1111:3::1/64 -
2 番目のユーザー論理システム向けに lt-0/0/0 インターフェイスを設定します。
[edit logical-systems LSYS2 interfaces lt-0/0/0 unit 5] user@host#
set encapsulation ethernetuser@host#set peer-unit 4user@host#set family inet address 10.1.1.5/24user@host#set family inet6 address 2001:db8:1111::5/64
結果
設定モードから、 show logical-systems LSYS1 interfaces lt-0/0/0を入力し、 show logical-systems LSYS2 interfaces lt-0/0/0 コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show logical-systems LSYS1 interfaces lt-0/0/0
lt-0/0/0 {
unit 3 {
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.1.1.3/24;
}
family inet 6{
address 2001:db8:1111::3/64;
}
}
}
user@host# show logical-systems LSYS2 interfaces lt-0/0/0
lt-0/0/0 {
unit 5 {
encapsulation ethernet;
peer-unit 4;
family inet {
address 10.1.1.5/24;
}
family inet 6{
address 2001:db8:1111::5/64;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システム用のIPv6ゾーンの設定
この例では、ユーザー論理システムにIPv6ゾーンを設定する方法を示しています。
要件
始める前に:
ユーザー論理システム管理者としてユーザー論理システムにログインします。
ユーザー論理システム設定の概要を参照してください。
inet6 の転送オプションがフローベースであることを確認します。それ以外の場合は、設定してデバイスをリセットする必要があります。
show security forwarding-optionsコマンドを使用して設定を確認します。注:ユーザー論理システム管理者のみが転送オプションを設定できます。
概要
この例では、例で説明されている ls-product-design ユーザー論理システムを設定する: ユーザー論理システム、その管理者、そのユーザー、相互接続論理システムの作成
この例では、 表 1 に示す IPv6 ゾーンとアドレス帳を作成します。
機能 |
名前 |
設定パラメータ |
|---|---|---|
ゾーン |
ls-プロダクトデザイン-トラスト |
|
ls-product-design-untrust |
|
|
アドレス帳 |
製品設計内部 |
|
製品設計外部 |
|
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set logical-system lsys1 security address-book product-design-internal address product-designers 3002::1/96 set logical-system lsys1 security address-book product-design-internal attach zone ls-product-design-trust set logical-system lsys1 security address-book product-design-external address marketing 3003::1/24 set logical-system lsys1 security address-book product-design-external address accounting 3004::1/24 set logical-system lsys1 security address-book product-design-external address others 3002::2/24 set logical-system lsys1 security address-book product-design-external address-set otherlsys address marketing set logical-system lsys1 security address-book product-design-external address-set otherlsys address accounting set logical-system lsys1 security address-book product-design-external attach zone ls-product-design-untrust set logical-system lsys1 security zones security-zone ls-product-design-trust tcp-rst set logical-system lsys1 security zones security-zone ls-product-design-trust interfaces ge-0/0/5.1 set logical-system lsys1 security zones security-zone ls-product-design-untrust interfaces lt-0/0/0.3
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムでIPv6ゾーンを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
セキュリティゾーンを設定し、インターフェイスに割り当てます。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-trust interfaces ge-0/0/5.1
ゾーンのTCP-Resetパラメータを設定します。
[edit logical-system lsys1 security zones security-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set tcp-rst
セキュリティゾーンを設定し、インターフェイスに割り当てます。
[edit logical-system lsys1 security zones] lsdesignadmin1@host:ls-product-design# set security-zone ls-product-design-untrust interfaces lt-0/0/0.3
グローバルアドレス帳エントリを作成します。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design# set address-book product-design-internal address product-designers 3002::1/96 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address marketing 3003::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address accounting 3004::1/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address others 3002::2/24 lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address marketing lsdesignadmin1@host:ls-product-design# set address-book product-design-external address-set otherlsys address accounting
アドレス帳をゾーンに添付します。
[edit logical-system lsys1 security] lsdesignadmin1@host:ls-product-design#set address-book product-design-internal attach zone ls-product-design-trust lsdesignadmin1@host:ls-product-design#set address-book product-design-external attach zone ls-product-design-untrust
結果
設定モードから、 show security zones コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security zones
address-book {
product-design-internal {
address product-designers 3002::1/96;
attach {
zone ls-product-design-trust;
}
}
product-design-external {
address marketing 3003::1/24;
address accounting 3004::1/24;
address others 3002::2/24;
address-set otherlsys {
address marketing;
address accounting;
}
attach {
zone ls-product-design-untrust;
}
}
}
zones {
security-zone ls-product-design-trust {
tcp-rst;
interfaces {
ge-0/0/5.1;
}
}
security-zone ls-product-design-untrust {
interfaces {
lt-0/0/0.3;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システム用のIPv6セキュリティポリシーの設定
この例では、ユーザー論理システムに対してIPv6セキュリティポリシーを設定する方法を示しています。
要件
始める前に:
論理システム管理者としてユーザー論理システムにログインします。
ユーザー論理システム設定の概要を参照してください。
show system security-profiles policyコマンドを使用して、論理システムに割り当てられているセキュリティポリシーリソースを確認します。ゾーンとアドレス帳を設定します。
概要
この例では、 表 2 に示すセキュリティポリシーを設定する方法を示しています。
ポリシー名 |
設定パラメータ |
|---|---|
許可すべてを他のシステムに許可lsys |
以下のトラフィックを許可します。
|
許可-すべてからlsys |
以下のトラフィックを許可します。
|
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match source-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match destination-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust policy permit-all-to-otherlsys then permit set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match source-address otherlsys set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match destination-address product-designers set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust policy permit-all-from-otherlsys match application any set logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-d esign-trust policy permit-all-from-otherlsys then permit
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
ユーザー論理システムのIPv6セキュリティポリシーを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ls-product-design-trustゾーンからls-product-design-untrustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit logical-systems lsys1 security policies from-zone ls-product-design-trust to-zone ls-product-design-untrust] lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match source-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match destination-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-to-otherlsys then permit
ls-product-design-untrustゾーンからls-product-design-trustゾーンへのトラフィックを許可するセキュリティポリシーを設定します。
[edit logical-systems lsys1 security policies from-zone ls-product-design-untrust to-zone ls-product-design-trust] lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match source-address otherlsys lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match destination-address product-designers lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys match application any lsdesignadmin1@host:ls-product-design# set policy permit-all-from-otherlsys then permit
結果
設定モードから、 show security policies コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
lsdesignadmin1@host:ls-product-design# show security policies
from-zone ls-product-design-trust to-zone ls-product-design-untrust {
policy permit-all-to-otherlsys {
match {
source-address product-designers;
destination-address otherlsys;
application any;
}
then {
permit;
}
}
}
from-zone ls-product-design-untrust to-zone ls-product-design-trust {
policy permit-all-from-otherlsys {
match {
source-address otherlsys;
destination-address product-designers;
application any;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
例:ユーザー論理システム向けのIPv6 Dual-Stack Liteの設定
この例では、ユーザーの論理システム向けにソフトワイヤコンセントレータを設定する方法を示しています。
要件
始める前に:
ユーザー論理システム管理者としてユーザー論理システムにログインします。 ユーザー論理システム設定の概要を参照してください。
show system security-profile dslite-softwire-initiatorコマンドを使用して、論理システム内のソフトワイヤーコンセントレータに接続できるソフトワイヤーイニシエーターの数を確認します。
概要
この例では、例に示す ユーザー 論理システム、その管理者、そのユーザー、相互接続論理システムの作成に示す ls-product-design ユーザー論理システムで、IPv4-in-IPv6 パケットのカプセル化を解除するようにソフトワイヤ コンセントレータを設定する方法を示します。ソフトワイヤコンセントレータのIPv6アドレスは3000::1で、ソフトワイヤ設定の名前はsc_1です。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピー アンド ペーストして、設定モードから commit を入力します。
set security softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
IPv6 DS-Liteソフトワイヤコンセントレータを設定するには:
論理システム管理者としてユーザー論理システムにログインし、設定モードに入ります。
lsdesignadmin1@host:ls-product-design> configure lsdesignadmin1@host:ls-product-design#
ソフトワイヤーコンセントレータのアドレスとソフトワイヤータイプを指定します。
[edit security] lsdesignadmin1@host:ls-product-design# set softwires softwire-name sc_1 softwire-concentrator 3000::1 softwire-type IPv4-in-IPv6
結果
設定モードから、 show security softwires コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
lsdesignadmin1@host:ls-product-design# show security softwires
softwire-name sc_1 {
softwire-concentrator 3000::1;
softwire-type IPv4-in-IPv6;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
DS-Liteの設定の確認
目的
ソフトワイヤーイニシエーターが、ユーザーの論理システムに設定されたソフトワイヤーコンセントレータに接続できることを確認します。
アクション
動作モードから、 show security softwires コマンドを入力します。
ソフトワイヤ イニシエーターが接続されていない場合、動作出力は次のようになります。
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Active 0
ソフトワイヤ イニシエーターが接続されている場合、動作出力は次のようになります。
lsdesignadmin1@host:ls-product-design> show security softwires Softwire Name SC Address Status Number of SI connected sc_1 3000::1 Connected 1