Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

論理システムの概要

論理システムを使用すると、単一のデバイスを独立したタスクを実行する複数のセキュアコンテキストに分割できます。詳細については、次のトピックを参照してください。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォームに関連する注意事項については、「 プラットフォーム固有の論理システムの動作」 セクションを参照してください。

SRXシリーズファイアウォールの論理システムについて

SRXシリーズファイアウォールの論理システムにより、単一のデバイスを安全なコンテキストに分割できます。各論理システムには、個別の管理ドメイン、論理インターフェイス、ルーティングインスタンス、セキュリティファイアウォール、その他のセキュリティ機能があります。SRXシリーズファイアウォールをマルチテナント論理システムデバイスに変換することで、環境に応じて、さまざまな部門、組織、顧客、パートナーに、リソースの一部をプライベートに使用し、デバイスのプライベートビューを提供できます。論理システムを使用すると、個別のユーザー論理システムとプライマリ論理システムの間で、システムおよび基盤となる物理マシンリソースを共有できます。

図 1 の上部は、論理システムの 3 つの主要な構成コンポーネントを示しています。図の下部は、プライマリ論理システムと個別のユーザー論理システムを持つ単一のデバイスを示しています。

論理システムには、プライマリ論理システムとユーザー論理システムの両方とその管理者が含まれます。プライマリ管理者の役割と責任と、ユーザー論理システム管理者の役割と責任は大きく異なります。このような特権と責任の区別は、ロールベースの管理および制御と見なされます。

図1:論理システムについて Hierarchical structure of a network device showing security, network, and routing configurations with master and user logical systems.

SRXシリーズファイアウォール上の論理システムには多くのメリットがあり、以下を可能にします。

  • コストを削減。論理システムを使用することで、会社に必要な物理デバイスの数を減らすことができます。1台のデバイス上でさまざまなユーザーグループのサービスを統合できるため、ハードウェアコストと消費電力の両方を削減できます。

  • 1台のデバイス上で多くの論理システムを構築し、それらのためのリソースとサービスを迅速にプロビジョニングします。サービスは統合型であるため、プライマリ管理者またはルート管理者は、多数の個別のデバイスを管理するよりも、論理システム用に設定された単一のデバイスを管理する方が簡単です。

論理システムを実行するSRXシリーズファイアウォールは、多くの環境、特にエンタープライズとデータセンターに展開できます。

  • 企業内では、さまざまな部門やグループ向けに論理システムを作成およびプロビジョニングできます。

    論理システムを構成して、デバイスを共有するグループ間の通信を可能にすることができます。同一デバイス上でさまざまな部門の論理システムを作成する場合、内部スイッチとして機能する相互接続論理システムを設定している場合、ユーザーはトラフィックがデバイスから出ることなく相互に通信できます。たとえば、論理システムを実行する SRXシリーズ サービスゲートウェイを共有している製品設計グループ、マーケティング部門、経理部門のメンバーは、それぞれの部署に別々のデバイスを導入した場合と同じように相互に通信できます。論理システムが 論理トンネル(lt-0/0/0) 内部インターフェイスを介して相互接続するように設定できます。相互接続論理システム上のlt-0/0/0インターフェイスは、各論理システムに設定したlt-0/0/0インターフェイスに接続します。相互接続論理システムは、論理システム間のトラフィックを切り替えます。論理システムを実行するSRXシリーズファイアウォールは、相互接続論理システムが使用されている場合に、デバイス上で作成されたすべての論理システム間で高速かつ高速な対話を実現します。

    同じデバイス上の論理システムは、あたかも別々のデバイスであるかのように、デバイス上のポートを介して直接相互に通信することもできます。この方法では論理システム間の直接接続が可能になりますが、インターフェイスと外部スイッチを設定する必要があるため、より多くのリソースを消費するため、コストが高くなります。

  • データセンターでは、サービスプロバイダとして、論理システムを実行するSRXシリーズファイアウォールを導入し、セキュアでプライベートなユーザー論理システムとデバイスのリソースの個別の使用を顧客に提供できます。

    例えば、ある企業では 10 人のユーザー論理システムが必要な場合があり、別の企業では 20 人が必要な場合があります。論理システムはセキュアでプライベートかつ自己完結型であるため、ある論理システムに属するデータを他の論理システムの管理者やユーザーが表示することはできません。つまり、ある企業の従業員は、別の企業の論理システムを表示できません。

注:

オプションの内部スイッチを使用するには、相互接続論理システムも設定する必要があります。相互接続論理システムには管理者は必要ありません。

関連項目

論理システムの機能と制限

このトピックでは、論理システムの機能と制限に関する基本情報について説明します。

  • 1から32まで最大32のセキュリティプロファイルを設定でき、ID 0は内部設定されたデフォルトのセキュリティプロファイル用に予約されています。セキュリティプロファイルの最大数に達した場合、新しいセキュリティプロファイルを追加する場合は、まず1つ以上の既存のセキュリティプロファイルを削除し、設定をコミットしてから、新しいセキュリティプロファイルを作成してコミットする必要があります。1 回の設定コミット内で新しいセキュリティプロファイルを追加して既存のセキュリティプロファイルを削除することはできません。

    複数の新しいセキュリティプロファイルを追加する場合も、同じルールが当てはまります。まず、同数の既存のセキュリティプロファイルを削除し、設定をコミットし、新しいセキュリティプロファイルを作成して設定をコミットする必要があります。

  • 1 人以上のプライマリ管理者を設定して、デバイスとデバイスが設定した論理システムの管理を監督できます。

    論理システムを実行しているSRXシリーズサービスゲートウェイのプライマリ管理者は、デバイス、そのリソース、および作成する論理システムに対するルート制御を有します。セキュリティ、ネットワーキング、ルーティングのリソースをユーザーの論理システムに割り当てます。1つの論理システムを、相互接続論理システムの仮想プライベートLANサービス(VPLS)スイッチとして機能するように設定できます。相互接続論理システムは必須ではありませんが、セキュリティリソースは必要ありません。ただし、相互接続論理システムを設定する場合は、ダミーセキュリティプロファイルをバインドする必要があります。プライマリ管理者は、それとすべてのlt-0/0/0インターフェイスを設定します。

  • ユーザー論理システムには、ユーザー論理システム管理者と呼ばれる1人以上の管理者を含めることができます。プライマリ管理者は、これらの管理者のログインアカウントを作成し、ユーザー論理システムに割り当てます。現在、プライマリ管理者は、すべてのユーザーの論理システム管理者を設定する必要があります。最初に割り当てられたユーザー論理管理者は、自分の論理システムに追加のユーザー論理システム管理者を設定することはできません。ユーザー論理システム管理者は、プライマリ管理者によって割り当てられた論理インターフェイス、ルーティングインスタンスとそのルート、セキュリティコンポーネントなど、ユーザー論理システムに割り当てられたリソースを設定することができます。論理システムの設定情報のみ表示できます。

  • 論理システムには、利用可能なシステムリソースに基づいて、複数のルーティングインスタンスを含めることができます。

  • lt-0/0/0インターフェイスで サービスクラス を設定することはできません。

  • コミットのロールバックは、ルートレベルでのみサポートされます。

  • 相互接続された論理システム全体のサービス品質(QoS)分類は機能しません。

  • プライマリ管理者は、ルートレベルでアプリケーション層ゲートウェイ(ALG)を設定できます。設定は、すべてのユーザー論理システムに継承されます。ALGは、ユーザーの論理システム用に個別に設定することもできます。

  • プライマリ管理者は、ルートレベルでIDPポリシーを設定し、ユーザーの論理システムにIDPポリシーを適用できます。

  • プライマリ管理者のみが、すべての論理システムのユーザーのユーザーアカウントとログインIDを作成できます。プライマリ管理者は、これらのユーザーアカウントをルートレベルで作成し、適切なユーザー論理システムに割り当てます。

  • 同じ名前を2つの別々の論理システムで使用することはできません。例えば、logical-system1にユーザー名としてBobが設定されたユーザーが含まれている場合、デバイス上の他の論理システムにユーザー名Bobを持つユーザーを含めることはできません。

  • すべての論理システムおよびすべてのユーザー論理システム管理者のユーザー設定は、プライマリ管理者がルートレベルで実行する必要があります。ユーザー論理システム管理者は、自分の論理システムに対して他のユーザー論理システム管理者またはユーザーアカウントを作成することはできません。

関連項目

相互接続論理システムと論理トンネル インターフェイスについて

このトピックでは、デバイス上の論理システム1つを別の論理システムに接続する内部仮想プライベートLANサービス(VPLS)スイッチとして機能する相互接続論理システムについて説明します。また、このトピックでは、論理トンネル(lt-0/0/0)インターフェイスを使用して、相互接続論理システムを介して論理システムを接続する方法についても説明します。

論理システムを実行しているデバイスは、内部VPLSスイッチを使用して、デバイスを離れることなくトラフィックを通過させることができます。相互接続論理システムは、それを使用する論理システム間でトラフィックを切り替えます。通常は仮想スイッチが使用されますが、必須ではありません。仮想スイッチを使用する場合は、相互接続論理システムを設定する必要があります。デバイス上の相互接続論理システムは1つだけです。

デバイス上の論理システム間で通信を行うには、内部スイッチを使用する各論理システムにlt-0/0/0インターフェイスを設定し、それを相互接続論理システム上のピアlt-0/0/0インターフェイスに関連付けて、それらの間に論理トンネルを効果的に作成する必要があります。論理システムのlt-0/0/0インターフェイスを設定する際に、トンネルの両端でピア関係を定義します。

デバイス上のすべての論理システムが、外部スイッチを使用せずに相互に通信できるようにしたい場合があります。または、一部の論理システムを内部スイッチを介して接続することができますが、すべてではないこともできます。

相互接続論理システムには、セキュリティプロファイルを通じて割り当てられたセキュリティリソースは必要ありません。ただし、リソースを含まないダミーセキュリティプロファイルを相互接続論理システムに割り当てる必要があります。そうしないと、設定を正常にコミットできません。

警告:

任意のユーザー論理システムまたはプライマリ論理システムでlt-0/0/0インターフェイスを設定し、ピアlt-0/0/0インターフェイスを含む相互接続論理システムを設定しない場合、コミットは失敗します。

論理システムを実行するSRXシリーズファイアウォールは、 シャーシクラスターで使用できます。各ノードは、相互接続論理システムを含め、同じ設定を持っています。

関連項目

SRXシリーズデバイスの論理システムにおけるパケットフローの理解

このトピックでは、論理システムを実行しているSRXシリーズファイアウォールのフローセッションでパケットがどのように処理されるかについて説明します。論理システムを実行しているSRXシリーズファイアウォールが、単一論理システム内および論理システム間のパススルートラフィックをどのように処理するかについて説明します。また、論理システム内のセルフ開始トラフィックと、別の論理システムで終了するセルフトラフィックもカバーします。論理システムに対処する前に、このトピックでは、パケット処理とセッションに関する SRXシリーズ アーキテクチャの基本情報について説明します。最後に、セッションとセッション特性の変更方法について説明します。

この例で説明する概念は、 図 2 に示すトポロジーに基づいています。

図2:論理システム、仮想ルーター、インターフェイス Network topology diagram showing logical systems and virtual routing instances. Internet connects to vr1-root system, linking to vr-ic hub. vr-ic connects ls-product-design with pd-vr1 and pd-vr2, and ls-marketing-dept with mk-vr1. PCs connect to respective systems.

Junos OS SRXシリーズファイアウォールのアーキテクチャについて

Junos OSは、分散並列処理、高スループット、ハイパフォーマンスシステムです。サービスゲートウェイの分散型並列処理アーキテクチャには、セッションを管理し、セキュリティやその他のサービス処理を実行するための複数のプロセッサが含まれています。このアーキテクチャは柔軟性を高め、高スループットと高速パフォーマンスを可能にします。

IOC上で動作するネットワーク処理ユニット(NPU)。IOCには、1つ以上のNPUがあります。1 つ以上のサービス処理ユニット(SPU)が SPC で実行されます。

これらの処理ユニットには、さまざまな責任があります。パケットのすべてのフローベースサービスは、単一のSPUで実行されます。ただし、それ以外の場合、これらのプロセッサで実行されるサービスの種類に関して、行は明確に分割されません。(フローベースの処理の詳細については、 セキュリティデバイス上のトラフィック処理についてを参照してください)。

例えば:

  • NPU はパケットを個別に処理します。サニティーチェックを実行し、サービス拒否(DoS)画面など、インターフェイスに設定された一部の画面をパケットに適用します。

  • SPUは、パケットフローのセッションを管理し、セキュリティ機能やその他のサービスをパケットに適用します。また、パケットベースのステートレスファイアウォールフィルター、分類子、トラフィックシェーパーをパケットに適用します。

  • このシステムは、1つのプロセッサを中央点として使用し、仲裁とリソースの割り当てを管理し、インテリジェントな方法でセッションを分散します。中央点は、フローの最初のパケットが処理されるときに、特定のセッションに使用するSPUを割り当てます。

中央点を含むシステムのこれらの個別の協調部分には、それぞれが、パケットのストリームに対してセッションが存在するかどうかを特定する情報と、パケットが既存のセッションに属しているかどうかを判断するためにパケットが照合される情報を格納します。

このアーキテクチャにより、デバイスはすべてのセッションの処理を複数のSPUに分散できます。また、NPU がパケットにセッションが存在するかどうかを判断し、パケットをチェックし、画面を適用することもできます。パケットの処理方法は、それがフローの最初のパケットであるかどうかによって異なります。

フローベースのパケット処理では、関連するパケットまたはパケットのストリームを同じように処理します。パケット処理は、フローセッションの確立時にパケットストリームの最初のパケットに確立される特性によって異なります。ほとんどのパケット処理はフロー内で行われます。サービス ゲートウェイの分散処理アーキテクチャでは、トラフィックシェーピングなどの一部のパケットベース処理が NPU で行われます。パケットへの分類子の適用など、一部のパケットベースの処理は、SPUで行われます。

パケットの運命を決定する構成設定(適用されるセキュリティポリシー、パケットに設定されたアプリケーション層ゲートウェイ(ALG)、パケットの送信元および/または宛先IPアドレスの変換にNATを適用する必要がある場合など)は、フローの最初のパケットについて評価されます。

論理システムを実行するデバイスのセッション作成

論理システムを実行しているSRXシリーズファイアウォールのセッション確立は、論理システムを実行していないSRXシリーズファイアウォールのセッション確立とは若干異なります。論理システムによって複雑さが生じますが、トラフィックは、論理システムを実行していないSRXシリーズファイアウォールでの処理方法と同様の方法で処理されます。ステートフルなフローベースのパケット処理では、セッションの作成が必要です。論理システムのフローベースの処理とセッション確立を検討する際には、デバイス上の各論理システムを、セッション確立に関して個別のデバイスと考えると役立ちます。

セッションは、ルーティングやその他の分類情報に基づいて作成され、情報を保存し、フローにリソースを割り当てます。基本的に、セッションは、トラフィックが論理システムインターフェイスに入り、ルートルックアップを実行してネクストホップインターフェイスを特定し、ポリシールックアップを実行すると確立されます。

オプションで、論理システムを使用して、内部ソフトウェアスイッチを設定することができます。この仮想プライベートLANスイッチ(VPLS)は、相互接続論理システムとして実装されています。これにより、トランジットトラフィックと論理システムで終端されたトラフィックの両方が、論理システム間を通過できるようになります。トラフィックが論理システム間を通過できるようにするには、相互接続論理システム全体の論理トンネル(lt-0/0/0)インターフェイスが使用されます。

相互接続論理システムを介した論理システム間の通信には、2つのセッションを確立する必要があります。1つは論理システムに入り、そのlt-0/0/0インターフェイスから出るトラフィック用で、もう1つは別の論理システムのlt-0/0/0インターフェイスに入り、その物理インターフェイスの1つを介してデバイスを出る、または物理インターフェイスに向かうトラフィック用です。

注:

パケットシーケンスは、イングレスインターフェイスとエグレスインターフェイスで発生します。論理システム間を移動するパケットは、物理インターフェイスで受信した順序で処理されない場合があります。

論理システム上のフローの理解

論理システムでトラフィックがどのように処理されるかを理解するには、各論理システムを個別のデバイスと見なすと役立ちます。

注:

プライマリ論理システムに対するトラフィックは、デバイス上のユーザー論理システムの場合と同じ方法で処理されます。

パケット分類の理解

パケット分類は、論理システムの有無にかかわらず、実行されるSRXシリーズファイアウォールについても同じ方法で評価されます。通常、フィルターとサービスクラス機能はインターフェイスに関連付けられ、システムを通過できるパケットに影響を与え、必要に応じてパケットに特別なアクションを適用します。(フロー内では、一部のパケットベース処理もSPUで行われます。)

パケット分類は、着信インターフェイスに基づいており、イングレスポイントで実行されます。専用インターフェイスのトラフィックは、そのインターフェイスを含む論理システムに分類されます。フローのコンテキスト内では、パケット分類は物理インターフェイスと 論理インターフェイスの両方に基づきます。

論理システムのパススルー トラフィックの処理

論理システムを実行していないSRXシリーズファイアウォールの場合、パススルートラフィックはデバイスに出入りするトラフィックです。論理システムのパススルートラフィックも類似していますが、マルチテナントデバイスの性質上、次元が大きくなると考えることができます。論理システムを実行するSRXシリーズファイアウォールでは、パススルートラフィックは論理システム内または論理システム間に存在できます。

論理システム内のパススルートラフィック

論理システム内のパススルー トラフィックの場合、トラフィックは論理システムの仮想ルーティング インスタンスの 1 つに属するインターフェイスに受信し、別の仮想ルーティング インスタンスに送信されます。デバイスを出るために、トラフィックは2番目の仮想ルーティングインスタンスに属するインターフェイスから送信されます。トラフィックは論理システム間を通過せず、単一の論理システムでデバイスに出入りします。論理システム内のパススルートラフィックは、各ルーティングインスタンスのルーティングテーブルに従って送信されます。

図2に示すトポロジーを想定して、論理システム内でパススルートラフィックがどのように処理されるかを考えてみましょう。

  • パケットがインターフェイスge-0/0/5に到着すると、ls-product-design論理システムに属するものとして識別されます。

  • ge-0/0/5はpd-vr1ルーティングインスタンスに属しているため、ルートルックアップはpd-vr1で実行され、pd-vr2がネクストホップとして識別されます。

  • 2 番目のルート ルックアップは pd-vr2 で実行され、使用するエグレス インターフェイス(この場合は ge-0/0/8)を特定します。

  • パケットはge-0/0/8でネットワークに送信されます。

  • セキュリティポリシーのルックアップはls-product-designで実行され、1つのセッションが確立されます。

論理システム間のパススルートラフィック

論理システム間のパススルートラフィックは、各論理システムには、トラフィックが通過しなければならないイングレスインターフェイスとエグレスインターフェイスがあるため、複雑になります。あたかも2台のデバイスからトラフィックが出入りしているかのようです。

論理システム間のパススルートラフィックには、2つのセッションを確立する必要があります。(ポリシールックアップは両方の論理システムで実行されることに注意してください)。

  • 受信論理システムでは、イングレスインターフェイス(物理インターフェイス)とそのエグレスインターフェイス(lt-0/0/0インターフェイス)の間に1つのセッションが設定されます。

  • エグレス論理システムでは、イングレスインターフェイス(2番目の論理システムのlt-0/0/0インターフェイス)とそのエグレスインターフェイス(物理インターフェイス)の間に別のセッションが設定されます。

図2に示すトポロジーの論理システム間でパススルートラフィックがどのように処理されるかを考えてみましょう。

  • 受信論理システムでセッションが確立されます。

    • パケットがインターフェイスge-0/0/5に到着すると、ls-product-design論理システムに属するものとして識別されます。

    • ge-0/0/5はpd-vr1ルーティングインスタンスに属しているため、ルートルックアップはpd-vr1で実行されます。

    • ルックアップの結果、パケットのエグレスインターフェイスはlt-0/0/0.3として識別され、ネクストホップはlt-0/0/0.5として識別されます。これはls-marketing-deptのingressインターフェイスです。

    • ge-0/0/5とlt-0/0/0.3の間にセッションが確立されています。

  • セッションは、送信論理システムで確立されます。

    • パケットは再びlt-0/0/0.5からフローに注入され、ls-marketing-deptとして識別される論理システムコンテキストがインターフェイスから派生します。

    • パケット処理は、ls-marketing-dept論理システムで続行されます。

    • egressインターフェイスを特定するために、パケットのルート検索がmk-vr1ルーティングインスタンスで実行されます。

    • 発信インターフェイスはge-0/0/6として識別され、パケットはインターフェイスからネットワークに送信されます。

セルフトラフィックの処理

セルフトラフィックとは、デバイス上の論理システムから発信され、その論理システムからネットワークに送信されるか、デバイス上の別の論理システムで終了するトラフィックです。

セルフ開始トラフィック

自己開始トラフィックは、ソース論理システムコンテキストから生成され、論理システムインターフェイスからネットワークに直接転送されます。

次のプロセスが行われます。

  • 論理システムでパケットが生成されると、論理システムでトラフィックを処理するプロセスが開始されます。

  • ルートルックアップを実行してエグレスインターフェイスを特定し、セッションを確立します。

  • 論理システムはポリシー検索を実行し、それに応じてトラフィックを処理します。

  • 必要に応じて、管理セッションがセットアップされます。

図2に示すトポロジーを想定して、論理システム間で自己開始トラフィックがどのように処理されるかを考えてみましょう。

  • ls-product-design論理システムでパケットが生成され、論理システムでトラフィックを処理するプロセスが開始されます。

  • pd-vr2でルートルックアップを実行して、egressインターフェイスをge-0/0/8として識別します。

  • セッションが確立されます。

  • パケットはge-0/0/8からネットワークに送信されます。

論理システムで終了したトラフィック

パケットが論理システムに属するインターフェイス上のデバイスに入り、パケットがデバイス上の別の論理システム宛である場合、パケットはパススルートラフィックと同じ方法で論理システム間で転送されます。ただし、2番目の論理システムでのルートルックアップでは、ローカルのエグレスインターフェイスがパケットの宛先として識別されます。その結果、パケットはセルフトラフィックとして2番目の論理システムで終了します。

  • 終了したセルフトラフィックの場合、2つのポリシールックアップが実行され、2つのセッションが確立されます。

    • 受信論理システムでは、イングレスインターフェイス(物理インターフェイス)とそのエグレスインターフェイス(lt-0/0/0インターフェイス)の間に1つのセッションが設定されます。

    • 宛先論理システムでは、イングレスインターフェイス(2番目の論理システムのlt-0/0/0インターフェイス)とローカルインターフェイスの間に別のセッションが設定されます。

図 2 に示すトポロジー内の論理システム間で終端されたセルフ トラフィックがどのように処理されるかを考えてみましょう。

  • 受信論理システムでセッションが確立されます。

    • パケットがインターフェイスge-0/0/5に到着すると、ls-product-design論理システムに属するものとして識別されます。

    • ge-0/0/5はpd-vr1ルーティングインスタンスに属しているため、ルートルックアップはpd-vr1で実行されます。

    • ルックアップの結果、パケットのエグレスインターフェイスはlt-0/0/0.3として識別され、ネクストホップはls-marketing-deptのイングレスインターフェイスであるlt-0/0/0.5として識別されます。

    • ge-0/0/5とlt-0/0/0.3の間にセッションが確立されています。

  • 宛先論理システムで管理セッションが確立されます。

    • パケットは再びlt-0/0/0.5からフローに注入され、ls-marketing-deptとして識別される論理システムコンテキストがインターフェイスから派生します。

    • パケット処理は、ls-marketing-dept論理システムで続行されます。

    • パケットのルートルックアップは、mk-vr1ルーティングインスタンスで実行されます。パケットは、宛先論理システムでセルフトラフィックとして終了します。

    • 管理セッションが確立されます。

セッションおよびゲート制限制御について

論理システムフローモジュールは、セッションとゲートの制限を提供し、これらのリソースが論理システム間で公平に共有されるようにします。各論理システムのリソース割り当てと制限は、論理システムにバインドされたセキュリティプロファイルで指定されます。

  • セッション制限では、システムはセッションの最初のパケットを論理システムに設定されたセッションの最大数と照合します。最大値に達すると、デバイスはパケットをドロップし、イベントを記録します。

  • ゲート制限の場合、デバイスはセッションの最初のパケットを論理システムに設定されているゲートの最大数と照合します。論理システムのゲートの最大数に達すると、デバイスはゲートオープンリクエストを拒否し、イベントを記録します。

セッションを理解する

セッションは、情報を保存し、フローにリソースを割り当てるために、ルーティングやその他の分類情報に基づいて作成されます。セッションが終了するタイミングなど、セッションの一部の特性を変更できます。例えば、攻撃者がテーブルをフラッディングしようとする試みから保護し、正規のユーザーがセッションを開始できないようにするために、セッションテーブルが完全にいっぱいにならないようにしたい場合があります。

セッションの設定について

プロトコルとサービスに応じて、セッションはタイムアウト値でプログラムされます。例えば、TCPのデフォルトのタイムアウトは1800秒です。UDPのデフォルトのタイムアウトは60秒です。フローが終了すると、そのフローは無効としてマークされ、タイムアウトは10秒に短縮されます。使用するトラフィックがない場合 サービスタイムアウト前にセッションを使用するトラフィックがない場合、セッションはエージングアウトされ、再利用のために共通のリソースプールに解放されます。

以下の方法でセッションの有効期間に影響を与えることができます。

  • セッションテーブルがどれだけ満杯であるかに基づいて、セッションをエイジアウトします。

  • TCPセッションをエージングアウトするための明示的なタイムアウトを設定します。

  • TCP RST(リセット)メッセージを受信したときに TCP セッションを無効にするように設定します。

  • 他のシステムに対応するように、次のようにセッションを設定できます。

    • TCPパケットセキュリティチェックを無効にします。

    • 最大セグメントサイズを変更します。

関連項目

vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール 3.0インスタンスをサポートする論理システムとテナントシステム

Junos OSリリース20.1R1以降、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスで論理システムとテナントシステムを設定できます。

各論理システムを設定すると、余分なルーティングプロトコルプロセス(RPD)が作成され、CPUとメモリを大量に消費します。Junos OSリリース20.1R1以降-

  • メモリ容量が16GB未満のvSRX仮想ファイアウォールとvSRX3.0インスタンスは、1つのルート論理システムをサポートします。

  • メモリ容量16GB以上のvSRX仮想ファイアウォールとvSRX3.0インスタンスは、論理システムをサポートしますが、論理システムは8つに制限されています。

表1は 、vSRX仮想ファイアウォールとvSRX仮想ファイアウォール3.0の異なるメモリ容量でサポートされている論理システムとvSRX仮想ファイアウォールの数を示しています。

表1: vSRX仮想ファイアウォールとvSRX仮想ファイアウォール3.0の異なるメモリ容量でサポートされている論理システムとvSRX仮想ファイアウォール 2.0

タイプ

4GB

8GB

16GB以上

論理システム(ルート論理システムを含む)

1

1

8

テナントシステム

0

0

42

論理システム + テナントシステム(ルート論理システムを含む)

1

1

50
注:

vSRX仮想ファイアウォール 3.0インスタンスのみが、デバイスメモリに基づく柔軟なセキュリティプロファイルをサポートしています。vSRX仮想ファイアウォール 3.0でサポートされているセキュリティプロファイルの最大数は、そのメモリに関連しています。詳細については、 論理システムのセキュリティプロファイルを参照してください。

[edit]階層レベルで次のコマンドを使用して、vSRX仮想ファイアウォールおよびvSRX3.0インスタンスのルーティングエンジンに少なくとも2つのCPUがあることを確認します。set security forwarding-options resource-manager cpu re 2

プラットフォーム固有の論理システムの動作

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォーム固有の動作を確認するには、以下の表を使用して下さい。

表2:プラットフォーム固有の動作

プラットフォーム

違い

SRXシリーズ

  • 論理システムをサポートするSRX4100およびSRX4200ファイアウォールは、透過モードとルートモードの両方をサポートします。

  • 論理システムをサポートするSRX4600ファイアウォールは、ルートモードのみをサポートします。

  • 論理システムをサポートするSRX1500ファイアウォールは、最大512のゾーンを設定できます。

  • 論理システムをサポートするSRX5000シリーズのファイアウォールは、I/Oカード(IOC)とサービス処理カード(SPC)をサポートしており、それぞれにデバイスを通過するパケットを処理する処理ユニットが含まれています。