論理システムの概要
論理システムにより、1 つのデバイスを、独立したタスクを実行する複数のセキュアなコンテキストに分割できます。詳細については、次のトピックを参照してください。
SRXシリーズファイアウォールの論理システムを理解する
SRXシリーズファイアウォールの論理システムでは、単一のデバイスを安全なコンテキストに分割できます。各論理システムには、独自の個別の管理ドメイン、論理インターフェイス、ルーティングインスタンス、セキュリティファイアウォール、その他のセキュリティ機能があります。SRXシリーズファイアウォールをマルチテナント論理システムデバイスに変換することで、環境に応じて、さまざまな部門、組織、顧客、パートナーに、リソースの一部とデバイスのプライベートビューのプライベート使用を与えることができます。論理システムを使用すると、個別のユーザー論理システムとプライマリ論理システム間で、システムおよび基盤となる物理マシンリソースを共有できます。
図 1 の上部は、論理システムの 3 つの主要な構成コンポーネントを示しています。図の下部は、プライマリ論理システムと個別のユーザー論理システムを持つ単一のデバイスを示しています。
論理システムには、プライマリ論理システムとユーザー論理システムの両方、およびその管理者が含まれます。プライマリ管理者とユーザー論理システム管理者の役割と責任は大きく異なります。この特権と責任の区別は、役割ベースの管理と制御と見なされます。
の理解
SRXシリーズファイアウォール上の論理システムには多くのメリットがあり、次のことが可能になります。
コストを削減します。論理システムを使用すると、会社に必要な物理デバイスの数を減らすことができます。1台のデバイスにさまざまなユーザーグループ向けのサービスを統合できるため、ハードウェアコストと消費電力の両方を削減できます。
1つのデバイス上に多数の論理システムを作成し、それらにリソースとサービスを迅速にプロビジョニングします。サービスは統合されているため、プライマリ(ルート)管理者は、多数の個別のデバイスを管理するよりも、論理システム用に設定された単一のデバイスを管理する方が簡単です。
論理システムを実行するSRXシリーズファイアウォールは、多くの環境、特に企業やデータセンターに導入できます。
企業では、さまざまな部門やグループに対して論理システムを作成およびプロビジョニングできます。
デバイスを共有するグループ間の通信を可能にするように論理システムを設定することができます。同じデバイス上でさまざまな部門の論理システムを作成する際、相互接続論理システムを内部スイッチとして機能するよう設定すれば、トラフィックがデバイスを離れることなく、ユーザーは相互に通信することができます。たとえば、製品設計グループ、マーケティング部門、経理部門のメンバーは、論理システムを実行しているSRXシリーズサービスゲートウェイを共有しており、部門ごとに個別のデバイスが導入されている場合と同様に、相互に通信することができます。 論理トンネル(lt-0/0/0) 内部インターフェイスを介して相互接続するように論理システムを設定できます。相互接続論理システム上の lt-0/0/0 インターフェイスは、各論理システムに設定する lt-0/0/0 インターフェイスに接続します。相互接続論理システムは、論理システム間のトラフィックを切り替えます。論理システムを実行するSRXシリーズファイアウォールは、相互接続された論理システムを使用する場合、デバイス上に作成されたすべての論理システム間の高速な相互作用を提供します。
同じデバイス上の論理システムは、あたかも別々のデバイスであるかのように、デバイス上のポートを介して相互に直接通信することもできます。この方法では論理システム間の直接接続が可能ですが、インターフェイスや外部スイッチの設定が必要なため、より多くのリソースを消費するため、コストが高くなります。
データセンターでは、サービスプロバイダが論理システムを実行するSRXシリーズファイアウォールを導入し、安全でプライベートなユーザー論理システムと、デバイスのリソースの個別の使用を顧客に提供できます。
たとえば、ある企業では 10 のユーザー論理システムが必要で、別の企業では 20 のユーザー論理システムが必要な場合があります。論理システムはセキュアでプライベートかつ自己完結型であるため、ある論理システムに属するデータは、管理者や他の論理システムのユーザーが表示することはできません。つまり、ある企業の従業員は、別の企業の論理システムを表示できません。
SRX4100およびSRX4200デバイスは、透過モードとルートモードの両方で論理システムをサポートします。
SRX4600デバイスは、ルート モードでのみ論理システムをサポートします。
オプションである内部スイッチを使用するには、相互接続論理システムも設定する必要があります。相互接続論理システムには、管理者は必要ありません。
参照
論理システムの機能と制限
このトピックでは、論理システムの機能と制限に関する基本的な情報を提供します。
1 から 32 まで最大 32 個のセキュリティ プロファイルを設定でき、ID 0 は内部で設定されたデフォルト セキュリティ プロファイル用に予約されています。セキュリティプロファイルの最大数に達したときに新しいセキュリティプロファイルを追加する場合は、まず 1 つ以上の既存のセキュリティプロファイルを削除し、設定をコミットしてから、新しいセキュリティプロファイルを作成してコミットする必要があります。1つの設定コミット内で、新しいセキュリティプロファイルを追加したり、既存のプロファイルを削除したりすることはできません。
複数の新しいセキュリティプロファイルを追加する場合も、同じルールが適用されます。まず、同数の既存のセキュリティプロファイルを削除し、設定をコミットしてから、新しいセキュリティプロファイルを作成して設定をコミットする必要があります。
デバイスおよび彼らが設定する論理システムの管理を監督する1人以上のプライマリ管理者を設定できます。
論理システムを実行しているSRXシリーズサービスゲートウェイのプライマリ管理者は、デバイス、そのリソース、作成した論理システムをrootで制御できます。セキュリティ、ネットワーク、およびルーティングのリソースをユーザー論理システムに割り当てます。1 つの論理システムを、相互接続論理システムの VPLS(仮想プライベート LAN サービス)スイッチとして機能するように設定できます。相互接続論理システムは必須ではありませんが、セキュリティ リソースを必要としません。ただし、相互接続論理システムを設定する場合は、ダミーのセキュリティプロファイルをバインドする必要があります。プライマリ管理者は、プライマリ管理者と、そのすべての lt-0/0/0 インターフェイスを設定します。
ユーザー論理システムには、ユーザー論理システム管理者と呼ばれる 1 人以上の管理者を含めることができます。プライマリ管理者は、これらの管理者のログイン アカウントを作成し、ユーザー論理システムに割り当てます。現在、プライマリ管理者は、すべてのユーザー論理システム管理者を設定する必要があります。最初に割り当てられたユーザー論理管理者は、自分の論理システムに追加のユーザー論理システム管理者を設定できません。ユーザー論理システム管理者は、プライマリ管理者によって割り当てられた論理インターフェイス、ルーティング インスタンスとそのルート、セキュリティ コンポーネントなど、ユーザー論理システムに割り当てられたリソースを設定できます。ご使用の論理システムの設定情報のみを表示できます。
論理システムは、利用可能なシステム リソースに基づいて、複数のルーティング インスタンスを含むことができます。
lt-0/0/0インターフェイスで サービスクラス を設定することはできません。
コミットのロールバックは、ルートレベルでのみサポートされます。
相互接続された論理システム間のサービス品質(QoS)分類が機能しません。
プライマリ管理者は、ルートレベルでアプリケーション層ゲートウェイ(ALG)を設定できます。設定は、すべてのユーザー論理システムに継承されます。ALG は、ユーザー論理システム用に個別に設定することもできます。
プライマリ管理者は、ルート レベルで IDP ポリシーを設定し、IDP ポリシーをユーザー論理システムに適用できます。
すべての論理システムのユーザーのユーザー アカウントとログイン ID を作成できるのは、1 次管理者だけです。プライマリ管理者は、これらのユーザー アカウントをルート レベルで作成し、適切なユーザー論理システムに割り当てます。
同じ名前を 2 つの論理システムで使用することはできません。たとえば、logical-system1にユーザー名としてBobが設定されたユーザーが含まれている場合、デバイス上の他の論理システムにユーザー名Bobのユーザーを含めることはできません。
すべての論理システムおよびすべてのユーザー論理システム管理者のユーザーの設定は、プライマリ管理者がルート レベルで実行する必要があります。ユーザー論理システム管理者は、他のユーザー論理システム管理者または論理システムのユーザー アカウントを作成できません。
一部のスケーリングパラメータは、SRX1500デバイスによって異なります。たとえば、論理システムで最大 512 個のゾーンを設定できます。
参照
相互接続論理システムと論理トンネル インターフェイスについて
このトピックでは、デバイス上の論理システムを接続する内部仮想プライベート LAN サービス(VPLS)スイッチとして機能する相互接続論理システムについて説明します。また、このトピックでは、相互接続論理システムを介して論理システムを接続するために、論理トンネル(lt-0/0/0)インターフェイスがどのように使用されるかについても説明します。
論理システムを実行するデバイスは、内部VPLSスイッチを使用して、デバイスを離れることなくトラフィックを渡すことができます。相互接続論理システムは、それを使用する論理システム間でトラフィックを切り替えます。通常、仮想スイッチが使用されますが、必須ではありません。仮想スイッチを使用する場合は、相互接続論理システムを設定する必要があります。1 つのデバイスに存在できる相互接続論理システムは 1 つだけです。
デバイス上の論理システム間の通信が行われるようにするには、内部スイッチを使用する各論理システム上にlt-0/0/0インターフェイスを設定し、それを相互接続論理システム上のピアlt-0/0/0インターフェイスに関連付けて、それらの間に論理トンネルを効果的に作成する必要があります。論理システムのlt-0/0/0インターフェイスを設定する際に、トンネルの両端でピア関係を定義します。
デバイス上のすべての論理システムが、外部スイッチを使用せずに相互に通信できるようにしたい場合があります。または、一部の論理システムを内部スイッチを介して接続し、すべてではなく、内部スイッチを介して接続することもできます。
相互接続論理システムには、セキュリティ プロファイルを介して割り当てられたセキュリティ リソースは必要ありません。ただし、相互接続論理システムにリソースを含まないダミーセキュリティプロファイルを割り当てる必要があります。そうしないと、設定を正常にコミットできません。
任意のユーザー論理システムまたはプライマリ論理システムで lt-0/0/0 インターフェイスを設定し、ピア lt-0/0/0 インターフェイスを含む相互接続論理システムを設定しない場合、コミットは失敗します。
論理システムを実行するSRXシリーズファイアウォールは、 シャーシクラスターで使用できます。各ノードは、相互接続論理システムを含め、同じ設定を持ちます。
参照
SRXシリーズ デバイスの論理システムにおけるパケット フローの理解
このトピックでは、論理システムを実行しているSRXシリーズファイアウォールのフローセッションでパケットがどのように処理されるかを説明します。ここでは、論理システムを実行するSRXシリーズファイアウォールが、単一の論理システム内および論理システム間でパススルートラフィックを処理する方法について説明します。また、論理システム内の自己開始トラフィックとしての自己トラフィックと、別の論理システムで終了した自己トラフィックも対象とします。論理システムを説明する前に、パケット処理とセッションに関する のSRXシリーズアーキテクチャに関する基本的な情報を説明します。最後に、セッションと、セッション特性の変更方法について説明します。
この例で説明する概念は、 図 2 に示すトポロジーに依存しています。
- Junos OS SRXシリーズファイアウォールアーキテクチャについて
- 論理システムを実行するデバイスのセッション作成
- 論理システム上のフローの理解
- パケット分類について
- 論理システムのパススルー トラフィックの処理
- セルフトラフィックの処理
- セッション制限とゲート制限制御の理解
- セッションの理解
- セッションの構成について
Junos OS SRXシリーズファイアウォールアーキテクチャについて
Junos OSは、分散並列処理、高スループット、高パフォーマンスのシステムです。サービス ゲートウェイの分散並列処理アーキテクチャには、セッションを管理し、セキュリティやその他のサービス処理を実行する複数のプロセッサが含まれています。このアーキテクチャは柔軟性を高め、高いスループットと高速なパフォーマンスを実現します。
SRX5000シリーズデバイスには、I/Oカード(IOC)とサービス処理カード(SPC)が搭載されており、それぞれにデバイスを通過するパケットを処理する処理ユニットが含まれています。ネットワーク処理ユニット(NPU)はIOCで実行されます。IOC には 1 つ以上の NPU があります。1 つの SPC では、1 つ以上の SPU(サービス処理ユニット)が実行されます。
これらの処理ユニットには、異なる責任があります。パケットのすべてのフローベース サービスは、1 つの SPU で実行されます。ただし、それ以外の場合、これらのプロセッサで実行されるサービスの種類に関して、行が明確に分割されていません。(フローベース処理の詳細については、 セキュリティ デバイスでのトラフィック処理についてを参照してください)。
例えば:
NPU はパケットを個別に処理します。サニティー チェックを実行し、サービス拒否(DoS)画面など、インターフェイスに設定された一部の画面をパケットに適用します。
SPU は、パケット パケットフローのセッションを管理し、セキュリティ機能やその他のサービスをパケットに適用します。また、パケットベースのステートレスファイアウォールフィルター、分類子、トラフィックシェーパーをパケットに適用します。
システムは、1つのプロセッサを中心点として使用して、リソースのアービトレーションと割り当てを処理し、インテリジェントな方法でセッションを分散します。中央ポイントは、フローの最初のパケットが処理されるときに、特定のセッションに使用する SPU を割り当てます。
これらの中心点を含むシステムの個別の連携部分には、パケットのストリームに対してセッションが存在するかどうかを識別する情報と、パケットが既存のセッションに属しているかどうかを判断するためにパケットを照合する情報が格納されます。
このアーキテクチャにより、デバイスはすべてのセッションの処理を複数の SPU に分散できます。また、NPUは、パケットにセッションが存在するかどうかを判断し、パケットをチェックし、それに画面を適用することもできます。パケットがどのように処理されるかは、それがフローの最初のパケットであるかどうかによって異なります。
フローベースのパケット処理は、関連するパケット、またはパケットのストリームを同じ方法で扱います。パケットの処理は、フロー セッションの確立時にパケット ストリームの最初のパケットに確立される特性に依存します。ほとんどのパケット処理はフロー内で行われます。サービス ゲートウェイの分散処理アーキテクチャでは、トラフィックシェーピングなどの一部のパケットベース処理が NPU で行われます。パケットへの分類子の適用など、一部のパケットベースの処理は SPU で行われます。
パケットに適用されるセキュリティポリシー、パケットに設定されたアプリケーションレイヤーゲートウェイ(ALG)など、パケットの運命を決定する構成設定。パケットの送信元/IP アドレスを変換するためにNATを適用する必要がある場合は、フローの最初のパケットに対して評価されます。
論理システムを実行するデバイスのセッション作成
論理システムを実行しているSRXシリーズファイアウォールのセッション確立は、論理システムを実行していないSRXシリーズファイアウォールのセッション確立とは若干異なります。論理システムがもたらす複雑さにもかかわらず、トラフィックは論理システムを実行していないSRXシリーズファイアウォールで処理されるのと同様の方法で処理されます。ステートフルなフローベースのパケット処理では、セッションの作成が必要です。論理システムのフローベース処理とセッション確立を検討する際には、セッション確立に関して、デバイス上の各論理システムを個別のデバイスと考えると分かります。
セッションは、ルーティングやその他の分類情報に基づいて作成され、情報を格納し、フローにリソースを割り当てます。基本的に、セッションは、トラフィックが論理システム インターフェイスに入るときに確立され、ルート ルックアップを実行してネクスト ホップ インターフェイスを識別し、ポリシー ルックアップを実行します。
オプションで、論理システムにより、内部ソフトウェアスイッチを設定することができます。この仮想プライベートLANスイッチ(VPLS)は、相互接続論理システムとして実装されます。これにより、トランジットトラフィックと論理システムで終端されたトラフィックの両方が論理システム間を通過できるようになります。論理システム間でトラフィックを通過できるようにするために、相互接続論理システム全体で論理トンネル(lt-0/0/0)インターフェイスが使用されます。
相互接続論理システム全体の論理システム間の通信には、2つのセッションを確立する必要があります。1つは論理システムに入り、そのlt-0/0/0インターフェイスから出るトラフィック用、もう1つは別の論理システムのlt-0/0/0インターフェイスに入り、物理インターフェイスの1つを介してデバイスから出るか、またはそこ宛てのトラフィック用です。
パケット シーケンスは、イングレス インターフェイスとエグレス インターフェイスで発生します。論理システム間を移動するパケットは、物理インターフェイスで受信した順に処理されない場合があります。
論理システム上のフローの理解
論理システムのトラフィックがどのように処理されるかを理解するには、各論理システムを個別のデバイスと見なすと役に立ちます。
プライマリ論理システムのトラフィックは、デバイス上のユーザー論理システムと同じ方法で処理されます。
SRX1400、SRX1500、SRX3400、SRX3600、SRX4100、SRX4200、SRX4600、SRX5400、SRX5600、SRX5800 シリーズのデバイスでは、J-Flowバージョン5、バージョン8、バージョン9は論理システムでサポートされていません。
パケット分類について
パケット分類は、論理システムの有無にかかわらず、SRXシリーズファイアウォールで同じ方法で評価されます。通常、フィルターとサービス クラス機能はインターフェイスに関連付けられており、どのパケットがシステムを通過できるかに影響を与え、必要に応じてパケットに特別なアクションを適用します。(フロー内では、一部のパケットベースの処理も SPU で行われます。)
パケット分類は受信インターフェイスに基づいており、イングレス ポイントで実行されます。専用インターフェイスのトラフィックは、そのインターフェイスを含む論理システムに分類されます。フローのコンテキスト内では、パケット分類は物理インターフェイスと 論理インターフェイスの両方に基づきます。
論理システムのパススルー トラフィックの処理
論理システムを実行していないSRXシリーズファイアウォールでは、パススルートラフィックはデバイスに出入りするトラフィックです。論理システムのパススルー トラフィックも同様に考えることができますが、マルチテナント デバイスの性質上、より大きな次元を持つものと考えることができます。論理システムを実行しているSRXシリーズファイアウォールの場合、パススルートラフィックは論理システム内または論理システム間で存在する可能性があります。
論理システム内のパススルートラフィック
論理システム内のパススルー トラフィックの場合、トラフィックは論理システムの仮想ルーティング インスタンスの 1 つに属するインターフェイスに受信され、その仮想ルーティング インスタンスの別の 1 つに送信されます。デバイスから出るために、トラフィックは 2 番目の仮想ルーティング インスタンスに属するインターフェイスから送信されます。トラフィックは論理システム間を通過せず、単一の論理システム内のデバイスに出入りします。論理システム内のパススルートラフィックは、それぞれのルーティングインスタンスのルーティングテーブルに従って送信されます。
図 2 に示すトポロジーを考慮して、論理システム内でパススルー トラフィックがどのように処理されるかを考えてみましょう。
パケットがインターフェイス ge-0/0/5 に到着すると、ls-product-design 論理システムに属するものとして識別されます。
ge-0/0/5 は pd-vr1 ルーティング インスタンスに属しているため、ルート ルックアップは pd-vr1 で実行され、pd-vr2 がネクスト ホップとして識別されます。
2 番目のルート ルックアップは pd-vr2 で実行され、使用するエグレス インターフェイス(この場合は ge-0/0/8)を特定します。
パケットは ge-0/0/8 からネットワークに送信されます。
セキュリティポリシーの検索が ls-product-design で実行され、1 つのセッションが確立されます。
論理システム間のパススルー トラフィック
論理システム間のパススルー トラフィックは、各論理システムには、トラフィックが通過しなければならないイングレス インターフェイスとエグレス インターフェイスがあるため、複雑になります。トラフィックが2つのデバイスに出入りしているかのようです。
論理システム間のパススルー トラフィック用に 2 つのセッションを確立する必要があります。(ポリシー検索は両方の論理システムで実行されることに注意してください)。
受信論理システムでは、イングレス インターフェイス(物理インターフェイス)とそのエグレス インターフェイス(lt-0/0/0 インターフェイス)の間に 1 つのセッションが設定されます。
エグレス論理システムでは、イングレス インターフェイス(2 番目の論理システムの lt-0/0/0 インターフェイス)とそのエグレス インターフェイス(物理インターフェイス)の間に別のセッションが設定されます。
図 2 に示すトポロジー内の論理システム間で、パススルー トラフィックがどのように処理されるかを考えてみましょう。
受信論理システムでセッションが確立されます。
パケットがインターフェイス ge-0/0/5 に到着すると、ls-product-design 論理システムに属するものとして識別されます。
ge-0/0/5はpd-vr1ルーティング インスタンスに属しているため、ルート検索はpd-vr1で実行されます。
ルックアップの結果、パケットのエグレスインターフェイスはlt-0/0/0.3として識別され、ネクストホップはlt-0/0/0.5として識別されます。これはls-marketing-deptのイングレスインターフェイスです。
ge-0/0/5 と lt-0/0/0.3 の間でセッションが確立されます。
セッションは、送信論理システムで確立されます。
パケットは lt-0/0/0.5 から再度フローに注入され、ls-marketing-dept として識別される論理システム コンテキストがインターフェイスから取得されます。
パケット処理は、ls-marketing-dept 論理システムで続行されます。
エグレスインターフェイスを識別するために、パケットのルート検索がmk-vr1ルーティングインスタンスで実行されます。
発信インターフェイスはge-0/0/6として識別され、パケットはインターフェイスからネットワークに送信されます。
セルフトラフィックの処理
セルフトラフィックとは、デバイス上の論理システムから発信され、その論理システムからネットワークに送信されるか、デバイス上の別の論理システムで終了するトラフィックです。
自己開始トラフィック
自己開始トラフィックは、ソース論理システム コンテキストから生成され、論理システム インターフェイスからネットワークに直接転送されます。
以下のプロセスが発生します。
論理システムでパケットが生成されると、論理システムでトラフィックを処理するプロセスが開始されます。
エグレスインターフェイスを識別するためにルート検索が実行され、セッションが確立されます。
論理システムはポリシー ルックアップを実行し、それに応じてトラフィックを処理します。
必要に応じて、管理セッションがセットアップされます。
図 2 に示すトポロジーを前提として、論理システム全体で自己開始トラフィックがどのように処理されるかを考えてみましょう。
パケットが ls-product-design 論理システムで生成され、論理システムでトラフィックを処理するプロセスが開始されます。
pd-vr2でルートルックアップが実行され、エグレスインターフェイスがge-0/0/8として識別されます。
セッションが確立されます。
パケットは ge-0/0/8 からネットワークに送信されます。
論理システムで終了したトラフィック
パケットが論理システムに属するインターフェイス上のデバイスに入り、パケットの宛先がデバイス上の別の論理システムである場合、パケットはパススルートラフィックと同じ方法で論理システム間で転送されます。しかし、2 番目の論理システムでのルート ルックアップでは、ローカル エグレス インターフェイスがパケットの宛先として識別されます。その結果、パケットは 2 番目の論理システムで自己トラフィックとして終端されます。
終了したセルフトラフィックに対しては、2つのポリシー検索が実行され、2つのセッションが確立されます。
受信論理システムでは、イングレス インターフェイス(物理インターフェイス)とそのエグレス インターフェイス(lt-0/0/0 インターフェイス)の間に 1 つのセッションが設定されます。
宛先論理システムでは、イングレス インターフェイス(2 番目の論理システムの lt-0/0/0 インターフェイス)とローカル インターフェイスの間に別のセッションが設定されます。
図 2 に示すトポロジー内の論理システム全体で、終了したセルフ トラフィックがどのように処理されるかを考えてみましょう。
受信論理システムでセッションが確立されます。
パケットがインターフェイス ge-0/0/5 に到着すると、ls-product-design 論理システムに属するものとして識別されます。
ge-0/0/5はpd-vr1ルーティング インスタンスに属しているため、ルート検索はpd-vr1で実行されます。
ルックアップの結果、パケットのエグレスインターフェイスはlt-0/0/0.3として識別され、ネクストホップはlt-0/0/0.5として識別されます。これはls-marketing-deptのイングレスインターフェイスです。
ge-0/0/5 と lt-0/0/0.3 の間でセッションが確立されます。
宛先論理システムで管理セッションが確立されます。
パケットは lt-0/0/0.5 から再度フローに注入され、ls-marketing-dept として識別される論理システム コンテキストがインターフェイスから取得されます。
パケット処理は、ls-marketing-dept 論理システムで続行されます。
パケットのルート検索は、mk-vr1 ルーティング インスタンスで実行されます。パケットは、宛先論理システムでセルフ トラフィックとして終端されます。
管理セッションが確立されます。
セッション制限とゲート制限制御の理解
論理システム フロー モジュールは、これらのリソースが論理システム間で公平に共有されるように、セッションとゲートの制限を提供します。各論理システムのリソース割り当てと制限は、論理システムにバインドされたセキュリティプロファイルで指定されます。
セッション制限では、システムはセッションの最初のパケットを論理システムに設定されたセッションの最大数と照合します。最大値に達すると、デバイスはパケットをドロップし、イベントをログに記録します。
ゲート リミットでは、デバイスはセッションの最初のパケットを、論理システムに設定されたゲートの最大数と照合します。論理システムのゲートの最大数に達した場合、デバイスはゲート オープン要求を拒否し、イベントをログに記録します。
セッションの理解
セッションは、ルーティングやその他の分類情報に基づいて作成され、情報を格納し、フローにリソースを割り当てます。セッションの一部の特性 (セッションの終了時など) を変更できます。たとえば、攻撃者がテーブルをあふれさせようとするのを防ぐために、セッション テーブルが完全にいっぱいになることはなく、正当なユーザーがセッションを開始できないようにすることができます。
セッションの構成について
プロトコルとサービスに応じて、セッションはタイムアウト値でプログラムされます。たとえば、TCP のデフォルトのタイムアウトは 1800 秒です。UDP のデフォルトのタイムアウトは 60 秒です。フローが終了すると、無効としてマークされ、タイムアウトは 10 秒に短縮されます。トラフィックが サービスのタイムアウト前にセッションを使用しない場合、セッションは期限切れになり、再利用のために共通のリソース プールに解放されます。
セッションの存続期間は、以下の方法で変更できます。
セッション テーブルの使用率に基づいて、セッションをエージング アウトします。
TCP セッションのエージング アウトに明示的なタイムアウトを設定します。
TCP RST(リセット)メッセージを受信したときに無効になるようにTCPセッションを設定します。
他のシステムに対応するセッションは、以下のように構成できます。
TCPパケットセキュリティチェックを無効にします。
最大セグメントサイズを変更します。
参照
vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0インスタンスに対する論理システムとテナントシステムのサポート
Junos OS リリース 20.1R1 以降、vSRX仮想ファイアウォールおよび vSRX仮想ファイアウォール 3.0 インスタンスで論理システムとテナント システムを設定できます。
各論理システムを設定すると、CPUとメモリを大量に消費する追加のルーティングプロトコルプロセス(RPD)が作成されます。Junos OS リリース 20.1R1- 以降
メモリ容量が16GB未満のvSRX仮想ファイアウォールとvSRX3.0インスタンスは、1つのルート論理システムをサポートします。
メモリ容量が16GB以上のvSRX仮想ファイアウォールとvSRX3.0インスタンスは、論理システムをサポートしますが、論理システムは8つに制限されます。
表1 は、vSRX仮想ファイアウォールおよびvSRX仮想ファイアウォール3.0のさまざまなメモリ容量でサポートされる論理システムとテナントシステムの数を示しています。
種類 |
4GB |
8GB |
16GB以上 |
|---|---|---|---|
論理システム(ルート論理システムを含む) |
1 |
1 |
8 |
テナント システム |
0 |
0 |
42 |
論理システム + テナント システム(ルート論理システムを含む)。 |
1 |
1 |
50 |
vSRX仮想ファイアウォール3.0インスタンスのみが、デバイスメモリに基づく柔軟なセキュリティプロファイルをサポートしています。vSRX仮想ファイアウォール3.0でサポートされているセキュリティプロファイルの最大数は、そのメモリに関連しています。詳細については、 論理システムのセキュリティプロファイルを参照してください。
[edit]階層レベルで次のコマンドを使用して、vSRX仮想ファイアウォールおよびvSRX3.0インスタンスのルーティングエンジンに少なくとも2つのCPUがあることを確認しますset security forwarding-options resource-manager cpu re 2。