論理システム向けセキュア ワイヤ
論理システム向けセキュア ワイヤの概要
論理システム上の別のインターフェイスを変更することなく、特定のインターフェイスに到着するトラフィックを転送できます。論理システム上のインターフェイスのこのマッピングは、セキュアワイヤと呼ばれます。セキュア ワイヤにより、SRX シリーズ ファイアウォールは、ルーティング テーブルを変更したり、隣接するデバイスを再設定したりすることなく、ネットワーク トラフィックのパスに導入できます。 図 1 は、セキュア ワイヤを使用した SRX シリーズ ファイアウォールの一般的なパス内導入を示しています。
![SRX Series Firewall In-Path Deployment with Secure Wire](/documentation/us/en/software/junos/logical-system-security/multicast-l2/images/g043093.gif)
セキュアワイヤは、2つのピアインターフェイスをマッピングします。透過モードとルート モードが異なり、トラフィックを転送するためのスイッチング やルーティング ルックアップはありません。セキュリティポリシーがトラフィックを許可すると、セキュアワイヤは、一方のピアインターフェイスに到着したパケットを変更することなく、すぐにもう一方のピアインターフェイスに転送します。パケットに対してルーティングやスイッチングの決定は行われません。セキュア ワイヤはまた、変更されていないリターン トラフィックを転送します。セキュアワイヤ機能は、イーサネット論理インターフェイス上のIPv4およびIPv6トラフィックの両方でサポートされています。
セキュア ワイヤは、ポイントツーポイント接続を提供する SRX シリーズ ファイアウォール上のレイヤー 2 透過モードの特殊なケースです。つまり、セキュア ワイヤの 2 つのインターフェイスは、ルーターやホストなどのレイヤー 3 エンティティに直接接続する必要があります。セキュアワイヤインターフェイスをスイッチに接続できます。ただし、セキュリティポリシーがトラフィックを許可する場合、セキュアワイヤインターフェイスが到着するすべてのトラフィックをピアインターフェイスに転送することに注意してください。
セキュア ワイヤはレイヤー 3 モードと共存できます。レイヤー 2 インターフェイスとレイヤー 3 インターフェイスを同時に設定すると、トラフィック転送はレイヤー 2 およびレイヤー 3 インターフェイス上で独立して発生します。
セキュア ワイヤは、レイヤー 2 透過モードと共存できます。両方の機能が同じSRXシリーズファイアウォールに存在する場合は、異なるVLANに設定する必要があります。
root 論理システムに対するセキュアなワイヤ サポートをユーザー論理システムに拡張します。特定のインターフェイスに到着したトラフィックを、ユーザー論理システムで受信したフレームを変更することなく、別のインターフェイスに即座に転送できます。
制限
Secure Wireはサポートしていません。
IRB インターフェイス
Z モード
MPLSラベルカプセル化
テナントシステム
相互接続論理システム
例:ユーザー論理システムのセキュア ワイヤの設定
この例では、ユーザー論理システムにセキュア ワイヤを設定し、フレームを変更せずに 1 つのインターフェイスから別のインターフェイスにトラフィックを転送できます。
要件
開始する前に、以下を行います。
ユーザー論理システムのセキュリティプロファイルの設定は、 例: ユーザー論理システムセキュリティプロファイルの設定を参照してください。
概要
この例では、LSYS1と呼ばれるユーザー論理システムで、10ギガビットイーサネットインターフェイスxe-1/0/1およびxe-1/0/2を設定できます。論理システムごとにセキュアなワイヤー リソース割り当てを設定できます。フレームを変更することなく、トラフィックがxe-1/0/1インターフェイスに通過すると、セキュアワイヤが定義されたセキュリティポリシーに基づいてトラフィックをxe-1/0/2インターフェイスに転送します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit]
コピー アンド ペーストします。
user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0 user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
ユーザー論理システムの下でセキュア ワイヤを設定します。
[edit] user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0
セキュリティ プロファイルを作成し、最大クォータと予約済みクォータの数を指定します。
[edit] user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
結果
設定モードから、 、 および show system security-profile prof1
コマンドを入力して設定をshow logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01
確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host#show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface [ xe-1/0/1.0 xe-1/0/2.0 ];
user@host#show system security-profile prof1 secure-wire { maximum 100; reserved 1; } logical-system LSYS1;
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
セキュア ワイヤ マッピングの検証
目的
セキュア ワイヤ マッピングを検証します。
アクション
動作モードから、 コマンドを show security forward-options secure-wire logical-system LSYS1
入力します。
Logical System Secure wire Interface Link Interface Link LSYS1 myLSYS1sw01 xe-1/0/1.0 up xe-1/0/2.0 up Total secure wires: 1