論理システム用のセキュアワイヤ
論理システム向けセキュアワイヤの概要
特定のインターフェイスに到着したトラフィックは、論理システム上の別のインターフェイスを介して変更せずに転送できます。論理システム上のインターフェイスのこのマッピングは、セキュアワイヤと呼ばれます。セキュアワイヤにより、ルーティングテーブルを変更したり、隣接するデバイスの再設定を行わずに、SRXシリーズファイアウォールをネットワークトラフィックのパスに展開することができます。 図1 は、セキュアワイヤを使用したSRXシリーズファイアウォールの典型的なパス内導入を示しています。
を使用したSRXシリーズファイアウォールのIn-Path導入
セキュアワイヤーは、2つのピアインターフェイスをマッピングします。透過モードやルートモードとは異なり、トラフィックを転送するためのスイッチングやルーティングルックアップはありません。セキュリティポリシーでトラフィックが許可されている場合、セキュアワイヤーは、一方のピアインターフェイスに到着したパケットを変更せずにすぐにもう一方のピアインターフェイスに転送します。パケットに対してルーティングまたはスイッチングの決定は行われません。また、セキュアワイヤーは、戻りトラフィックを変更せずに転送します。セキュアワイヤ機能は、イーサネット論理インターフェイス上でのみ、IPv4とIPv6の両方のトラフィックに対応しています。
セキュアワイヤーは、ポイントツーポイント接続を提供するSRXシリーズファイアウォール上のレイヤー2透過モードの特殊なケースです。つまり、セキュアワイヤの2つのインターフェイスは、ルーターやホストなどのレイヤー3エンティティに直接接続する必要があります。セキュアワイヤーインターフェイスをスイッチに接続できます。ただし、セキュリティポリシーがトラフィックを許可する場合、セキュアなワイヤーインターフェイスは、到着したすべてのトラフィックをピアインターフェイスに転送することに注意してください。
セキュアワイヤは、レイヤー3モードと共存できます。レイヤー 2 インターフェイスとレイヤー 3 インターフェイスを同時に設定する場合、トラフィック転送はレイヤー 2 インターフェイスとレイヤー 3 インターフェイスで独立して行われます。
セキュアワイヤは、レイヤー2透過モードと共存できます。両方の機能が同じSRXシリーズファイアウォール上に存在する場合は、異なるVLANで設定する必要があります。
ルート論理システムに対するセキュアワイヤのサポートは、ユーザーの論理システムにも拡張されます。特定のインターフェイスに到着したトラフィックは、ユーザー論理システムで受信したフレームを変更することなく、すぐに別のインターフェイスに転送できます。
制限事項
セキュアワイヤは以下をサポートしていません。
IRB インターフェイス
Zモード
MPLSラベルカプセル化
テナントシステム
相互接続論理システム
例:ユーザー論理システム用のセキュアワイヤの設定
この例では、ユーザー論理システムにセキュアワイヤを設定し、フレームを変更することなく、あるインターフェイスから別のインターフェイスにトラフィックを転送できます。
要件
始める前に:
ユーザー論理システムのセキュリティプロファイルの設定については、 例:ユーザー論理システムのセキュリティプロファイルの設定を参照してください。
概要
この例では、LSYS1と呼ばれるユーザー論理システムの下で、10ギガビットイーサネットインターフェイスxe-1/0/1およびxe-1/0/2を設定できます。論理システムごとにセキュアなワイヤリソース割り当てを設定できます。トラフィックがxe-1/0/1インターフェイスに渡ると、フレームを変更することなく、セキュアワイヤーは定義されたセキュリティポリシーに基づいてトラフィックをxe-1/0/2インターフェイスに転送します。
設定
手順
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更してから、コマンドを [edit] 階層レベルのCLIにコピー&ペーストします。
user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0 user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLIユーザーガイド』の「構成モードでのCLIエディターの使用」を参照してください。
ユーザー論理システムの下でセキュアワイヤを設定します。
[edit] user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/1.0 user@host#set logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface xe-1/0/2.0
セキュリティプロファイルを作成し、最大クォータと予約クォータの数を指定します。
[edit] user@host#set system security-profile prof1 secure-wire maximum 100 user@host#set system security-profile prof1 secure-wire reserved 1
結果
設定モードから、 show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01、 show system security-profile prof1 コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host#show logical-systems LSYS1 security forwarding-options secure-wire myLSYS1sw01 interface [ xe-1/0/1.0 xe-1/0/2.0 ];
user@host#show system security-profile prof1
secure-wire {
maximum 100;
reserved 1;
}
logical-system LSYS1;
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
セキュアワイヤマッピングの検証
目的
セキュアワイヤマッピングを確認します。
アクション
動作モードから、 show security forward-options secure-wire logical-system LSYS1 コマンドを入力します。
Logical System Secure wire Interface Link Interface Link LSYS1 myLSYS1sw01 xe-1/0/1.0 up xe-1/0/2.0 up Total secure wires: 1