論理システムのセキュリティー プロファイル
論理システムのセキュリティー プロファイルを使用して、リソースを割り当てできます。セキュリティー プロファイルは、セキュリティー プロファイルがバインドされている論理システムに割り当てるリソースの数を指定します。すべてのシステム リソースがプライマリ論理システムに割り当て、プライマリ管理者がセキュリティ プロファイルを使用してユーザー論理システムに割り当てる。詳細については、以下のトピックを参照してください。
論理システム セキュリティ プロファイルについて(プライマリ管理者のみ)
論理システムでは、サポートされている SRX シリーズ デバイスを仮想的に複数のデバイスに分割して、互いを分離し、侵入および攻撃から保護し、独自のコンテキスト外の障害のある状態から保護できます。論理システムを保護するために、セキュリティ リソースは個別のデバイスの設定方法と同様の方法で設定されます。ただし、プライマリ管理者は、セキュリティ リソースの種類と量を論理システムに割り当てる必要があります。論理システム管理者は、自分の論理システムにリソースを割り当てる。
論理SRX シリーズ実行している物理デバイスは、ユーザーの論理システム、必要に応じて相互接続論理システム、デフォルトのプライマリ論理システムにパーティション化できます。システムが権限を変更すると、プライマリ論理システムがルート レベルで作成されます。すべてのシステム リソースが割り当てられていない場合は、デフォルトの論理システム セキュリティ プロファイルを効果的に作成します。論理システムにセキュリティ リソースを分散するには、プライマリ管理者がセキュリティ プロファイルを作成し、セキュリティ プロファイルがバインドされている論理システムに割り当てるリソースの種類と量を指定します。セキュリティ プロファイルを設定して論理システムにバインドできるのは、プライマリ管理者のみです。ユーザーの論理システム管理者は、自身の論理システムに対してこれらのリソースを設定します。
論理システムは、主に、セキュリティ コンポーネント、インターフェイス、ルーティング インスタンス、スタティック ルート、動的ルーティング プロトコルなど、割り当てられたリソースによって定義されます。プライマリ管理者がユーザーの論理システムを設定すると、セキュリティ プロファイルをその論理システムにバインドします。セキュリティー プロファイルがバインドされることなく、ユーザーの論理システムの設定をコミットしようとする試みは失敗します。
このトピックは、以下のセクションで構成されています。
論理システム セキュリティー プロファイル
プライマリ管理者は、1 つのセキュリティー プロファイルを設定して、特定の論理システムにリソースを割り当てるか、複数の論理システムに同じセキュリティー プロファイルを使用するか、両方の方法を混合して使用することができます。論理システムを実行している複数のデバイスで、最大 32 のSRX シリーズを設定できます。制限に達した場合、別のセキュリティ プロファイルを作成してコミットする前に、セキュリティ プロファイルを削除して設定変更をコミットする必要があります。単一のセキュリティー プロファイルを複数の論理システムにバインドする場合が多くの場合、セキュリティー プロファイルの数を少なくすることができます。
セキュリティ プロファイルでは、以下を実行できます。
ポリシー、ゾーン、アドレス、アドレス ブック、フロー セッション、さまざまな形式の NAT など、デバイスのリソースをすべての論理システム間で適切に共有します。あなたは、さまざまなリソースを論理システムに割り当て、自由なリソースの使用のために競争することができます。
セキュリティー プロファイルは、他の論理システムが同時に要求するリソースを使い果たしている 1 つの論理システムから保護します。セキュリティ プロファイルは、重要なシステム リソースを保護し、デバイスにトラフィックの多いフローが発生した場合に、ユーザーの論理システム間でかなり高いレベルのパフォーマンスを維持します。1 つのユーザーの論理システムがリソースの使用を支配し、その他のユーザーの論理システムを奪うのを防御します。
将来ユーザーの論理システムを追加して作成できる、拡張性に優れた方法でデバイスを構成します。
論理システムを削除する前に、論理システムのセキュリティー プロファイルを削除する必要があります。
システムが論理システム全体でのリソース割り当てと使用を評価する方法
論理システムをセキュリティ リソースでプロビジョニングするには、プライマリ管理者として、各リソースに対して指定するセキュリティ プロファイルを設定します。
指定されたリソース量が常に論理システムで使用できる保証を予約した割り当て。
最大割り当て許容量。論理システムが予約した量よりも多くのリソースを必要とする場合、利用可能な場合はグローバル最大量に設定されたリソース(つまり、他の論理システムに割り当てられていない場合)にリソースを利用できます。最大許容割り当ては、論理システムが使用できる無料のグローバル リソースの部分を指定します。最大で割り当て可能な割り当ては、セキュリティ プロファイルのリソースに対して指定された金額が使用できるとは保証されません。論理システムはグローバル リソースで競い合う必要があります。
予約した割り当て量がリソースに対して構成されていない場合、デフォルト値は 0 です。リソースに対して最大許容割り当て量が構成されていない場合、デフォルト値はリソースのグローバル システム 割り当て量です(グローバル システム 割り当てはプラットフォームに依存します)。プライマリ管理者は、セキュリティ プロファイルに適切な許容割り当て量の値を設定する必要があります。そのため、特定の論理システムの最大リソース使用がデバイス上に設定されている他の論理システムに悪影響を与える可能性はありません。プライマリ管理者は、セキュリティ プロファイルに適切な最大許容割り当て量の値を設定する必要があります。特定の論理システムの最大リソース使用率がデバイス上に設定されている他の論理システムに悪影響を与えるのを防きます。
システムは、論理システムが削除された場合に、予約され、使用され、再度使用可能にされた、すべての割り当てられたリソースの数を維持します。この数によって、新しい論理システムにリソースを使用できるかどうか、またはセキュリティー プロファイルを介して既存の論理システムに割り当てられたリソース量を増やできるかどうかが決されます。
ユーザーの論理システムが削除されると、他の論理システムが使用するために予約したリソース割り当てが解放されます。
セキュリティ プロファイルで設定されたリソースは、スタティック モジュラー リソースまたは動的リソースの特徴です。静的リソースの場合は、論理システムの拡張可能な構成を可能にするために、リソースの最大割り当て量を、予約した割り当て量と等しいか、その量に近い額に設定することをお勧めします。リソースに対する最大割り当て量が多いほど、そのリソースへのアクセスを通じて論理システムの柔軟性が向上する可能性がありますが、新しいユーザー論理システムへの割り当てに使用可能な量は制約されます。
動的リソースに対して予約された許容量と最大許容量の違いは重要ではありません。動的リソースが枯渇し、他の論理システムへの割り当てで使用可能なプールが枯渇してしまうためです。
セキュリティ プロファイルでは、以下のリソースを指定できます。
スケジューラーを含むセキュリティ ポリシー
セキュリティ ゾーン
セキュリティ ポリシー用のアドレスとアドレス 帳
アプリケーション ファイアウォール ルール セット
アプリケーション ファイアウォール ルール
ファイアウォール認証
フロー セッションとゲート
NATを以下に示します。
コーン NAT バインディング
NAT宛先ルール
NAT 宛先プール
NATアドレス変換(PAT)を使用しないソース プール内の IP アドレスの指定
注:PAT なしの IPv6 ソース プールの IPv6 アドレスは、セキュリティ プロファイルに含まれません。
NATの IP アドレスの追加(PAT 付き)
NAT 過負荷状態
NAT ソース プール
NAT ソース ルール
NAT スタティック ルール
フロー セッションを除くすべてのリソースは静的です。
論理システム セキュリティー プロファイルを動的に変更し、セキュリティー プロファイルを他の論理システムに割り当てることができます。ただし、システム リソースの割り当て量を超ええないように、システムは以下のアクションを実行します。
静的割り当て量が変更された場合、論理システムを維持するシステム デーモンは、セキュリティー プロファイルで指定されたリソースの数を再確認します。このチェックでは、すべての論理システムに割り当てられたリソースの数を識別して、割り当てられたリソース(増加した量を含む)を使用できるかどうかを確認します。
これらの割り当てチェックは、新しいユーザー論理システムを追加してセキュリティ プロファイルをそのシステムにバインドする際にシステムが実行するのと同じ割り当て量チェックです。また、現在割り当てられているセキュリティ プロファイルとは異なるセキュリティ プロファイルを既存のユーザー論理システム(またはプライマリ論理システム)にバインドする場合にも実行されます。
動的割り当て量が変更された場合はチェックは実行されませんが、今後のリソース使用に対して新しい割り当て量が課されます。
ケース:セキュリティ プロファイルを通じて割り当てられた予約リソースの評価
システムがセキュリティ プロファイルを通じて予約したリソースの割り当てを評価する方法を理解するために、1 つのリソース、ゾーンの割り当てに対応する以下の 3 つのケースを検討してください。例をシンプルに保つために、10 のゾーンがセキュリティ プロファイル 1:4 つの予約ゾーンと 6 つの最大ゾーンに割り当てされます。この例では、ユーザーの論理システムで最大 6 つのゾーンが使用できると仮定しています。システムの最大ゾーン数は 10 です。
この場合、論理システム全体の設定に対応できます。テストでは、ゾーンの割り当てに基づいて設定がコミットされた場合に、構成が成功するかどうか、失敗するかどうかの確認を行います。
表 1 は、 セキュリティ プロファイルとそのゾーン割り当てを示しています。
設定ケースで使用される 2 つのセキュリティ プロファイル |
|---|
セキュリティ プロファイル-1
注:
その後、プライマリ管理者は、このプロファイルで指定された予約ゾーン数を動的に増やします。 |
プライマリ- 論理システム プロファイル
|
表 2 は 、システムがセキュリティー プロファイル設定に基づいて論理システム全体のゾーン用リソースを評価する方法を示す 3 つのケースを示しています。
最初のケースの設定は成功しました。すべての論理システムにバインドされたセキュリティ プロファイルに設定されたゾーンの累積予約リソース 割り当て量は 8 で、システムの最大リソース 割り当て量を超えています。
2 つ目のケースの設定では、すべての論理システムにバインドされたセキュリティ プロファイルに設定されたゾーンの累積予約リソース 割り当て量が 12 であるため、失敗します。これは、システムの最大リソース 割り当て量を超えています。
3 つ目のケースの設定では、すべての論理システムにバインドされたセキュリティ プロファイルに設定されたゾーンの累積予約リソース 割り当て量が 12 であるため、失敗します。これは、システムの最大リソース 割り当て量を超えています。
論理システム全体にわたるリソース 割り当て量チェックを予約 |
|---|
例 1:成功 この構成は境界内で行います。 4 +4+0=8、最大容量 = 10。 使用されているセキュリティー プロファイル
|
例 2: 失敗 この構成は境界外です。 4 +4+4=12、最大容量 = 10。
セキュリティ プロファイル
|
例 3: 失敗 この構成は範囲を超え:6+6=12、最大容量 = 10。 プライマリ管理者がセキュリティ プロファイル 1 の予約ゾーン 割り当て量を変更して、カウントを 6 に増やします。
|
詳細については、
例: 論理システム セキュリティー プロファイルの設定(プライマリ管理者のみ)
この例では、プライマリ管理者が3つの論理システム セキュリティ プロファイルを設定して、ユーザーの論理システムとプライマリ論理システムに割り当て、それらをセキュリティ リソースでプロビジョニングする方法を示しています。
要件
この例では、論理システムでSRX5600実行されているJunos OSデバイスを使用しています。
開始する前に、 論理システムSRX シリーズ 管理者設定タスクの概要 を読んで、このタスクが全体の構成プロセスに適合する方法を理解してください。
概要
この例では、次の論理システム用にセキュリティ プロファイルを設定する方法を示しています。
root-logical-system 論理システムセキュリティ プロファイルのプライマリ プロファイルは、プライマリ、またはルートの論理システムに割り当てられます。
ls-product-design 論理システム。セキュリティ プロファイル ls-design-profile は論理システムに割り当てられます。
LS マーケティング部門の論理システム。セキュリティ プロファイル ls-accnt-mrkt-profile が論理システムに割り当てられます。
ls-accounting-二部門論理システム。セキュリティ プロファイル ls-accnt-mrkt-profile が論理システムに割り当てられます。
Interconnect-Logical-System(使用している場合)ダミー プロファイル、または null セキュリティー プロファイルを割り当てる必要があります。
トポロジ
この設定は、 例: ユーザー論理システムの作成、管理者、そのユーザー、相互接続論理システム の導入 に依存しています。
構成
論理システム セキュリティ プロファイルの設定
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set system security-profile master-profile policy maximum 65 set system security-profile master-profile policy reserved 60 set system security-profile master-profile zone maximum 22 set system security-profile master-profile zone reserved 17 set system security-profile master-profile flow-session maximum 3000 set system security-profile master-profile flow-session reserved 2100 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile master-profile nat-nopat-address maximum 115 set system security-profile master-profile nat-nopat-address reserved 100 set system security-profile master-profile nat-static-rule maximum 125 set system security-profile master-profile nat-static-rule reserved 100 set system security-profile master-profile idp set system security-profile master-profile root-logical-system set system security-profile ls-accnt-mrkt-profile policy maximum 65 set system security-profile ls-accnt-mrkt-profile policy reserved 60 set system security-profile ls-accnt-mrkt-profile zone maximum 22 set system security-profile ls-accnt-mrkt-profile zone reserved 17 set system security-profile ls-accnt-mrkt-profile flow-session maximum 2500 set system security-profile ls-accnt-mrkt-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-accnt-mrkt-profile nat-nopat-address maximum 125 set system security-profile ls-accnt-mrkt-profile nat-nopat-address reserved 100 set system security-profile ls-accnt-mrkt-profile nat-static-rule maximum 125 set system security-profile ls-accnt-mrkt-profile nat-static-rule reserved 100 set system security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept set system security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept set system security-profile ls-design-profile policy maximum 50 set system security-profile ls-design-profile policy reserved 40 set system security-profile ls-design-profile zone maximum 10 set system security-profile ls-design-profile zone reserved 5 set system security-profile ls-design-profile flow-session maximum 2500 set system security-profile ls-design-profile flow-session reserved 2000 set system security-profile master-profile icap-redirect-profile maximum 64 set system security-profile master-profile icap-redirect-profile reserved 30 set system security-profile ls-design-profile nat-nopat-address maximum 120 set system security-profile ls-design-profile nat-nopat-address reserved 100 set system security-profile ls-design-profile logical-system ls-product-design set system security-profile interconnect-profile logical-system interconnect-logical-system
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」の「 設定モードでの CLI エディター の使用 」を参照してください。
3 つのセキュリティ プロファイルを作成します。
最初のセキュリティー プロファイルを作成します。
手順
最大ポリシー数と予約ポリシー数を指定します。
[edit system security-profile] user@host# set master-profile policy maximum 65 reserved 60
最大ゾーン数と予約ゾーン数を指定します。
[edit system security-profile] user@host# set master-profile zone maximum 22 reserved 17
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set master-profile flow-session maximum 3000 reserved 2100
最大数と予約された ICAP リダイレクト プロファイルを指定します。
[edit system security-profile] user@host# set master-profile icap-redirect-profile maximum 64 reserved 30
PAT アドレスおよび静的ルーティング ルールをNAT、予約された最大ソースNATします。
[edit system security-profile] user@host# set master-profile nat-nopat-address maximum 115 reserved 100 user@host# set master-profile nat-static-rule maximum 125 reserved 100
侵入検出および防止(侵入IDP)。プライマリ(ルートIDP システムの設定のみ有効にできます。
[edit system security-profile] user@host# set idp
セキュリティー プロファイルを論理システムにバインドします。
[edit system security-profile] user@host# set master-profile root-logical-system
2 つ目のセキュリティー プロファイルを作成します。
手順
最大ポリシー数と予約ポリシー数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile policy maximum 65 reserved 60
最大ゾーン数と予約ゾーン数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile zone maximum 22 reserved 17
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile flow-session maximum 2500 reserved 2000
最大数と予約された ICAP リダイレクト プロファイルを指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile icap-redirect-profile maximum 64 reserved 30
PAT アドレスを持つ最大および予約ソースNAT数を指定します。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-nopat-address maximum 125 reserved 100
最大静的静的ポリシー ルール数と予約スタティック ルールNATします。
[edit system security-profile] user@host# set ls-accnt-mrkt-profile nat-static-rule maximum 125 reserved 100
セキュリティー プロファイルを 2 つの論理システムにバインドします。
[edit system] user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-marketing-dept user@host# set security-profile ls-accnt-mrkt-profile logical-system ls-accounting-dept
3 つ目のセキュリティー プロファイルを作成します。
手順
最大ポリシー数と予約ポリシー数を指定します。
[edit system security-profile] user@host# set ls-design-profile policy maximum 50 reserved 40
最大ゾーン数と予約ゾーン数を指定します。
[edit system security-profile] user@host# set ls-design-profile zone maximum 10 reserved 5
最大セッション数と予約セッション数を指定します。
[edit system security-profile] user@host# set ls-design-profile flow-session maximum 2500 reserved 2000
最大数と予約された ICAP リダイレクト プロファイルを指定します。
[edit system security-profile] user@host# setls-design-profile icap-redirect-profile maximum 64 reserved 30
PAT アドレスを持つ最大および予約ソースNAT数を指定します。
[edit system security-profile] user@host# set ls-design-profile nat-nopat-address maximum 120 reserved 100
セキュリティー プロファイルを論理システムにバインドします。
user@host# set system security-profile ls-design-profile logical-system ls-product-design
null セキュリティー プロファイルを相互接続論理システムにバインドします。
user@host# set system security-profile interconnect-profile logical-system interconnect-logical-system
結果
設定モードから、 コマンドを入力して設定を確認し show system security-profile 、すべてのセキュリティ プロファイルが設定されていることを確認します。
個々のセキュリティ プロファイルを表示するには、 show system security-profile master-profile 、 、 および show system security-profile ls-accnt-mrkt-profile のコマンドを入力 show system security-profile ls-design-profile します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show system security-profile
interconnect-profile {
logical-system interconnect-logical-system;
}
ls-accnt-mrkt-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-marketing-dept ls-accounting-dept ];
}
ls-design-profile {
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
}
master-profile {
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
}
user@host# show system security-profile master-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 3000;
reserved 2100;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 115;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
root-logical-system;
user@host# show system security-profile ls-accnt-mrkt-profile
policy {
maximum 65;
reserved 60;
}
zone {
maximum 22;
reserved 17;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 125;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system [ ls-accounting-dept ls-marketing-dept ];
user@host# show system security-profile ls-design-profile
policy {
maximum 50;
reserved 40;
}
zone {
maximum 10;
reserved 5;
}
flow-session {
maximum 2500;
reserved 2000;
}
icap-redirect-profile {
maximum 64;
reserved 30;
}
nat-nopat-address {
maximum 120;
reserved 100;
}
nat-static-rule {
maximum 125;
reserved 100;
}
logical-system ls-product-design;
デバイスの設定が完了したら、設定モードから Commit を入力します。
検証
論理システムに割り当てたセキュリティ リソースが割り当てられているか確認するには、各論理システムとそのリソースに対してこの手順に従います。
論理システムにセキュリティー プロファイル リソースが効果的に割り当てられている検証
目的
各論理システムのセキュリティー リソースを検証します。すべての設定論理システムに対して、このプロセスに従います。
アクション
SSH を使用して、ユーザーの論理システム管理者として各ユーザーの論理システムにログインします。
SSH を実行し、デバイスの IP アドレスをSRX シリーズします。
作成したユーザー論理システムのログインIDとパスワードを入力します。
login: lsmarketingadmin1 password: Talk2345 lsmarketingadmin1@host:ls-marketing-dept>
以下のステートメントを入力して、プロファイルに設定されているリソースを識別します。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile ?
結果のプロンプトで次のコマンドを入力します。これは、プロファイルに対して設定された各機能に対して行います。
lsmarketingadmin1@host:ls-marketing-dept> show system security-profile zone detail logical system name : ls-marketing-dept security profile name : ls-accnt-mrkt-profile used amount : 0 reserved amount : 17 maximum quota : 22
例:ユーザー論理システム セキュリティ プロファイルの設定
この例では、ユーザーの論理システム セキュリティ プロファイルを設定します。セキュリティ プロファイルの論理システムに割り当てられたリソースに関する情報を提供します。
SRX4100 および SRX4200 デバイスは、透過モードとルート モードの両方で論理システムをサポートしています。
SRX4600 デバイスは、ルート モードでのみ論理システムをサポートしています。
レイヤー 2 クロス論理システム トラフィックはサポートされていません。
要件
この例では、論理システムで実行中のSRX4100およびSRX4200 Junos OSを使用しています。
開始する前に、以下を実行します。
論理システム構成プロセスを理解する。この タスクが全体の 設定プロセスに適合する方法については、「 ユーザー論理システム構成の概要 」を参照してください。
概要
論理システムでは、プライマリ管理者がデバイスのSRX シリーズユーザー論理システムと呼ばれる独立したコンテキストにパーティション化できます。ユーザーの論理システムは、自己格納型のプライベート コンテキストであり、両者を独立して、プライマリ論理システムから独立しています。ユーザーの論理システムには、独自のセキュリティー、ネットワーク、論理インターフェイス、ルーティング構成、および 1 つ以上のユーザー論理システム管理者がいます。
この例では、表 3 で説明されているユーザー論理システムのセキュリティ機能 を設定します。ユーザーの論理システム管理者が使用するこの設定は、ユーザーの論理システムのリソース情報を表示します。
フィールド名 |
フィールドの説明 |
|---|---|
MAC フラグ |
各インターフェイスMAC アドレスの学習プロパティのステータス:
|
イーサネット スイッチング テーブル |
学習されたエントリーの場合、エントリーがイーサネット スイッチング テーブルに追加された時間。 |
論理システム |
論理システムの名前 |
ルーティング インスタンス |
ルーティング インスタンスの名前 |
VLAN 名 |
VLAN の名前 |
MAC アドレス |
MAC アドレスで学習されたアドレスの削除またはアドレスの送信 |
年齢 |
このフィールドはサポートされていません |
論理インターフェイス |
論理インターフェイスの名前 |
RTR ID |
ルーティング デバイスの ID |
NH のインデックス |
特定のプレフィックスのトラフィックをルーティングするために使用されるネクスト ホップのソフトウェア インデックス。 |
構成
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set system security-profile security-profile-name logical-system logical-system-name set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN100 set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN200 set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200 set logical-systems logical-system-name interfaces irb unit 22 family inet address 10.11.11.150/24 set logical-systems logical-system-name security policies default-policy permit-all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone trust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone trust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic system-services all set logical-systems logical-system-name security zones security-zone untrust host-inbound-traffic protocols all set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/2.0 set logical-systems logical-system-name security zones security-zone untrust interfaces xe-0/0/3.0 set logical-systems logical-system-name vlans VLAN100 vlan-id 100 set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」の「 設定モードでの CLI エディター の使用 」を参照してください。
ユーザー論理システム セキュリティー プロファイルを設定するには、以下の手順に示します。
論理システム管理者としてユーザー論理システムにログインし、設定モードにします。
[edit] admin@host> configure admin@host#
セキュリティ プロファイルを設定し、論理システムに割り当てる。
[edit system security-profile ] admin@host# set system security-profile security-profile-name logical-system
インターフェイスを適切なインターフェイス モードに設定し、タグ付けされていないデータ パケットを受信する論理インターフェイスがネイティブ VLAN のメンバーである必要があります。
[edit logical-systems] admin@host#set logical-systems logical-system-name interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access admin@host# set logical-systems logical-system-name interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN100 admin@host#set logical-systems logical-system-name interfaces xe-0/0/1.0 unit 0 family ethernet-switching interface-mode trunk admin@host#set logical-systems logical-system-name interfaces xe-0/0/2.0 unit 0 family ethernet-switching vlan members vlan200
IRB インターフェイスを作成し、サブネット内のアドレスを割り当てる。
[edit interface] admin@host# set interfaces irb unit 22 family inet address 10.11.11.150/24
trustゾーンから Untrustゾーンへのトラフィックを許可するセキュリティポリシーを作成し、各ゾーンにインターフェイスを割り当てる。
[edit security policies] admin@host# set security policies default-policy permit-all admin@host# set security zones security-zone trust host-inbound-traffic system-services all admin@host# set security zones security-zone trust host-inbound-traffic protocols all admin@host# set security zones security-zone trust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust host-inbound-traffic system-services all admin@host# set security zones security-zone untrust host-inbound-traffic protocols all admin@host# set security zones security-zone untrust interfaces xe-0/0/2.0 admin@host# set security zones security-zone untrust interfaces xe-0/0/3.0
IRB インターフェイスを VLAN に関連付ける。
[edit logical-systems] admin@host# set logical-systems logical-system-name vlans VLAN100 vlan-id 100 admin@host# set logical-systems logical-system-name vlans VLAN100 l3-interface irb.22
結果
設定モードから、 コマンドを入力して設定を確認 show ethernet-switching table します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
admin@host# show ethernet-switching table
ethernet-switching table {
filter;
inner-vlan;
inter-switch-link;
interface-mode;
policer;
recovery-timeout;
storm-control;
vlan;
vlan-auto-sense;
vlan-rewrite;
}
検証
設定が正常に機能されていることを確認するには、次のタスクを実行します。
ユーザー論理システム セキュリティ プロファイル設定の検証
目的
セキュリティ ポリシー情報を検証します。
アクション
動作モードから コマンドを入力 show ethernet-switching table します。
admin@host> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Logical system : LD2
Routing instance : default
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
VLAN100 d4:04:ff:89:fd:30 D - xe-0/0/2.0 0 0
例: 論理システムのセキュリティー ログ ストリームの設定
この例では、論理システムのセキュリティ プロファイルを設定する方法を示しています。
要件
この例では、論理システムでSRX シリーズ実行されているJunos OSデバイスを使用しています。
開始する前に、以下を実行します。
論理 SRX シリーズ管理者構成タスク の概要を読み、このタスクが全体的な構成プロセスに適合する方法を理解します。
概要
プライマリ管理者は、1 つのセキュリティー プロファイルを設定して、特定の論理システムにリソースを割り当てできます。同じセキュリティー プロファイルを複数の論理システムに使用したり、両方の方法を混合して使用したりすることができます。この set logical-system LSYS1 security log コマンドは、デバイスのログ記録サポート用にSRX シリーズされます。
構成
論理システム セキュリティー プロファイルの構成論理システム
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit] commit
set system security-profile p1 security-log-stream-number reserved 1 set system security-profile p1 security-log-stream-number maximum 2 set system security-profile p1 logical-system LSYS1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」の「 設定モードでの CLI エディター の使用 」を参照してください。
セキュリティ プロファイルを設定し、最大ポリシー数と予約ポリシー数を指定します。.
[edit system] user@host# set security-profile p1 security-log-stream-number reserved 1 user@host# set security-profile p1 security-log-stream-number maximum 2
設定したセキュリティ プロファイルを LSYS1 に割り当てる。
user@host# set security-profile p1 logical-system LSYS1
結果
設定モードから、 コマンドを入力して設定を確認し show system security-profile 、すべてのセキュリティ プロファイルが設定されていることを確認します。
[edit]
user@host# show system security-profile
p1 {
security-log-stream-number {
maximum 2;
reserved 1;
}
logical-system LSYS1;
}
検証
設定が正常に機能されていることを確認するには、以下のタスクを実行します。
- 論理システムのセキュリティ プロファイル リソースを検証
- 論理システムのセキュリティログストリーム番号の検証
- 論理システムのセキュリティログストリーム番号の要約を検証
- 論理システムのセキュリティログストリーム番号詳細の検証
論理システムのセキュリティ プロファイル リソースを検証
目的
各論理システムのセキュリティー リソースを検証します。
アクション
動作モードから、 show system security-profile all-resource 、 show system security-profile security-log-stream-number logical-system all 、 、 show system security-profile security-log-stream-number summary 、または show system security-profile security-log-stream-number detail logical-system all のコマンドを入力して出力を表示します。
show system security-profile all-resource
user@host> show system security-profile all-resource resource usage reserved maximum [logical system name: root-logical-system] [security profile name: Default-Profile] address-book 0 0 512 auth-entry 0 0 2147483647 cpu on CP 0.00% 1.00% 80.00% cpu on SPU 0.00% 1.00% 80.00% flow-gate 0 0 524288 flow-session 2 0 6291456 nat-cone-binding 0 0 65536 nat-destination-pool 0 0 4096 nat-destination-rule 0 0 8192 nat-nopat-address 0 0 1048576 nat-pat-address 0 0 2048 nat-port-ol-ipnumber 0 0 4 nat-rule-referenced-prefix 0 0 1048576 nat-source-pool 0 0 2048 nat-source-rule 0 0 8192 nat-static-rule 0 0 20480 policy 0 0 40000 policy-with-count 0 0 1024 scheduler 0 0 64 zone 0 0 512
意味
サンプル出力には、セキュリティ プロファイルの論理システムに割り当てられたリソースに関する情報が表示されます。指定された各リソースに対して、論理システムが使用する番号と設定された最大および予約値が表示されます。
論理システムのセキュリティログストリーム番号の検証
目的
各論理システムのセキュリティ ログ ストリーム番号を検証します。
アクション
動作モードから コマンドを入力 show system security-profile security-log-stream-number logical-system all して出力を表示します。
show system security-profile security-log-stream-number logical-system all
user@host> show system security-profile security-log-stream-number logical-system all logical system name security profile name usage reserved maximum root-logical-system Default-Profile 1 0 3 LSYS1 sp1 0 1 3 LSYS2 sp2 1 0 3
意味
サンプル出力には、セキュリティ プロファイル名を持つセキュリティ プロファイルの論理システムに割り当てられたリソースに関する情報が表示されます。指定された各リソースに対して、論理システムが使用する番号と設定された最大および予約値が表示されます。
論理システムのセキュリティログストリーム番号の要約を検証
目的
セキュリティログストリーム番号の概要を検証します。
アクション
動作モードから コマンドを入力 show system security-profile security-log-stream-number summary して出力を表示します。
show system security-profile security-log-stream-number summary
user@host> show system security-profile security-log-stream-number summary global used amount : 0 global maximum quota : 32 global available amount : 32 total logical systems : 1 total security profiles : 0 heaviest usage / user : 0 / root-logical-system lightest usage / user : 0 / root-logical-system
意味
サンプル出力には、すべての論理システムのリソースに関する要約情報が表示されます。
論理システムのセキュリティログストリーム番号詳細の検証
目的
セキュリティログストリーム番号の詳細を検証します。
アクション
動作モードから コマンドを入力 show system security-profile security-log-stream-number detail logical-system all して出力を表示します。
show system security-profile security-log-stream-number detail logical-system all
user@host> show system security-profile security-log-stream-number detail logical-system all logical system name : root-logical-system security profile name : Default-Profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys0 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys1 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8 logical system name : lsys2 security profile name : lsys_profile used amount : 0 reserved amount : 0 maximum quota : 8
意味
サンプル出力には、すべての論理システムの詳細な出力レベルが表示されます。