Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティ デバイス上のレイヤー 2 インターフェイス

セキュリティ デバイス上のレイヤー2インターフェイスについて

レイヤー 2 論理インターフェイスは、ファミリー アドレス タイプ ethernet-switching の物理インターフェイス上で 1 つ以上の論理ユニットを定義することで作成されます。物理インターフェイスに ethernet-switching ファミリ の論理インターフェイスがある場合、その論理インターフェイスに他のファミリタイプを含めることはできません。論理インターフェイスは、次のいずれかのモードで設定できます。

  • アクセスモード—インターフェイスはタグなしのパケットを受け入れ、指定されたVLAN識別子をパケットに割り当て、一致するVLAN識別子で構成されたVLAN内でパケットを転送します。

  • トランク モード - インターフェイスは、指定されたVLAN識別子のリストと一致するVLAN識別子でタグ付けされたパケットを受け入れます。トランク モード インターフェイスは通常、スイッチの相互接続に使用されます。物理インターフェイスで受信したタグなしパケットのVLAN識別子を設定するには、 native-vlan-id オプションを使用します。native-vlan-idオプションが設定されていない場合、タグなしパケットは破棄されます。

注:

トランク インターフェイスの VLAN ID が他のトランク インターフェイスの VLAN ID と重複しない限り、複数のトランク モード論理インターフェイスを定義できます。native-vlan-idは、トランクインターフェイス用に設定されたVLAN識別子リストに属している必要があります。

例:セキュリティ デバイスでのレイヤー 2 論理インターフェイスの設定

この例では、レイヤー 2 論理インターフェイスをトランク ポートとして設定することで、着信パケットを選択的にファイアウォールまたはその他のセキュリティ デバイスにリダイレクトする方法を示します。

要件

開始する前に、VLAN を構成します。「例 :セキュリティデバイス上のVLANの設定」を参照してください。

概要

この例では、論理インターフェイス ge-3/0/0.0 を、VLAN ID 1 〜 10 でタグ付けされたパケットのトラフィックを伝送するトランク ポートとして設定します。このインターフェイスは、以前に設定されたVLANであるvlan-aおよびvlan-bに暗黙的に割り当てられます。次に、物理インターフェイス ge-3/0/0 で受信したタグなしパケットに VLAN ID 10 を割り当てます。

設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

手順

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

レイヤー 2 論理インターフェイスをトランク ポートとして設定するには:

  1. 論理インターフェイスを設定します。

  2. タグなしパケットのVLAN IDを指定します。

  3. デバイスの設定が完了したら、設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show interfaces ge-3/0/0 コマンドと show interfaces ge-3/0/0.0 コマンドを入力します。

セキュリティデバイスの混合モード(透過モードとルートモード)について

混合モードは、透過モード(レイヤー 2)とルート モード(レイヤー 3)の両方をサポートします。これはデフォルトのモードです。別々のセキュリティ ゾーンを使用して、レイヤー 2 とレイヤー 3 の両方のインターフェイスを同時に設定できます。

注:

混合モード構成の場合、変更をコミットした後にデバイスを再起動する必要があります。ただし、SRX5000回線デバイスの場合は、再起動する必要はありません。

SRX4100およびSRX4200デバイスは、透過モードとルートモードの両方で論理システムをサポートします。

SRX4600デバイスは、ルート モードでのみ論理システムをサポートします

混合モード(透過モードとルート モード)の場合:

  • IRB インターフェイス間および IRB インターフェイスとレイヤー 3 インターフェイス間でルーティングは行われません。

図 1のデバイスは、2つの別々のデバイスのように見えます。一方のデバイスはレイヤー2透過モードで動作し、もう一方のデバイスはレイヤー3ルーティングモードで動作します。しかし、両方のデバイスは独立して動作します。IRB インターフェイス間および IRB インターフェイスとレイヤー 3 インターフェイス間にルーティングがないため、レイヤー 2 インターフェイスとレイヤー 3 インターフェイス間でパケットを転送できません。

図 1: 混合透過モードとルートモードのアーキテクチャ混合透過モードとルートモードのアーキテクチャ

混合モードでは、イーサネット物理インターフェイスはレイヤー2インターフェイスまたはレイヤー3インターフェイスのいずれかになりますが、イーサネット物理インターフェイスを同時に両方にすることはできません。ただし、レイヤー2およびレイヤー3ファミリーは、同じデバイス上の別々の物理インターフェイスに存在できます。

表 1 は、イーサネット物理インターフェイスのタイプとサポートされるファミリータイプの一覧です。

表 1: イーサネット物理インターフェイスとサポートされているファミリタイプ

イーサネット物理インターフェイス タイプ

サポートされているファミリ タイプ

レイヤー 2 インターフェイス

ethernet-switching

レイヤー 3 インターフェイス

inetinet6

注:

複数のルーティング インスタンスがサポートされています。

デフォルトのルーティング インスタンスまたはユーザー定義のルーティング インスタンスを使用して、同じデフォルトのルーティング インスタンスで疑似インターフェイス irb.x とレイヤー 3 インターフェイスの両方を設定できます。「図 2」を参照してください。

図 2: 透過モードとルートモードの混在透過モードとルートモードの混在

レイヤー 2 インターフェイスからのパケットは、同じ VLAN 内でスイッチングされるか、IRB インターフェイスを介してホストに接続されます。パケットは、独自の IRB インターフェイスを介して別の IRB インターフェイスまたはレイヤー 3 インターフェイスにルーティングすることはできません。

レイヤー 3 インターフェイスからのパケットは、別のレイヤー 3 インターフェイスにルーティングされます。パケットは、IRB インターフェイスを介してレイヤー 2 インターフェイスにルーティングすることはできません。

表 2 は、混合モードでサポートされているセキュリティ機能と、レイヤー2スイッチングの透過モードでサポートされていない機能を示しています。

表 2: 混合モード(透過およびルート モード)でサポートされるセキュリティ機能

モードタイプ

対応

サポートされていません

混合モード

  • アプリケーション層ゲートウェイ(ALG)

  • ファイアウォールユーザー認証(FWAUTH)

  • 侵入検出および防止(IDP)

  • 画面

  • AppSecure

  • コンテンツセキュリティ

ルート モード(レイヤー 3 インターフェイス)

  • NAT(ネットワークアドレス変換)

  • VPN

透過モード(レイヤー2インターフェイス)

  • コンテンツセキュリティ

  • NAT(ネットワークアドレス変換)

  • VPN

Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1以降、混在モード操作にいくつかの条件が適用されます。ここで条件に注意してください。

  • SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、 SRX550HM、および SRX1500 デバイスでは、混合モード(レイヤー 2 およびレイヤー 3)を使用してイーサネット スイッチングおよび仮想プライベート LAN サービス(VPLS)を設定できません。

  • SRX5400、SRX5600、および SRX5800 デバイスでは、VLAN を設定する際にデバイスを再起動する必要はありません。

例:混合モード(透過およびルートモード)を使用した SRXシリーズファイアウォール の設定によるセキュリティサービスの向上

透過モード(レイヤー2)とルートモード(レイヤー3)の両方を同時に使用して SRXシリーズファイアウォール を構成して、導入を簡素化し、セキュリティサービスを向上させることができます。

この例では、レイヤー2トラフィックをインターフェイスge-0/0/1.0からインターフェイスge-0/0/0.0に、レイヤー3トラフィックをインターフェイスge-0/0/2.0からインターフェイスge-0/0/3.0に渡す方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRXシリーズのファイアウォール

  • 4 台のパソコン

開始する前に、以下を実行します。

概要

さまざまなビジネス グループがレイヤー 2 またはレイヤー 3 ベースのセキュリティ ソリューションを使用している企業では、単一の混合モード構成を使用することで展開が簡素化されます。混合モード構成では、統合されたスイッチングとルーティングでセキュリティ サービスを提供することもできます。

さらに、混合モードを使用して、スタンドアロンモードとシャーシクラスタモードの両方で SRXシリーズファイアウォール を設定できます。

混合モード(デフォルト モード)では、別々のセキュリティ ゾーンを使用して、レイヤー 2 とレイヤー 3 の両方のインターフェイスを同時に設定できます。

注:

混合モード構成の場合、変更をコミットした後にデバイスを再起動する必要があります。ただし、SRX5000回線デバイスの場合は、再起動する必要はありません。

この例では、まず、レイヤー 2 インターフェイスを識別するために、イーサネット スイッチングと呼ばれるレイヤー 2 ファミリー タイプを設定します。IRB インターフェイスに IP アドレス 10.10.10.1/24 を設定します。次に、ゾーンL2を作成し、レイヤー2インターフェイスge-0/0/1.0とge-0/0/0.0を追加します。

次に、レイヤー3インターフェイスを識別するために、レイヤー3ファミリータイプinetを設定します。IP アドレス 192.0.2.1/24 をインターフェイス ge-0/0/2.0 に設定し、IP アドレス 192.0.2.3/24 をインターフェイス ge-0/0/3 に設定します。次に、ゾーン L3 を作成し、レイヤー 3 インターフェイス ge-0/0/2.0 と ge-0/0/3.0 を追加します。

トポロジー

図 3 は、混合モードのトポロジーを示しています。

図 3: 混合モード トポロジー混合モード トポロジー

表 3 は、この例で設定されたパラメータを示しています。

表 3: レイヤ 2 およびレイヤ 3 パラメータ

パラメーター

説明

L2

レイヤー 2 ゾーン。

ge-0/0/1.0 と ge-0/0/0.0

レイヤー 2 ゾーンに追加されたレイヤー 2 インターフェイス。

L3

レイヤー 3 ゾーン。

ge-0/0/2.0 と ge-0/0/3.0

レイヤー 3 ゾーンに追加されたレイヤー 3 インターフェイス。

10.10.10.1/24

IRB インターフェイスの IP アドレス。

192.0.2.1/24 および 192.0.2.3/24

レイヤー 3 インターフェイスの IP アドレス。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

レイヤー 2 およびレイヤー 3 インターフェイスを設定するには:

  1. レイヤー 2 ファミリー タイプを作成して、レイヤー 2 インターフェイスを設定します。

  2. レイヤー2インターフェイスが透過ブリッジモードで動作するように設定します。

  3. IRB インターフェイスの IP アドレスを設定します。

  4. レイヤー 2 インターフェイスを設定します。

  5. VLAN を構成します。

  6. レイヤー3インターフェイスのIPアドレスを設定します。

  7. トラフィックを許可するようにポリシーを設定します。

  8. レイヤー 3 インターフェイスを設定します。

結果

設定モードから、show interfacesshow security policiesshow vlans、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

レイヤー2およびレイヤー3のインターフェイスとゾーンの確認

目的

レイヤー 2 とレイヤー 3 のインターフェイスと、レイヤー 2 とレイヤー 3 のゾーンが作成されていることを確認します。

アクション

動作モードからshow security zonesコマンドを入力します。

意味

出力には、レイヤー2(L2)およびレイヤー3(L3)ゾーン名と、L2およびL3ゾーンにバインドされたレイヤー2およびレイヤー3インターフェイスの数と名前が表示されます。

レイヤー2およびレイヤー3セッションの検証

目的

デバイス上でレイヤー 2 およびレイヤー 3 セッションが確立されていることを確認します。

アクション

動作モードからshow security flow sessionコマンドを入力します。

意味

出力には、デバイス上のアクティブなセッションと、各セッションに関連付けられたセキュリティポリシーが表示されます。

  • Session ID 1- レイヤー 2 セッションを識別する番号。この ID を使用して、ポリシー名や入出力パケット数など、レイヤー 2 セッションに関する詳細情報を取得します。

  • default-policy-logical-system-00/2- レイヤー 2 トラフィックを許可したデフォルトのポリシー名。

  • In- 着信フロー(送信元と宛先のレイヤー 2 IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションの送信元インターフェイスは ge-0/0/0.0)。

  • Out- リバース フロー(送信元と宛先のレイヤー 2 IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションの宛先インターフェイスは ge-0/0/1.0)。

  • Session ID 2- レイヤー 2 セッションを識別する番号。この ID を使用して、ポリシー名や入出力パケット数など、レイヤー 2 セッションに関する詳細情報を取得します。

  • default-policy-logical-system-00/2- レイヤー 2 トラフィックを許可したデフォルトのポリシー名。

  • In- 受信フロー(送信元と宛先のレイヤー 2 IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションの送信元インターフェイスは ge-0/0/0.0、)。

  • Out- リバース フロー(送信元と宛先のレイヤー 2 IP アドレスとそれぞれの送信元および宛先ポート番号、セッションは ICMP、このセッションの宛先インターフェイスは ge-0/0/1.0、)。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
12.3X48-D10
Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1以降、混在モード操作にいくつかの条件が適用されます。