Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティデバイス上のレイヤー2インターフェイス

セキュリティデバイス上のレイヤー2インターフェイスについて

レイヤー 2 論理インターフェイスは、ファミリー アドレス タイプを持つ物理インターフェイス上で 1 つ以上の論理ユニットを定義することで作成されます ethernet-switching 。物理インターフェイスにファミリー論理インターフェイスがある場合、その論理インターフェイスに他の ethernet-switching ファミリー タイプを持つすることはできません。 論理インタフェースは、次のいずれかのモードで設定できます。

  • アクセス モード:インターフェイスはタグ付けされていないパケットを受け入れ、指定された VLAN 識別子をパケットに割り当て、一致する VLAN 識別子で設定された VLAN 内のパケットを転送します。

  • トランク モード — インターフェイスは、指定されたVLAN識別子のリストと一致するVLAN識別子でタグ付けされたパケットを受け入れします。通常、トランクモードインターフェイスは、スイッチを相互接続するために使用されます。物理インターフェイスで受信したタグなしパケットの VLAN 識別子を構成するにnative-vlan-idは、このオプションを使用します。native-vlan-idオプションが設定されていない場合、タグなしパケットはドロップされます。

注:

トランクインターフェイスの VLAN id が別のトランクインターフェイスと重複しない限り、複数のトランクモード論理インタフェースを定義できます。はnative-vlan-id 、トランクインターフェイス用に構成された VLAN 識別子リストに属している必要があります。

例:セキュリティデバイス上でのレイヤー2論理インタフェースの構成

この例では、着信パケットをファイアウォールまたはその他のセキュリティデバイスに選択的にリダイレクトできるように、レイヤー2論理インタフェースをトランクポートとして設定する方法を示します。

要件

開始する前に、Vlan を構成します。例をご覧ください。セキュリティーデバイス上の vlan の構成

概要

この例では、論理インタフェースの 3/0/0.0 をトランクポートとして構成し、VLAN 識別子 1 ~ 10 でタグ付けされたパケットのトラフィックを伝送します。このインターフェイスは、以前に構成された vlan-a および vlan-b に暗黙的に割り当てられます。その後、物理インターフェース ge で受信したタグなしパケットのうち 4 ~ 0/0/ゼロに VLAN ID 10 を割り当てます。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

レイヤー2論理インタフェースをトランクポートとして構成するには、次のようにします。

  1. 論理インタフェースを構成します。

  2. タグ付けされていないパケットの VLAN ID を指定します。

  3. デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることをshow interfaces ge-3/0/0確認show interfaces ge-3/0/0.0するには、およびコマンドを入力します。

セキュリティデバイスに対する混合モード (透過およびルートモード) について理解する

混合モードでは、透明モード (レイヤー 2) とルートモード (レイヤー 3) の両方をサポートしています。これはデフォルトのモードです。レイヤー2インタフェースとレイヤー3インターフェイスの両方を、個別のセキュリティーゾーンを使用して同時に設定することができます。

注:

混合モード構成では、変更をコミットした後、デバイスを再起動する必要があります。ただし、SRX5000 ラインデバイスの場合、再起動は必要ありません。

SRX4100 と SRX4200 のデバイスは、透過およびルートモードの両方で論理システムをサポートしています。

SRX4600 デバイスは、ルートモードでのみ論理システムをサポートしています。

混合モード (透過およびルートモード):

  • IRB インターフェイス間、および IRB のインターフェイスとレイヤー3のインターフェイス間でルーティングが行われるわけではありません。

デバイスは 2 図 1つの独立したデバイスのようになっています。1つのデバイスはレイヤー2透過モードで動作し、もう一方のデバイスはレイヤー3ルーティングモードで実行されます。しかし、どちらのデバイスも独立して動作します。IRB インターフェイス間と IRB インターフェイスとレイヤー3インターフェイス間ではルーティングが行われないため、レイヤー2とレイヤー3のインターフェイスの間でパケットを転送することはできません。

図 1: 透明およびルートモードの混在したアーキテクチャ透明およびルートモードの混在したアーキテクチャ

混在モードでは、イーサネット物理インターフェイスはレイヤー2インターフェイスまたはレイヤー3インターフェイスのいずれかになりますが、イーサネット物理インターフェイスを同時に使用することはできません。ただし、レイヤー2とレイヤー3ファミリは、同じデバイス上の別々の物理インタフェース上に存在することができます。

表 1は、イーサネット物理インターフェイスタイプとサポートされるファミリータイプを示しています。

表 1: イーサネットの物理インターフェイスとサポートされているファミリータイプ

イーサネット物理インターフェイスタイプ

サポートされるファミリータイプ

レイヤー2インターフェイス

ethernet-switching

レイヤー3インターフェイス

inet および inet6

注:

複数のルーティングインスタンスがサポートされています。

デフォルトルーティングインスタンスまたはユーザー定義irb.xルーティングインスタンスのいずれかを使用して、同じデフォルトルーティングインスタンスの中で、擬似インターフェイスとレイヤー3インターフェイスの両方を設定できます。参照図 2してください。

図 2: 透明およびルートモードの混在透明およびルートモードの混在

レイヤー2インターフェイスからのパケットは同じ VLAN 内で切り替えられます。または、IRB インターフェイスを使用してホストに接続します。パケットは、独自の IRB インターフェイスを介して、他の IRB インターフェイスやレイヤー3インターフェイスにルーティングすることはできません。

レイヤー3インターフェイスからのパケットは、別のレイヤー3インターフェイスにルーティングされます。IRB インターフェイスを介して、パケットをレイヤー2インターフェイスにルーティングすることはできません。

表 2混在モードでサポートされているセキュリティ機能とレイヤー2スイッチングの透過モードでサポートされていない機能を示します。

表 2: 混合モード (透過およびルートモード) でサポートされるセキュリティー機能

モードタイプ

対応していない

混合モード

  • アプリケーション層ゲートウェイ (Alg)

  • ファイアウォールユーザー認証 (FWAUTH)

  • 侵入検知と防御 (IDP)

  • 画面

  • AppSecure

  • 統合脅威管理(UTM)

ルートモード (レイヤー3インターフェイス)

  • NAT(ネットワーク アドレス変換)

  • VPN

透過モード (レイヤー2インターフェイス)

  • 統合脅威管理(UTM)

  • NAT(ネットワーク アドレス変換)

  • VPN

Junos OS リリース 12.3 X48-D10 および Junos OS リリース 17.3 R1 では、いくつかの条件が混在モードの運用に適用されます。以下の条件を確認してください。

  • SRX300、SRX320、SRX340、SRX345、SRX380、SRX550、SRX550HM、SRX1500 の各デバイスでは、混合モード(レイヤー 2 およびレイヤー 3)を使用してイーサネット スイッチングと VPLS(仮想プライベート LAN サービス)を設定することはできません。

  • SRX5400、SRX5600、SRX5800 の各デバイスでは、VLAN の構成時にデバイスを再起動する必要はありません。

例:混合モード (透過およびルートモード) を使用して SRX シリーズデバイスを構成することで、セキュリティサービスを向上させる

透過モード (レイヤー 2) とルートモード (レイヤー 3) の両方を使用して SRX シリーズデバイスを同時に構成して、導入を簡素化し、セキュリティサービスを向上させることができます。

この例では、インターフェイス ge-0/0/1.0 へのレイヤー2トラフィックと、インターフェイス ge-0/0/2.0 から interface ge-0/0/3.0 へのレイヤー3トラフィックを渡す方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズデバイス

  • 4台の Pc

開始する前に:

概要

さまざまなビジネスグループがレイヤー2またはレイヤー3ベースのセキュリティソリューションを持っている企業では、単一の混合モード構成を使用することで、導入が簡素化されます。混合モードの構成では、統合型スイッチングとルーティングによってセキュリティサービスを提供することもできます。

さらに、混合モードを使用して、スタンドアロンおよびシャーシクラスターモードの両方で SRX シリーズデバイスを構成できます。

混合モード (デフォルトモード) では、レイヤー2インタフェースとレイヤー3インターフェイスの両方を、個別のセキュリティーゾーンを使用して同時に設定できます。

注:

混合モード構成では、変更をコミットした後、デバイスを再起動する必要があります。ただし、SRX5000 ラインデバイスの場合、再起動は必要ありません。

この例では、まず、イーサネットスイッチと呼ばれるレイヤー2ファミリタイプを構成して、レイヤー2インターフェイスを特定します。IP アドレス 10.10.10.1/24 を IRB インターフェイスに設定します。次に、ゾーン L2 を作成し、x 2 インターフェイスを、0/0/1.0 および ge-0/0/0.0 に追加します。

次に、レイヤー3ファミリのタイプとして inet を設定し、レイヤー3インターフェイスを識別します。IP アドレス 192.0.2.1/24 を interface ge-0/0/2.0、および IP アドレス 192.0.2.3/24 から interface ge-0/0/3 に設定します。次に、ゾーン L3 を作成し、x 3 インターフェイスを 0/0/2.0 および ge-0/0/3.0 に追加します。

Topology

図 3は、混合モードトポロジを示しています。

図 3: 混合モードトポロジ混合モードトポロジ

表 3は、この例で設定されたパラメーターを示しています。

表 3: レイヤー2とレイヤー3のパラメーター

パラメーター

説明

L2

レイヤー2ゾーン

ge-0/0/1.0 および ge-0/0/0.0

レイヤー2のレイヤーに追加されています。

L3

レイヤー3ゾーンです。

ge-0/0/2.0 および ge-0/0/3.0

レイヤー3のレイヤーに追加されています。

10.10.10.1/24

IRB インターフェイスの IP アドレス。

192.0.2.1/24 および 192.0.2.3/24

レイヤー3インターフェイスの IP アドレス。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

レイヤー2およびレイヤー3インターフェイスを構成するには、次のようにします。

  1. レイヤー2インタフェースを構成するレイヤー2ファミリータイプを作成します。

  2. 透過型ブリッジモードで動作するようにレイヤー2インターフェイスを構成します。

  3. IRB インターフェイスの IP アドレスを設定します。

  4. レイヤー2インターフェイスを構成します。

  5. VLAN を構成します。

  6. レイヤー3インターフェイスの IP アドレスを構成します。

  7. トラフィックを許可するようにポリシーを設定します。

  8. レイヤー3インターフェイスを構成します。

結果

構成モードからshow interfaces、、、 show security policiesshow vlans、およびshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

レイヤー2およびレイヤー3のインターフェイスとゾーンの確認

目的

レイヤー2とレイヤー3のインターフェイスとレイヤー2およびレイヤー3のゾーンが作成されていることを確認します。

アクション

動作モードから、 show security zonesコマンドを入力します。

出力には、レイヤー 2 (L2) およびレイヤー 3 (L3) ゾーン名と、L2 および L3 ゾーンにバインドされたレイヤー2およびレイヤー3インターフェイスの数と名前が表示されます。

レイヤー2およびレイヤー3セッションの検証

目的

レイヤー2およびレイヤー3セッションがデバイス上で確立されていることを確認します。

アクション

動作モードから、 show security flow sessionコマンドを入力します。

出力には、デバイス上のアクティブなセッションと各セッションに関連付けられたセキュリティ ポリシーが表示されます。

  • Session ID 1—レイヤー 2 セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。

  • default-policy-logical-system-00/2—レイヤー 2 トラフィックを許可したデフォルト ポリシー名。

  • In—受信フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先レイヤー 2 IP アドレス、セッションは ICMP で、このセッションの送信元インターフェイスは ge-0/0/0.0 です。

  • Out—リバース フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先レイヤー 2 IP アドレス、セッションは ICMP、このセッションの宛先インターフェイスは ge-0/0/1.0 です)。

  • Session ID 2—レイヤー 2 セッションを識別する番号。この ID を使用して、ポリシー名やパケットの入出力数など、レイヤー2セッションの詳細情報を取得します。

  • default-policy-logical-system-00/2—レイヤー 2 トラフィックを許可したデフォルト ポリシー名。

  • In—受信フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先レイヤー 2 IP アドレス、セッションは ICMP で、このセッションのソース インターフェイスは ge-0/0/0.0 です)。

  • Out—リバース フロー(それぞれの送信元および宛先ポート番号を持つ送信元および宛先レイヤー 2 IP アドレス、セッションは ICMP、このセッションの宛先インターフェイスは ge-0/0/1.0 です)。

リリース履歴テーブル
リリース
説明
12.3X48-D10
Junos OS リリース 12.3 X48-D10 および Junos OS リリース 17.3 R1 では、いくつかの条件が混在モードの運用に適用されます。