Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

セキュリティ デバイス上のセキュア ワイヤ

セキュリティ デバイス上のセキュア ワイヤについて

特定のインターフェイスに到着したトラフィックは、別のインターフェイスを介して変更されずに転送できます。セキュア ワイヤーと呼ばれるこのインターフェイスのマッピングにより、ルーティングテーブルの変更や隣接デバイスの再設定を必要とせずに、SRXシリーズをネットワークトラフィックのパスに導入できます。 図 1 、セキュアワイヤを使用したSRXシリーズの標準的なインパス導入を示しています。

図 1: セキュアワイヤを使用したSRXシリーズのインパス導入セキュアワイヤを使用したSRXシリーズのインパス導入

セキュア ワイヤは、2 つのピア インターフェイスをマッピングします。トランスペアレントモードやルートモードとは異なり、トラフィックを転送するためのスイッチングやルーティングルックアップはありません。トラフィックがセキュリティ ポリシーで許可されている限り、一方のピア インターフェイスに到着したパケットは、もう一方のピア インターフェイスから変更されずに直ちに転送されます。パケットに対してルーティングやスイッチングの決定は行われません。リターントラフィックも変更されずに転送されます。

セキュア ワイヤ マッピングは、[edit security forwarding-options] 階層レベルの secure-wire ステートメントを使用して設定されます。2 つのイーサネット論理インターフェイスを指定する必要があります。イーサネット論理インターフェイスは family ethernet-switching で設定する必要があり、インターフェイスの各ペアは VLAN に属している必要があります。インターフェイスは、セキュリティ ゾーンにバインドされ、ゾーン間のトラフィックを許可するセキュリティ ポリシーが設定されている必要があります。

この機能は、イーサネット論理インターフェイスでのみ使用できます。IPv4 と IPv6 の両方のトラフィックがサポートされています。インターフェイスは、アクセス モードまたはトランク モード用に設定できます。セキュア ワイヤは、シャーシ クラスタの冗長イーサネット インターフェイスをサポートします。この機能は、NATやIPsec VPNなどの透過モードでサポートされていないセキュリティ機能をサポートしていません。

Secure Wireは、AppSecure、SSLプロキシ、コンテンツセキュリティ、IPS/IDPなどのレイヤー7の機能をサポートします。

セキュアワイヤーは、ポイントツーポイント接続を提供するSRXシリーズファイアウォール上のレイヤー2透過モードの特殊なケースです。つまり、セキュアワイヤの2つのインターフェイスは、ルーターやホストなどのレイヤー3エンティティに直接接続されているのが理想的です。セキュアワイヤインターフェイスは、スイッチに接続できます。ただし、セキュアワイヤインターフェイスがすべての着信トラフィックをピアインターフェイスに転送するのは、トラフィックがセキュリティポリシーで許可されている場合のみであることに注意してください。

セキュアワイヤーはレイヤー3モードと共存できます。レイヤー 2 とレイヤー 3 のインターフェイスを同時に設定できますが、トラフィックの転送はレイヤー 2 とレイヤー 3 のインターフェイスでは独立して行われます。

セキュアワイヤーは、レイヤー2透過モードと共存できます。両方の機能が同一の SRXシリーズファイアウォールに存在する場合は、異なるVLANで設定する必要があります。

注:

IRB(統合型ルーティングおよびブリッジング)インターフェイスは、セキュアワイヤではサポートされていません。

関連項目

例:セキュアワイヤオーバーアクセスモードインターフェイスにより、SRXシリーズファイアウォールの導入を簡素化

SRXシリーズファイアウォールを他のネットワークデバイスに接続する場合、セキュアワイヤーを使用してネットワークへのデバイス導入を簡素化できます。SRXシリーズファイアウォール上のルーティングテーブルや転送テーブルを変更したり、隣接デバイスの再設定を行う必要はありません。セキュアワイヤにより、セキュリティポリシーまたはその他のセキュリティ機能で許可されている限り、 SRXシリーズファイアウォール 上の指定されたアクセスモードインターフェイス間でトラフィックを変更されずに転送できます。アクセスモードインターフェイスを介してSRXシリーズファイアウォールを他のネットワークデバイスに接続する場合は、この例に従います。

この例では、2つのアクセスモードインターフェイスにセキュアワイヤマッピングを設定する方法を示します。この設定は、ユーザー トラフィックに VLAN タグが付いていないシナリオに適用されます。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、インターフェイスge-0/0/3.0をインターフェイスge-0/0/4.0にマッピングするセキュアワイヤアクセス-swを設定します。2 つのピア インターフェイスは、アクセス モード用に設定されています。VLAN ID 10 は、vlan-10 とアクセス モード インターフェイス用に設定されています。

注:

VLAN には特定の VLAN ID を設定する必要があります。

トポロジー

図 2 は、セキュアワイヤアクセス-SWにマッピングされたアクセスモードインターフェイスを示しています。

図 2: セキュア ワイヤ アクセス モード インターフェイスセキュア ワイヤ アクセス モード インターフェイス

設定

手順

CLIクイック構成
注:

Junos OSリリース15.1X49-D10およびJunos OSリリース17.3R1から、いくつかのレイヤー2CLI構成ステートメントが拡張され、いくつかのコマンドが変更されています。変更された階層の詳細については、「 セキュリティデバイス用の拡張レイヤー2CLI構成ステートメントおよびコマンドの変更点」を参照してください。

以下に示す設定ステートメントは、Junos OSリリース15.1X49-D10以降およびJunos OSリリース17.3R1用です。

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

注:

スイッチング モードでは、イーサネット スイッチング インターフェイスがセキュリティ ゾーン内にあってはなりません。global-mode (Protocols)コマンドを使用して、セキュリティゾーンでイーサネットスイッチングインターフェイスの透過モードを許可する必要があります。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

アクセス モード インターフェイスのセキュア ワイヤ マッピングを設定するには:

  1. VLAN を設定します。

  2. アクセス モード インターフェイスを設定します。

  3. セキュア ワイヤ マッピングを設定します。

  4. セキュリティ ゾーンを構成します。

  5. アドレス帳エントリを作成します。アドレス帳にセキュリティ ゾーンをアタッチします。

  6. メール トラフィックを許可するセキュリティ ポリシーを構成します。

結果

設定モードから、show vlansshow interfacesshow security forwarding-options、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュアワイヤマッピングの検証

目的

セキュア・ワイヤ・マッピングを検証します。

アクション

動作モードからshow security forwarding-options secure-wireコマンドを入力します。

VLAN の検証

目的

VLAN を検証します。

アクション

動作モードからshow vlans vlan-10コマンドを入力します。

ポリシー設定の確認

目的

セキュリティ ポリシーに関する情報を確認します。

アクション

動作モードからshow security policies detailコマンドを入力します。

関連項目

例:トランクモードインターフェイス上のセキュアワイヤーでSRXシリーズファイアウォールの導入を簡素化

SRXシリーズファイアウォールを他のネットワークデバイスに接続する場合、セキュアワイヤーを使用してネットワークへのデバイス導入を簡素化できます。SRXシリーズファイアウォール上のルーティングテーブルや転送テーブルを変更したり、隣接デバイスの再設定を行う必要はありません。セキュアワイヤにより、セキュリティポリシーまたはその他のセキュリティ機能で許可されている限り、 SRXシリーズファイアウォール 上の指定されたトランクモードインターフェイス間でトラフィックを変更せずに転送できます。トランクモードインターフェイスを介してSRXシリーズファイアウォールを他のネットワークデバイスに接続する場合は、この例に従います。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、インターフェイスge-0/1/0.0をインターフェイスge-0/1/1.0にマッピングするセキュアワイヤトランクSWを設定します。2 つのピア インターフェイスはトランク モードに設定され、100 から 102 までの VLAN ID でタグ付けされたユーザー トラフィックを伝送します。VLAN ID リスト 100-102 は、VLAN vlan-100 とトランク モードのインターフェイスに対して設定されます。

注:

VLAN には特定の VLAN ID を設定する必要があります。

トポロジー

図 3 は、セキュア ワイヤ trunk-SW にマッピングされたトランク モード インターフェイスを示しています。

図 3: セキュア ワイヤ トランク モード インターフェイスセキュア ワイヤ トランク モード インターフェイス

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

トランク モード インターフェイスのセキュア ワイヤ マッピングを設定するには:

  1. VLAN を設定します。

  2. トランク モード インターフェイスを設定します。

  3. セキュア ワイヤ マッピングを設定します。

  4. セキュリティ ゾーンを構成します。

  5. トラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、show vlansshow interfacesshow security forwarding-options、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュアワイヤマッピングの検証

目的

セキュア・ワイヤ・マッピングを検証します。

アクション

動作モードからshow security forwarding-options secure-wireコマンドを入力します。

VLAN の検証

目的

VLAN を検証します。

アクション

動作モードからshow vlansコマンドを入力します。

注:

VLAN は自動的に拡張され、[VLAN ID] リスト内の VLAN ID ごとに 1 つの VLAN が表示されます。

関連項目

例:集約されたインターフェイスメンバーリンクを介したセキュアワイヤーにより、SRXシリーズファイアウォールの導入を簡素化

SRXシリーズファイアウォールを他のネットワークデバイスに接続する場合、セキュアワイヤーを使用してネットワークへのデバイス導入を簡素化できます。SRXシリーズファイアウォール上のルーティングテーブルや転送テーブルを変更したり、隣接デバイスの再設定を行う必要はありません。セキュアワイヤでは、セキュリティポリシーまたはその他のセキュリティ機能で許可されている限り、 SRXシリーズファイアウォール 上の指定された集約インターフェイスメンバーリンク間でトラフィックを変更されずに転送できます。集約されたインターフェイスメンバーリンクを介してSRXシリーズファイアウォールを他のネットワークデバイスに接続する場合は、この例に従います。

注:

LACP はサポートされていません。セキュアワイヤーマッピングは、集合型イーサネットインターフェイスを直接マッピングする代わりに、リンクバンドルのメンバーリンクに対して設定することができます。SRXシリーズファイアウォールのポートまたはインターフェイスがトランクモードの場合、デバイスはLACP PDUを送信せず、LACPに失敗します。LACPを起動するには、安全な有線インターフェイスにネイティブVLANを追加する必要があります。

注:

SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、SRX650デバイスでは、2つ以上のポートを持つ集約型インターフェイスを作成し、そのファミリーをイーサネットスイッチングに設定した場合、バンドル内のリンクがダウンした場合、同じリンクを介して転送されたトラフィックは2秒後に再ルーティングされます。これにより、再ルートが完了するまで、リンクに送信されるトラフィックが停止します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、それぞれ2つのリンクを持つ、2つの集約型イーサネットインターフェイスリンクバンドルにセキュアワイヤを設定します。2本の個別のセキュアワイヤae-link1およびae-link2は、各集約されたイーサネットリンクバンドルからの1つのリンクを使用して設定されます。このスタティックマッピングでは、2つのリンクバンドルのリンク数が同じである必要があります。

リンクバンドルの場合、セキュアワイヤマッピングのすべての論理インターフェイスは、同じVLANに属している必要があります。VLAN ID 10 は、VLAN vlan-10 と論理インターフェイスに対して設定されます。リンク バンドルのすべての論理インターフェイスは、同じセキュリティ ゾーンに属している必要があります。

注:

VLANには、特定のVLAN IDまたはVLAN IDリストを設定する必要があります。

トポロジー

図 4 は、セキュアワイヤ設定でマッピングされた集約されたインターフェイスを示しています。

図 4: セキュアワイヤー集約インターフェイスセキュアワイヤー集約インターフェイス

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

集約されたインターフェイスメンバーリンクのセキュアワイヤマッピングを設定するには:

  1. VLAN を設定します。

  2. インターフェイスを設定します。

  3. セキュア ワイヤ マッピングを設定します。

  4. セキュリティ ゾーンを構成します。

  5. トラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、show vlansshow interfacesshow security forwarding-options、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュアワイヤマッピングの検証

目的

セキュア・ワイヤ・マッピングを検証します。

アクション

動作モードからshow security forwarding-options secure-wireコマンドを入力します。

VLAN の検証

目的

VLAN を検証します。

アクション

動作モードからshow vlans vlan-10コマンドを入力します。

関連項目

例:冗長イーサネットインターフェイスを介したセキュアワイヤにより、シャーシクラスタの導入を簡素化

SRXシリーズのシャーシクラスタを他のネットワークデバイスに接続する場合、セキュアワイヤを使用してネットワークへのクラスタ導入を簡素化できます。クラスタ上のルーティングテーブルや転送テーブルを変更したり、隣接デバイスの再構成を行う必要はありません。セキュアワイヤにより、セキュリティポリシーまたはその他のセキュリティ機能で許可されている限り、SRXシリーズシャーシクラスター上の指定された冗長イーサネットインターフェイス間でトラフィックを変更せずに転送できます。冗長イーサネットインターフェイスを介してSRXシリーズのシャーシクラスターを他のネットワークデバイスに接続する場合は、この例に従います。

要件

始める前に:

  • シャーシクラスター内の同じ SRXシリーズファイアウォール のペアを接続します。

  • シャーシ クラスタ ノード ID とクラスタ ID を設定します。

  • シャーシクラスター内の冗長イーサネットインターフェイスの数を設定します。

  • シャーシ クラスタ ファブリックを設定します。

  • シャーシ クラスタ冗長グループを設定します(この例では冗長グループ 1 を使用します)。

詳細については、 SRXシリーズ デバイス用シャーシクラスタユーザーガイドを参照してください

概要

セキュアワイヤは、シャーシクラスタ内の冗長イーサネットインターフェイス上でサポートされています。2つの冗長イーサネットインターフェイスは、同じ冗長性グループ内で設定する必要があります。フェイルオーバーが発生した場合、両方の冗長イーサネットインターフェイスが一緒にフェイルオーバーする必要があります。

注:

冗長イーサネットリンクアグリゲーショングループ(LAG)のセキュアワイヤーマッピングはサポートされていません。LACP はサポートされていません。

この例では、イングレスインターフェイスreth0.0をエグレスインターフェイスreth1.0にマッピングするセキュアワイヤreth-swを設定します。各冗長イーサネットインターフェイスは、シャーシクラスターの各ノードに1つずつ、合計2つの子インターフェイスで構成されています。2 つの冗長イーサネット インターフェイスは、アクセス モード用に設定されています。VLAN ID 10 は、VLAN vlan-10 と冗長イーサネットインターフェイス用に設定されています。

注:

VLANには、特定のVLAN IDまたはVLAN IDリストを設定する必要があります。

トポロジー

図 5 は、セキュアワイヤRETH-SWにマッピングされた冗長イーサネットインターフェイスを示しています。

図 5: セキュアワイヤー冗長イーサネットインターフェイスセキュアワイヤー冗長イーサネットインターフェイス

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

シャーシクラスターの冗長イーサネットインターフェイスのセキュアワイヤマッピングを設定するには、次の手順に従います。

  1. VLAN を設定します。

  2. 冗長イーサネットインターフェイスを設定します。

  3. セキュア ワイヤ マッピングを設定します。

  4. セキュリティ ゾーンを構成します。

  5. トラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、show vlansshow interfacesshow security forwarding-options、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュアワイヤマッピングの検証

目的

セキュア・ワイヤ・マッピングを検証します。

アクション

動作モードからshow security forwarding-options secure-wireコマンドを入力します。

VLAN の検証

目的

VLAN を検証します。

アクション

動作モードからshow vlan vlan-10コマンドを入力します。

関連項目

例:集約型冗長イーサネットインターフェイスを介したセキュアワイヤーにより、シャーシクラスタの導入を簡素化

SRXシリーズのシャーシクラスタを他のネットワークデバイスに接続する場合、セキュアワイヤを使用してネットワークへのクラスタ導入を簡素化できます。クラスタ上のルーティングテーブルや転送テーブルを変更したり、隣接デバイスの再構成を行う必要はありません。セキュアワイヤにより、セキュリティポリシーまたはその他のセキュリティ機能で許可されている限り、SRXシリーズシャーシクラスター上の指定された冗長イーサネットインターフェイス間でトラフィックを変更せずに転送できます。集約された冗長イーサネットインターフェイスを介してSRXシリーズのシャーシクラスターを他のネットワークデバイスに接続する場合は、次の例に従います。

注:

セキュアワイヤは、冗長イーサネットインターフェイスリンクアグリゲーショングループ(LAG)に設定することはできません。この例に示すセキュアワイヤマッピングでは、SRXシリーズのシャーシクラスタにLAG設定はありません。各冗長イーサネットインターフェイスは、シャーシクラスターの各ノードに1つずつ、合計2つの子インターフェイスで構成されています。SRXシリーズクラスターに接続されたアップストリームまたはダウンストリームデバイスのユーザーは、LAG内で冗長イーサネットインターフェイスの子リンクを設定できます。

要件

始める前に:

  • シャーシクラスター内の同じ SRXシリーズファイアウォール のペアを接続します。

  • シャーシ クラスタ ノード ID とクラスタ ID を設定します。

  • シャーシクラスター内の冗長イーサネットインターフェイスの数を設定します。

  • シャーシ クラスタ ファブリックを設定します。

  • シャーシ クラスタ冗長グループを設定します(この例では、冗長グループ 1 が使用されています)。

詳細については、 SRXシリーズ デバイス用シャーシクラスタユーザーガイドを参照してください

概要

この例では、4 つの冗長イーサネット インターフェイスにセキュア ワイヤを設定します。reth0、reth1、reth2、およびreth3。各冗長イーサネットインターフェイスは、シャーシクラスターの各ノードに1つずつ、合計2つの子インターフェイスで構成されています。4 つの冗長イーサネット インターフェイスはすべて同じ VLAN 内にある必要があります(この例では、VLAN は vlan-0 です)。冗長イーサネットインターフェイスのうち2つ、reth0.0とreth2.0はtrustゾーンに割り当てられ、他の2つのインターフェイスreth1.0とreth3.0はuntrustゾーンに割り当てられます。

この例では、次のセキュアワイヤを設定します。

  • reth-sw1 はインターフェイス reth0.0 をインターフェイス reth1.0 にマッピングします

  • reth-sw2 はインターフェイス reth2.0 を reth3.0 にマッピングします

すべての冗長イーサネットインターフェイスは、アクセスモード用に設定されています。VLAN ID 10 は、VLAN vlan-0 および冗長イーサネットインターフェイス用に設定されています。

注:

VLANには、特定のVLAN IDまたはVLAN IDリストを設定する必要があります。

トポロジー

図 6 は、セキュアワイヤ設定reth-sw1およびreth-sw2でマッピングされた冗長イーサネットインターフェイス子リンクを示しています。各冗長イーサネットインターフェイスは、シャーシクラスターの各ノードに1つずつ、合計2つの子インターフェイスで構成されています。

図 6: セキュアワイヤー冗長イーサネットインターフェイス 子リンクセキュアワイヤー冗長イーサネットインターフェイス 子リンク

SRXシリーズクラスタに接続されたアップストリームまたはダウンストリームデバイスのユーザーは、LAGがシャーシクラスタノードにまたがらない限り、LAG内に冗長イーサネットインターフェイスの子リンクを設定することができます。例えば、ノード0のge-0/0/0とge-0/1/0、ge-0/0/1とge-0/1/1は、接続されたデバイスのLAGとして設定できます。同様に、ノード1のge-1/0/0とge-1/1/0、ge-1/0/1とge-1/1/1も、接続されたデバイスのLAGとして設定できます。

設定

手順

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

集約されたインターフェイスメンバーリンクのセキュアワイヤマッピングを設定するには:

  1. VLAN を設定します。

  2. 冗長イーサネットインターフェイスを設定します。

  3. セキュア ワイヤ マッピングを設定します。

  4. セキュリティ ゾーンを構成します。

  5. トラフィックを許可するセキュリティポリシーを設定します。

結果

設定モードから、show vlansshow interfacesshow security forwarding-options、およびshow security zones のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

セキュアワイヤマッピングの検証

目的

セキュア・ワイヤ・マッピングを検証します。

アクション

動作モードからshow security forwarding-options secure-wireコマンドを入力します。

VLAN の検証

目的

VLAN を検証します。

アクション

動作モードからshow vlans vlan-0コマンドを入力します。

関連項目