Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS ベースの IPsec VPN

JunosのCoS(サービスクラス)機能を設定して、VPNに複数のサービスクラスを提供できます。デバイス上では、パケット送信用の複数の転送クラスの設定、各出力キューに入れるパケットの定義、各キューの送信サービスレベルのスケジュール設定、および輻輳の管理を行うことができます。

複数のIPsec SAを持つCoSベースのIPsec VPNについて

SRXシリーズファイアウォールで設定されたサービスクラス(CoS)転送クラス(FC)は、IPsecセキュリティアソシエーション(SA)にマッピングできます。各FCのパケットは異なるIPsec SAにマッピングされるため、ローカルデバイスと中間ルーターでCoS処理が行われます。

複数のIPsec SAを使用したCoSベースIPsec VPNのメリット

  • トンネルごとに異なるセキュリティアソシエーションのセットを使用し、異なるデータストリームを確保するのに役立ちます。

  • ボイスオーバーIPなど、差別化されたトラフィックが必要な場所でIPsec VPNの導入を容易にするのに役立ちます。

概要

この機能はジュニパーネットワークス独自の機能であり、サポートされているSRXプラットフォームとJunos OSリリースで動作します。VPNピアデバイスは、この機能をサポートするSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス、あるいはSRXシリーズファイアウォールと同じ方法で同じ機能をサポートするその他の製品である必要があります。

FCからIPsec SAへのマッピング

[] 階層レベルの VPN には、最大 8 つの転送クラス(FC)を設定できます。multi-sa forwarding-classesedit security ipsec vpn vpn-name ピア ゲートウェイとネゴシエートされた IPsec SA の数は、VPN に設定された FC の数に基づきます。FCからIPsec SAへのマッピングは、VPNに設定されているすべてのトラフィックセレクターに適用されます。

特定の VPN の FC 用に作成されたすべての IPsec SA は、同じトンネル ID で表されます。トンネル関連のイベントでは、すべての IPsec SA の状態と統計情報が考慮されます。トンネルに関連するすべてのIPsec SAは、SRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンス上の同じSPUまたは同じスレッドIDに固定されます。

IPsec SA ネゴシエーション

VPN に複数の FC が設定されている場合、固有の IPsec SA が各 FC のピアとネゴシエートされます。さらに、デフォルトの IPsec SA は、設定された FC と一致しないパケットを送信するためにネゴシエートされます。VPN ピアデバイスが FC 用に設定されていない場合、または FC から IPsec SA へのマッピングをサポートしていない場合でも、デフォルトの IPsec はネゴシエートされます。デフォルトの IPsec SA は、ネゴシエートされる最初の IPsec SA であり、破棄される最後の SA です。

設定されている FC の数によって異なります。IPsec SA がネゴシエーション中の場合、IPsec SA がまだネゴシエートされていない FC にパケットが到着することがあります。特定の FC の IPsec SA がネゴシエートされるまで、トラフィックはデフォルトの IPsec SA に送信されます。インストールされているどの IPsec SA にも一致しない FC を持つパケットは、デフォルトの IPsec SA で送信されます。

FC から IPsec SA へのマッピングは、ローカル VPN ゲートウェイで実行されます。ローカルゲートウェイとピアゲートウェイでは、FCが別々の順序で設定されている場合があります。各ピア ゲートウェイは、IPsec SA ネゴシエーションが完了した順序で FC をマッピングします。そのため、ローカル ゲートウェイとピア ゲートウェイでは、FC から IPsec SA へのマッピングが異なる場合があります。ゲートウェイは、設定されたFC数に達すると、新しいIPsec SAのネゴシエーションを停止します。ピア ゲートウェイは、ローカル ゲートウェイで設定された FC の数よりも多くの IPsec SA を開始する場合があります。この場合、ローカル ゲートウェイは追加の IPsec SA 要求(最大 18 の IPsec SA)を受け入れます。ローカル ゲートウェイは、着信 IPsec トラフィックの復号化にのみ他の IPsec SA を使用します。設定されているどのFCとも一致しないFCを使用してパケットを受信した場合、パケットはデフォルトのFC IPsec SAで送信されます。

ピアデバイスからデフォルトIPsec SAの削除通知を受信した場合、デフォルトIPsec SAのみが削除され、デフォルトIPsec SAが新たにネゴシエートされます。この間、デフォルトのIPsec SAを使用する可能性のあるトラフィックはドロップされます。VPN トンネルは、デフォルトの IPsec SA が最後の SA である場合にのみダウンします。

オプションが VPN用に設定され、コミットされている場合、SRXシリーズファイアウォールはトラフィックの到着を待たずにIPsec SAをネゴシエートします。establish-tunnels immediately 設定された FC の IPsec SA のネゴシエーションが完了しない場合、ネゴシエーションは 60 秒ごとに再試行されます。

オプションが VPNに設定されている場合、SRXシリーズファイアウォールは最初のデータパケットが到着したときにIPsec SAをネゴシエートします。最初のパケットのFCは関係ありません。establish-tunnels on-traffic どちらのオプションでも、デフォルトの IPsec SA が最初にネゴシエートされ、次に各 IPsec SA がデバイスに FC が設定されている順序で 1 つずつネゴシエートされます。

キー更新キー更新

トラフィックセレクターで差別化されたサービスコードポイント(DSCP)トラフィックステアリングでマルチSAを使用する場合、キー更新中に次の動作が発生します。トラフィックセレクターがキー更新を実行するときに、1つ以上のトラフィックセレクターが何らかの理由でキー更新を実行できない場合、ライフタイムが終了すると特定のSAがダウンします。この場合、特定の SA に一致するために使用するトラフィックは、代わりにデフォルトのトラフィック セレクターを介して送信されます。

VPN からの FC の追加または削除

VPN に FC が追加または削除されると、VPN の IKE および IPsec SA がアップまたはダウンして、ネゴシエーションが再開されます。このコマンドは 、すべてのIPsec SAをクリアします。clear security ipsec security-associations

デッドピア検出(DPD)

DPD にこの機能が設定されている場合、モードは 、IPsec SA のいずれかに発信トラフィックがあり、着信トラフィックがない場合にのみプローブを送信します。optimized モードが プローブを送信するのは、どのIPsec SAにも発信トラフィックと着信トラフィックがない場合のみです。probe-idle DPD 機能では、VPN モニタリングはサポートされていません。

コマンド

コマンドは、 FC名を含むすべてのIPsec SAの詳細を表示します。show security ipsec sa details index tunnel-id コマンドは、 各FCの統計情報を表示します。show security ipsec stats index tunnel-id

サポートされているVPN機能

CoS ベースの IPsec VPN では、以下の VPN 機能がサポートされています。

  • ルートベースのサイトツーサイト VPN ポリシーベースのVPNはサポートされていません。

  • AutoVPN

  • トラフィック セレクター。

  • 自動検知VPN(ADVPN)。

  • IKEv2 です。IKEv1はサポートされません。

  • デッドピア検出(DPD) VPN監視はサポートされません。

トラフィックセレクターとCoSベースのIPsec VPNについて

トラフィックセレクターとは、トラフィックが指定されたローカルアドレスとリモートアドレスのペアに一致する場合に、VPNトンネルを介したトラフィックを許可するというIKEピア間の合意です。トラフィックセレクターに適合したトラフィックのみが、関連するセキュリティアソシエーション(SA)を通じて許可されます。

CoS ベースの IPsec VPN 機能は、次のシナリオをサポートします。

  • 同じFCを持つルートベースのサイトツーサイトVPN内の1つまたは複数のトラフィックセレクター。

  • トラフィックセレクターごとに異なるFCを持つ複数のトラフィックセレクター。このシナリオでは、個別の VPN 構成が必要です。

このトピックでは、各シナリオでネゴシエートされる VPN 構成と IPsec SA について説明します。

以下のシナリオでは、SRXシリーズファイアウォール上に3つのFCが設定されています。

最初のシナリオでは、VPN vpn1 は 1 つのトラフィック セレクターts1と 3 つの FC で設定されます。

上記の設定では、トラフィックセレクターts1に対して4つのIPsec SAがネゴシエートされます。1つはデフォルトIPsec SA用、3つはFCにマッピングされているIPsec SA用です。

2番目のシナリオでは、VPN vpn1は2つのトラフィックセレクターts1とts2、および3つのFCで構成されています。

上記の設定では、トラフィックセレクターts1に対して4つのIPsec SAがネゴシエートされ、トラフィックセレクターts2に対して4つのIPsecSAがネゴシエートされます。トラフィックセレクターごとに、デフォルトIPsec SAに対してネゴシエートされた1つのIPsec SAと、FCにマッピングされているIPsec SAに対してネゴシエートされた3つのIPsec SAがあります。

3 番目のシナリオでは、トラフィック セレクター ts1 と ts2 は異なる FC セットをサポートします。トラフィックセレクターは、異なるVPNに設定する必要があります。

上記の設定では、VPN vpn1 のトラフィック セレクター ts1 に対して 4 つの IPsec SA がネゴシエートされます。1 つはデフォルト IPsec SA 用、3 つは FC にマッピングされた IPsec SA 用です。

例:CoS ベースの IPsec VPN の設定

この例では、複数のIPsec SAを持つCoSベースのIPsec VPNを設定し、各転送クラスのパケットを異なるIPsec SAにマッピングできるようにすることで、ローカルデバイスと中間ルーターでCoS処理を行う方法を示します。

この機能はジュニパーネットワークス独自の機能であり、サポートされているSRXプラットフォームとJunos OSリリースでのみ動作します。VPNピアデバイスは、この機能をサポートするSRXシリーズファイアウォールまたはvSRX仮想ファイアウォールインスタンスである必要があります。

要件

この例では、次のハードウェアを使用しています。

  • 任意のSRXシリーズファイアウォール

開始する前に、以下を実行します。

  • SRXシリーズファイアウォールで設定されたサービスクラス(CoS)転送クラス(FC)を、IPsecセキュリティアソシエーション(SA)にマッピングする方法を理解する。複数のIPsec SAを持つCoSベースのIPsec VPNについてを参照してください。

  • トラフィックセレクターとCoSベースのIPsec VPNについて理解します。トラフィックセレクターとCoSベースのIPsec VPNについてを参照してください。

概要

この例では、シカゴにある支社向けにIPsecルートベースVPNを設定します。これは、トンネルを介してトラフィックをフィルタリングするために、トンネルリソースを節約したり、多くのセキュリティポリシーを設定する必要がないためです。シカゴ支店のユーザーは、サニーベールの本社に接続するためにVPNを使用します。

図 1 は、IPsecルートベースVPNトポロジーの例を示しています。このトポロジーでは、1台のSRXシリーズファイアウォールがサニーベールに、1台のSRXシリーズファイアウォールがシカゴにあります。

図 1: IPsecルートベースVPNトポロジーIPsecルートベースVPNトポロジー

この例では、インターフェイス、IPv4 デフォルト ルート、およびセキュリティ ゾーンを構成します。次に、IKE、IPsec、セキュリティ ポリシー、および CoS パラメータを設定します。透けて見る.表 1表 4

表 1: インターフェイス、静的ルート、セキュリティ ゾーンの情報

機能

お名前

設定パラメータ

インターフェイス

ge-0/0/0.0

192.0.2.1/24

ge-0/0/3.0

10.1.1.2/30

st0.0(トンネル インターフェイス)

10.10.11.10/24

静的ルート

0.0.0.0/0(デフォルトルート)

ネクスト ホップはst0.0です。

セキュリティ ゾーン

trust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/0.0インターフェイスは、このゾーンにバインドされています。

untrust

  • すべてのシステム サービスが許可されます。

  • ge-0/0/3.0インターフェイスは、このゾーンにバインドされています。

vpn

st0.0インターフェイスは、このゾーンにバインドされています。

表 2: IKE設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ike-proposal

  • 認証方法:rsa-signatures

  • Diffie-Hellmanグループ:group14

  • 認証アルゴリズム:SHA-256

  • 暗号化アルゴリズムaes-256-cbc

ポリシー

ike-policy

  • モード:メイン

  • プロポーザル リファレンス:ike-proposal

  • IKEポリシー認証方法:rsa-signatures

ゲートウェイ

gw-sunnyvale

  • IKE ポリシーの参照:ike-policy

  • 外部インターフェイス:ge-0/0/3.0

  • ゲートウェイ アドレス:10.2.2.2

表 3: IPsec設定パラメータ

機能

お名前

設定パラメータ

プロポーザル

ipsec_prop

  • プロトコル:esp

  • 認証アルゴリズム:hmac-sha-256

  • 暗号化アルゴリズムaes-256-cbc

ポリシー

ipsec_pol

  • プロポーザル リファレンス:ipsec_prop

VPN

ipsec_vpn1

  • IKEゲートウェイ リファレンス:GW-シカゴ

  • IPsecポリシー リファレンス:ipsec_pol

表 4: セキュリティ ポリシー設定パラメータ

目的

お名前

設定パラメータ

セキュリティ ポリシーは、trustゾーンからvpnゾーンへのトラフィックを許可します。

vpn

  • 一致する条件:

    • source-address sunnyvale

    • destination-address chicago

    • application any

  • アクション:permit

セキュリティ ポリシーは、vpnゾーンからtrustゾーンへのトラフィックを許可します。

vpn

  • 一致する条件:

    • source-address chicago

    • destination-address sunnyvale

    • application any

  • アクション:permit

設定

基本的なネットワークおよびセキュリティ ゾーン情報の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

インターフェイス、静的ルート、セキュリティ ゾーンの情報を構成するには:

  1. イーサネット インターフェイス情報を設定します。

  2. 静的ルートの情報を設定します。

  3. untrustセキュリティ ゾーンを設定します。

  4. untrustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  5. セキュリティ ゾーンにインターフェイスを割り当てます。

  6. セキュリティ ゾーンで許可されたシステム サービスを指定します。

  7. trustセキュリティ ゾーンを設定します。

  8. trustセキュリティ ゾーンにインターフェイスを割り当てます。

  9. trustセキュリティ ゾーンで許可されたシステム サービスを指定します。

  10. vpnセキュリティ ゾーンを設定します。

  11. セキュリティ ゾーンにインターフェイスを割り当てます。

結果

コンフィギュレーションモードから、show interfacesshow routing-options、、およびの各コマshow security zonesンドを入力し、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

CoS の設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

CoSを設定するには:

  1. DiffServ CoSの動作集約分類子を設定します。

  2. ベストエフォート型転送クラス分類子を設定します。

  3. 転送クラスに割り当てる DSCP 値を定義します。

  4. 8 つのキューに対して 8 つの転送クラス(キュー名)を定義します。

  5. イングレス(ge)インターフェイスで分類子を設定します。

  6. スケジューラ マップを ge インターフェイスに適用します。

  7. スケジューラ マップを設定して、スケジューラを指定した転送クラスと関連づけます。

  8. 優先順位と送信レートを持つスケジューラを定義します。

結果

設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IKEの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IKEを設定するには、次の手順に従います。

  1. IKEプロポーザルを作成します。

  2. IKEプロポーザルの認証方法を定義します。

  3. IKEプロポーザルのDiffie-hellmanグループを定義します。

  4. IKEプロポーザルの認証アルゴリズムを定義します。

  5. IKEプロポーザルの暗号化アルゴリズムを定義します。

  6. IKEポリシーを作成します。

  7. IKEポリシー モードを設定します。

  8. IKEプロポーザルへのリファレンスを指定します。

  9. IKEポリシーの認証方法を定義します。

  10. IKEゲートウェイを作成し、その外部インターフェイスを定義します。

  11. IKE ポリシーのリファレンスを定義します。

  12. IKEゲートウェイ アドレスを定義します。

  13. IKEゲートウェイ バージョンを定義します。

結果

設定モードから、show security ikeコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

IPsecの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

IPsecを設定するには、次の手順に従います。

  1. IPsecトレース オプションを有効にします。

  2. IPsecプロポーザルを作成します。

  3. IPsecプロポーザル プロトコルを指定します。

  4. IPsecプロポーザルの認証アルゴリズムを指定します。

  5. IPsecプロポーザルの暗号化アルゴリズムを指定します。

  6. IPsecセキュリティアソシエーション(SA)のライフタイム(秒単位)を指定します。

  7. IPsecポリシーを作成します。

  8. IPsecプロポーザル リファレンスを指定します。

  9. バインドするインターフェイスを指定します。

  10. 複数のIPsec SAへの転送クラスを設定します。

  11. IKEゲートウェイを指定します。

  12. IPsecポリシーを指定します。

  13. 最初のデータパケットが送信のために到着したら、IPsec SAをネゴシエートするためにトンネルを直ちに立ち上げることを指定します。

  14. トラフィックセレクターのローカルIPアドレスを設定します。

  15. トラフィックセレクターのリモートIPアドレスを設定します。

結果

設定モードから、show security ipsecコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

セキュリティ ポリシーの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ポリシー関連の問題のトラブルシューティングのためのセキュリティ ポリシー トレース オプションを有効にします。

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイド設定モードにおけるCLIエディターの使用を参照してください。

セキュリティ ポリシーを設定するには、次の手順に従います。

  1. trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

  2. vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。

結果

設定モードから、show security policiesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

IPsecセキュリティ アソシエーションの確認

目的

IPsecステータスを検証します。

アクション

動作モードからshow security ipsec security-associationsコマンドを入力します。コマンドからインデックス番号を取得した後、 および コマンドを使用します。show security ipsec security-associations index 131073 detailshow security ipsec statistics index 131073

簡潔にするために、show コマンドの出力には設定のすべての値が表示されるわけではありません。構成のサブセットのみが表示されます。システム上の残りの構成は省略記号 (...) に置き換えられています。

意味

show security ipsec security-associationsコマンドからの出力には、次の情報が表示されます。

  • ID番号は131073です。この値を show security ipsec security-associations index コマンドと併用して、この特定の SA に関する詳細情報を取得します。

  • ポート500を使用する1つのIPsec SAペアがあります。

  • 両方向のSPI、ライフタイム(秒)、使用制限(またはKBで示したライフサイズ)が表示されます。1949/ unlim 値は、フェーズの有効期間が 1949 秒で切れ、ライフサイズが指定されていないことを示します。これは、無制限であることを示します。

  • 月曜の列にあるハイフンが示すとおり、このSAでVPN監視は有効化されていません。VPN監視が有効な場合、Uは監視が稼働していることを示し、Dは監視が停止していることを示します。

コマンドは、 インデックス番号が131073のSAに関する追加情報を表示します。show security ike security-associations index 131073 detail

  • ローカル アイデンティティとリモート アイデンティティにより、SAのプロキシIDが構成されます。プロキシIDの不一致は、フェーズの失敗の最も一般的な原因の1つです。IPsec SAが表示されない場合は、プロキシID設定を含むフェーズプロポーザルが両方のピアで正しいことを確認します。

  • 転送クラス名を含むすべての子 SA の詳細を表示します。

コマンドは、 各転送クラス名の統計情報を一覧表示します。show security ipsec statistics index 131073

  • 出力のエラー値ゼロは、正常な状態を示します。

  • このコマンドを複数回実行して、VPN全体でパケット損失の問題を確認することをお勧めします。このコマンドからの出力には、暗号化および復号化されたパケット カウンター、エラー カウンターなどの統計情報も表示されます。

  • エラーが発生している ESP パケットとその理由を調査するには、セキュリティ フロー トレース オプションを有効にする必要があります。

St0インターフェイスにおけるCoSサポートについて

Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、分類子、ポリサー、キューイング、スケジューリング、シェーピング、書き換えマーカー、仮想チャネルなどのCoS(サービス クラス)を、ポイントツーポイントVPN用にセキュア トンネル インターフェイス(st0)上に設定できるようになりました。

st0トンネル インターフェイスは、ルートベースVPNでクリアテキスト トラフィックをIPsec VPNトンネルにルーティングするために使用できる内部インターフェイスです。次のCoS機能は、使用可能なすべてのSRXシリーズファイアウォールおよびvSRX2.0のst0インターフェイスでサポートされています。

  • 分類子

  • ポリサー

  • キューイング、スケジューリング、シェーピング

  • 書き換えマーカー

  • 仮想チャネル

Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、キューイング、スケジューリング、シェーピング、仮想チャネルに対するサポートが、SRX5400、SRX5600、SRX5800デバイスのst0インターフェイスに追加されました。記載されているすべてのCoS機能に対するサポートが、SRX1500、SRX4100、SRX4200デバイスのst0インターフェイスに追加されました。Junos OSリリース17.4R1以降、記載されているすべてのCoS機能に対するサポートが、SRX4600デバイスのst0インターフェイスに追加されました。

VPN st0インターフェイスにおけるCoSサポートの制限

VPN st0インターフェイスにおけるCoSサポートには、次の制限が適用されます。

  • ソフトウェア キューの最大数は2048です。st0インターフェイスの数が2048を超えると、すべてのst0インターフェイスに対して十分なソフトウェア キューを作成できません。

  • st0インターフェイスのCoS機能には、ルートベースVPNのみ適用できます。表 5は、異なるタイプのVPNにおけるst0 CoS機能のサポート状況を示しています。

    表 5: VPNにおけるCoS機能のサポート状況
    分類子機能 サイトツーサイトVPN(P2P) AutoVPN(P2P) サイトツーサイト/AutoVPN/AD-VPN(P2MP)

    分類子、ポリサー、書き換えマーカー

    対応

    対応

    対応

    st0論理インターフェイスをベースにしたキューイング、スケジューリング、シェーピング

    対応

    未対応

    未対応

    仮想チャネルをベースにしたキューイング、スケジューリング、シェーピング

    対応

    対応

    対応

  • SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでは、1個のst0論理インターフェイスを複数のVPNトンネルにバインドできます。st0論理インターフェイスの8個のキューは、トラフィックを異なるトンネルにリルートできないため、事前トンネリングはサポートされていません。

    仮想チャネル機能は、SRX300、SRX320、SRX340、SRX345、SRX550HMの各デバイスで回避策として使用できます。

  • st0トンネル インターフェイス上でCoSシェーピング レートを定義する場合は、次の制限を考慮してください。

    • トンネル インターフェイス上のシェーピング レートは、物理エグレス インターフェイスより小さくなければなりません。

    • シェーピング レートは、ESP/AHヘッダーと外部IPヘッダーカプセル化を備えた、内側レイヤー3クリアテキスト パケットを含むパケットのサイズのみ測定します。物理インターフェイスにより追加された外側レイヤー2カプセル化は、シェーピング レート測定で考慮されません。

    • 物理インターフェイスがシェーピングされたGREまたはIP-IPトンネル トラフィックのみ伝送している場合、CoSは期待どおりに動作します。物理インターフェイスが他のトラフィックを伝送することでトンネル インターフェイスのトラフィックに使用できる帯域幅が減少すると、CoSは期待どおり機能しません。

  • SRX550M、SRX5400、SRX5600、SRX5800のデバイスにおいて、ポリサー設定の帯域幅制限とバースト サイズ制限値はシステム単位ではなくSPU単位で適用されます。これは、物理インターフェイスの場合と同じポリサー動作です。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
23.4R1
SRX1600およびSRX2300ファイアウォールに対するサポートが、Junos OSリリース23.4R1に追加されました。SRX1600およびSRX2300ファイアウォールは、SRX1500およびSRX4100がそれぞれ提供するikedプロセスに全IPsec VPN機能を提供します。ポリシーベースVPNおよびグループVPNに対するサポートは、これらのプラットフォームでは利用できません。
17.4R1
Junos OSリリース17.4R1以降、記載されているすべてのCoS機能に対するサポートが、SRX4600デバイスのst0インターフェイスに追加されました。
15.1X49-D70
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、キューイング、スケジューリング、シェーピング、仮想チャネルに対するサポートが、SRX5400、SRX5600、SRX5800デバイスのst0インターフェイスに追加されました。記載されているすべてのCoS機能に対するサポートが、SRX1500、SRX4100、SRX4200デバイスのst0インターフェイスに追加されました。
15.1X49-D60
Junos OSリリース15.1X49-D60およびJunos OSリリース17.3R1以降、分類子、ポリサー、キューイング、スケジューリング、シェーピング、書き換えマーカー、仮想チャネルなどのCoS(サービス クラス)を、ポイントツーポイントVPN用にセキュア トンネル インターフェイス(st0)上に設定できるようになりました。