Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN セッション アフィニティ

IPsec VPN トラフィックのパフォーマンスは、パケット転送オーバーヘッドを最小限に抑えるために、VPN セッションアフィニティとパフォーマンスアクセラレーションを有効にすることで最適化できます。

VPN セッションのアフィニティについて

VPN セッションアフィニティは、クリアテキストセッションが、IPsec トンネルセッションが位置する SPU とは異なるサービスプロセッシングユニット (SPU) に設置されている場合に発生します。VPN セッションアフィニティの目的は、クリアテキストと IPsec トンネルセッションを同じ SPU で探すことです。この機能は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。

VPN セッションアフィニティを使用しない場合、フローによって作成されるクリアテキストセッションは1つの SPU に配置され、IPsec によって作成されたトンネルセッションは別の SPU にあることがあります。クリアテキストパケットを IPsec トンネルにルーティングするには、spu を前方またはホップする必要があります。

デフォルトでは、VPN セッションアフィニティは SRX シリーズデバイスで無効になっています。VPN セッションアフィニティが有効になっている場合は、新しいクリアテキストセッションが IPsec トンネルセッションと同じ SPU に配置されます。既存のクリアテキストセッションは影響を受けません。

Junos OS リリース 15.1 X49 では、SRX5400、SRX5600、SRX5800 の各デバイスに対して、SRX5K-MPC-100G10G (IOC3) と SRX5K-MPC-40G10G (MPC3) が導入されています。

SRX5K-MPC (IOC2) と IOC3 は、拡張されたフローモジュールとセッションキャッシュにより、VPN セッションアフィニティをサポートしています。Ioc を使用すると、フローモジュールは、IPsec トンネルベースのトラフィックのセッションを作成してから暗号化を行い、その後トンネルで固定された SPU で復号化した後、セッションのセッションキャッシュをインストールし、パケットを最小化するために同じ SPU にパケットをリダイレクトすることができるようにします。転送のオーバーヘッドExpress Path (以前はサービス・オフロードと呼ばれる) トラフィックと NP キャッシュ・トラフィックは、Ioc 上で同じセッション・キャッシュ・テーブルを共有しています。

SPUs でアクティブなトンネルセッションを表示するにshow security ipsec security-associationは、コマンドを使用して、SPU を含む、フレキシブル PIC コンセントレーター (FPC) および物理インタフェースカード(PIC) スロットを指定します。たとえば、以下のように記述します。

VPN セッションアフィニティが有効になっているかどうかを判断するには、ネットワークのトンネル分散とトラフィックパターンを評価する必要があります。

Junos OS Release 12.3 X48-D50, Junos OS Release 15.1 X49-D90, Junos OS Release 17.3 R1, VPN セッションアフィニティが SRX5400、SRX5600、SRX5800 の各デバイスで有効になっている場合、トンネルのオーバーヘッドはネゴシエートされた暗号化に従って計算し、アンカーサービス処理ユニット (SPU) の認証アルゴリズム。構成した暗号化または認証が変更されると、新しい IPsec セキュリティアソシエーションが確立されたときに、アンカー SPU でトンネルのオーバーヘッドが更新されます。

VPN セッションアフィニティには、以下のような制約があります。

  • 論理システム全体のトラフィックはサポートされていません。

  • ルートに変更があった場合、確立されたクリアテキストセッションは SPU に残っています。可能であれば、トラフィックは再ルーティングされます。ルート変更後に作成されたセッションは、別の SPU で設定できます。

  • VPN セッションのアフィニティは、デバイス上で終了する自己トラフィック (ホスト受信トラフィックとも呼ばれる) にのみ影響を及ぼします。デバイスから発信された自己トラフィック (ホスト送信トラフィックとも呼ばれる) は影響を受けません。

  • マルチキャストのレプリケーションと転送のパフォーマンスは影響を受けません。

VPN セッションアフィニティの有効化

デフォルトでは、VPN セッションアフィニティは SRX シリーズデバイスで無効になっています。VPN セッションアフィニティを有効にすると、特定の条件下で VPN のスループットを向上させることができます。この機能は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。このセクションでは、CLI を使用して VPN セッションアフィニティを有効にする方法について説明します。

クリアテキストセッションが別の SPU の IPsec トンネルセッションに転送されているかどうかを確認します。このコマンドshow security flow sessionを使用して、クリアテキストセッションに関するセッション情報を表示します。

この例では、fpc 3、PIC 0、および FPC 6、PIC 0 のクリアテキストセッションでのトンネルセッションがあります。転送セッション (セッション ID 60017354) は、FPC 3 (PIC 0) で設定されています。

Junos OS のリリース 15.1 X49-D10 Ioc でのセッション・アフィニティのサポート (SRX5K-MPC-MPC [IOC2]、SRX5K-MPC-100G10G [MPC3]、IOC3 (srx5k-mpc-40G10G [MPC3]) および Junos OS Release IOC3 12.3-X48 は D30 でのセッションアフィニティサポートを導入しています。IOC FPCs 上の IPsec トンネルセッションに対してセッションアフィニティを有効にすることができます。IPsec VPN アフィニティを有効にするには、 set chassis fpc fpc-slot np-cacheコマンドを使用して ioc のセッションキャッシュも有効にする必要があります。

VPN セッションアフィニティを有効にするには

  1. 設定モードでは、コマンドsetを使用して VPN セッションアフィニティを有効にします。
  2. コミットする前に設定の変更を確認してください。
  3. 構成をコミットします。

VPN セッションアフィニティを有効にしたshow security flow session後、このコマンドを使用してクリアテキストセッションに関するセッション情報を表示します。

VPN セッションアフィニティが有効になると、クリアテキストセッションは、常に FPC 3 (PIC 0) に配置されます。

IPsec VPN トラフィックのパフォーマンスの高速化

パフォーマンスアクセラレーションパラメーターを設定することで、IPsec VPN のパフォーマンスを向上させることができます。デフォルトでは、VPN パフォーマンスアクセラレーションは SRX シリーズデバイスで無効になっています。Vpn パフォーマンスアクセラレーションを有効にすると、vpn セッションアフィニティが有効になっているため、VPN のスループットが向上します。この機能は、SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。

このトピックでは、CLI を使用して VPN パフォーマンスアクセラレーションを有効にする方法について説明します。

パフォーマンスアクセラレーションを有効にするには、クリアテキストセッションと IPsec トンネルセッションが同じサービスプロセッシングユニット (SPU) で確立されていることを確認する必要があります。VPN セッションのアフィニティとパフォーマンスアクセラレーション機能が有効になっている場合、Junos OS リリース 17.4 R1 から IPsec VPN のパフォーマンスが最適化されます。セッションアフィニティを有効にする方法の詳細については、「 VPN セッションのアフィニティとは」を参照してください。

IPsec VPN パフォーマンスアクセラレーションを有効にするには

  1. VPN セッションアフィニティを有効にします。
  2. IPsec パフォーマンスアクセラレーションを有効にします。
  3. コミットする前に設定の変更を確認してください。
  4. 構成をコミットします。

VPN パフォーマンスアクセラレーションを有効にshow security flow statusした後、コマンドを使用してフローのステータスを表示します。

IPsec 分散プロファイル

Junos OS リリース19.2 以降では、IPsec セキュリティーアソシエーション (Sa) 用に1つまたは複数の IPsec 分散プロファイルを設定できます。トンネルは、設定されたディストリビューション プロファイルで指定されたすべてのリソース(SPC)に対して均等に分散されます。SPC3 のみおよび混合モード(SPC3 + SPC2)でサポートされ、SPC1 および SPC2 システムではサポートされていません。IPsecディストリビューション プロファイルでは、 コマンドを使用してトンネルを set security ipsec vpn vpn-name distribution-profile distribution-profile-name 指定された場所に関連付けします。

  • Slot

  • PIC

また、デフォルトの IPsec 分散プロファイルを使用することもできます。

  • default-spc2-profile —この事前定義されたデフォルト プロファイルを使用して、IPsec トンネルを使用可能なすべての SPC2 カードに関連付けることができます。

  • default-spc3-profile —この事前定義されたデフォルト プロファイルを使用して、IPsec トンネルを使用可能なすべての SPC3 カードに関連付けることができます。

これで、特定の VPN オブジェクトにプロファイルを割り当てることができるようになりました。これにより、関連するすべてのトンネルがこのプロファイルに基づいて配信されます。VPN オブジェクトにプロファイルが割り当てられていない場合、SRX シリーズデバイスは、これらのトンネルをすべてのリソースで均等に分散します。

VPN オブジェクトをユーザー定義プロファイルまたは定義済みの (デフォルト) プロファイルのいずれかに関連付けることができます。

リリース Junos OS リリース 20.2R2、ディストリビューション プロファイルに設定されている無効なスレッド ID は無視され、コミット チェック エラー メッセージは表示されません。IPsecトンネルは、そのプロファイルに無効なスレッドDがある場合は無視して、設定されたディストリビューションプロファイルに基ごとに固定されます。

次の例では、プロファイル ABC に関連付けられたすべてのトンネルが FPC 0、PIC 0 で配布されるようになっています。

PowerMode IPsec を使用して IPsec のパフォーマンスを向上させる

PowerMode IPsec (PMI) は、ベクトルパケット処理とIntel AES-NI 命令を使用して IPsec のパフォーマンスを向上させる新しい動作モードです。PMI では、パケット転送エンジン内に小規模なソフトウェアブロックを使用してフロー処理をバイパスし、AES/NI 命令セットを使用して IPsec 処理の最適化されたパフォーマンスを実現し、PMI を有効にするとアクティブになります。

set security flow power-mode-ipsec構成モードコマンドを使用して、PMI の処理を有効にします。

PMI の処理を無効にするdelete security flow power-mode-ipsecには、configuration mode コマンドを使用して、構成からステートメントを削除します。

SRX4100の場合、PMIを有効または無効にした後に、Junos OSリリース18.4R1、Junos OSリリース20.4R1 vSRXを実行しているSRX4600デバイス、Junos OSリリース18.3R1を実行しているSRX4200デバイスを、設定を有効にするには、デバイスを再起動する必要があります。 ただし、SRX5000 のラインデバイスと Junos OS リリース 19.2 R1 を実行している vSRX インスタンスでは、再起動は不要です。

MX-SPC3 サービス カードは 、np キャッシュおよび IPsec セッション アフィニティをサポートしていない 。

動作モード コマンドを使用して、PMI および fat トンネル の show security flow status ステータスを検証できます。

コマンドを使用して、PMI 統計情報を検証 show security flow pmi statistics operational mode できます。

トンネルセッションには、PMI または非 PMI のいずれかを使用できます。リストに示されているセッションがサポートされていない機能で構成されている場合、セッションは非 PMI としてマークされ、トンネルは非 表 1表 2 PMI モードになります。トンネルは非 PMI モードに移行すると、PMI モードに戻りません。

表 1 は、デバイスでサポートされている PMI 機能とサポートされていない PMI 機能SRX シリーズ まとめです 。

表 1: デバイス上の PowerMode IPsec でサポート される機能SRX シリーズ

PowerMode IPsec のサポート対象機能

PowerMode IPsec でサポートされていない機能

インターネット鍵交換 (IKE) 機能

IPsec イン IPsec トンネル

トラフィックセレクターを使用した自動 Vpn

レイヤー 4-7 アプリケーション: アプリケーションファイアウォールと AppSecure

高可用性

GPRS トンネリングプロトコル (GTP) およびストリーム制御伝送プロトコル (SCTP) ファイアウォール

IPv6

ホストトラフィック

ステートフル ファイアウォール

マルチキャスト

st0 インターフェイス

ネストされたトンネル

トラフィック セレクター

Screen オプション

NAT-T

DES-CBC暗号化アルゴリズム

TEID 分散および非対称型の fat トンネルソリューションを使用した GTP-U シナリオ

3DES-CBC 暗号化アルゴリズム

サービス品質(QoS)

アプリケーション層 ゲートウェイ(ALG)

フラグメント処理および統合型暗号化のための最初のパスと高速パス処理です。

NAT

AES-GCM -128 および AES-GCM-256 暗号化アルゴリズム。パフォーマンスを最適化するには、AES-GSM 暗号化アルゴリズムを使用することをお勧めします。

AES-CBC -128、AES-CBC-192、および SHA1 暗号化アルゴリズムを使用した AES-CBC-256

AES-CBC -128、AES-CBC-192、および SHA2 暗号化アルゴリズムを使用した AES-CBC-256

NULL 暗号化アルゴリズム

 

表 2 は、MX-SPC3 サービス カードでサポートされている PMI 機能とサポートされていない PMI 機能をまとめたデータ センターです。

表 2: MX-SPC3サービスカード上のパワーモードIPsecでサポートされる機能の概要

PowerMode IPsec のサポート対象機能

PowerMode IPsec でサポートされていない機能

インターネット鍵交換 (IKE) 機能

レイヤー 4-7 アプリケーション: アプリケーション ファイアウォール、AppSecure、ALG

トラフィック セレクターを使用した AutoVPN、ADVPN

マルチキャスト

高可用性

ネストされたトンネル

IPv6

Screen オプション

ステートフル ファイアウォール

アプリケーション層 ゲートウェイ(ALG)

st0 インターフェイス

トラフィック セレクター

デッドピア検知 (DPD)

アンチリプレイ チェック

NAT

投稿/フラグメント化前

受信クリアテキスト フラグメントと ESP フラグメント

AES-GCM-128および AES-GCM-256暗号化アルゴリズム。パフォーマンスを最適化するには、AES-GSM 暗号化アルゴリズムを使用することをお勧めします。

AES-CBC-128、AES-CBC-192、および SHA1 暗号化アルゴリズムを使用した AES-CBC-256

AES-CBC-128、AES-CBC-192、および SHA2 暗号化アルゴリズムを使用した AES-CBC-256

NULL 暗号化アルゴリズム

PMI での以下の使用に関する検討事項に注意してください。

  • アンチプレイ ウィンドウ サイズは 、デフォルトで 64 パケットです 。 fat-tunnel を設定する場合は、アンチプレイ ウィンドウのサイズを 512 パケット以上に大きく設定する必要があります。

  • PMI では、最適化前とフラグメンテーション後のチェックが行われます。PMI で断片化と後処理のパケットが検出された場合、パケットは PMI モードを通過することはできません。パケットは非 PMI モードに戻ります。

  • インターフェイスで受信したフラグメントは、PMI を経由して実行されることはありません。

  • PMI は、リンク アグリゲーション グループ(LAG)および冗長イーサネット(reth)インターフェイスでサポートされています 。

  • NAT 用 PMI は、SPC3 のサービス処理カード (SPC) を装備した SRX5400、SRX5600、SRX5800 デバイスでのみサポートされています。または、vSRX とともに使用することもできます。

Junos OS リリース 19.1 R1 で CoS は、SRX5K-MPC-SPC3 サービス処理カード (SPC) カードで PMI の動作集約 (BA) 分類子、マルチフィールド (MF) 分類子、および書き直しルール機能の構成をサポートしています。

Junos OS リリース19.2 以降に開始する PowerMode IPsec (PMI) は、TEID 分散および非対称型の fat トンネルソリューションを備えた GTP-U のシナリオをサポートしています。

Junos OS リリース 19.3 R1 では、TEID 分散および非対称型の fat トンネルソリューションおよび vSRX 3.0 での vSRX での GTP 拡張機能が搭載されています。

Junos OS リリース 19.3 R1 では、SRX4100、SRX4200、vSRX および aes-256-cbc の 192 128 オプションを電源モードの IPsec モードでサポートしており、IPsec のパフォーマンスを向上させるために、標準モードにおける既存のサポートも含まれています。

Junos OS リリース 19.4 R1 で開始されています。 vSRX インスタンスのサポート-

  • PowerMode IPsec (PMI) モードにおける GTP トラフィック用のフローごと CoS 機能。

  • PowerMode IPsec (PMI) モードのサービスクラス (CoS) 機能。PMI モードでは、以下の CoS 機能がサポートされています。

    • 選別

    • 書き直しルール機能

    • 待機

    • シェーピング

    • スケジューリング

PowerMode IPsec のメリット

  • IPsec のパフォーマンスを向上させます。

セキュリティフロー PMI の構成

以下のセクションでは、セキュリティフロー PMI を構成する方法について説明します。

セキュリティーフローの PowerMode IPsec を構成するには、Ioc とセッションアフィニティのセッションキャッシュを最大限に有効にする必要があります。

  1. Ioc のセッションキャッシュを有効にする (IOC2 と IOC3)

  2. VPN セッションのアフィニティを有効にする

  3. PMI でセキュリティフローを作成します。

  4. show securityコマンドを入力して設定を確認してください。

例:PMI での動作集約分類子の設定

この例では、SRX デバイスの動作集約 (BA) 分類子を設定して、PowerMode IPsec (PMI) でのパケットの転送処理を決定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズデバイスです。

  • Junos OS リリース 19.1 R1 以降のリリース。

開始する前に:

  • 動作集約分類子用に構成する、既知の各 DSCP に、デフォルトで割り当てられている転送クラスと PLP を決定します。

概要

適切なキューへの有効な Dscp を含むパケットを分類する動作集約分類子を構成します。設定が完了したら、動作集約分類子を正しいインターフェイスに適用します。デフォルト IP の優先度分類子を変更するには、分類子を定義して論理インタフェースに適用します。すべてのコードポイントタイプに対して新しい分類子をclassifiers定義するに[edit class-of-service]は、階層レベルに記載されているステートメントを使用します。

この例では、DSCP 動作集約分類子をba-classifierデフォルトの DSCP マップとして設定します。be-classベストエフォート型転送クラスを、優先ef-classaf-class転送クラスとして、ネットワークコントロール転送クラス as として設定しnc-classます。最後に、振る舞い集約分類子をインタフェース ge-0/0/0 に適用します。

表2は、動作集約分類子が、4つの転送クラスで受信パケットに損失の優先度を割り当てる方法を示しています。

表 3: サンプル ba-分類子の損失の優先度割り当て

mf 分類子転送クラス

CoS トラフィックタイプ用

ba 分類子の割り当て

be-class

ベストエフォート型トラフィック

優先度の高いコードポイント: 000001

ef-class

優先転送トラフィック

優先度の高いコードポイント: 101111

af-class

転送トラフィックの保証

優先度の高いコードポイント: 001100

nc-class

ネットワーク制御トラフィック

優先度の高いコードポイント: 110001

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから入力します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」 の「 設定モードでの CLI エディターの使用 」を参照してください。

PMI でデバイスの動作集約分類子を設定するには、次のようにします。

  1. サービスクラスを構成します。

  2. 、差別化サービス (DiffServ) CoS の動作集約分類子を構成します。

  3. ベストエフォート型転送クラスのクラシファイアを構成します。

  4. 優先転送クラスのクラシファイアを構成します。

  5. 保証された転送クラスの分類子を構成します。

  6. ネットワーク制御転送クラスの分類子を構成します。

  7. 振る舞い集約分類子をインタフェースに適用します。

結果

設定モードから、 show class-of-serviceコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

分類子がインターフェイスに適用されていることの確認

目的

分類子が正しいインターフェイスに適用されていることを確認してください。

アクション

動作モードから、 show class-of-service interface ge-0/0/0コマンドを入力します。

インターフェイスは正常に設定されています。

例:vSRX インスタンス用の PMI での動作アグリゲーション分類子の設定

この例では、vSRX インスタンス用の動作集約 (BA) 分類子を設定して、PowerMode IPsec (PMI) でパケットの転送処理を決定する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • VSRX インスタンスです。

  • Junos OS リリース 19.4 R1 以降のリリース。

開始する前に:

  • 動作集約分類子に設定する、既知の各 DSCP にデフォルトで割り当てられている転送クラスとパケットロスの優先度 (PLP) を決定します。

概要

適切なキューへの有効な Dscp を含むパケットを分類する動作集約分類子を構成します。設定が完了したら、動作集約分類子を正しいインターフェイスに適用します。デフォルト IP の優先度分類子を変更するには、分類子を定義して論理インタフェースに適用します。すべてのコードポイントタイプに対して新しい分類子をclassifiers定義するに[edit class-of-service]は、階層レベルに記載されているステートメントを使用します。

この例では、DSCP 動作集約分類子をba-classifierデフォルトの DSCP マップとして設定します。be-classベストエフォート型転送クラスを、優先ef-classaf-class転送クラスとして、ネットワークコントロール転送クラス as として設定しnc-classます。最後に、振る舞い集約分類子をインタフェース ge-0/0/0 に適用します。

表2は、動作集約分類子が、4つの転送クラスで受信パケットに損失の優先度を割り当てる方法を示しています。

表 4: サンプル ba-分類子の損失の優先度割り当て

mf 分類子転送クラス

CoS トラフィックタイプ用

ba 分類子の割り当て

be-class

ベストエフォート型トラフィック

優先度の高いコードポイント: 000001

ef-class

優先転送トラフィック

優先度の高いコードポイント: 101111

af-class

転送トラフィックの保証

優先度の高いコードポイント: 001100

nc-class

ネットワーク制御トラフィック

優先度の高いコードポイント: 110001

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから入力します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」 の「 設定モードでの CLI エディターの使用 」を参照してください。

PMI でデバイスの動作集約分類子を設定するには、次のようにします。

  1. サービスクラスを構成します。

  2. 、差別化サービス (DiffServ) CoS の動作集約分類子を構成します。

  3. ベストエフォート型転送クラスのクラシファイアを構成します。

  4. 優先転送クラスのクラシファイアを構成します。

  5. ドロッププロファイルを設定します。

  6. 転送クラスキューを構成します。

  7. 分類子をインターフェイスに適用します。

  8. スケジューラを構成します。

結果

設定モードから、 show class-of-serviceコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

分類子がインターフェイスに適用されていることの確認

目的

分類子が適切に構成されていることを確認し、転送クラスが正しく構成されていることを確認します。

アクション

動作モードから、 show class-of-service forwarding-classコマンドを入力します。

この出力は、構成されたカスタム分類子設定を示しています。

例:PMI でのマルチフィールド・クラシファイアのファイアウォール・フィルタの構成と適用

この例では、powermode IPsec (PMI) の DSCP 値とマルチフィールド (MF) 分類子を使用して、ファイアウォールフィルタを設定して、トラフィックを別の転送クラスに分類する方法を示します。

分類子は、サービスクラス (CoS) に対する関心のあるパケットを、インターフェイスに到達するたびに検知します。MF 分類子は、単純な動作集約(BA)分類ではパケットの分類に不十分な場合、ピアリング ルーターに CoS ビットがマークされていない場合、またはピアリング ルーターのマーキングが信頼できない場合に使用されます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズデバイスです。

  • Junos OS リリース 19.1 R1 以降のリリース。

開始する前に:

概要

この例では、ファイアウォールフィルター mf-classifierを構成する方法について説明します。MF 分類子を設定するには、保証された転送トラフィッククラスを作成して名前を付け、match 条件を設定して、宛先アドレスを192.168.44.55 として指定します。転送のための DiffServ トラフィックを保証する転送af-classクラスを作成し、損失の優先度を低に設定します。

この例では、優先転送トラフィッククラスを作成して名前を付け、優先転送トラフィッククラスの照合条件を設定します。宛先アドレスを192.168.66.77 として指定します。優先転送の DiffServ トラフィックの転送クラスを作成ef-classし、このポリサーをef-policerに設定します。ネットワーク制御トラフィッククラスを作成して名前を付け、照合条件を設定します。

この例では、ネットワーク制御トラフィッククラスnc-classの転送クラスを作成して名前を付け、ベストエフォート型トラフィッククラスとしてbe-class転送クラスの名前を指定します。最後に、フィルターを必要としているお客様向けの、またはホストに接している各顧客の入力および出力フィルターとして、マルチフィールドクラシファイアファイアウォールフィルターを適用します。この例では、入力フィルターのインターフェイスは、ge 0/0/2 で、インターフェイスの出力フィルタは ge-0/0/4 になっています。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから入力します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」 の「 設定モードでの CLI エディターの使用 」を参照してください。

PMI でデバイス用のマルチフィールドクラシファイアに対応するファイアウォールフィルターを設定するには、次のようにします。

  1. マルチフィールドクラシファイアフィルターを作成して名前を指定します。

  2. 保証された転送トラフィッククラスの用語を作成して名前を指定します。

  3. 転送トラフィックを保証する宛先アドレスを指定します。

  4. 転送クラスを作成し、保証された転送トラフィッククラスの損失の優先度を設定します。

  5. 優先転送トラフィッククラスの用語を作成して名前を指定します。

  6. 優先転送トラフィックの宛先アドレスを指定します。

  7. 転送クラスを作成し、優先転送トラフィッククラスのポリサーを適用します。

  8. ネットワーク制御トラフィッククラスの用語を作成して名前を指定します。

  9. ネットワーク制御トラフィッククラスの照合条件を作成します。

  10. ネットワーク制御トラフィッククラスの転送クラスを作成して名前を指定します。

  11. ベストエフォート型のトラフィッククラスの用語を作成して名前を指定します。

  12. ベストエフォート型のトラフィッククラスの転送クラスを作成して名前を指定します。

  13. マルチフィールドクラシファイアファイアウォールフィルターを入力フィルターとして適用します。

  14. 複数フィールドのクラシファイアを対象としたファイアウォールフィルターを出力フィルタとして適用します。

結果

設定モードから、 show firewall filter mf-classifierコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

設定モードから、 show interfacesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

マルチフィールドクラシファイア構成用のファイアウォールフィルターの検証

目的

マルチフィールドクラシファイア用のファイアウォールフィルタがデバイス上で適切に設定されていることを確認し、転送クラスが正しく構成されていることを確認します。

アクション

設定モードからshow class-of-service forwarding-classコマンドを入力します。

この出力は、構成されたカスタム分類子設定を示しています。

例:PMI でセキュリティデバイスにリライトルールを設定して適用する

この例では、PowerMode IPsec (PMI) でデバイスの書き換えルールを構成して適用する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX シリーズデバイスです。

  • Junos OS リリース 19.1 R1 以降のリリース。

開始する前に:

概要

この例では、顧客またはホストから受信したパケットの値を他の SRX デバイスによって予期される値に CoS 置き換えるように、書き換えルールを設定する方法について説明します。受信したパケットに有効な CoS 値がすでに含まれている場合は、書き換えルールを設定する必要はありません。書き換えルールは、デバイスによって内部的に使用される転送クラス情報とパケットロスの優先度を適用して、アウトバウンドパケットの CoS 値を確立します。書き換えルールを設定した後、それらを適切なインターフェースに適用します。

この例では、DiffServ CoS に書き換えルールを設定rewrite-dscpsします。ベストエフォートbe-class型転送クラスとして、優先ef-classaf-class転送クラスとして、ネットワーク制御クラス as としての推奨さnc-classれるものを指定します。最後に、この書き換えルールを ge-0/0/0 インターフェイスに適用します。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから入力します。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 Junos OS CLI ガイド 」 の「 設定モードでの CLI エディターの使用 」を参照してください。

PMI でデバイスのリライトルールを構成して適用するには、次のようにします。

  1. DiffServ CoS の書き換えルールを設定します。

  2. ベストエフォート型転送クラス書き換えルールを設定します。

  3. 優先転送クラス書き換えルールを構成します。

  4. 転送クラス書き換えルールの保証を構成します。

  5. ネットワークコントロールクラスの書き換えルールを構成します。

  6. 書き換えルールをインターフェイスに適用します。

結果

設定モードから、 show class-of-serviceコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

再書き込みルールの構成を検証する

目的

書き換えルールが適切に設定されていることを確認します。

アクション

動作モードから、 show class-of-serviceコマンドを入力します。

書き込みルールは、ge-0/0/0 インターフェイス上で適切に構成されています。

PMI での IPsec ESP 認証のみモードの構成

PowerMode IPsec (PMI) では、高レベルの IPsec スループットパフォーマンスを実現するための新しいデータパスが導入されました。Junos OS リリース 19.4 R1 では、SRX5K-MPC-SPC3 カードを搭載した SRX5000 シリーズデバイスで、カプセル化セキュリティペイロード (ESP) 認証専用モードを使用して、認証、整合性チェック、および再実行を可能にすることなく、データパケットを暗号化します。

開始する前に:

ESP 認証専用モードを構成するには、次のようにします。

  1. IPsec の提案とポリシーを構成します。
  2. show security ipsecコマンドを入力して設定を確認してください。

    デバイスの設定が完了したら、設定commitモードから入力します。

高可用性 VPN のループバックインターフェイスについて

IPsec VPN トンネルの構成では、ピア IKE ゲートウェイと通信するための外部インターフェイスを指定する必要があります。VPN の外部インターフェイスにループバックインターフェイスを指定することは、ピアゲートウェイに接続するために複数の物理インターフェイスを使用する場合に適した方法です。ループバックインターフェイス上の VPN トンネルを固定すると、物理インターフェイスへの依存を排除して、ルーティングを成功させることができます。

VPN トンネルにループバックインターフェイスを使用することは、スタンドアロン SRX シリーズデバイスだけでなく、シャーシクラスター内の SRX シリーズデバイスでもサポートされています。シャーシクラスターのアクティブ/パッシブ導入では、論理ループバックインターフェイスを作成して、冗長グループのメンバーにして、VPN トンネルのアンカーとして使用できるようにすることができます。ループバックインターフェイスは、任意の冗長グループで設定でき、IKE ゲートウェイの外部インターフェイスとして割り当てられます。VPN パケットは、冗長グループがアクティブになっているノード上で処理されます。

SRX5400、SRX5600、SRX5800 デバイスでは、ループバックインターフェイスが IKE ゲートウェイ外部インターフェイスとして使用されている場合は、RG0 以外の冗長グループで構成する必要があります。

シャーシクラスターの設定では、外部インターフェイスがアクティブになっているノードが SPU を選択して、VPN トンネルを固定します。IKE と IPsec パケットはその SPU で処理されます。このように、アクティブな外部インターフェースがアンカー SPU を決定します。

このshow chassis cluster interfacesコマンドを使用して、冗長な疑似インタフェースに関する情報を表示できます。

リリース履歴テーブル
リリース
説明
12.3X48-D50
Junos OS Release 12.3 X48-D50, Junos OS Release 15.1 X49-D90, Junos OS Release 17.3 R1, VPN セッションアフィニティが SRX5400、SRX5600、SRX5800 の各デバイスで有効になっている場合、トンネルのオーバーヘッドはネゴシエートされた暗号化に従って計算し、アンカーサービス処理ユニット (SPU) の認証アルゴリズム。
17.4R1
VPN セッションのアフィニティとパフォーマンスアクセラレーション機能が有効になっている場合、Junos OS リリース 17.4 R1 から IPsec VPN のパフォーマンスが最適化されます。
Junos OS Release 20.2R
リリース Junos OS リリース 20.2R2、ディストリビューション プロファイルに設定されている無効なスレッド ID は無視され、コミット チェック エラー メッセージは表示されません。IPsecトンネルは、そのプロファイルに無効なスレッドDがある場合は無視して、設定されたディストリビューションプロファイルに基ごとに固定されます。