パワーモード IPsec
このトピックでは、PowerMode IPsec (PMI) VPN について説明します。
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。
プラットフォームに関連する注意点については、プラットフォーム固有の PMI の動作セクションを参照してください。
詳細については、「 プラットフォームの追加情報 」セクションを参照してください。
PowerMode IPsec による IPsec パフォーマンスの向上
PowerMode IPsec (PMI) は、ベクトル パケット処理とインテル Advanced Encryption Standard New Instruction (AES-NI) を使用して IPsec パフォーマンスを向上させる動作モード です。PMIは、フロー処理をバイパスするパケット転送エンジン内の小さなソフトウェアブロックを利用し、PMIが有効になっているときにアクティブになるIPsec処理のパフォーマンスを最適化するためのAES-NI命令セットを使用します。
- PMI 処理
- PMI統計
- 高度な暗号化規格の新しい命令 (AES-NI)およびインラインFPGA(フィールドプログラマブルゲートアレイ)
- PMI でサポートされる機能とサポートされていない機能
- PMIの利点
- セキュリティ フロー PMI の設定
- 対称脂肪 トンネルの理解
PMI 処理
PMI 処理を使用可能または使用不可にすることができます。
set security flow power-mode-ipsec構成モード・コマンドを使用して、PMI 処理を使用可能にします。delete security flow power-mode-ipsec設定モード コマンドを使用して、PMI 処理を無効にします。このコマンドを実行すると、コンフィギュレーションから ステートメントが削除されます。
PMI統計
PMI 統計は、 show security flow pmi statistics 操作モード・コマンドを使用して検査できます。
PMI および fat トンネルのステータスは、 show security flow status operational mode コマンドを使用して確認できます。
高度な暗号化規格の新しい命令 (AES-NI)およびインラインFPGA(フィールドプログラマブルゲートアレイ)
. PMIモードのAES-NI は、SPUの負荷の分散に役立ち、SPC3カードの対称ファットトンネルをサポートします。これにより、トラフィック処理のパフォーマンスが向上し、IPsec VPNのスループットが向上します。PMIは、暗号化にAES-NI を使用し、暗号化操作の復号化にFPGAを使用します。
AES-NI で PMI 処理を有効にするには、[edit security flow]階層レベルで power-mode-ipsec ステートメントを含めます。
インラインFPGAを有効または無効にするには、[edit security forwarding-process application-services]階層レベルでinline-fpga-crypto (disabled | enabled)ステートメントを含めます。
PMI でサポートされる機能とサポートされていない機能
トンネル・セッションは、PMI または非 PMI のいずれかです 表 1 は、サポートされている PMI 機能とサポートされていない PMI 機能を要約しています。
プラットフォームに関連する注意点については、表 4セクションを参照してください。
表 1に記載されているサポートされていない機能を使用してセッションが設定されている場合、セッションは非 PMI としてマークされ、トンネルは非 PMI モードになります。トンネルが非 PMI モードに入ると、トンネルは PMI モードに戻りません。
|
PMI でサポートされている機能 |
PMI でサポートされていない機能 |
|---|---|
|
IKE(インターネット鍵交換)機能 |
レイヤー 4 から 7 のアプリケーション: アプリケーションファイアウォールとAppSecure |
|
トラフィック セレクターを使用した AutoVPN |
マルチキャスト |
|
高可用性 |
ネストされたトンネル |
|
IPv6 |
Screen オプション |
|
ステートフルファイアウォール |
アプリケーション層ゲートウェイ(ALG) |
|
st0インターフェイス |
HMAC-SHA-384 認証アルゴリズム |
|
トラフィックセレクター |
HMAC-SHA-512 認証アルゴリズム |
| NAT (PMI モードでは、NAT64 を使用できません。NAT64 は、PMI が有効な場合、通常モードで正しく動作します。 |
|
| AES-GCM-128 および AES-GCM-256 暗号化アルゴリズム。最適なパフォーマンスを得るには、AES-GCM 暗号化アルゴリズムを使用することをお勧めします。 |
|
| AES-CBC-128、AES-CBC-192、AES-CBC-256、SHA1 暗号化アルゴリズムと HMAC-SHA1-96 認証アルゴリズム |
|
|
AES-CBC-128、AES-CBC-192、AES-CBC-256、および AES-CBC-256(SHA-2 暗号化アルゴリズムと HMAC-SHA-256-128 認証アルゴリズムを使用) |
|
| NULL 暗号化アルゴリズム |
|
PMI に関する以下の使用上の考慮事項に注意してください。
- Antireplay window size
-
アンチリプレイ ウィンドウ サイズは、デフォルトでは 64 パケットです。fat-tunnelを設定する場合、アンチリプレイウィンドウサイズを512パケット以上に増やすことを推奨します。
-
- Class of Service (CoS)
- サービス クラス(CoS)は、PMI の動作集約(BA)分類子、マルチフィールド(MF)分類子、および書き換えルール関数の設定をサポートします。
-
フロー セッションの PMI を有効にすると、CoS はフローごとに実行されます。つまり、新しいフローの最初のパケットは、フロー セッションの CoS 情報をキャッシュします。その後、フローの後続のパケットは、セッションにキャッシュされた CoS 情報を再利用します。
- Encryption algorithm
-
PMI は、オプション aes-128-cbc、aes-192-cbc、および aes-256-cbc をサポートし、通常モードでの既存のサポートに加えて、IPsec パフォーマンスを向上させます。
-
- GTP-U
- PMIは、TEID分布と非対称ファットトンネルソリューションによるGTP-Uシナリオをサポートします。
- PMI は ソフトウェア受信側スケーリング機能をサポートします。
- LAG and redundant (reth) interfaces
- PMI は、リンク集約グループ(LAG)および冗長イーサネット(reth)インターフェイスでサポートされています。
- PMI fragmentation check
-
PMI は、フラグメント化前とフラグメント化後のチェックを行います。PMI がフラグメント化前およびフラグメント化後のパケットを検出した場合、パケットは PMI モードを通過できません。パケットは非PMIモードに戻ります。
-
インターフェイスで受信したフラグメントは、PMI を経由しません。
-
- PMI for NAT-T
- NAT-T の PMI は SRX5K-SPC3 サービス処理カード(SPC)、または vSRX仮想ファイアウォール でのみサポートされています。
- PMI support (vSRX)
-
vSRX仮想ファイアウォールインスタンスは以下をサポートします。
-
PMI モードの GTP-U トラフィック用のフロー単位の CoS 機能。
-
PMI モードの CoS 機能。PMI モードでは、次の CoS 機能がサポートされます。
-
類別詞
-
書き換えルール関数
-
キュー
-
シェーピング
-
スケジューリング
-
-
-
PMIの利点
IPsec のパフォーマンスを向上させます。
セキュリティ フロー PMI の設定
次のセクションでは、セキュリティ フロー PMI を設定する方法について説明します。
セキュリティー・フローPMIを設定するには、IOCのセッション・キャッシュとセッション・アフィニティを有効にする必要があります。
IOC(IOC2 および IOC3)でセッションキャッシュを有効にする
user@host# set chassis fpc <fpc-slot> np-cache
VPN セッション アフィニティを有効にする
user@host# set security flow load-distribution session-affinity ipsec
PMI でセキュリティー・フローを作成します。
user@host#set security flow power-mode-ipsec
show securityコマンドを入力して、設定を確認します。user@host# show security flow { power-mode-ipsec; }
対称脂肪 トンネルの理解
IPsecトンネルのスループットを向上させるために、ファットトンネル技術を使用できます。
FAT IPsec トンネルを有効にする新しい CLI コマンドが導入されました。ファットIPsecトンネル機能はデフォルトで無効になっています。導入された新しいCLIコマンドは、set security distribution-profile階層でfat-coreされます。ファットコアを有効にすると、次の設定が表示されます。
security {
distribution-profile {
fat-core;
}
}
fat IPsec トンネルを設定する前に、以下が設定されていることを確認してください。
-
高速パス転送の場合は、
set chassis fpc FPC slot np-cacheコマンドを使用して、セッション情報の IOC キャッシュを構成します。 -
セッション・アフィニティーを使用可能にするには、
set security flow load-distribution session-affinity ipsecコマンドを使用します。 -
電源モードを有効にするには、
set security flow power-mode-ipsecコマンドを使用します。
関連項目
例:PMI での動作集約分類子の設定
この例は、PMIでのパケットの転送処理を決定するために、SRXシリーズファイアウォールの動作集約(BA)分類子を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
始める前に:
動作集約分類子に設定する各既知の DSCP にデフォルトで割り当てられている転送クラスと PLP を決定します。
概要
動作集約分類子を設定して、有効な DSCP を含むパケットを適切なキューに分類します。設定したら、動作集約分類子を正しいインターフェイスに適用します。デフォルトのIP優先順位分類子を上書きするには、分類子を定義して論理インターフェイスに適用します。すべてのコード・ポイント・タイプに対して新しい分類子を定義するには、[edit class-of-service]階層レベルで classifiers ステートメントを組み込みます。
この例では、DSCP 動作集約分類子をデフォルトの DSCP マップとして ba-classifier に設定します。ベストエフォート転送クラスを be-class、優先転送クラスを ef-class、保証転送クラスを af-class、ネットワーク制御転送クラスを nc-classに設定します。最後に、インターフェイスge-0/0/0に動作集約分類器を適用します。
表2は、動作集約分類子が4つの転送クラスの着信パケットに損失優先度を割り当てる方法を示しています。
MF 分類子転送クラス |
CoS トラフィック タイプの場合 |
ba 分類子の割り当て |
|---|---|---|
|
ベストエフォート型トラフィック |
高優先度コード・ポイント: 000001 |
|
転送トラフィックの迅速化 |
高優先度コード・ポイント: 101111 |
|
確実な転送トラフィック |
高優先度コード・ポイント: 001100 |
|
ネットワーク制御トラフィック |
高優先度コード・ポイント: 110001 |
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMIでデバイスの動作集約分類子を設定するには:
サービスクラスを設定します。
[edit] user@host# edit class-of-service
差別化されたサービス(DiffServ)CoSの動作集約分類子を設定します。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
ベストエフォート型転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
優先転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
保証転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
ネットワーク制御転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
インターフェイスに動作集約分類器を適用します。
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
分類子がインターフェイスに適用されていることを確認する
目的
分類子が正しいインターフェイスに適用されていることを確認します。
アクション
オペレーションモードから、show class-of-service interface ge-0/0/0コマンドを入力します。
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
意味
インターフェイスは想定どおりに設定されています。
例:vSRX仮想ファイアウォールインスタンスのPMIにおける動作集約分類子の設定
この例は、PMIでのパケットの転送処理を決定するために、vSRX仮想ファイアウォールインスタンスの動作集約(BA)分類子を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
vSRX仮想ファイアウォールインスタンス。
-
Junos OS リリース 19.4R1 以降のリリース。
始める前に:
-
BA 分類子に設定する各既知の DSCP にデフォルトで割り当てられる転送クラスと PLP を決定します。
概要
有効な DSCP を含むパケットを適切なキューに分類するように BA 分類子を設定します。設定後、BA 分類子を正しいインターフェイスに適用します。デフォルトのIP優先順位分類子を上書きするには、分類子を定義して論理インターフェイスに適用します。すべてのコード・ポイント・タイプに対して新しい分類子を定義するには、[edit class-of-service]階層レベルで classifiers ステートメントを組み込みます。
この例では、デフォルトの DSCP マップとして ba-classifier に DSCP BA 分類子を設定します。ベストエフォート(BE)転送クラスを be-class、EF(完全優先転送)クラスを ef-class、確実転送(AF)クラスを af-class、ネットワーク制御転送クラスを nc-class に設定します。最後に、BA 分類子をインターフェイス ge-0/0/0 に適用します。
表 2 は、BA 分類子が 4 つの転送クラスの着信パケットに損失の優先度を割り当てる方法を示しています。
|
multifield-classifier 転送クラス |
CoS トラフィック タイプの場合 |
BA 分類子の割り当て |
|---|---|---|
|
|
BEトラフィック |
高優先度コード・ポイント: 000001 |
|
|
EF トラフィック |
高優先度コード・ポイント: 101111 |
|
|
AFトラフィック |
高優先度コード・ポイント: 001100 |
|
|
ネットワーク制御トラフィック |
高優先度コード・ポイント: 110001 |
設定
CLIクイック構成
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付けます。次に、改行を削除し、ネットワーク構成に合わせて詳細を調整します。[edit]階層レベルのCLIにコマンドをコピー&ペーストし、設定モードからcommitを入力します。
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMI でデバイスの BA 分類子を構成するには、次のようにします。
CoS を設定します。
[edit] user@host# edit class-of-service
差別化されたサービス(DiffServ)CoSのBA分類子を設定します。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
BE 転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
EF クラス分類子を構成します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
ドロッププロファイルを設定します。
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
転送クラス キューを設定します。
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
インターフェイスに分類子を適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
スケジューラを設定します。
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
インターフェイスに対する分類子アプリケーションの検証
目的
分類子が正しく構成されていることを確認し、転送クラスの構成を確認します。
アクション
オペレーションモードから、show class-of-service forwarding-classコマンドを入力します。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
意味
出力には、構成されたカスタム分類子設定が表示されます。
例:PMI のマルチフィールド分類器に対するファイアウォール フィルターの設定と適用
この例では、PMIでDSCP値とマルチフィールド(MF)分類子を使用して、トラフィックを異なる転送クラスに分類するファイアウォールフィルターを設定する方法を示します。
分類子は、インターフェイスに到着すると、サービスクラス(CoS)にとって関心のあるパケットを検出します。MF分類子は、単純動作集約(BA)分類子ではパケットを分類できない場合、ピアリングルーターにCoSビットのマークが付けられていない場合、またはピアリングルーターのマーキングが信頼できない場合に使用されます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
始める前に:
MF 分類子に設定する各ウェルノウン DSCP にデフォルトで割り当てられている転送クラスを決定します。「PowerMode IPsec による IPsec パフォーマンスの向上」を参照してください。
概要
この例では、ファイアウォールフィルター mf-classifierを設定する方法を説明します。MF 分類子を設定するには、保証転送トラフィック クラスを作成して名前を付け、一致条件を設定して、宛先アドレスを 192.168.44.55 と指定します。DiffServ トラフィックを確実に転送するための転送クラスを af-class として作成し、損失の優先度を低に設定します。
この例では、優先転送トラフィック クラスを作成して名前を付け、優先転送トラフィック クラスの一致条件を設定します。宛先アドレスを 192.168.66.77 と指定します。ef-class として優先転送 DiffServ トラフィック用の転送クラスを作成し、ポリサーを ef-policer に設定します。ネットワーク制御トラフィッククラスを作成して名前を付け、一致条件を設定します。
この例では、ネットワーク制御トラフィッククラスの転送クラスを作成し、「 nc-class 」という名称を、ベストエフォートトラフィッククラスの転送クラスに「 be-class」という名称を付けています。最後に、マルチフィールド分類器ファイアウォールフィルターを、フィルターを必要とする各顧客向けまたはホスト向けの各入力および出力フィルターとして適用します。この例では、入力フィルターのインターフェイスはge-0/0/2で、出力フィルターのインターフェイスはge-0/0/4です。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMI内のデバイスのマルチフィールド分類器のファイアウォールフィルターを設定するには:
マルチフィールド分類器フィルターを作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
保証転送トラフィック クラスの用語を作成し、名前を付けます。
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
確実な転送トラフィックの宛先アドレスを指定します。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
転送クラスを作成し、確実な転送トラフィッククラスの損失優先度を設定します。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
優先転送トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
優先転送トラフィックの宛先アドレスを指定します。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
転送クラスを作成し、優先転送トラフィック クラスにポリサーを適用します。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
ネットワーク制御トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
ネットワーク制御トラフィック クラスの一致条件を作成します。
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
ネットワーク制御トラフィッククラスの転送クラスを作成し、名前を付けます。
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
ベストエフォート型トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
ベストエフォート型トラフィッククラスの転送クラスを作成し、名前を付けます。
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
マルチフィールド分類器ファイアウォールフィルターを入力フィルターとして適用します。
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
マルチフィールド分類器ファイアウォールフィルターを出力フィルターとして適用します。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
結果
設定モードから、show firewall filter mf-classifierコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
設定モードから、show interfacesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
マルチフィールド分類子設定のファイアウォールフィルターの検証
目的
マルチフィールド分類器のファイアウォールフィルターがデバイスで正しく設定されていることを確認し、転送クラスが正しく設定されていることを確認します。
アクション
設定モードからshow class-of-service forwarding-classコマンドを入力します。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
意味
出力には、構成されたカスタム分類子設定が表示されます。
例:PMI のセキュリティデバイスへの書き換えルールの設定と適用
この例では、PMI でデバイスの書き換えルールを構成して適用する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
始める前に:
転送クラスを作成して設定します。「PowerMode IPsec による IPsec パフォーマンスの向上」を参照してください。
概要
この例では、顧客またはホストから受信したパケットのCoS値を、他のSRXシリーズファイアウォールが期待する値に置き換える書き換えルールを設定する方法を説明します。受信したパケットにすでに有効なCoS値が含まれている場合は、書き換えルールを設定する必要はありません。書き換えルールは、アウトバウンドパケットのCoS値を確立するために、デバイスが内部で使用する転送クラス情報とパケット損失優先度を適用します。書き換えルールを設定した後、正しいインターフェイスに適用します。
この例では、DiffServ CoS の書き換えルールを rewrite-dscps として設定します。ベストエフォート転送クラスを be-class、優先転送クラスを ef-class、保証転送クラスを af-class、ネットワーク制御クラスを nc-classとして指定します。最後に、ge-0/0/0インターフェイスに書き換えルールを適用します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMI でデバイスの書き換えルールを構成して適用するには、次の手順に従います。
DiffServ CoS の書き換えルールを設定します。
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
ベストエフォート型転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
優先転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
保証転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
ネットワーク制御クラスの書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
インターフェイスに書き換えルールを適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
書き換えルール設定の確認
目的
書き換えルールが正しく構成されていることを確認します。
アクション
オペレーションモードから、show class-of-serviceコマンドを入力します。
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
意味
書き換えルールは、ge-0/0/0インターフェイス上で適切に設定されています。
PMI での IPsec ESP 認証専用モードの設定
PMI では、高い IPsec スループット パフォーマンスを実現するための新しいデータ パスが導入されました。PMI モードでは、データパケットを暗号化せずに認証、整合性検査、およびリプレイ保護を提供する ESP(セキュリティー・ペイロードのカプセル化)認証専用モードを使用できます。
始める前に:
セッションが PMI 対応であることを確認してください。VPNセッションアフィニティを参照してください。
ESP 認証専用モードを設定するには:
関連項目
プラットフォーム固有の PMI の動作
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。
詳細については、「 プラットフォームの追加情報 」セクションを参照してください。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットフォーム | 違い |
|---|---|
| MX-SPC3を搭載したMXシリーズ |
|
| SRXシリーズ |
|
プラットフォームの追加情報
特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを使用します。追加のプラットフォームがサポートされる場合があります。プラットフォームに関連する注意点については、プラットフォーム固有の PMI の動作セクションを参照してください。
|
機能 |
SRX4100SRX4200SRX4600SRX4700 |
SPC3を使用したSRX5000ライン |
vSRX仮想ファイアウォール |
|---|---|---|---|
|
PMI を使用可能または使用不可にした後にリブートが必要 |
◯ |
いいえ |
Junos OS リリース 19.2R1 以降ではいいえ Junos OS リリース 18.3R1 では ○ |
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。