パワーモード IPsec
PowerMode IPsec による IPsec パフォーマンスの向上
PowerMode IPsec(PMI)は、ベクトルパケット処理とIntel Advanced Encryption Standard New Instructions(AES-NI)を使用してIPsecパフォーマンスを向上させる動作 モードです。PMIは、フロー処理をバイパスするパケット転送エンジン内の小さなソフトウェアブロックを利用し、PMIが有効になっているときにアクティブになるIPsec処理のパフォーマンスを最適化するためのAES-NI命令セットを使用します。
- PMI 処理
- PMI統計
- 高度な暗号化標準新命令(AES-NI)およびインラインFPGA(フィールドプログラマブルゲートアレイ)
- PMI でサポートされる機能とサポートされていない機能
- PMIの利点
- セキュリティ フロー PMI の設定
- 対称ファットIPsecトンネルについて
PMI 処理
PMI 処理を使用可能または使用不可にすることができます。
- コンフィギュレーション・モード・コマンドを使用して、 PMI 処理を有効にします。
set security flow power-mode-ipsec - 設定モード・コマンドを使用して、 PMI 処理を使用不可にします。
delete security flow power-mode-ipsecこのコマンドを実行すると、コンフィギュレーションから ステートメントが削除されます。
SRX4100の場合、Junos OSリリース18.4R1を実行しているSRX4200デバイス、Junos OSリリース20.4R1を実行しているSRX4600シリーズファイアウォール、およびJunos OSリリース18.3R1を実行しているvSRX仮想ファイアウォールPMIを有効または無効にした後、設定を有効にするにはデバイスを再起動する必要があります。ただし、Junos OSリリース19.2R1を実行しているSRX5000ラインおよびvSRX仮想ファイアウォールインスタンスの場合、再起動は必要ありません。
PMI統計
PMI 統計は、 操作モード・コマンドを使用して検査できます。show security flow pmi statistics
PMI と fat トンネルのステータス は、運用モード コマンドを使用して確認できます。show security flow status
高度な暗号化標準新命令(AES-NI)およびインラインFPGA(フィールドプログラマブルゲートアレイ)
Junos OS リリース 20.4R1 以降、AES-NI を使用して PMI パフォーマンスを向上させることができます。PMIモードのAES-NI は、SPUの負荷を分散するのに役立ち、SPC3カードの対称ファットトンネルをサポートします。これにより、トラフィック処理のパフォーマンスが向上し、IPsec VPNのスループットが向上します。PMIでは、暗号化にAES-NI を使用し、暗号化操作の復号化にFPGAを使用します。
AES-NI による PMI 処理を使用可能にするには、階層レベルで ステートメントをインクルードします。power-mode-ipsec[edit security flow]
インラインFPGAを有効または無効にするには、階層レベルでステートメントを含め ます 。inline-fpga-crypto (disabled | enabled)[edit security forwarding-process application-services]
PMI でサポートされる機能とサポートされていない機能
トンネル・セッションは、PMI または非 PMI のいずれかです。
セッションが および に記載されているサポートされていない機能で設定されている場合、セッションは非PMIとしてマークされ、トンネルは非PMIモードになります。表 1表 2トンネルが非 PMI モードに入ると、トンネルは PMI モードに戻りません。
表 1 は、SRXシリーズファイアウォールでサポートされているPMI機能とサポートされていないPMI機能を要約しています。
PMI でサポートされている機能 |
PMI でサポートされていない機能 |
|---|---|
IKE(インターネット鍵交換)機能 |
IPsec-in-IPsec トンネル |
トラフィック セレクターを使用した AutoVPN |
レイヤー 4 から 7 のアプリケーション: アプリケーションファイアウォールとAppSecure |
高可用性 |
GPRS トンネリング プロトコル(GTP)およびストリーム制御伝送プロトコル(SCTP)ファイアウォール |
IPv6 |
ホストトラフィック |
ステートフルファイアウォール |
マルチキャスト |
st0インターフェイス |
ネストされたトンネル |
トラフィック セレクター |
Screen オプション |
NAT-T |
DES-CBC 暗号化アルゴリズム |
TEID分布と非対称脂肪トンネルソリューションを使用したGTP-Uシナリオ |
3DES-CBC暗号化アルゴリズム |
サービス品質(QoS) |
アプリケーション層ゲートウェイ(ALG) |
フラグメント処理と統合暗号化のためのファーストパスおよびファストパス処理。 |
|
NAT |
|
AES-GCM-128 および AES-GCM-256 暗号化アルゴリズム。最適なパフォーマンスを得るには、AES-GCM 暗号化アルゴリズムを使用することをお勧めします。 |
|
AES-CBC-128、AES-CBC-192、AES-CBC-256(SHA1 暗号化アルゴリズムを使用) |
|
AES-CBC-128、AES-CBC-192、AES-CBC-256、SHA2 暗号化アルゴリズムを使用 |
|
NULL 暗号化アルゴリズム |
|
表 2 は、MX-SPC3 サービス カードでサポートされている PMI 機能とサポートされていない PMI 機能の要約です。
MX-SPC3サービスカードは、npキャッシュとIPsecセッションアフィニティをサポートしていません。
PMI でサポートされている機能 |
PMI でサポートされていない機能 |
|---|---|
IKE(インターネット鍵交換)機能 |
レイヤー 4 から 7 のアプリケーション: アプリケーション ファイアウォール、AppSecure、ALG |
トラフィックセレクターを使用したAutoVPN、ADVPN |
マルチキャスト |
高可用性 |
ネストされたトンネル |
IPv6 |
Screen オプション |
ステートフルファイアウォール |
アプリケーション層ゲートウェイ(ALG) |
st0インターフェイス |
|
トラフィック セレクター |
|
デッドピア検出(DPD) |
|
アンチリプレイチェック |
|
NAT |
|
フラグメント化後/フラグメント化前 |
|
受信クリアテキスト フラグメントと ESP フラグメント |
|
AES-GCM-128 および AES-GCM-256 暗号化アルゴリズム。最適なパフォーマンスを得るには、AES-GCM 暗号化アルゴリズムを使用することをお勧めします。 |
|
AES-CBC-128、AES-CBC-192、AES-CBC-256(SHA1 暗号化アルゴリズムを使用) |
|
AES-CBC-128、AES-CBC-192、AES-CBC-256、SHA2 暗号化アルゴリズムを使用 |
|
NULL 暗号化アルゴリズム |
PMI に関する以下の使用上の考慮事項に注意してください。
- Antireplay window size
アンチリプレイ ウィンドウ サイズは、デフォルトでは 64 パケットです。fat-tunnelを設定する場合、アンチリプレイウィンドウサイズを512パケット以上に増やすことを推奨します。
- Class of Service (CoS)
- Junos OS リリース 19.1R1 以降、サービス クラス(CoS)は、SRX5K-SPC3 サービス処理カード(SPC)カード上の PMI で、BA(動作集約)分類子、MF(マルチフィールド)分類子、書き換えルール機能の設定をサポートします。
フロー セッションの PMI を有効にすると、CoS はフローごとに実行されます。つまり、新しいフローの最初のパケットは、フロー セッションの CoS 情報をキャッシュします。その後、フローの後続のパケットは、セッションにキャッシュされた CoS 情報を再利用します。
- Encryption algorithm
Junos OSリリース19.3R1は、PMIモードのSRX4100、SRX4200、およびvSRX仮想ファイアウォールでオプションaes-128-cbc、aes-192-cbc、aes-256-cbcをサポートし、IPsecパフォーマンスを向上させます。また、通常モードでの既存のサポートも同様です。
- GTP-U
- Junos OS リリース 19.2R1 以降、PMI は TEID 分布と非対称脂肪トンネル ソリューションを使用した GTP-U シナリオをサポートします。
- Junos OSリリース19.3R1以降、TEIDディストリビューションと非対称ファットトンネルソリューションを使用したGTP-Uシナリオと、vSRX仮想ファイアウォールとvSRX仮想ファイアウォールでのソフトウェア受信側スケーリング機能。
- LAG and redundant (reth) interfaces
- PMI は、リンク集約グループ(LAG)および冗長イーサネット(reth)インターフェイスでサポートされています。
- PMI fragmentation check
PMI は、フラグメント化前とフラグメント化後のチェックを行います。PMI がフラグメント化前およびフラグメント化後のパケットを検出した場合、パケットは PMI モードを通過できません。パケットは非PMIモードに戻ります。
インターフェイスで受信したフラグメントは、PMI を経由しません。
- PMI for NAT-T
- NAT-TのPMIは、SRX5K-SPC3サービスプロセシングカード(SPC)を搭載したSRX5400、SRX5600、SRX5800ライン、またはvSRX仮想ファイアウォールでのみサポートされます。
- PMI support (vSRX)
Junos OSリリース19.4R1以降、vSRX仮想ファイアウォールインスタンスは以下をサポートします。
PMI モードの GTP-U トラフィック用のフロー単位の CoS 機能。
PMI モードの CoS 機能。PMI モードでは、次の CoS 機能がサポートされます。
分類
書き換えルール関数
キュー
シェーピング
スケジューリング
PMIの利点
IPsec のパフォーマンスを向上させます。
セキュリティ フロー PMI の設定
次のセクションでは、セキュリティ フロー PMI を設定する方法について説明します。
セキュリティー・フローPMIを設定するには、IOCのセッション・キャッシュとセッション・アフィニティを有効にする必要があります。
IOC(IOC2 および IOC3)でセッションキャッシュを有効にする
user@host# set chassis fpc <fpc-slot> np-cache
VPN セッション アフィニティを有効にする
user@host# set security flow load-distribution session-affinity ipsec
PMI でセキュリティー・フローを作成します。
user@host#set security flow power-mode-ipsec
show securityコマンドを入力して、設定を確認します。user@host# show security flow { power-mode-ipsec; }
対称ファットIPsecトンネルについて
IPsecトンネルのスループットを向上させるために、ファットトンネル技術を使用できます。
Junos OSリリース19.4R1以降、SRX5K-SPC3サービスカードとvSRX仮想ファイアウォールインスタンスを使用して、SRX5400、SRX5600、SRX5800ラインでFAT IPsecトンネルを設定できます。
Junos OSリリース21.1R1以降、MX-SPC3サービスカードでFAT IPsecトンネルを設定できます。
FAT IPsec トンネルを有効にする新しい CLI コマンドが導入されました。ファットIPsecトンネル機能はデフォルトで無効になっています。導入された 新しいCLIコマンドは、 階層にあります。fat-coreset security distribution-profile ファットコアを有効にすると、次の設定が表示されます。
security {
distribution-profile {
fat-core;
}
}
fat IPsec トンネルを設定する前に、以下が設定されていることを確認してください。
高速パス転送の場合は、 コマンドを使用して、セッション情報の IOC キャッシュを構成します。
set chassis fpc FPC slot np-cacheセッション・アフィニティを使用可能にするには、 コマンドを使用します 。
set security flow load-distribution session-affinity ipsec電源モードを有効にするには、 コマンドを使用します 。
set security flow power-mode-ipsec
関連項目
例:PMI での動作集約分類子の設定
この例は、PMIでのパケットの転送処理を決定するために、SRXシリーズファイアウォールの動作集約(BA)分類子を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
開始する前に、以下を実行します。
動作集約分類子に設定する各既知の DSCP にデフォルトで割り当てられている転送クラスと PLP を決定します。
概要
動作集約分類子を設定して、有効な DSCP を含むパケットを適切なキューに分類します。設定したら、動作集約分類子を正しいインターフェイスに適用します。デフォルトのIP優先順位分類子を上書きするには、分類子を定義して論理インターフェイスに適用します。すべてのコード・ポイント・タイプに対して新規分類子を定義するには、階層レベルでステートメント を組み込みます 。classifiers[edit class-of-service]
この例では、DSCP 動作集約分類子をデフォルトの DSCP マップとして に設定します 。ba-classifier ベストエフォート転送クラスを 、優先転送クラスを 、保証転送クラスを 、ネットワーク制御転送クラスを に設定します。be-classef-classaf-classnc-class 最後に、インターフェイスge-0/0/0に動作集約分類器を適用します。
表2は、動作集約分類子が4つの転送クラスの着信パケットに損失優先度を割り当てる方法を示しています。
MF 分類子転送クラス |
CoS トラフィック タイプの場合 |
ba 分類子の割り当て |
|---|---|---|
|
ベストエフォート型トラフィック |
高優先度コード・ポイント: 000001 |
|
転送トラフィックの迅速化 |
高優先度コード・ポイント: 101111 |
|
確実な転送トラフィック |
高優先度コード・ポイント: 001100 |
|
ネットワーク制御トラフィック |
高優先度コード・ポイント: 110001 |
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMIでデバイスの動作集約分類子を設定するには:
サービスクラスを設定します。
[edit] user@host# edit class-of-service
差別化されたサービス(DiffServ)CoSの動作集約分類子を設定します。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
ベストエフォート型転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
優先転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
保証転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
ネットワーク制御転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
インターフェイスに動作集約分類器を適用します。
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
分類子がインターフェイスに適用されていることを確認する
目的
分類子が正しいインターフェイスに適用されていることを確認します。
アクション
オペレーションモードから、show class-of-service interface ge-0/0/0コマンドを入力します。
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
意味
インターフェイスは想定どおりに設定されています。
例:vSRX仮想ファイアウォールインスタンスのPMIでの動作集約分類子の設定
この例は、PMIでのパケットの転送処理を決定するために、vSRX仮想ファイアウォールインスタンスの動作集約(BA)分類子を設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
vSRX仮想ファイアウォールインスタンス。
Junos OS リリース 19.4R1 以降のリリース。
開始する前に、以下を実行します。
動作集約分類子に設定する各既知の DSCP にデフォルトで割り当てられている転送クラスとパケット損失の優先度(PLP)を決定します。
概要
動作集約分類子を設定して、有効な DSCP を含むパケットを適切なキューに分類します。設定したら、動作集約分類子を正しいインターフェイスに適用します。デフォルトのIP優先順位分類子を上書きするには、分類子を定義して論理インターフェイスに適用します。すべてのコード・ポイント・タイプに対して新規分類子を定義するには、階層レベルでステートメント を組み込みます 。classifiers[edit class-of-service]
この例では、DSCP 動作集約分類子をデフォルトの DSCP マップとして に設定します 。ba-classifier ベストエフォート転送クラスを 、優先転送クラスを 、保証転送クラスを 、ネットワーク制御転送クラスを に設定します。be-classef-classaf-classnc-class 最後に、インターフェイスge-0/0/0に動作集約分類器を適用します。
表2は、動作集約分類子が4つの転送クラスの着信パケットに損失優先度を割り当てる方法を示しています。
MF 分類子転送クラス |
CoS トラフィック タイプの場合 |
ba 分類子の割り当て |
|---|---|---|
|
ベストエフォート型トラフィック |
高優先度コード・ポイント: 000001 |
|
転送トラフィックの迅速化 |
高優先度コード・ポイント: 101111 |
|
確実な転送トラフィック |
高優先度コード・ポイント: 001100 |
|
ネットワーク制御トラフィック |
高優先度コード・ポイント: 110001 |
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMIでデバイスの動作集約分類子を設定するには:
サービスクラスを設定します。
[edit] user@host# edit class-of-service
差別化されたサービス(DiffServ)CoSの動作集約分類子を設定します。
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
ベストエフォート型転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
優先転送クラス分類子を設定します。
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
ドロッププロファイルを設定します。
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
転送クラス キューを設定します。
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
インターフェイスに分類子を適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
スケジューラを設定します。
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
分類子がインターフェイスに適用されていることを確認する
目的
分類子が正しく設定されていることを確認し、転送クラスが正しく設定されていることを確認します。
アクション
オペレーションモードから、show class-of-service forwarding-classコマンドを入力します。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
意味
出力には、構成されたカスタム分類子設定が表示されます。
例:PMI のマルチフィールド分類器に対するファイアウォール フィルターの設定と適用
この例では、PMIでDSCP値とマルチフィールド(MF)分類子を使用して、トラフィックを異なる転送クラスに分類するファイアウォールフィルターを設定する方法を示します。
分類子は、インターフェイスに到着すると、サービスクラス(CoS)にとって関心のあるパケットを検出します。MF分類子は、単純動作集約(BA)分類子ではパケットを分類できない場合、ピアリングルーターにCoSビットのマークが付けられていない場合、またはピアリングルーターのマーキングが信頼できない場合に使用されます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
開始する前に、以下を実行します。
MF 分類子に設定する各ウェルノウン DSCP にデフォルトで割り当てられている転送クラスを決定します。「PowerMode IPsec による IPsec パフォーマンスの向上」を参照してください。
概要
この例では、ファイアウォールフィルター を設定する方法を説明します。mf-classifier MF 分類子を設定するには、保証転送トラフィック クラスを作成して名前を付け、一致条件を設定して、宛先アドレスを 192.168.44.55 と指定します。DiffServ トラフィックを確実に転送するための転送クラスを として 作成し、損失優先度を低に設定します。af-class
この例では、優先転送トラフィック クラスを作成して名前を付け、優先転送トラフィック クラスの一致条件を設定します。宛先アドレスを 192.168.66.77 と指定します。として優先転送 DiffServ トラフィック 用の転送クラスを作成し、ポリサーを に設定します 。ef-classef-policer ネットワーク制御トラフィッククラスを作成して名前を付け、一致条件を設定します。
この例では、ネットワーク制御トラフィッククラスの転送クラスを作成し、名称を とし 、ベストエフォートトラフィッククラスの 転送クラスを と命名します。nc-classbe-class 最後に、マルチフィールド分類器ファイアウォールフィルターを、フィルターを必要とする各顧客向けまたはホスト向けの各入力および出力フィルターとして適用します。この例では、入力フィルターのインターフェイスはge-0/0/2で、出力フィルターのインターフェイスはge-0/0/4です。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMI内のデバイスのマルチフィールド分類器のファイアウォールフィルターを設定するには:
マルチフィールド分類器フィルターを作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
保証転送トラフィック クラスの用語を作成し、名前を付けます。
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
確実な転送トラフィックの宛先アドレスを指定します。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
転送クラスを作成し、確実な転送トラフィッククラスの損失優先度を設定します。
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
優先転送トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
優先転送トラフィックの宛先アドレスを指定します。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
転送クラスを作成し、優先転送トラフィック クラスにポリサーを適用します。
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
ネットワーク制御トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
ネットワーク制御トラフィック クラスの一致条件を作成します。
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
ネットワーク制御トラフィッククラスの転送クラスを作成し、名前を付けます。
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
ベストエフォート型トラフィック クラスの用語を作成し、名前を付けます。
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
ベストエフォート型トラフィッククラスの転送クラスを作成し、名前を付けます。
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
マルチフィールド分類器ファイアウォールフィルターを入力フィルターとして適用します。
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
マルチフィールド分類器ファイアウォールフィルターを出力フィルターとして適用します。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
結果
設定モードから、show firewall filter mf-classifierコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
設定モードから、show interfacesコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
マルチフィールド分類子設定のファイアウォールフィルターの検証
目的
マルチフィールド分類器のファイアウォールフィルターがデバイスで正しく設定されていることを確認し、転送クラスが正しく設定されていることを確認します。
アクション
設定モードからshow class-of-service forwarding-classコマンドを入力します。
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
意味
出力には、構成されたカスタム分類子設定が表示されます。
例:PMI のセキュリティデバイスへの書き換えルールの設定と適用
この例では、PMI でデバイスの書き換えルールを構成して適用する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
SRXシリーズファイアウォール。
Junos OS リリース 19.1R1 以降のリリース。
開始する前に、以下を実行します。
転送クラスを作成して設定します。「PowerMode IPsec による IPsec パフォーマンスの向上」を参照してください。
概要
この例では、顧客またはホストから受信したパケットのCoS値を、他のSRXシリーズファイアウォールが期待する値に置き換える書き換えルールを設定する方法を説明します。受信したパケットにすでに有効なCoS値が含まれている場合は、書き換えルールを設定する必要はありません。書き換えルールは、アウトバウンドパケットのCoS値を確立するために、デバイスが内部で使用する転送クラス情報とパケット損失優先度を適用します。書き換えルールを設定した後、正しいインターフェイスに適用します。
この例では、DiffServ CoS の書き換えルールを として 設定します。rewrite-dscps ベストエフォート転送クラスを 、優先転送クラスを 、保証転送クラス を 、ネットワーク制御クラスを と指定します。be-classef-classaf-classnc-class 最後に、ge-0/0/0インターフェイスに書き換えルールを適用します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
PMI でデバイスの書き換えルールを構成して適用するには、次の手順に従います。
DiffServ CoS の書き換えルールを設定します。
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
ベストエフォート型転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
優先転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
保証転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
ネットワーク制御クラスの書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
インターフェイスに書き換えルールを適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
結果
設定モードから、show class-of-serviceコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
書き換えルール設定の確認
目的
書き換えルールが正しく構成されていることを確認します。
アクション
オペレーションモードから、show class-of-serviceコマンドを入力します。
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
意味
書き換えルールは、ge-0/0/0インターフェイス上で適切に設定されています。
PMI での IPsec ESP 認証専用モードの設定
PMI では、高い IPsec スループット パフォーマンスを実現するための新しいデータ パスが導入されました。Junos OS リリース 19.4R1 以降、SRX5K-SPC3 カードを使用したSRX5000回線で、PMI モードで ESP(セキュリティ ペイロードのカプセル化)認証専用モードを使用できます。これにより、データ パケットを暗号化せずに認証、整合性チェック、リプレイ保護が提供されます。
Junos OSリリース22.1R3以降、SRXシリーズファイアウォールでパススルーESPトラフィックのPMIエクスプレスパス処理がサポートされています。
開始する前に、以下を実行します。
セッションが PMI 対応であることを確認してください。VPNセッションアフィニティを参照してください。
ESP 認証専用モードを設定するには: