vSRXの概要

概要このトピックでは、アーキテクチャのvSRXメリットについて学習します。

vSRXは、仮想化されたプライベートクラウド環境またはパブリッククラウド環境の境界またはエッジでセキュリティとネットワークのサービスを提供する クラウド アプライアンスです。vSRX x86 サーバー上で仮想マシン(VM)として動作します。vSRXは、Junos オペレーティング システム(Junos OS)を基に構築され、SRX シリーズサービスゲートウェイのソフトウェアリリースで利用可能な機能と同様のネットワークおよびセキュリティ機能を提供します。

vSRX は、コア ファイアウォール、VPN、NAT、レイヤー 4~レイヤー 7 セキュリティ サービス(アプリケーション セキュリティ、侵入検出および防御(IPS)、拡張 Web フィルタリングやアンチウィルスなどの UTM 機能など、完全な次世代ファイアウォール(NGFW)ソリューションを提供します。vSRX は、Sky ATP と組み合わせて、動的分析機能を備える クラウド ベースの高度なマルウェア対策サービスを提供し、高度なマルウェアに対する保護を行います。また、機械学習を組み込み、検出効果を高め、修復時間を削減します。

図1は 、ハイレベルのアーキテクチャを示しています。

vSRXは、ハードウェアJunos コントロール プレーン(JCP)と、パケット転送エンジン(PFE)のコンポーネントで構成データ プレーン。vSRX サーバーに 1 つの仮想 CPU(vCPU)を使用JCP PFE に少なくとも 1 つの vCPU を使用します。Junos OS 15.1X49-D70 および Junos OS リリース 17.3R1 から、マルチコア vSRX は vCPU と仮想 RAM(vRAM)の拡張に対応しています。パフォーマンス向上を必要とするために、追加の vCPU データ プレーン vCPU を追加します。

Junos OS仮想マシンとして動作vSRX。Junos OSはNICに直接アクセスする必要はありません。ハイパーバイザーが提供する仮想NICアクセスのみ可能で、同じホストマシン上で実行されている他の仮想マシンと共有されている可能性があります。この仮想アクセスには信頼モードと呼ばれる特別なモードなどの特定の制限があります。セキュリティ上の問題が考えられるため、モード アクセスを実現できない可能性があります。このような環境で RETH モデルを動作するために、MAC 書き換え動作は変更されます。親の仮想 MAC アドレス を子供にコピーするのではなく、子供の物理 MAC アドレス を変更そのままにして、アクティブな子供の物理 MAC アドレス をコピーします。RETHインターフェイスの現在のMACにクラスタのノードを追加します。この方法では、信頼モードが無効になっている場合に、MAC 書き換えアクセスは必要ありません。

VF(仮想機能)の信頼モードを設定すると、ホストは実行時にMAC アドレスの信頼性を変更できます。これにより、複数vSRX IPv6 の機能を検出し、拡張条件下でパフォーマンスを向上するのに役立ちます。インターフェイスでの ND 学習vSRX、IPv6 に制限されています。VF 信頼モードの Linux 設定では、ホスト マシン ip link set dev enp134s0f1 vf 0 trust on で コマンドを実行します。

設定を検証します。

user@host:~# ip リンク

enp134s0f1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq portid 3cfdfed48ad9 state UP mode DEFAULT group default qlen 1000

link/ether 3c:fd:fe:d4:8a:d9 brd ff:ff:ff:ff:ff:ff

vf 0 MAC 00:00:00:00:00:00, spoof checking on, link-state auto, trust on.