|
◆ Juniper - 用語理解
SRXシリーズに搭載されたOSは、Routing分野のOSであるJunosとSecurity分野のOSであるScreenOSの
2つが統合されたOSであることから、SRXのJUNOSといっても、SRXはScreenOSの機能を有しています。
従って、ScreenOSで解説した以下の概念( インターフェース、ゾーン、バーチャルルータ )があります。
ただし、ゾーンでのデフォルトの動作が異なる等、ScreenOSと同じ機能が同じ内容で動作する訳ではない。
| Juniper用語 |
説明 |
| インターフェース |
SRXでは、SSGと同様に物理インターフェースと仮想インターフェースの2種類がある。
また、物理インターフェース、仮想インターフェースともにIPアドレスを持つことができる。 |
| ゾーン |
ゾーンは、インターフェースに割り当てられる仮想的なグループのこと。SRXではこのゾーンを
使用してトラフィック制御を行う。SSGの動作とは異なりSRXでは異なるゾーン間だけではなくて
デフォルトで同じゾーン間においても、ポリシーチェックを行ってトラフィック制御する。 |
| バーチャルルータ |
仮想的なルータ。一般的にルータは1つのルーティングテーブルを保持するがこのバーチャル
ルータの機能によってバーチャルルータごとにルーティングテーブルを保持することができる。
デフォルトでバーチャルルータは生成されておらず単一のルーティングインスタンスを使用。
|
SSGではデフォルトで「trust-vr」というバーチャルルータが生成されており、そのバーチャルルータに対し
デフォルトで生成されている「Trust」や「Untrust」等のゾーンが割り当てられていますが、一方、SRXは
バーチャルルータは生成されていないので生成しなければバーチャルルータを意識することなく設定できます。
※ SSG5の初期コンフィグの通り、SSGではデフォルトで「trust-vr」というバーチャルルータが生成されていることが分かります。
◆ Layer 2 transparent mode
JUNOS11.1からSRXの全プラットフォームで、Layer2 Transparent modeをサポートしています。つまり、
L2ファイアウォールとして動作させられるので既存ネットワーク構成を変更することなくSRXを配置できます。
Transparentモードとして動作させるために該当ポートをfamily inet bridgeとした上でVLANを割り当てます。
あとは、SRXの管理アクセス用としてブリッジングインターフェース(irb)に対してIPアドレスを割り当てます。
※ SRXをL3スイッチとして動作させる場合は、該当ポートを family ethernet-switching としてVLANを割り当てればOK。
◆ SRX100 - インターフェースの初期設定
| 初期I/F設定 |
説明 |
| fe-0/0/0 |
「untrust」ゾーンに割り当てられている。 |
| fe-0/0/1 |
これらのI/Fに「vlan.0」が割り当てられているので、「trust」ゾーンが割り当てられる。 |
| fe-0/0/2 |
| fe-0/0/3 |
| fe-0/0/4 |
| fe-0/0/5 |
| fe-0/0/6 |
| fe-0/0/7 |
| vlan.0 |
「trust」ゾーンに割り当てられており、IPアドレス「192.168.1.1/24」が割り当てられている。 |
◆ ゾーンとは
ゾーンには大きく以下の3種類があります。管理者が個別に作成できるゾーンがセキュリティゾーンです。
| 3種類のゾーン |
説明 |
| セキュリティゾーン |
同一のセキュリティポリシーによりまとめられるゾーン。ポリシーの適用単位となる。 |
| Functional Zone |
SRXの機器の管理を行うために作成されているゾーン。 |
| Nul Zone |
どのゾーンにも定義されていないインターフェースが自動的に割り当てられるゾーン。 |
インターフェースに割り当てる仮想的なグループであるセキュリティゾーンには以下のルールがあります。
※ SRX100の設定済みのセキュリティゾーンには @trust、Auntrust、Bjunos-host の3つがあります。
※ junos-hostゾーンを使用し、通常のセキュリティポリシー同様の設定で管理アクセスを制御することも可。
◆ ゾーンの設定
set security zones security-zone name
◆ 設定例 : 「TRSUT1」というセキュリティゾーンの作成
| # set security zones security-zone TRUST1 |
◆ バーチャルルータとは
バーチャルルータとは、仮想的なルータのことです。これにより、1つの物理的なSRX上に複数の仮想的な
ルータを存在させることができるので、バーチャルルータの数だけ独自のルーティングテーブルを保持する
ことができます。SRXでは、機種ごとにバーチャルルータの最大数が異なります。SRX100の場合 3 です。
| SRXシリーズ |
バーチャルルータの最大数 |
| SRX100 |
3 |
| SRX210 |
10 |
| SRX240 |
20 |
| SRX650 |
60 |
| SRX3000 |
256 |
| SRX5000 |
500 |
◆ バーチャルルータの設定
set routing-instances name instance-type virtual-router
◆ 設定例 : 「VR1」というバーチャルルータの作成
| # set routing-instances VR1 instance-type virtual-router |
|