サービスセット
サービスセットについて
Junos OSでは、アダプティブサービスインターフェイス(AS)またはマルチサービスラインカード(MS-DPC、MS-MIC、MS-MPC)によって実行されるサービスの集合を定義するサービスセットを作成することができます。サービス セットは、インターフェイス形式のサービス セットまたはネクストホップ形式のサービス セットとして設定できます。
インターフェイス サービス セットは、インターフェイス全体のアクション修飾子として使用されます。インターフェイスを通過するパケットにサービスを適用する場合、インターフェイススタイルのサービスセットを使用できます。
ネクストホップ サービス セットは、特定のサービスを適用するルートベースの方法です。特定のネクスト ホップ宛てのパケットのみが、明示的スタティック ルートの作成によって処理されます。この設定は、サービスを仮想プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)テーブル全体に適用する必要がある場合や、ルーティングの決定によりサービスを実行する必要があると判断された場合に役立ちます。ネクストホップ サービスが設定されている場合、サービス インターフェイスは、1 つのレッグを内部インターフェイス(ネットワーク内)として設定し、もう一方を外部インターフェイス(ネットワーク外)として設定した 2 レッグ モジュールと見なされます。
サービス セットの非アクティブ化またはサービス セットの削除操作中のパケット ドロップを回避するには、まずサービス セットに対応するインターフェイスを停止し、しばらく待ってから、サービス セットを非アクティブ化または削除します。ただし、トラフィック フローが非常に高い場合、この回避策は役に立ちません。
サービス セットを構成するには、 階層レベルで次のステートメントを含めます [edit services] 。
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
関連項目
サービス インターフェイスに適用されるサービス セットの設定
サービスインターフェイスを設定して、サービスが実行される適応サービスインターフェイスを指定します。サービス インターフェイスは、次のセクションで説明するサービス セット タイプのいずれかで使用されます。
インターフェイスサービスセットの設定
インターフェイス サービス セットは、インターフェイス全体のアクション修飾子として使用されます。サービスインターフェイスを設定するには、 階層レベルで ステートメントを含め interface-service ます [edit services service-set service-set-name] 。
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
ルーター ソフトウェアが論理ユニット番号を自動的に管理するため、必要なのはデバイス名だけです。サービスインターフェイスは、 階層レベルで設定したunit 0 family inet[edit interfaces interface-name適応サービスインターフェイスである必要があります。
service-set 定義を設定してサービス ルールを定義およびグループ化すると、ルーターにインストールされている 1 つ以上のインターフェイスにサービスを適用できます。サービス セットをインターフェイスに適用すると、自動的にパケットが PIC に送信されます。
定義済みのサービス セットをインターフェイスに関連付けるには、 service-set 階層レベルで ステートメントと または ステートメントを含む input output ステートメントを含めます [edit interfaces interface-name unit logical-unit-number family inet service] 。
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
パケットがインターフェイスに入る場合、一致方向は inputです。パケットがインターフェイスを離れる場合、一致方向は outputです。サービスセットは、サービスが適用された後も入力インターフェイス情報を保持するため、入力インターフェイス情報に依存するフィルタークラス転送や宛先クラス使用率(DCU)などの機能は引き続き機能します。
インターフェイスの入力側と出力側で同じサービス セットを設定します。オプションで、各サービスセットに関連付けられたフィルターを含めて、ターゲットを絞り込み、トラフィックをさらに処理することができます。定義なしで service-filter ステートメントを含めるservice-setと、ルーター ソフトウェアは一致条件が真であると見なし、処理するサービス セットを自動的に選択します。
フィルタを使用してサービス セットを設定する場合は、インターフェイスの入力側と出力側で設定する必要があります。
インターフェイスの両側に複数のサービス セット定義を含めることができます。複数のサービス セットを含める場合、ルータ ソフトウェアは設定に表示される順序でそれらを評価します。システムは、サービスフィルタで一致が見つかった最初のサービスセットを実行し、後続の定義を無視します。インターフェイスには最大 6 つのサービス セットを適用できます。インターフェイスに複数のサービス セットを適用する場合は、サービス フィルターも設定してインターフェイスに適用する必要があります。
追加のステートメントを使用すると、入力サービスセットの実行後にトラフィックを処理するためのフィルターを指定できます。このタイプのフィルターを設定するには、 階層レベルで ステートメントを含め post-service-filter ます [edit interfaces interface-name unit logical-unit-number family inet service input] 。
post-service-filter filter-name;
post-service-filterサービス インターフェイスが MS-MIC または MS-MPC 上にある場合、 ステートメントはサポートされません。
例については、「 例: サービス セットの構成」を参照してください。
Junos OS拡張機能提供パッケージで構成されたインターフェイススタイルのサービスセットでは、イングレスインターフェイスがVRFインスタンスの一部であり、サービスインターフェイスが同じVRFインスタンスの一部ではない場合、トラフィックはサービスを受けられません。
サービス セットに設定された MultiServices PIC が管理上オフラインになるか、障害が発生した場合、IDP サービス セットで設定されたインターフェイスに入るすべてのトラフィックは、予告なくドロップされます。このトラフィック損失を回避するには、 階層レベルで ステートメントを含め bypass-traffic-on-pic-failure ます [edit services service-set service-set-name service-set-options] 。このステートメントを設定すると、マルチサービスPICの障害やオフラインが発生した場合に、インターフェイススタイルのサービスが設定されていないかのように、影響を受けるパケットが転送されます。この問題は、IDPサービスセットを使用するJunos Application Aware (以前は動的アプリケーション認識と呼ばれていました)設定にのみ適用されます。この転送機能は、最初はパケット転送エンジン(PFE)でのみ動作しました。Junos OS リリース 11.3 以降、パケット転送機能は、バイパス サービス セット用にルーティング エンジンによって生成されるパケットにも拡張されています。
ネクストホップ サービス セットの設定
ネクストホップ サービス セットは、特定のサービスを適用するルートベースの方法です。特定のネクスト ホップ宛てのパケットのみが、明示的スタティック ルートの作成によって処理されます。この設定は、サービスを仮想プライベート ネットワーク(VPN)ルーティングおよび転送(VRF)テーブル全体に適用する必要がある場合や、ルーティングの決定によりサービスを実行する必要があると判断された場合に役立ちます。
ネクストホップ サービスが設定されている場合、ASまたはマルチサービス PICは、一方の脚を内部インターフェイス(ネットワーク内)として設定し、もう一方の脚を外部インターフェイス(ネットワーク外)として設定した2レッグのモジュールと見なされます。
8000 より大きい IFL インデックスを作成できるのは、インターフェイス サービス セットが設定されていない場合のみです。
ドメインを設定するには、 階層レベルで ステートメントを含め service-domain ます [edit interfaces interface-name unit logical-unit-number] 。
service-domain (inside | outside);
この設定は service-domain 、ネクストホップ サービス内部および外部インターフェイスの設定と一致している必要があります。内部インターフェイスと外部インターフェイスを設定するには、 階層レベルで ステートメントを含め next-hop-service ます [edit services service-set service-set-name] 。指定するインターフェイスは、同じAS PIC上の論理インターフェイスである必要があります。この目的では設定 unit 0 できず、選択した論理インターフェイスが別のサービス セットで使用されていない必要があります。
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
サービスが適用されるトラフィックは、スタティック ルートを使用して内部インターフェイスに強制されます。例えば:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
サービスが適用されると、トラフィックは外部インターフェイスを経由して出ます。次に、パケット転送エンジン(PFE)でルックアップが実行され、ASまたはマルチサービスPICからパケットが送信されます。
リバース トラフィックは外部インターフェイスに入り、サービスを受け、内部インターフェイスに送信されます。内部インターフェイスは、ASまたはマルチサービスPICからトラフィックを転送します。
トラフィック方向の決定
ネクストホップサービスセットを設定すると、AS PICは2つの部分からなるインターフェイスとして機能し、1つの部分が 内部 インターフェイスで、もう1つの部分が 外部 インターフェイスになります。次の一連のアクションが実行されます。
2 つの部分を論理インターフェイスに関連付けるには、2 つの論理インターフェイスを ステートメントで設定し、1 つは値で
service-domaininside、もう 1 つはoutside値で、内部または外部のサービス インターフェイスとしてマークします。ルータは、ネクストホップ ルックアップ テーブルを使用して、サービスを提供するトラフィックを内部インターフェイスに転送します。
サービスが適用されると、トラフィックは外部インターフェイスから出ます。次に、ルーターから送信されるパケットに対してルート検索が実行されます。
リバース トラフィックが外部インターフェイスに戻ると、適用されたサービスは元に戻されます。たとえば、IPsecトラフィックが復号化されたり、NATアドレスがマスク解除されたりします。その後、サービスされたパケットが内部インターフェイスに出現し、ルーターがルート検索を実行し、トラフィックがルーターを出ます。
サービス ルールの一致方向は、入力、出力、入出力のいずれであっても、特定の内部または外部インターフェイスを介さず、AS PIC を通過するトラフィック フローに対して適用されます。
パケットがAS PICに送信されると、パケットの方向情報も一緒に伝送されます。これは、インターフェイス スタイルとネクストホップ スタイルのサービス セットの両方に当てはまります。
インターフェイススタイルのサービスセット
パケットの方向は、パケットがステートメントが適用されるパケット転送エンジンインターフェイス(転送プレーンに関して) interface-service に出入りするかどうかによって決まります。これは、ステートレス ファイアウォール フィルターの入力方向と出力方向に似ています。
一致方向は、ネットワーク トポロジによっても異なります。例えば、すべての外部トラフィックを、ルーター上の他のインターフェースの保護に使用される 1 つのインターフェース経由でルーティングし、このインターフェースでさまざまなサービスを具体的に構成することができます。あるいは、1つのインターフェイスを優先トラフィックに使用し、そのインターフェイスに特別なサービスを設定することもできますが、他のインターフェイスのトラフィックを保護する必要はありません。
ネクストホップスタイルのサービスセット
パケットの方向は、AS PICにパケットをルーティングするために使用されるAS PICインターフェイスによって決定されます。ステートメントを使用して inside-interface トラフィックをルーティングする場合、パケットの方向は input.ステートメントを使用して outside-interface パケットをAS PICに送信する場合、パケットの方向は output.
サービス セットを適用するインターフェイスは、一致方向に影響します。たとえば、次の設定を適用します。
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
を設定する match-direction input場合、以下のステートメントを含めます。
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
を設定する match-direction output場合、以下のステートメントを含めます。
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
2つの設定の本質的な違いは、AS PICの内側または外部のインターフェイスを指す、一致方向とスタティックルートのネクストホップの変更です。
関連項目
サービス セットの制限の設定
サービス セットの容量には、次の制限を設定できます。
サービス セットごとに許可されるフローの最大数を制限できます。最大値を設定するには、 階層レベルで ステートメントを含め
max-flowsます[edit services service-set service-set-name]。[edit services service-set service-set-name] max-flows number;
ステートメントでは
max-flows、単一のフロー制限値を割り当てることができます。IDS サービスセットの場合のみ、さまざまなタイプのフロー制限をより細かく制御して指定できます。詳細については、「MS-DPC での IDS ルール セットの設定」のステートメントの説明session-limitを参照してください。メモ:集約型マルチサービス(AMS)インターフェイスがサービスセットのサービスインターフェイスとして設定されている場合、
max-flowサービスセットに設定された値がAMSインターフェイスの各メンバーインターフェイスに適用されます。つまり、4 つのアクティブメンバーインターフェイスを持つ AMS インターフェイスを使用するサービスセットの値としてmax-flow1000 を設定した場合、各メンバーインターフェイスはそれぞれ 1000 フローを処理でき、実効max-flow値は 4000 になります。伝送制御プロトコル(TCP)で許可される最大セグメント サイズ(MSS)を制限できます。最大値を設定するには、 階層レベルで ステートメントを含め
tcp-mssます[edit services service-set service-set-name]。[edit services service-set service-set-name] tcp-mss number;
TCPプロトコルは、2つのピア間のセッション接続確立中にMSS値をネゴシエートします。ネゴシエートされた MSS 値は、主に通信ピアが直接接続されているインターフェイスの MTU に基づきます。しかし、ネットワークでは、TCPパケットがたどるパス上のリンクMTUの変動により、関連するパケットのサイズがリンクのMTUを超えると、MSS値内にまだ十分にある一部のパケットがフラグメント化される場合があります。
ルーターが SYN ビットと MSS オプションが設定された TCP パケットを受信し、パケットで指定された MSS オプションが ステートメントで指定された
tcp-mssMSS 値より大きい場合、ルーターはパケット内の MSS 値を ステートメントで指定された低い値tcp-mssに置き換えます。パラメーターの範囲tcp-mss mss-valueは から までです53665535。受信したSYNパケットとMSS値が変更されたSYNパケットの統計情報を表示するには、 運用モードコマンドを発行します
show services service-sets statistics tcp-mss。このトピックの詳細については、 Junos OS 運用管理ライブラリ を参照してください。Junos OS Release 17.1R1以降、MS-MPCのサービスセットごとのセッション設定レートを制限できます。許可される最大セットアップ レートを設定するには、 階層レベルで ステートメントを含め
max-session-setup-rateます[edit services service-set service-set-name]。[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
最大セッション設定レートは、1秒あたりに許可される最大セッション設定数です。このレートに達すると、追加のセッション設定試行はドロップされます。
の範囲
max-session-setup-ratenumberは 1 から 429,496,729 です。k を使用してnumber、セットアップ レートを数千セッションとして表すこともできます。 Junos OS リリース 18.4R1 以降では、.max-session-setup-rateJunos OS リリース 18.4R1 以前では、1k=1024。ステートメントを含めmax-session-setup-rateない場合、セッション設定速度は制限されません。
関連項目
例:サービス セットの設定
2つのサービスセット、 my-input-service-set と my-output-service-setをインターフェイス全体に適用します。すべてのトラフィックがそれに適用されています my-input-service-set 。サービス セットが適用されると、を使用して追加のフィルター処理が行われます my_post_service_input_filter。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
サービスインターフェイスプールの設定
サービスPICがマルチキャストトラフィックを受け入れるようにする
マルチキャストトラフィックをアダプティブサービスまたはマルチサービスPICに送信できるようにするには、 階層レベルで ステートメントを含め allow-multicast ます [edit services service-set service-set-name] 。このステートメントが含まれていない場合、マルチキャストトラフィックはデフォルトでドロップされます。このステートメントは、ネクストホップ サービス セットを使用したマルチキャスト トラフィックにのみ適用されます。インターフェイス サービス セットの設定はサポートされていません。マルチキャスト パケットに対しては、単方向フローのみが作成されます。
関連項目
インターフェイスへのフィルターとサービスの適用
サービスセット定義を設定してサービスルールを定義およびグループ化すると、ルーター上の1つ以上のインターフェイスにサービスを適用できます。定義済みのサービス セットをインターフェイスに関連付けるには、 service-set 階層レベルで ステートメントと または ステートメントを使用します input output [edit interfaces interface-name unit logical-unit-number family inet service] 。
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
インターフェイスでサービスを有効にした場合、リバースパスフォワーディングはサポートされません。管理インターフェイス()またはループバックインターフェイス(fxp0lo0)でサービスを設定することはできません。
インターフェイスの入力側と出力側で異なるサービス セットを設定できます。ただし、双方向サービス ルールを持つサービス セットの場合は、 ステートメントと output ステートメントの両方にinput同じサービス セット定義を含める必要があります。ステートメントに含めるserviceサービス セットは、 階層レベルで ステートメント[edit services service-set service-set-name]を使用してinterface-service設定する必要があります。詳細については、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。
拒否アクションを含む入力ファイアウォールフィルターと、ステートフルファイアウォールルールを含むサービスセットを使用してインターフェイスを設定した場合、ルーターはステートフルファイアウォールルールがパケットに対して実行される前に入力ファイアウォールフィルターを実行します。その結果、パケット転送エンジンがインターフェイスを介してインターネット制御メッセージプロトコル(ICMP)エラーメッセージを送信すると、ステートフルファイアウォールルールは、入力方向に認識されなかったため、パケットをドロップする可能性があります。
考えられる回避策は、このタイプのフィルターが入力方向のステートフルファイアウォールの後に実行されるため、拒否アクションを実行するための転送テーブルフィルターを含めるか、ローカルで生成されたICMPパケットがステートフルファイアウォールサービスに送信されないようにする出力サービスフィルターを含めることです。
サービスフィルターの設定
オプションで、各サービスセットに関連付けられたフィルターを含めて、ターゲットを絞り込み、トラフィックをさらに処理することができます。定義なしで service-filter ステートメントを含めるservice-setと、ルーターソフトウェアは一致条件が真であると見なし、処理するサービスセットを自動的に選択します。
サービスフィルターを設定するには、 階層レベルで ステートメントを含め firewall ます [edit] 。
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
サービスフィルタを設定するには、アドレスファミリーとして を指定する必要があります inet 。
サービスフィルターは、ファイアウォールフィルターと同様の方法で設定します。サービスフィルターの一致条件はファイアウォールフィルターと同じですが、アクションには以下があります。
count- パケットをカウンタ合計に追加します。log- パケットをログに記録します。port-mirror- パケットをポートミラーリングします。sample- パケットをサンプルします。service- サービス処理のためにパケットを転送します。skip- サービス処理からパケットを省略します。
ファイアウォールフィルターの構成の詳細については 、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
インターフェイスの両側に複数のサービス セット定義を含めることもできます。複数のサービス セットを含める場合、ルーター ソフトウェアは設定で指定された順序でそれらを評価します。サービス フィルターで一致が見つかった最初のサービス セットを実行し、後続の定義を無視します。
追加のステートメントを使用すると、入力サービスセットの実行後にトラフィックを処理するためのフィルターを指定できます。このタイプのフィルターを設定するには、 階層レベルで ステートメントを含め post-service-filter ます [edit interfaces interface-name unit logical-unit-number family inet service input] 。
post-service-filter filter-name;
ソフトウェアは、サービスセットを選択して実行した場合にのみ、サービス後のフィルタリングを実行します。トラフィックが設定されたサービス セットの一致基準を満たさない場合、ポストサービス フィルタは無視されます。 post-service-filter サービス インターフェイスが MS-MIC または MS-MPC 上にある場合、 ステートメントはサポートされません。
サービス セットをインターフェイスに適用する例については、 例:サービス インターフェイスの設定を参照してください。
インターフェイスへのフィルターの適用については、 ルーティングデバイス用 Junos OS ネットワークインターフェイスライブラリを参照してください。フィルターの一般的な情報については 、 ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドを参照してください。
NAT 処理がパケットに適用されると、パケットは出力サービス フィルターの対象ではなくなります。サービス フィルタは、未変換のトラフィックにのみ影響します。
例:サービス インターフェイスの設定
サービス セットを my-service-set インターフェイス全体に適用します。によって my_input_filter 受け入れられたすべてのトラフィックがそれに適用されています my-input-service-set 。サービス セットが適用されると、フィルターを使用して追加のフィルター処理が行われます my_post_service_input_filter 。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
2つの冗長インターフェイス、 、 rsp1、rsp0および関連するサービスを設定します。
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
関連項目
サービスインターフェイスのアドレスとドメインの設定
ASまたはマルチサービスPICでは、 階層レベルで ステートメント[edit interfaces interface-name unit logical-unit-number family inet]を含めるaddressことで、システムログメッセージの送信元アドレスを設定します。
address address { ... }
値を設定addressすることにより、インターフェイスにIPアドレスを割り当てます。ASまたはマルチサービスPICは通常、 ステートメントを使用して設定されたIPバージョン4(IPv4)アドレスのみをサポートしますが、IPsecサービスは、 ステートメントを使用してfamily inetfamily inet6設定されたIPバージョン6(IPv6)アドレスもサポートします。
同じルーティング インスタンス内の複数のインターフェースに同じアドレスを設定した場合、Junos OS は最初の設定のみを使用し、残りのアドレス設定は無視され、インターフェースにアドレスがない状態になることがあります。アドレスが割り当てられていないインターフェイスは、番号なしイーサネットインターフェイスのドナーインターフェイスとして使用できません。
例えば、以下の設定では、インターフェース xe-0/0/1.0 のアドレス設定は無視されます。
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
複数のインターフェイスで同じアドレスを設定する詳細については、「 インターフェイスアドレスの設定」を参照してください。
サービスインターフェイスに固有ではない、設定可能なその他のアドレス指定プロパティについては、 ルーティングデバイス用Junos OSネットワークインターフェイスライブラリを参照してください。
ステートメントは service-domain 、インターフェイスをネットワーク内で使用するか、リモートデバイスとの通信に使用するかを指定します。ソフトウェアはこの設定を使用して、適用するデフォルトのステートフルファイアウォールルールを決定し、サービスルールのデフォルトの方向を決定します。ドメインを設定するには、 階層レベルで ステートメントを含め service-domain ます [edit interfaces interface-name unit logical-unit-number] 。
service-domain (inside | outside);
ネクストホップ サービス セット定義でインターフェイスを設定する場合、その設定は および outside-service-interface ステートメントの設定とinside-service-interface一致している必要があります。詳細については、 service-domain サービス インターフェイスに適用されるサービス セットの設定を参照してください。
関連項目
サービス セットのシステム ロギングの設定
サービス セットのシステム ログ メッセージの生成方法を制御するプロパティを指定します。これらの値は、 階層レベルで設定された [edit interfaces interface-name services-options] 値を上書きします。
サービス セット固有のシステム ロギング値を設定するには、 階層レベルで ステートメント[edit services service-set service-set-name]を含めsyslogます。
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
hostシステムログのターゲットサーバーを指定するホスト名またはIPアドレスを使用して、 ステートメントを設定します。ホスト名localを指定すると、システムログメッセージがルーティングエンジンに送信されます。外部システムログサーバーの場合、ホスト名は、(セッション確立をトリガーした)初期データパケットが配信されるのと同じルーティングインスタンスから到達可能である必要があります。指定できるシステム ロギング ホスト名は 1 つだけです。このパラメーターsource-addressは、ms、rms、および mams インターフェイスでサポートされています。
Junos OS Release 17.4R1以降、階層レベルの各サービスセット [edit services service-set service-set-name] に対して最大4つのシステムログサーバー(ローカルシステムログホストとリモートシステムログコレクターの組み合わせ)を設定できます。
Junos OSは、fxp.0インターフェイスを介した外部システムログサーバーへのシステムログメッセージのエクスポートをサポートしていません。これは、システム ログ メッセージの伝送速度が高く、fxp.0 インターフェイスの帯域幅が制限されているため、いくつかの問題が発生する可能性があるためです。外部システム ログ サーバーは、ルーティング可能なインターフェイスを介して到達可能である必要があります。
表 1 に、 階層レベルの設定ステートメントで指定できる重大度レベルを示します [edit services service-set service-set-name syslog host hostname] 。から emergency までの info レベルは、重大度が最も高い(機能への影響が最も大きい)ものから最も低いものへと順に並んでいます。
重大度レベル |
説明 |
|---|---|
|
すべての重大度レベルを含む |
|
ルーターの機能を停止させてしまう、システム パニックなどの状態 |
|
システム データベースの破損などの、直ちに修正が必要な状態 |
|
ハードドライブのエラーなどの重大な状態 |
|
通常、緊急、アラート、クリティカルなレベルのエラーほど深刻な結果をもたらさないエラー状態 |
|
監視が必要な状態 |
|
エラーではないが、特別な対応が必要と思われる状態 |
|
興味のあるイベントまたはエラーなしの状態 |
通常の操作中は、システム ロギングの重大度レベルを に設定 error することをお勧めします。PIC リソースの使用を監視するには、レベル warningを に設定します。侵入検出システム・エラーが検出されたときに侵入アタックに関する情報を収集するには、特定のサービス・セットのレベルを に設定します notice 。設定をデバッグしたり、NAT 機能をログに記録したりするには、レベル infoを に設定します。
システム ログ メッセージの詳細については、 システム ログ エクスプローラを参照してください。
指定したシステムログホストに記録するメッセージのクラスを選択するには、 階層レベルで ステートメントを含め class ます [edit services service-set service-set-name syslog host hostname] 。
class class-name;
指定されたシステムログホストへのすべてのロギングに特定のファシリティコードを使用するには、 階層レベルで ステートメントを含め facility-override ます [edit services service-set service-set-name syslog host hostname] 。
facility-override facility-name;
サポートされるファシリティは、 、 、 authorizationftpkerneldaemon、 userlocal0 です。local7
このシステム ログ ホストへのすべてのロギングにテキスト プレフィックスを指定するには、 階層レベルで ステートメントを含め log-prefix ます [edit services service-set service-set-name syslog host hostname] 。
log-prefix prefix-value;
関連項目
サービスルールの設定
ルールのコレクションと、サービス セットを構成するルール セットを指定します。ルーターは、設定に表示される順序でルールセットを実行します。サービスの種類ごとに含めることができるルール セットは 1 つだけです。各サービスタイプのルール名とコンテンツは、各タイプの階層 [edit services name] レベルで設定します。
IDS(侵入検出サービス)ルールは階層
[edit services ids]レベルで設定します。詳細については、 MS-DPCカード用の MS-DPC上のIDSルールの設定および MS-MPCカード用のMS-MPC に対する ネットワーク攻撃に対する保護の設定 を参照してください。IPsec(IP セキュリティ)ルールは階層
[edit services ipsec-vpn]レベルで設定します。詳細については、 Junos VPN Site Secure についてを参照してください。ネットワーク アドレス変換(NAT)ルールは、階層レベルで設定します。詳細については、
[edit services nat]Junos Address Aware ネットワーク アドレス指定の概要を参照してください。パケットトリガー加入者とポリシーコントロール(PTSP)ルールは、階層レベルで設定します。詳細については、
[edit services ptsp]PTSPサービスルールの設定を参照してください。DS-Lite または 6rd ソフトワイヤのソフトワイヤ ルールは、階層レベルで設定します。詳細については、
[edit services softwire]ソフトワイヤ ルールの設定を参照してください。ステートフル ファイアウォール ルールは
[edit services stateful-firewall]階層レベルで設定します。詳細については、 ステートフル ファイアウォール ルールの設定を参照してください。
サービス セットを構成するルールおよびルール セットを構成するルールを設定するには、 階層レベルで次のステートメントを含めます [edit services service-set service-set-name] 。
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
サービスの種類ごとに、1 つ以上の個別のルールまたは 1 つのルール セットを含めることができます。
IPsec 規則を使用してサービス セットを構成する場合、他のサービスの規則を含めることはできません。ただし、他のサービスのルールを含む別のサービス セットを設定し、両方のサービス セットを同じインターフェイスに適用することはできます。
また、Junos Application Aware (以前は動的アプリケーション認識と呼ばれていました) 機能をサービス セットに含めることもできます。これを行うには、 idp-profile 階層レベルに [edit services service-set] 、アプリケーション識別(APPID)ルール、必要に応じてアプリケーション認識型アクセス リスト(AACL)ルール、および policy-decision-statistics-profile.Junos Application Aware 機能を使用する場合、1 つのインターフェイスに適用できるサービス セットは 1 つだけです。詳細については、 MS-DPCでのIDSルールの設定、 APPIDの概要、および ルーティングデバイスに対するアプリケーション認識型サービスインターフェイスユーザーガイドを参照してください。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
max-session-setup-rate