- play_arrow レイヤー2ネットワーキングについて
- play_arrow MAC アドレスの設定
- play_arrow MAC ラーニングの設定
- play_arrow MAC アカウンティングの設定
- play_arrow MAC 通知の設定
- play_arrow MAC テーブルのエージングの設定
- play_arrow 学習と転送の設定
- play_arrow ブリッジングとVLANの設定
- play_arrow 802.1Q VLANの設定
- 802.1Q VLANの概要
- 802.1Q VLAN IDとイーサネットインターフェイスタイプ
- ダイナミック 802.1Q VLAN の設定
- VLANタグを有効にする
- 複数のタグ付きVLANとネイティブVLANを使用したタグ付きインターフェイスの設定
- VLANIDなしのタグなしトラフィックをリモートエンドへ送信する
- QFX シリーズ スイッチでのタグ プロトコル ID(TPID)の設定
- PTXシリーズパケットトランスポートルーターでのフレキシブルVLANタグの設定
- ポップ、プッシュ、スワップおよび制御パススルーを備えたMPLSベースVLAN CCCの設定
- 論理インターフェイスへの VLAN ID のバインディング
- VLAN IDとVLANデモックスインターフェイスの関連付け
- VLANおよび拡張VLANカプセル化の設定
- VLAN バンドルされた論理インターフェイスでのレイヤー 2 VPN ルーティング インスタンスの設定
- 例:VLAN バンドルされた論理インターフェイスでのレイヤー 2 VPN ルーティング インスタンスの設定
- VPNトラフィックがCEルーターに移動するインターフェイスの指定
- 論理インターフェイスでアクセスモードを設定する
- トランク モードの論理インターフェイスの設定
- トランクインターフェイスのVLAN IDリストの設定
- ブリッジ ネットワーク上のトランク インターフェイスの設定
- レイヤー2 VPNルーティングインスタンスをサポートするためのVLANバンドル論理インターフェイスの設定
- レイヤー2 VPNルーティングインスタンスをサポートするためのVLANバンドル論理インターフェイスの設定
- VLAN バンドルされた論理インターフェイスでのレイヤー 2 回線の設定
- 例:VLAN バンドルされた論理インターフェイスでのレイヤー 2 回線の設定
- CCC を接続する VLAN ID リストバンドル論理インターフェイスの設定ガイドライン
- CCC のトラフィックを処理するためのインターフェースの指定
- レイヤー2回線に接続されたCCCのトラフィックを処理するためのインターフェイスの指定
- play_arrow スタティック ARP テーブル エントリーの設定
- play_arrow 制限付きおよび無制限プロキシー ARP の設定
- play_arrow Gratuitous ARP の設定
- play_arrow ARP エージング タイマーの調整
- play_arrow タグ付き VLAN の設定
- play_arrow ギガビットイーサネットVLANタグのスタックと書き換え
- ギガビットイーサネットVLANタグのスタックと書き換えの概要
- ギガビットイーサネットVLANタグのスタックと書き換え
- 特定のTPIDを持つフレームをタグ付きフレームとして処理するように設定する
- PTXシリーズパケットトランスポートルーターでのタグプロトコルID(TPID)の設定
- スタックVLANタグの設定
- デュアルVLANタグの設定
- 内部および外部TPIDとVLAN IDの設定
- VLANタグのスタッキング
- 2 つの VLAN タグのスタック
- VLANタグの削除
- 外部および内部VLANタグの削除
- 外部VLANタグの削除と内部VLANタグの書き換え
- タグ付きフレームのVLANタグの書き換え
- タグなしフレームでの VLAN タグの書き換え
- VLANタグの書き換えと新しいタグの追加
- 内部および外部VLANタグの書き換え
- 例:ギガビットイーサネットIQ VLANタグのスタックと書き換え
- 透過タグ操作と IEEE 802.1p 継承について
- ポップごとのスワップを理解する
- 透過タグからのIEEE 802.1p継承プッシュとスワップの設定
- play_arrow プライベート VLAN の設定
- プライベート VLAN
- プライベート VLAN について
- MX シリーズ ルーターの PVLAN でのブリッジ ドメイン設定
- PVLAN による機能のブリッジング
- PVLAN ポート上のフレームのフローの概要
- MX シリーズ ルーターでの PVLAN の設定に関するガイドライン
- 拡張 LAN モードの MX シリーズ ルーターでの PVLAN の設定
- 例:QFX シリーズ スイッチでセカンダリ VLAN トランク ポートと無差別アクセス ポートを使用した PVLAN の設定
- MX シリーズ ルーター上のプライベート VLAN の IRB インターフェイス
- MX シリーズ ルーターの PVLAN における IRB インターフェイスの設定に関するガイドライン
- PVLAN で IRB インターフェイスを使用したパケットの転送
- 拡張 LAN モードの MX シリーズ ルーターの PVLAN ブリッジ ドメインでの IRB インターフェイスの設定
- 例:単一の MX シリーズ ルーター上のプライベート VLAN での IRB インターフェイスの設定
- play_arrow レイヤー 2 ブリッジング インターフェイスの設定
- play_arrow レイヤー 2 仮想スイッチ インスタンスの設定
- play_arrow リンク層ディスカバリプロトコルの設定
- play_arrow レイヤー 2 プロトコルトンネリングの設定
- play_arrow 仮想ルーティングインスタンスの設定
- play_arrow レイヤー 3 論理インターフェイスの設定
- play_arrow ルーテッドVLANインターフェイスの設定
- play_arrow 統合型ルーティングおよびブリッジングの設定
- play_arrow VLAN および VPLS ルーティング インスタンスの設定
- play_arrow MVRP(マルチプルVLAN登録プロトコル)の設定
- play_arrow イーサネットリングプロテクションスイッチングの設定
- play_arrow Q-in-QトンネリングとVLAN変換の設定
- play_arrow 冗長トランク グループの設定
- play_arrow プロキシー ARP の設定
- play_arrow セキュリティ デバイスでのレイヤー 2 インターフェイスの設定
- play_arrow セキュリティデバイスでのイーサネットポートスイッチングモードの設定
- play_arrow セキュリティ デバイス上のスイッチング モードでイーサネット ポート VLAN を設定する
- play_arrow セキュリティ デバイス上のセキュア ワイヤの設定
- play_arrow スイッチでのリフレクティブリレーの設定
- play_arrow エッジ仮想ブリッジングの設定
- play_arrow イーサネットスイッチングのトラブルシューティング
- play_arrow 設定ステートメントと運用コマンド
セキュリティデバイスのセキュリティゾーンとセキュリティポリシー
レイヤー2セキュリティゾーンについて
レイヤー 2 セキュリティ ゾーンは、レイヤー 2 インターフェイスをホストするゾーンです。セキュリティ ゾーンは、レイヤー 2 ゾーンまたはレイヤー 3 ゾーンのいずれかです。すべてのレイヤー 2 インターフェイスまたはすべてのレイヤー 3 インターフェイスをホストできますが、レイヤー 2 インターフェイスとレイヤー 3 インターフェイスを混在させることはできません。
セキュリティ ゾーン タイプ(レイヤー 2 またはレイヤー 3)は、セキュリティ ゾーンに設定された最初のインターフェイスから暗黙的に設定されます。同じセキュリティ ゾーンに設定される後続のインターフェイスは、最初のインターフェイスと同じタイプである必要があります。
レイヤー 2 とレイヤー 3 の両方のセキュリティ ゾーンを持つデバイスを設定することはできません。
レイヤー 2 セキュリティ ゾーンに対して次のプロパティを構成できます。
インターフェイス—ゾーン内のインターフェイスのリスト。
ポリシー:ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックにルールを適用するアクティブなセキュリティポリシー。
スクリーン:ジュニパーネットワークスのステートフルファイアウォールは、あるセキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することでネットワークを保護します。すべてのセキュリティ ゾーンおよび MGT ゾーンでは、デバイスが潜在的に有害であると判断したさまざまな種類のトラフィックを検知してブロックする、事前定義された画面オプションのセットを有効にすることができます。
注:レイヤー 2 セキュリティ ゾーンにも、レイヤー 3 セキュリティ ゾーンにも同じ画面オプションを設定できます。
アドレスブック - ポリシーを適用できるように、そのメンバーを識別するためにアドレス帳を構成するIPアドレスとアドレスセット。
TCP-RST:この機能を有効にすると、既存のセッションに一致せず、同期フラグが設定されていないトラフィックが到着すると、システムはリセットフラグが設定されたTCPセグメントを送信します。
さらに、ホスト インバウンド トラフィック用のレイヤー 2 ゾーンを構成できます。これにより、ゾーン内のインターフェイスに直接接続されているシステムからデバイスに到達できるトラフィックの種類を指定できます。デバイスのインターフェイスに直接接続されたデバイスからのインバウンドトラフィックはデフォルトでドロップされるため、予想されるすべてのホストインバウンドトラフィックを指定する必要があります。
関連項目
例:レイヤー 2 セキュリティ ゾーンの設定
この例では、レイヤー 2 セキュリティ ゾーンを設定する方法を示します。
要件
開始する前に、レイヤー 2 セキュリティ ゾーンに設定するプロパティを決定します。レイヤー 2 セキュリティ ゾーンについてを参照してください。
概要
この例では、セキュリティ ゾーン l2-zone1 に ge-3/0/0.0 と呼ばれるレイヤー 2 論理インターフェイスを含めるように設定し、セキュリティ ゾーン l2-zone2 に ge-3/0/1.0 と呼ばれるレイヤー 2 論理インターフェイスを含めるように設定します。次に、サポートされているすべてのアプリケーション サービス(SSH、Telnet、SNMP など)をホスト インバウンド トラフィックとして許可するように l2-zone2 を設定します。
設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set security-zone l2-zone1 interfaces ge-3/0/0.0 set security-zone l2-zone2 interfaces ge-3/0/1.0 set security-zone l2–zone2 host-inbound-traffic system-services all
手順
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
レイヤー 2 セキュリティ ゾーンを設定するには:
レイヤー 2 セキュリティ ゾーンを作成し、インターフェイスを割り当てます。
content_copy zoom_out_map[edit security zones] user@host# set security-zone l2-zone1 interfaces ge-3/0/0.0 user@host# set security-zone l2-zone2 interfaces ge-3/0/1.0
レイヤー2セキュリティゾーンの1つを設定します。
content_copy zoom_out_map[edit security zones] user@host# set security-zone l2–zone2 host-inbound-traffic system-services all
デバイスの設定が完了したら、設定をコミットします。
content_copy zoom_out_map[edit] user@host# commit
検証
設定が正常に機能していることを確認するには、 show security zones
コマンドを入力します。
透過モードでのセキュリティポリシーの理解
透過モードでは、セキュリティポリシーはレイヤー2ゾーン間でのみ設定できます。パケットが VLAN を介して転送されると、セキュリティ ゾーン間でセキュリティ ポリシーが適用されます。透過モードのセキュリティポリシーは、レイヤー3ゾーンに設定されるポリシーと似ていますが、次の例外があります。
NAT はサポートされません。
IPsec VPNはサポートされません。
アプリケーション ANY はサポートされていません。
レイヤー2転送は、デバイスに明示的に設定されたポリシーがない限り、ゾーン間のトラフィックを許可しません。デフォルトでは、レイヤー2転送は以下のアクションを実行します。
設定されたポリシーで指定されたトラフィックを許可または拒否します。
アドレス解決プロトコル(ARP)およびレイヤー 2 の非 IP マルチキャストおよびブロードキャスト トラフィックを許可します。
すべての非 IP および非 ARP ユニキャスト トラフィックをブロックし続けます。
イーサネット スイッチング パケット フローのこのデフォルト動作は、J-Web または CLI 設定エディターを使用して変更できます。
マルチキャストとブロードキャストトラフィックを含む、すべてのレイヤー2非IPおよび非ARPトラフィックをブロックするには、
block-non-ip-all
オプションを設定します。bypass-non-ip-unicast
オプションを設定して、すべてのレイヤー 2 非 IP トラフィックがデバイスを通過できるようにします。
両方のオプションを同時に設定することはできません。
Junos OSリリース12.3X48-D10およびJunos OSリリース17.3R1以降、レイヤー2およびレイヤー3インターフェイス用に混合モード(デフォルトモード)で個別のセキュリティゾーンを作成できるようになりました。ただし、IRB インターフェイス間および IRB インターフェイスとレイヤー 3 インターフェイス間のルーティングはありません。そのため、レイヤー 2 ゾーンとレイヤー 3 ゾーン間でセキュリティ ポリシーを構成することはできません。セキュリティ ポリシーは、レイヤー 2 ゾーン間またはレイヤー 3 ゾーン間でのみ設定できます。
関連項目
例:透過モードでのセキュリティポリシーの設定
この例では、レイヤー2ゾーン間で透過モードでセキュリティポリシーを設定する方法を示しています。
要件
開始する前に、レイヤー 2 セキュリティ ゾーンに含めるポリシーの動作を決定します。透過モードでのセキュリティポリシーを理解するを参照してください。
概要
この例では、l2–zone1セキュリティゾーンの192.0.2.0/24サブネットワークからl2–zone2セキュリティゾーンの192.0.2.1/24のサーバーへのHTTPトラフィックを許可するセキュリティポリシーを設定します。
設定
手順
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルでCLIにコピーアンドペーストして、設定モードから commit
を入力します。
set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24 set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http set security policies from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの設定モードにおけるCLIエディターの使用を参照してください。
透過モードでセキュリティポリシーを設定するには:
ポリシーを作成し、ゾーンのインターフェイスにアドレスを割り当てます。
content_copy zoom_out_map[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match source-address 192.0.2.0/24 user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match destination-address 192.0.2.1/24
アプリケーションのポリシーを設定します。
content_copy zoom_out_map[edit security policies] user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 match application http user@host# set from-zone l2-zone1 to-zone l2-zone2 policy p1 then permit
結果
設定モードから、show security policies
コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host> show security policies
from-zone l2-zone1 to-zone l2-zone2
{
policy p1 {
match {
source-address 192.0.2.0/24;
destination-address 192.0.2.1/24;
application junos-http;
}
then {
permit;
}
}
}
デバイスの設定が完了したら、設定モードから commit
を入力します。
透過モードでのファイアウォールユーザー認証について
ファイアウォール ユーザーとは、ファイアウォール経由の接続を開始するときに、認証用のユーザー名とパスワードを入力する必要があるネットワーク ユーザーです。ファイアウォールユーザー認証を使用すると、管理者は、送信元IPアドレスやその他の資格情報に基づいて、ファイアウォールの背後にある保護されたリソースにアクセスするユーザーを制限および許可できます。Junos OSは、 SRXシリーズファイアウォールの透過モードで、以下のタイプのファイアウォールユーザー認証をサポートしています:
パススルー認証 - あるゾーンのホストまたはユーザーが、別のゾーンのリソースにアクセスしようとします。FTP、Telnet、または HTTP クライアントを使用して、保護対象リソースの IP アドレスにアクセスし、ファイアウォールによって認証される必要があります。デバイスは FTP、Telnet、または HTTP を使用してユーザー名とパスワードの情報を収集し、この認証の結果に基づいて、ユーザーまたはホストからの後続のトラフィックを許可または拒否します。
Web 認証 - ユーザーは、HTTP を使用して、Web 認証が有効になっている IRB インターフェイス上の IP アドレスに接続しようとします。デバイスによって検証されるユーザー名とパスワードの入力を求められます。ユーザーまたはホストから保護されたリソースへの後続のトラフィックは、この認証の結果に基づいて許可または拒否されます。
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。