ブランチ向けsrx - juniper networks...• greフラグメンテーションおよび再構築...

ブランチ向けSRXシリーズおよびJシリーズのパケットサービスの選択ブランチ向けSRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターでのパケットサービスの選択の設定

APPLICATION NOTE

Copyright © 2014, Juniper Networks, Inc.

目次

はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

本書の目的 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

設計上の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

ハードウェア要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

ソフトウェア要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

パケット転送とフロー転送の比較 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

説明と導入シナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

MPLSパケットモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

内部トラフィック用のフィルタベースのパケットモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

プライベートWANのパケットモードとIPsecバックアップのフローモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

L3 MPLS VPNと各種サービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

パケットモードのL3 MPLS VPN設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

L3 MPLS VPNとフローサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

L3 MPLS VPNとフローサービス/ダイナミックルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

MPLSoGREとGREフラグメンテーション/再構築 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

まとめ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

ジュニパーネットワークスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

図目次

図1：簡素化されたパケットフロー（パケット転送モード） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

図2：フローモード転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

図3：Junos OS 9.6以降のパケットモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

図4：MPLSパケットモード転送のみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

図5：ホストインバウンドトラフィック用のフィルタベースのパケットモード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

図6：ルーティングインスタンスPacket-VRのパケットベースの処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

図7：パケットモードのL3 MPLS VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

図8：L3 MPLS VPNとフローサービス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

図9：MPLS over GREとフラグメンテーション/再構築 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

表一覧

表1.Junos OSのパケットモードのサポート（R9.2からR9.6） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2 Copyright © 2014, Juniper Networks, Inc.

APPLICATION NOTE -ブランチ向けSRXシリーズおよびJシリーズのパケットサービスの選択

はじめにジュニパーネットワークスJunos® OS 9.6では、トラフィックをフローエンジンまたはパケットエンジンのどちらで処理するのか、選択的に決定する機能をジュニパーネットワークスSRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターに導入しました。この強力な機能によって、最も要求が厳しいネットワークアプリケーションに対応できる柔軟性が実現します。

本書の目的

本書の目的として、Jシリーズサービスルーターおよびブランチ向けSRXシリーズサービス・ゲートウェイで利用可能な転送モジュールの概要について説明することが挙げられます。本書では、まずパケット転送エンジンとフロー転送エンジンの両方について説明してから、いくつかの導入シナリオの設定を紹介します。

設計上の考慮事項SRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターは、デフォルトでは、セキュアなフロー転送を使用します。パケット転送の使用を選択する場合、本書全体で取り上げているセキュリティのトレードオフについて、管理者はよく理解しておく必要があります。

ハードウェア要件

• ジュニパーネットワークスJシリーズサービスルーター（J2320、J2350、J4350、およびJ6350）

• ブランチ向けSRXシリーズサービス・ゲートウェイ（SRX100、SRX200ライン、およびSRX650)

ソフトウェア要件

• Junos OSソフトウェアリリース9.6以降

パケット転送とフロー転送の比較IPルーターは従来、各パケットの宛先IPアドレスに基づいてパケットを転送していました。標準的な処理シーケンスでは、パケットの宛先IPアドレスを転送テーブル内のエントリとマッチングし、適切な送信インタフェースを選択して、パケットを物理メディアに転送します（パケットは配信中で、宛先がルーター自体ではないという想定です）。

ジュニパーネットワークスのルーターは通常、このパケット転送方式を採用しています。パケットがルーターに到達すると、分類子、フィルタ、およびポリサーが適用されてから、ルートルックアップによってパケットの送信インタフェースが決定されます。パケットの送信インタフェースが見つかった時点で、フィルタの適用が可能になり、図1に示すように、パケットはインタフェースに送信されて、転送のキューイングおよびスケジューリングが実行されます。

図1：簡素化されたパケットフロー（パケット転送モード）

入力キュー

入力フィルタポリサールート

ルックアップ

サービスモジュール

Junos OS転送モジュール

出力フィルタシェーパ出力

キュー

Copyright © 2014, Juniper Networks, Inc. 3

APPLICATION NOTE - ブランチ向けSRXシリーズおよびJシリーズのパケットサービスの選択

この処理モードでは、特定の接続に属している前後のパケットについての情報は必要ありません。各パケットは個別に処理され、トラフィックの許可または拒否はパケットごとに判定されます。ファイアウォールフィルタリング、NAT（Network Address Translation）、IPsecといった追加のサービスを使用すると、オーバーヘッドが増加します。

ファイアウォールやセキュリティデバイスは、セッションベースの処理というアプローチを採用しています。セッションベース、つまりフローモードの処理では、セッション状態を参照し、パケット単位の判定を最小限に抑えることで、ブランチ向けSRXシリーズサービス・ゲートウェイのパフォーマンス全般の向上を実現しています。フローモードでは、トラフィックはトランスポートレベルで検査されます。具体的には、ソースアドレスと宛先アドレス、ソースポートと宛先ポート（適用できる場合）、およびソースゾーンと宛先ゾーンのプロトコルについて、5-tuple（発信元アドレス、着信先アドレス、発信元ポート、着信先ポート、プロトコル番号）によるマッチングが行われて、パケットが新しいセッションまたは既存のセッションのどちらに属しているのか判定されます。新しいトラフィックについては、ルートおよびポリシーのルックアップが実行されます。ルックアップ後に、セッションの後続のパケットはすべて、最初のパケットによって判定されたアクションに基づいて「ファストパス」で処理されます。以後のトラフィックが最初のセッションと一致している限り、この処理はそのまま続行されます。

パケット転送の主なメリットとして、ルーター側であらゆるセッション情報を追跡したり、セッションの確立状況を分析したりする必要がなく、パケット処理が最適化されることが挙げられます。事例によっては、転送パスの実装にASICを使用することで、確実なハイパフォーマンスを実現しています。これに対して、ファイアウォールでASICを使用するのは、セッションの確立後にパケット転送を高速化する目的に限定されます。

ただし、フローモードの転送では、さらにきめ細かいトラフィックコントロールが可能になりますが、実装が複雑化し、パフォーマンスが低下して不安定になります。たとえば、以下のようなサービスでは、セッションの監視時にメリットがあります。

• ステートフルインスペクション

• NAT

• IPS（Intrusion Prevention System）

• UTM（Unified Threat Management。アンチウィルス、コンテンツフィルタリング、Webフィルタリング、アンチスパムなど）

• J-Flow

フローモードのパケットフローを図2に示します。

図2：フローモード転送

上記のサービスの一部は、Junos OSリリース9.2よりも前にJシリーズサービスルーターで提供されました。その際には、転送スレッドを使用することで、ジュニパーネットワークスMシリーズマルチサービスエッジルーターおよびTシリーズコアルーターに搭載されたサービスPIC

（Physical Interface Card）によって提供されるサービスをシミュレートしていました。この転送スレッドは、メインの転送パスからは切り離されていました。

Junos OSリリース9.2以降では、デフォルトでフロー処理機能を使用するJunos OS with enhanced servicesがJシリーズルーターに製造時点から搭載されました。ただし、Jシリーズは設定次第で、オプションのパケット処理機能をあらゆるトラフィックに提供できました。両方の転送モジュールが利用可能であっても、Jシリーズルーターはどちらか一方だけを排他的に使用するよう設定する必要がありました。

Junos OSフローモジュール

Screens

いいえ一致一致

Per Packet Policer

Per Packet

Filter

Per Packet

Filter

Per Packet Policer

Screens TCP NAT サービスALG

静的NAT

フォワーディングルックアップ

宛先NAT ルートゾーンポリシー

リバース静的NAT

ソースNAT

サービスALG

セッションと一致？

セッション



トラフィックの処理には、パケットベースの転送モジュールが使用され、以下のサービス全般に対応しています。

• ルーティング

• QoS（Quality of Service）

• LFI（Link Fragmentation and Interleaving）

• GRE（Generic Routing Encapsulation）およびIP-IP（IP over IP）トンネリング（フラグメンテーションおよび再構築なし）

• L2スイッチング

• MPLS

• IPv6

• CRTP（Compressed Real-Time Transport Protocol）

フローベースの転送モジュールは、上記すべてのサービスに加えて、以下のサービスも提供できます。

• ステートフルインスペクションファイアウォール（スクリーニングを含む）

• NAT

• IPsec

• J-Flow

• 侵入検知防御

• UTM

• GREフラグメンテーションおよび再構築

転送エンジンと関連サービスのトレードオフを選択しなければならないという制約を克服するため、Junos OS 9.6では、どちらのモードでも同時に使用できる機能を導入しました。パケットフィルタは、パケットモード転送を必要とするトラフィックを選別してマークする目的で使用します。マークのないトラフィックは、図3に示すように、デフォルトのフローベースの転送モジュールに転送されます。

図3：Junos OS 9.6以降のパケットモード

Junos OSフローモジュール

Screens

NO一致一致

Per Packet Policer

Per Packet

Filter

Per Packet

Filter

Per Packet Policer

Screens TCP NAT サービスALG

静的NAT

フォワーディングルックアップ

宛先NAT ルートゾーンポリシー

リバース静的NAT

ソースNAT

サービスALG

セッションと一致？

セッション



表1.Junos OSのパケットモードのサポート（R9.2からR9.6）

JUNOS OSリリースパケットモードフローモードパケットサービスの選択

Junos OSバージョン9.3まで（製造時のデフォルトは9.1）はいいいえいいえJunos OS with enhanced services（製造時のデフォルトは9.2～9.5）はいはいいいえJunos OS 9.6 はいはいはい

注：Jシリーズでパケットベース専用のJunos OSの最後のリリースは、Junos OS 9.3です。Junos OS 9.3が最後のリリースとして選択された理由として、36か月のEEOL（Extended End of Life）のサポートが挙げられます。このアプローチによるパケット処理をご希望で、NATやIPsecなどの主要なサービス要件を必要としないお客様は、そのままリリース9.3をご利用いただけます。リリース9.4の時点で、単独で利用可能なリリースは、フロー処理イメージです。Junos OS with enhanced servicesは、リリース9.6以降のブランチ向けSRXシリーズおよびJシリーズのデバイスにパケットサービスの選択を提供します。

設定

ブランチ向けSRXシリーズサービス・ゲートウェイは、デフォルトでは、フローベースの転送を使用してパケットを処理します。次回のサービスリリースでは、フローモードのサポート対象がIPトラフィックに限定されます。MPLSが設定されている場合、サービス・ゲートウェイに到着したIP

パケットがMPLSのカプセル化を必要としているのかどうかは、実際にパケットを処理してみなければわかりません。つまり、MPLSを有効にすると、すべてのIPv4トラフィックを強制的にパケットモードで転送するよう、SRXシリーズまたはJシリーズのデバイスを設定することになります。

security { forwarding-options { family { mpls { mode packet-based; } } }}

きめ細かいコントロールが必要な場合は、個別のパケットにマークを付けることで、フローモジュールを迂回して、従来のパケット転送モジュールを使用するよう設定できます。標準パケットフィルタは、以下に示すように、"packet-mode"アクションが追加されており、デフォルトのフローモジュールを迂回する必要があるパケットを選択する場合に使用します。

firewall { family inet { filter <filter name> { term <term name> { from {…} ## Matching Conditions then { packet-mode; ## Warning:This action will bypass flow infrastructure!! accept; } } } }}

注："packet-mode"アクションによるファイアウォールフィルタは、ホストインバウンド（host-inbound）およびホストアウトバウンド（host-

outbound）トラフィックではサポートされていません。



説明と導入シナリオ以下のセクションでは、一般的な導入シナリオをいくつか取り上げるとともに、関連する設定を紹介します。

MPLSパケットモード

現在のバージョンのJunos OSでは、SRXサービス・ゲートウェイおよびJシリーズサービスルーターは、MPLSの要求により、トラフィックをパケット転送モジュールで処理する必要があります。したがって、MPLSを有効にすると、パケットモードだけを排他的に使用するよう、デバイスを設定できます。

以下の例は、MPLSを有効にして、シンプルなアプリケーション向けに、パケットモードの転送だけを可能にしています。これで、トラフィックは、フロー処理に非対応のJunos OSルーターの場合と同様に転送されます。インタフェースはセキュリティゾーンと関連付けられず、セキュリティスタンザではサービスが利用不可になります。

図4：MPLSパケットモード転送のみ

ge-2/0/0.010.1.1.1/24

ge-0/0/0.01.1.1.1/30

インターネット

set interfaces ge-0/0/0 description “WAN Side”set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces ge-2/0/0 description “LAN Side”set interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2set security forwarding-options family mpls mode packet-based

内部トラフィック用のフィルタベースのパケットモード

Junos OSリリース9.6では、フィルタを使用することで、特定のトラフィックをフローモジュールまたはパケットモジュールに送信できます。以下の例では、少し複雑なエンタープライズ環境のシナリオについて説明します。このシナリオでは、インターネット宛のトラフィックにはセキュリティが適用されますが、エンタープライズ環境（ge-2/0/0.0およびge-3/0/0.0）内のトラフィックには適用されません。



図5：ホストインバウンドトラフィック用のフィルタベースのパケットモード

パケットサービスの選択では、ホストインバウンドトラフィック（ルーティングプロトコルや管理トラフィックなど、ルーター自体にリダイレクトされるトラフィック）はフローモジュールに送信されて処理されることに注意する必要があります。デフォルトでは、MPLSパケットモードが有効になっていない限り、ホストインバウンドトラフィックが許可されるのは、検査できるようフローモジュールに送信される場合に限定されます。パケットサービスの選択の使用時は、ホストインバウンドトラフィックをフローモジュールで処理する必要があります。

ge-2/0/0.010.1.1.1/24

ge-0/0/0.01.1.1.1/30

ge-3/0/0.010.2.1.1/24


set interfaces ge-0/0/0 description Internetset interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces ge-2/0/0 description “Internet Net-1”set interfaces ge-2/0/0 unit 0 family inet filter input packet-modeset interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-3/0/0 description “Internal Net-2”set interfaces ge-3/0/0 unit 0 family inet filter input packet-modeset interfaces ge-3/0/0 unit 0 family inet address 10.2.1.1/24set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2set security zones security-zone untrust interfaces ge-0/0/0.0set security zones security-zone trust host-inbound-traffic system-services sshset security zones security-zone trust host-inbound-traffic system-services snmpset security zones security-zone trust host-inbound-traffic system-services pingset security zones security-zone trust host-inbound-traffic system-services httpsset security zones security-zone trust interfaces ge-2/0/0.0set security zones security-zone trust interfaces ge-3/0/0.0set security policies from-zone trust to-zone untrust policy Internet-traffic match source-address anyset security policies from-zone trust to-zone untrust policy Internet-traffic match destination-address anyset security policies from-zone trust to-zone untrust policy Internet-traffic match application anyset security policies from-zone trust to-zone untrust policy Internet-traffic then permitset firewall family inet filter packet-mode term bypass-intranet-traffic from source-address 10.1.1.0/24



set firewall family inet filter packet-mode term bypass-intranet-traffic from destination-address 10.2.1.0/24set firewall family inet filter packet-mode term bypass-intranet-traffic then packet-modeset firewall family inet filter packet-mode term bypass-intranet-traffic then acceptset firewall family inet filter packet-mode term bypass-intranet-traffic-rev from source-address 10.2.1.0/24set firewall family inet filter packet-mode term bypass-intranet-traffic-rev from destination-address 10.1.1.0/24set firewall family inet filter packet-mode term bypass-intranet-traffic-rev then packet-modeset firewall family inet filter packet-mode term bypass-intranet-traffic-rev then acceptset firewall family inet filter packet-mode term accept-all then accept

プライベートWANのパケットモードとIPsecバックアップのフローモード

フィルタベースのパケットモードは、ルーティングインスタンス限定のパケット転送を作成する場合に使用できます。この例では、パケットモードで個別のルーティングインスタンスを使用する場合について検証し、プライベートWANにまたがるシンプルなトラフィック転送を設定します。マスターインスタンス（フローモードで動作）は、プライベートWANが利用できない場合に、IPsecのバックアップを提供する目的で使用します。

図6：ルーティングインスタンスPacket-VRのパケットベースの処理

設定を簡素化するため、障害の発生時には、WANネットワークに接続している物理インタフェースがダウンすると想定します。このシナリオは現実的なものではないかもしれませんが、ここでは設定を簡素化して、スタティックルーティングによってトラフィックをフローインスタンスにリダイレクトする必要があります（実稼働ネットワークであれば、Packet-VRとWANインタフェースの間にルーティングプロトコルを使用するか、双方向の転送検知など、何らかの形でエンドツーエンドの障害モニタリングを導入することが一般的であると考えられます）。

ホストインバウンドトラフィックがPacket-VRで必要になる可能性があるので、このVRのインタフェースは、以下の設定に示すように、セキュリティゾーンに割り当てる必要があります。

ge-2/0/0.010.1.1.1/24

ge-3/0/0.010.2.1.1/24

ge-0/0/0.01.1.1.1/30

It-0/0/0.0

It-0/0/1.0

1.1.1.254/30

st0.0

ハブ

フローインスタンスマスター

Packet-VR





set interfaces ge-0/0/0 description Internetset interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces lt-0/0/0 unit 0 description “PTP Interface connecting the Packet-VR to the Master Instance (in flow mode)”set interfaces lt-0/0/0 unit 0 encapsulation frame-relayset interfaces lt-0/0/0 unit 0 point-to-pointset interfaces lt-0/0/0 unit 0 dlci 30set interfaces lt-0/0/0 unit 0 peer-unit 1set interfaces lt-0/0/0 unit 0 family inet filter input packet-modeset interfaces lt-0/0/0 unit 1 description “PTP Interface connecting the Master Instance (in flow mode) to the Packet-VR”set interfaces lt-0/0/0 unit 1 encapsulation frame-relayset interfaces lt-0/0/0 unit 1 dlci 30set interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inetset interfaces ge-2/0/0 description “LAN Network”set interfaces ge-2/0/0 unit 0 family inet filter input packet-modeset interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set interfaces ge-3/0/0 description “WAN Network”set interfaces ge-3/0/0 unit 0 family inet filter input packet-modeset interfaces ge-3/0/0 unit 0 family inet address 10.2.1.1/24set interfaces st0 unit 0 family inet

## This is the address of the remote IPsec gateway, which is routed to the default gateway on the Internetset routing-options static route 1.1.1.254/32 next-hop 1.1.1.2

set routing-options static route 10.1.1.0/24 next-hop lt-0/0/0.1

## Every packet received by the flow routing instance is sent to the IPsec tunnelset routing-options static route 0.0.0.0/0 next-hop st0.0

set security ike policy preshared mode mainset security ike policy preshared proposal-set standardset security ike policy preshared pre-shared-key ascii-text “$9$gkaGiP5FApBk.pBIEeK4aZ”set security ike gateway SRX210-1 ike-policy presharedset security ike gateway SRX210-1 address 1.1.1.254set security ike gateway SRX210-1 external-interface ge-0/0/0.0set security ipsec policy standard proposal-set standardset security ipsec vpn SRX210-1 bind-interface st0.0set security ipsec vpn SRX210-1 ike gateway SRX210-1set security ipsec vpn SRX210-1 ike ipsec-policy standardset security ipsec vpn SRX210-1 establish-tunnels immediatelyset security zones security-zone untrust interfaces ge-0/0/0.0set security zones security-zone trust host-inbound-traffic system-services sshset security zones security-zone trust host-inbound-traffic system-services snmpset security zones security-zone trust host-inbound-traffic system-services pingset security zones security-zone trust host-inbound-traffic system-services httpsset security zones security-zone trust interfaces ge-2/0/0.0set security zones security-zone trust interfaces ge-3/0/0.0set security zones security-zone trust-flow interfaces lt-0/0/0.1set security zones security-zone vpn interfaces st0.0

## Traffic policies control only the flow of traffic through the Flow instance## therefore the only traffic allowed is going to be from the trust zone on the## flow instance (named trust-flow) to the vpn zone bound to the IPsec interface



set security policies from-zone trust-flow to-zone vpn policy allow-intranet-traffic match source-address anyset security policies from-zone trust-flow to-zone vpn policy allow-intranet-traffic match destination-address anyset security policies from-zone trust-flow to-zone vpn policy allow-intranet-traffic match application anyset security policies from-zone trust-flow to-zone vpn policy allow-intranet-traffic then permit

set firewall family inet filter packet-mode term host-inbound from destination-address 10.2.1.1/32set firewall family inet filter packet-mode term host-inbound from destination-address 10.1.1.1/32set firewall family inet filter packet-mode term host-inbound then acceptset firewall family inet filter packet-mode term packet-mode-rest then packet-modeset firewall family inet filter packet-mode term packet-mode-rest then acceptset routing-instances Packet-VR instance-type virtual-routerset routing-instances Packet-VR interface lt-0/0/0.0set routing-instances Packet-VR interface ge-2/0/0.0set routing-instances Packet-VR interface ge-3/0/0.0

## This is the address of the gateway in the WANset routing-instances Packet-VR routing-options static route 0.0.0.0/0 next-hop 10.2.1.90

## the default also points to the lt-interface connecting to the flow instance with a lower metricset routing-instances Packet-VR routing-options static route 0.0.0.0/0 qualified-next-hop lt-0/0/0.0 metric 100

設定のIPsec部分は、情報を網羅する目的で追加しました。IPsecについては、本書の目的から外れているので、IPsec設定がよくわからない読者の方は、Junos OSのマニュアルを参照してください。ただし、インタフェースst0.0はフローインスタンスに属しており、インターネット経由のIPsecトンネルを使用してリモートハブに接続することに注意してください。

L3 MPLS VPNと各種サービス

この最後の例では、フィルタベースのパケット転送を使用して、L3 MPLSベースのVPNを終端するVRF（VPN Routing and Forwarding）テーブルインスタンスにセキュリティサービスを提供する方法を紹介します。

まず、MPLSパケットモードを使用してシンプルなL3 MPLS VPNを作成してから、フローベースのサービスをVPNに追加します。

パケットモードのL3 MPLS VPN設定

この設定は、フロー依存のサービスをすべて無効にするpacket-modeコマンドを追加している点を除いて、MシリーズとTシリーズの両方のルーターで同じです。

図7：パケットモードのL3 MPLS VPN

ge-2/0/0.010.1.1.1/24

ge-0/0/0.01.1.1.1/30

ハブPacket-VR

マスター

MPLS PE




set interfaces ge-0/0/0 unit 0 description “Connection to MPLS Core”set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces ge-0/0/0 unit 0 family mplsset interfaces ge-2/0/0 description “Cust-1 LAN”set interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set interfaces lo0 unit 0 family inet address 10.255.255.253/32set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2set protocols mpls interface ge-0/0/0.0set protocols mpls interface lo0.0set protocols bgp local-address 10.255.255.253set protocols bgp local-as 65100set protocols bgp group mpls-vpn type internalset protocols bgp group mpls-vpn neighbor 10.255.255.254 family inet-vpn unicastset protocols bgp group mpls-vpn neighbor 10.255.255.254 peer-as 65100set protocols ospf area 0.0.0.0 interface ge-0/0/0.0set protocols ospf area 0.0.0.0 interface lo0.0 passiveset protocols ldp interface ge-0/0/0.0set security forwarding-options family mpls mode packet-basedset routing-instances Cust1-Packet-VRF instance-type vrfset routing-instances Cust1-Packet-VRF interface ge-2/0/0.0set routing-instances Cust1-Packet-VRF route-distinguisher 65100:1set routing-instances Cust1-Packet-VRF vrf-target target:65100:1set routing-instances Cust1-Packet-VRF vrf-table-label

L3 MPLS VPNとフローサービス

IPsecバックアップのフローモードの例でプライベートWANのパケットモードで使用した設定と同様に、パケット転送のルーティングインスタンスを使用します。このインスタンスは、MPLS VPNを終端します。また、MPLSサービスを提供する目的で使用します。フローモードのルーティングインスタンスは、ステートフルインスペクションとセキュリティを実現する目的で使用します。

図8：L3 MPLS VPNとフローサービス

この例は少し複雑ですが、わかりやすく順番に説明していきます。まず、トラフィックは、ltインタフェースを使用してフローおよびパケットルーティングインスタンスの間で転送されます。ルーティングインスタンスはそれぞれ独立しているので、ルーティングインスタンス間でルーティング情報を交換する必要があります。この例では、情報の交換にスタティックルートを使用していますが、次の例では、ダイナミックルーティングプロトコルを使用する方法を紹介します。

SRXシリーズまたはJシリーズのデバイスがフローモードでトラフィックを転送している場合、すべてのホストインバウンドトラフィックをフローモジュールで処理する必要があります。つまり、パケットモードのVRにバインドされたインタフェースは、MPLS VPNコントロールプロトコルを許可するセキュリティゾーンに割り当てる必要があります。

"vrf-table-label"がサポートされているのは、MPLSパケットモードに限定されます（デバイスがフローモードで、一部のインスタンスがパケットモードで動作している場合は、サポート対象外）。MPLSパケットモードでは、アドバタイズされたすべてのルーターに対してルーティングインスタンスは同じMPLSラベルを使用します。また、lsiインタフェースが自動的に作成され、lsiインタフェースの機能によって、すべてのトラフィックがMPLS VPNからVRFに転送されます。残念ながら、自動的に作成されるlsiインタフェースはユーザー側で設定できないので、MPLSから転送されるすべてのパケットがフローモジュールを迂回するよう、パケットモードの受信フィルタを設定することは不可能です。

ge-2/0/0.010.1.1.1/24

ge-0/0/0.01.1.1.1/30

It-0/0/0.1

It-0/0/0.0

ハブPacket-VR

マスター

MPLS PE

Services-VR

MPLSネットワーク



最後に、MPLSコア（この例では、ge-0/0/0.0）に接続しているインタフェースには、パケットモードフィルタは不要です。その理由として、このインタフェースで受信されるパケットはコントロールパケット（フロー処理が必要）またはMPLSタグ付きパケットのどちらかに該当するので、フローモジュールには送信されないことが挙げられます。

set interfaces ge-0/0/0 unit 0 description “Connection to MPLS Core”set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces ge-0/0/0 unit 0 family mplsset interfaces lt-0/0/0 unit 0 description “Tunnel Interface bound to Services VR”set interfaces lt-0/0/0 unit 0 encapsulation frame-relayset interfaces lt-0/0/0 unit 0 dlci 30set interfaces lt-0/0/0 unit 0 peer-unit 1set interfaces lt-0/0/0 unit 0 family inetset interfaces lt-0/0/0 unit 1 description “Tunnel Interface bound to Packet VRF”set interfaces lt-0/0/0 unit 1 encapsulation frame-relayset interfaces lt-0/0/0 unit 1 dlci 30set interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inet filter input packet-modeset interfaces ge-2/0/0 description “Cust-1 LAN”set interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set interfaces lo0 unit 0 family inet address 10.255.255.253/32set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2set protocols mpls interface ge-0/0/0.0set protocols mpls interface lo0.0set protocols bgp local-address 10.255.255.253set protocols bgp local-as 65100set protocols bgp group mpls-vpn type internalset protocols bgp group mpls-vpn neighbor 10.255.255.254 family inet-vpn unicastset protocols bgp group mpls-vpn neighbor 10.255.255.254 peer-as 65100set protocols ospf area 0.0.0.0 interface ge-0/0/0.0set protocols ospf area 0.0.0.0 interface lo0.0 passiveset protocols ldp interface ge-0/0/0.0set security zones security-zone untrust address-book address host-addresses 10.255.255.253/32set security zones security-zone untrust host-inbound-traffic protocols ldpset security zones security-zone untrust host-inbound-traffic protocols ospfset security zones security-zone untrust interfaces ge-0/0/0.0set security zones security-zone untrust interfaces lo0.0set security zones security-zone trust-flow interfaces ge-2/0/0.0set security zones security-zone untrust-flow interfaces lt-0/0/0.0set security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match source-address anyset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match destination-address host-addressesset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match application junos-ldp-tcpset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match application junos-ldp-udpset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback then permitset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match source-address anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match destination-address anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match application anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all then permit



set firewall family inet filter packet-mode term bypass-all then packet-modeset firewall family inet filter packet-mode term bypass-all then acceptset routing-instances Cust1-Packet-VRF instance-type vrfset routing-instances Cust1-Packet-VRF interface lt-0/0/0.1set routing-instances Cust1-Packet-VRF route-distinguisher 65100:1set routing-instances Cust1-Packet-VRF vrf-target target:65100:1set routing-instances Cust1-Packet-VRF routing-options static route 10.1.1.0/24 next-hop lt-0/0/0.1set routing-instances Cust1-Services-VR instance-type virtual-routerset routing-instances Cust1-Services-VR interface lt-0/0/0.0set routing-instances Cust1-Services-VR interface ge-2/0/0.0set routing-instances Cust1-Services-VR routing-options static route 0.0.0.0/0 next-hop lt-0/0/0.0

L3 MPLS VPNとフローサービス/ダイナミックルーティング

次の例では、ルーティングインスタンス間でのルーティング情報の交換用に使用していたスタティックルートを、OSPFによるダイナミックルーティングで置き換えます。一般に、大規模な導入事例で、インスタンス間のスタティックルーティングが実用的ではなく、構成を簡素化するには、OSPFを使用する必要があります。

前の例との大きな違いは、lt-0/0/0.1トンネルインタフェース（パケットモードインスタンスに属している）にバインドされたセキュリティゾーンで、インスタンスに対するホストインバウンドトラフィック（OSPF）を許可する必要があるという点です。また、IPアドレスを各ltインタフェースに割り当てて、Packet-VRでOSPFルーターIDとして使用できるようにしました（この対応を行わなければ、割り当て済みのIPアドレスがバインドされたインタフェースが存在しません）。

set interfaces ge-0/0/0 unit 0 description “Connection to MPLS Core”set interfaces ge-0/0/0 unit 0 family inet address 1.1.1.1/30set interfaces ge-0/0/0 unit 0 family mplsset interfaces lt-0/0/0 unit 0 description “Tunnel Interface bound to Services VR”set interfaces lt-0/0/0 unit 0 encapsulation frame-relayset interfaces lt-0/0/0 unit 0 dlci 30set interfaces lt-0/0/0 unit 0 peer-unit 1set interfaces lt-0/0/0 unit 0 family inet address 10.10.1.1/30set interfaces lt-0/0/0 unit 1 description “Tunnel Interface bound to Packet VRF”set interfaces lt-0/0/0 unit 1 encapsulation frame-relayset interfaces lt-0/0/0 unit 1 dlci 30set interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inet filter input packet-modeset interfaces lt-0/0/0 unit 1 family inet address 10.10.1.2/30set interfaces ge-2/0/0 unit 0 description “Cust-1 LAN”set interfaces ge-2/0/0 unit 0 family inet address 10.1.1.1/24set interfaces lo0 unit 0 family inet address 10.255.255.253/32set routing-options static route 0.0.0.0/0 next-hop 1.1.1.2set protocols mpls interface ge-0/0/0.0set protocols mpls interface lo0.0set protocols bgp local-address 10.255.255.253set protocols bgp local-as 65100set protocols bgp group mpls-vpn type internalset protocols bgp group mpls-vpn neighbor 10.255.255.254 family inet-vpn unicastset protocols bgp group mpls-vpn neighbor 10.255.255.254 peer-as 65100set protocols ospf area 0.0.0.0 interface ge-0/0/0.0set protocols ospf area 0.0.0.0 interface lo0.0 passiveset protocols ldp interface ge-0/0/0.0set policy-options policy-statement export-VPN-routes from protocol bgpset policy-options policy-statement export-VPN-routes from community Cust1set policy-options policy-statement export-VPN-routes then acceptset policy-options community Cust1 members target:65100:1



set security zones security-zone untrust address-book address host-addresses 10.255.255.253/32set security zones security-zone untrust host-inbound-traffic protocols ldpset security zones security-zone untrust host-inbound-traffic protocols ospfset security zones security-zone untrust interfaces ge-0/0/0.0set security zones security-zone untrust interfaces lo0.0set security zones security-zone trust-flow interfaces ge-2/0/0.0set security zones security-zone untrust-flow host-inbound-traffic protocols ospfset security zones security-zone untrust-flow interfaces lt-0/0/0.0set security zones security-zone host-inbound-Cust1-Packet host-inbound-traffic protocols ospfset security zones security-zone host-inbound-Cust1-Packet interfaces lt-0/0/0.1set security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match source-address anyset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match destination-address host-addressesset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match application junos-ldp-tcpset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback match application junos-ldp-udpset security policies from-zone untrust to-zone untrust policy permit-ldp-to-loopback then permitset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match source-address anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match destination-address anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all match application anyset security policies from-zone trust-flow to-zone untrust-flow policy permit-all then permitset firewall family inet filter packet-mode term ospf-to-flow from protocol ospfset firewall family inet filter packet-mode term ospf-to-flow then acceptset firewall family inet filter packet-mode term bypass-all then packet-modeset firewall family inet filter packet-mode term bypass-all then acceptset routing-instances Cust1-Packet-VRF instance-type vrfset routing-instances Cust1-Packet-VRF interface lt-0/0/0.1set routing-instances Cust1-Packet-VRF route-distinguisher 65100:1set routing-instances Cust1-Packet-VRF vrf-target target:65100:1set routing-instances Cust1-Packet-VRF protocols ospf export export-VPN-routesset routing-instances Cust1-Packet-VRF protocols ospf area 0.0.0.0 interface lt-0/0/0.1set routing-instances Cust1-Services-VR instance-type virtual-routerset routing-instances Cust1-Services-VR interface lt-0/0/0.0set routing-instances Cust1-Services-VR interface ge-2/0/0.0set routing-instances Cust1-Services-VR protocols ospf area 0.0.0.0 interface lt-0/0/0.0set routing-instances Cust1-Services-VR protocols ospf area 0.0.0.0 interface ge-2/0/0.0 passive

MPLSoGREとGREフラグメンテーション/再構築

MPLSoGRE（MPLS over Generic Routing Encapsulation）の使用に伴う一般的な課題として、GREパケットのフラグメンテーションの必要性が挙げられます。GREを使用してMPLSパケットをイーサネットベースのトランスポートネットワーク上で転送する事例で、トランスポートネットワークは多くの場合、1,500バイトのMTU（Maximum Transmission Unit）をサポートしています。MPLSパケットをGREでカプセル化するために必要なオーバーヘッドが原因で、カプセル化したパケットのサイズがネットワークのMTUを超過する可能性があります。



この問題には、2つの解決策があります。L3 MPLS VPNの事例のように、IPトラフィックがMPLS上で転送される場合、IPトラフィックのプレフラグメンテーションを実行することで、MPLSおよびGREヘッダが追加されるときに、合計パケットサイズがネットワークのMTUを超過しないように設定できます。ネットワークの観点からは、ルーターがIPトラフィックを再構築する必要がないので、この解決策が最も効率的です。

ただし、上記の解決策が使用できない場合もあります。L2VPN over MPLSの事例のように、カプセル化したトラフィックがIPトラフィックではない場合、カプセル化よりも先にパケットのフラグメンテーションを実行できるとは限りません。特に、イーサネット、ATM、およびフレームリレー（つまり、ネットワーク上で透過的に転送される事例）ではいずれも、フラグメンテーションを実行できません。この場合の解決策は、GREでのカプセル化の後に、MPLSパケットのフラグメンテーションを実行することです。

この例では、フィルタベースのフロー迂回オプションを利用する方法に注目します。具体的には、2つのVRを使用して、GREのフラグメンテーションおよび再構築によってGRE上でのMPLS CCC（Circuit Cross-Connect）を設定します。前の例の場合と同様に、パケットモードのVRを使用してMPLS接続（およびGRE）を終端するとともに、フローベースのVRを使用してトランスポートネットワークで必要なGREトラフィックのフラグメンテーションおよび再構築を実行します。

図9：MPLS over GREとフラグメンテーション/再構築

送信方向のGREトラフィックはflow-VRによってフラグメンテーションが実行されるのに対して、受信方向のトラフィックはIDPモジュールに送信され、（GREトンネルとMPLS LSPが終端される）マスタールーティングエンジンに送信される前に再構築できる状態になります。

ge-3/0/0.0イーサネットCCC

ge-3/0/1.010.1.1.2/16

It-0/0/0.1

gr-0/0/0.0 GREエンドポイント10.1.1.91

It-0/0/0.010.1.1.3

PEFlow-VR

MPLS PE

マスター

IPネットワーク

set interfaces gr-0/0/0 unit 0 clear-dont-fragment-bitset interfaces gr-0/0/0 unit 0 tunnel source 10.1.1.3set interfaces gr-0/0/0 unit 0 tunnel destination 10.1.1.91set interfaces gr-0/0/0 unit 0 tunnel allow-fragmentationset interfaces gr-0/0/0 unit 0 family inet mtu 1500set interfaces gr-0/0/0 unit 0 family inet filter input packet-modeset interfaces gr-0/0/0 unit 0 family mpls filter input packet-mode-mplsset interfaces lt-0/0/0 unit 0 description “Master Instance”set interfaces lt-0/0/0 unit 0 encapsulation frame-relayset interfaces lt-0/0/0 unit 0 dlci 100set interfaces lt-0/0/0 unit 0 peer-unit 1set interfaces lt-0/0/0 unit 0 family inet address 10.1.1.3/32set interfaces lt-0/0/0 unit 1 description “Flow-vr instance”set interfaces lt-0/0/0 unit 1 encapsulation frame-relayset interfaces lt-0/0/0 unit 1 dlci 100set interfaces lt-0/0/0 unit 1 peer-unit 0set interfaces lt-0/0/0 unit 1 family inetset interfaces ge-3/0/0 encapsulation ethernet-cccset interfaces ge-3/0/0 unit 0 description “CCC interface to customer LAN”set interfaces ge-3/0/0 unit 0 family ccc filter input packet-mode-cccset interfaces ge-3/0/1 description “Interface to IP Core”set interfaces ge-3/0/1 unit 0 family inet address 10.1.1.2/16set interfaces lo0 unit 0 family inet address 10.255.255.255/32set routing-options static route 10.1.1.0/24 next-hop lt-0/0/0.0set protocols mpls interface all



set protocols ospf area 0.0.0.0 interface gr-0/0/0.0set protocols ospf area 0.0.0.0 interface lo0.0 passiveset protocols ldp interface gr-0/0/0.0set protocols ldp interface lo0.0set protocols l2circuit neighbor 10.255.255.254 interface ge-3/0/0.0 virtual-circuit-id 2set policy-options policy-statement export-ldp from interface gr-0/0/0.0set policy-options policy-statement export-ldp then acceptset security idp idp-policy null rulebase-ips rule gre match application junos-greset security idp idp-policy null rulebase-ips rule gre then action no-actionset security idp active-policy nullset security zones security-zone untrust host-inbound-traffic system-services allset security zones security-zone untrust interfaces ge-3/0/1.0set security zones security-zone signalling host-inbound-traffic system-services allset security zones security-zone signalling host-inbound-traffic protocols allset security zones security-zone signalling interfaces gr-0/0/0.0set security zones security-zone signalling interfaces lt-0/0/0.0set security zones security-zone signalling interfaces lo0.0set security zones security-zone trust host-inbound-traffic system-services allset security zones security-zone trust interfaces lt-0/0/0.1set security policies from-zone trust to-zone untrust policy reassemble-gre match source-address anyset security policies from-zone trust to-zone untrust policy reassemble-gre match destination-address anyset security policies from-zone trust to-zone untrust policy reassemble-gre match application junos-greset security policies from-zone trust to-zone untrust policy reassemble-gre then permit application-services idpset security policies from-zone untrust to-zone trust policy reassemble-gre-rev match source-address anyset security policies from-zone untrust to-zone trust policy reassemble-gre-rev match destination-address anyset security policies from-zone untrust to-zone trust policy reassemble-gre-rev match application junos-greset security policies from-zone untrust to-zone trust policy reassemble-gre-rev then permit application-services idpset security policies default-policy permit-allset security policies policy-rematchset firewall family inet filter packet-mode term all then packet-modeset firewall family inet filter packet-mode term all then acceptset firewall family mpls filter packet-mode-mpls term all then packet-modeset firewall family mpls filter packet-mode-mpls term all then acceptset firewall family ccc filter packet-mode-ccc term all then packet-modeset firewall family ccc filter packet-mode-ccc term all then acceptset routing-instances flow-vr instance-type virtual-routerset routing-instances flow-vr interface lt-0/0/0.1set routing-instances flow-vr interface ge-3/0/1.0set routing-instances flow-vr routing-options static route 10.1.1.91/32 next-hop 10.1.1.90set routing-instances flow-vr routing-options static route 10.1.1.3/32 next-hop lt-0/0/0.1



まとめブランチ向けジュニパーネットワークスSRXシリーズサービス・ゲートウェイおよびJシリーズサービスルーターでのパケットサービスの選択は、ハイパフォーマンスなネットワークの導入事例に対して、信頼性に優れた基盤を提供します。ブランチ向けSRXシリーズおよびJシリーズのデバイスでのパケットサービスの選択はシャーシクラスタとの組み合わせで、各種機能の実装を簡素化し、企業本社と拠点・支社を結ぶ、信頼性に優れたエンタープライズ接続を実現します。このようなJunos OSのサービスは、2台のジュニパーネットワークスのルーター間でステートフルトラフィックフェイルオーバーを可能にするとともに、単一デバイスの抽象化を維持することで、ネットワーク設計を簡素化します。非対称トラフィック、VPN、LAN/WAN混在環境など、さまざまな一般的な接続の課題を解決するため、Junos OSのサービスは設計上、十分に配慮されています。また、Junos OS 9.6では、最も要求が厳しいアプリケーションに対応できる柔軟性を実現するため、パケットモードとフローモードのどちらでも同時に使用できる機能を導入しました。

ジュニパーネットワークスについてジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウド事業者にいたるまで、ジュニパーネットワークスは、ネットワークの利便性と経済性を変え、ビジネスを変革するソフトウェア、シリコン、システムを提供しています。ジュニパーネットワークスに関する詳細な情報は、以下をご覧ください。

http://www.juniper.net/jp/ 、 Twitter 、 Facebook



Copyright© 2014, Juniper Networks, Inc. All rights reserved. Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマークは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。

アジアパシフィック、ヨーロッパ、中東、アフリカJuniper Networks International B.V.

Boeing Avenue 240 1119 PZ Schiphol-Rijk Amsterdam, The Netherlands

電話 31-0-207-125-700 FAX 31-0-207-125-701

米国本社Juniper Networks, Inc.

1194 North Mathilda Ave Sunnyvale, CA 94089 USA

電話 888-JUNIPER (888-586-4737) または 408-745-2000 FAX 408-745-2100

URL http://www.juniper.net

日本ジュニパーネットワークス株式会社

東京本社〒163-1445 東京都新宿区西新宿3-20-2 東京オペラシティタワー45F

電話 03-5333-7400 FAX 03-5333-7401

西日本事務所〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜

URL http://www.juniper.net/jp/

3500192-001 JP Apr 2014

http://www.juniper.net/jp/jp/

https://twitter.com/Juniper_Japan

http://www.facebook.com/JuniperJapan

http://www.juniper.net

http://www.juniper.net/jp/

ブランチ向けsrx - juniper networks...• greフラグメンテーションおよび再構築...

Documents