SSG - Transparent mode



 ◆ L2モード ( 透過モード )

 インターフェースは、Routeモードか、NATモードとして使用する
L3モードで使用することが多いのですが
 インターフェースを全て同じセグメントとして使用する
L2モード(透過モード)として使用することも可能です。
 透過モードとして動作させるためには、すべてのインターフェースにIPアドレスを割り当てない設定にします。
 そして、この透過モードの場合のみ、管理用としてVLAN1を使用して、そこにIPアドレスを割り当てられます。



       


 L2モードで使用する場合、デフォルトで存在するゾーンとしては「
V1-UntrustV1-DMZV1-Trust」を
 使用します。「
V1-」から始まるゾーン名です。管理者がL2モードのゾーンを定義する場合、L2-から始まる
 ゾーン名を設定します。あとはL3モードと同じ考え方でインターフェースに作成したゾーンを割り当てます。
 ※ SSGはL2モードで動作させてもスパニングツリーは動作しません。受信したBPDUはそのまま透過します。

 ◆ ユーザ定義のL2ゾーンの作成 ( デフォルトのゾーンだけを使用する場合は設定不要 )
 set zone name zone L2

 ◆ 設定例 : Layer2ゾーン「L2-TEST1」を作成 (L2ゾーン作成の場合、名前の先頭に L2- をつける
 SSG5-> set zone name L2-TEST1 L2




 ◆ VLAN 1インターフェース

 L2モードでは、管理アクセスのためのIPアドレスを割り当るために
VLAN 1インターフェースを使用します。
 VLAN 1はどの透過ゾーン( L2ゾーン )からもアクセスできる論理インタフェースです。L2モードでは、
 SSGへの管理アクセスは物理インターフェースごとに設定するか、または、ゾーンに対して設定を行います。
 物理I/Fとゾーンの両方に管理アクセスを設定した場合、物理I/Fに設定した内容が優先され継承されます。
 ※ 当然、大本としてVLAN 1インターフェースそのものに管理アクセスを有効化しておく必要があります。

 VLAN1インターフェースはVLANゾーンに所属します。VLANゾーンはセキュリティゾーンではありません。
 ポリシーは異なるセキュリティゾーン間で適用されるので、VLAN1 I/Fに対するポリシーは不要であります。


 ◆ L2モード(透過モード)の設定

 
◆ @ IPアドレスの削除
 unset interface interface ip

 ◆ 設定例 : bgroup0 と ethernet0/0 のIPアドレスの削除

 SSG5-> unset interface bgroup0 ip
 SSG5-> unset interface ethernet0/0 ip



 ◆ A 透過ゾーンの割り当て
 set interface interface zone zone

 機種やバージョンにより1つのインターフェースに透過ゾーンを割り当てるだけで Changed to L2/L3 mix mode と表示されます。
 SSGをL2モードとして動作させるためには、全てのインターフェースに透過ゾーンを割り当てる必要があります。全てに割当て後、
 Changed to pure l2 mode と表示すればL2モードへ移行完了。get system では System in transparent mode.と表示されます。

 ◆ 設定例 : bgroup0 に V1-Trust を割り当てる設定 ethernet0/0 に V1-Untrust を割り当てる設定

 SSG5-> set interface bgroup0 zone V1-Trust
 SSG5-> set interface ethernet0/0 zone V1-Untrust




 ◆ B 管理インターフェースの設定
 set interface vlan1 ip address/mask
 ※ 管理インターフェースのIPアドレスとは別に管理用のIPアドレスを設定したい場合は set interface vlan1 address で設定

 ◆ 設定例 : VLAN 1 の管理インターフェースに「192.168.0.100」の割り当て
 SSG5-> set interface vlan1 ip 192.168.0.100/24



 ◆ C 管理サービスの有効化
 ◆ 設定例 : 全ての管理サービスを有効化する設定
 SSG5-> set interface vlan1 manage

 ◆ 設定例 : PING、Webアクセス、Telnetアクセスのみ有効化する設定

 SSG5-> set interface vlan1 manage ping
 SSG5-> set interface vlan1 manage web
 SSG5-> set interface vlan1 manage telnet



 ◆ D ゾーンごとの管理アクセスの有効化
 set zone zone manage service

 ◆ 設定例 : V1-Trust ゾーンでの ping/web/telnet管理アクセスの有効化

 SSG5-> set zone V1-Trust manage ping
 SSG5-> set zone V1-Trust manage web
 SSG5-> set zone V1-Trust manage telnet



 ◆ E ブロードキャストの設定 ( オプション ) ・・・ 基本的にデフォルト値で問題ありません。

 ◆ MACテーブルにエントリがない場合、受信I/Fを除き、全ての透過モードI/Fに元のパケットが送出される(デフォルト設定)
 SSG5-> set interface vlan1 broadcast flood


 ◆ MACテーブルにエントリがない場合、受信I/Fを除き、全てのインターフェースにARPリクエストが送出される
 SSG5-> set interface vlan1 broadcast arp



 ◆ F ポリシーの作成
 set policy
[ id number ] from zone to zone source-address dest-address service [ deny | permit | reject ]

 ◆ 設定例 : V1-Trustゾーンから、V1-Untrustゾーンへ全ての通信を許可する設定
 SSG5-> set policy from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit

透過モードで確認すべきコマンド 説明
get interface  そのインターフェースがL2モード(透過)であることを確認 ⇒ mode xparent
get arp  L2モード、L3モードともにARPキャッシュを確認。L2モードの場合ゾーン名で表示。
get mac-learn  MACアドレステーブルの確認。
get session  セッションテーブルの確認。L2モード、L3モードともに確認できるコマンド。


 ※ L3モードの bgroup0 でMACアドレステーブルを確認したい場合は get int bgroup0 mac-table コマンドで確認できます。



Juniper SSG - ScreenOS 設定コマンド解説

Copyright(C) 2002-2019 ネットワークエンジニアとして All Rights Reserved