Zenn
🐥

Juniper SRXのパケット転送モードを変更してルータとして利用する

2025/03/10に公開
Juniper
srx
tech

はじめに

Juniper SRXシリーズはファイアウォールですが、非常に多機能でブランチモデルのSRX300でもMPLSが利用できます。
そのため、SRX300を複数台用意してMPLSの検証もできたりするのですが、MPLSを利用したい場合は、パケット転送モードをデフォルトのフローベースからパケットベースにに変更する必要があります。

パケット転送モードをパケットベースに変更すると、すべてのフローベースのセキュリティ機能が無効になります(いわゆるルータとして機能することになります)。
そのため、セキュリティポリシー、ゾーン、NAT、シャーシクラスター、IPsec VPNなどの機能は利用できなくなりますので注意が必要です。

環境

SRX300
21.4R3-S6.5

パケット転送モードの変更

  • 現在のパケット転送モードのステータスを確認しておきます。
    IPv4は"flow based"、MPLSは"drop"になっていますのでこれを変更します。
root> show security flow status 
  Flow forwarding mode:
    Inet forwarding mode: flow based
    Inet6 forwarding mode: drop
    MPLS forwarding mode: drop
    ISO forwarding mode: drop
    Tap mode: disabled (default)
    Enhanced route scaling mode: Disabled
  Flow trace status
    Flow tracing status: off
  Flow session distribution
    Distribution mode: RR-based
    GTP-U distribution: Disabled
    SCTP distribution: Enabled
  Flow ipsec performance acceleration: off
  Flow gre performance acceleration: off
  Flow packet ordering
    Ordering mode: Hardware
  Flow power mode: Disabled
  Flow power mode IPsec: Disabled
  Flow power mode IPsec QAT: Disabled
  Fat core group status: off
  Flow inline fpga crypto: Disabled
  • 以下設定を投入します。
    security階層の配下に設定がある場合は、事前に削除しておかないとcommit時にエラーになります。
set security forwarding-options family inet6 mode packet-based
set security forwarding-options family mpls mode packet-based
set security forwarding-options family iso mode packet-based
  • 再度ステータスを確認すると、再起動が必要である旨が表示されています。
root> show security flow status 
  Flow forwarding mode:
    Inet forwarding mode: flow based (reboot needed to change to packet based)
    Inet6 forwarding mode: packet based
    MPLS forwarding mode: drop (reboot needed to change to packet based)
    ISO forwarding mode: drop (reboot needed to change to packet based)
    Tap mode: disabled (default)
    Enhanced route scaling mode: Disabled
  Flow trace status
    Flow tracing status: off
  Flow session distribution
    Distribution mode: RR-based
    GTP-U distribution: Disabled
    SCTP distribution: Enabled
  Flow ipsec performance acceleration: off
  Flow gre performance acceleration: off
  Flow packet ordering
    Ordering mode: Hardware
  Flow power mode: Disabled
  Flow power mode IPsec: Disabled
  Flow power mode IPsec QAT: Disabled
  Fat core group status: off
  Flow inline fpga crypto: Disabled
  • パケット転送モードの変更を有効にするために再起動します。
    再起動後に再度ステータスを確認すると、モードがすべて"packet based"になっています。
root> show security flow status 
  Flow forwarding mode:
    Inet forwarding mode: packet based
    Inet6 forwarding mode: packet based
    MPLS forwarding mode: packet based
    ISO forwarding mode: packet based
    Tap mode: disabled (default)
    Enhanced route scaling mode: Disabled
  Flow trace status
    Flow tracing status: off
  Flow session distribution
    Distribution mode: RR-based
    GTP-U distribution: Disabled
    SCTP distribution: Enabled
  Flow ipsec performance acceleration: off
  Flow gre performance acceleration: off
  Flow packet ordering
    Ordering mode: Hardware
  Flow power mode: Disabled
  Flow power mode IPsec: Disabled
  Flow power mode IPsec QAT: Disabled
  Fat core group status: off
  Flow inline fpga crypto: Disabled

参考

Discussion