Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

マルチプロトコルBGP

マルチプロトコル BGP について

マルチプロトコル BGP (MP-BGP) は BGP の拡張機能であり、複数のネットワークレイヤーとアドレスファミリのルーティング情報を送信 BGP できます。MP-BGP は、マルチキャストルーティングに使用されるユニキャストルートを、ユニキャスト IP フォワーディングに使用されるルートとは別に伝送できます。

MP-BGP を有効にするには、ユニキャスト IPv4 以外のアドレスでネットワークレイヤーの到達可能性情報 (NLRI) を実行family inetするように BGP を構成します。以下のステートメントを含めます。

MP-BGP で IPv6 アドレスファミリー用の NLRI を有効にするにはfamily inet6 、以下の文を含めます。

ルーターでのみ、IPv4アドレス ファミリーに対してレイヤー3 VPN(仮想プライベートネットワーク)NLRIを実行できるMP-BGPを有効にするには、次のステートメントを含 family inet-vpn める必要があります。

ルーターでのみ、MP-BGP IPv6アドレス ファミリーにレイヤー3 VPN NLRIを実行するには、次のステートメントを含 family inet6-vpn める必要があります。

ルーターの場合のみ、マルチキャスト VPN NLRI を IPv4 アドレスシリーズに使用 BGP できるようにし、VPN シグナリングを有効にfamily inet-mvpnするには、以下の文を含めます。

マルチキャスト VPN NLRI を IPv6 アドレスシリーズ用に使用 BGP できるようにし、VPN シグナリングを有効にfamily inet6-mvpnするには、以下の文を含めてください。

マルチプロトコル プロトコル BGP マルチキャスト VPN の詳細については、「 マルチキャスト プロトコル Junos OS ガイド 」を 参照してください

これらのステートメントを含めることができる階層レベルのリストについては、これらのステートメントのステートメントの概要セクションを参照してください。

注:

[edit protocols bgp family]階層レベルで指定されたアドレスファミリーを変更すると、ルーティングデバイス上の現在のすべての BGP セッションがドロップされ、再確立します。

Junos OS リリース9.6 以降では、特定の BGP アドレスファミリーに対してループ値を指定できます。

デフォルトでは、BGP のピアはユニキャストルートのみを使用します。マルチキャストルートのみを伝送するように BGP ピアをmulticast構成するには、オプションを指定します。ユニキャストとマルチキャストの両方のルートを実行するようにany BGP のピアを設定するには、オプションを指定します。

MP-BGP が設定されている場合、BGP は MP BGP のルートを異なるルーティングテーブルにインストールします。各ルーティングテーブルは、プロトコルファミリーまたはアドレスファミリーインジケーター (AFI) とそれに続くアドレスファミリ識別子 (SAFI) によって識別されます。

以下のリストは、すべての AFI と SAFI の組み合わせを示しています。

  • AFI = 1, SAFI = 1, IPv4 ユニキャスト

  • AFI = 1, SAFI = 2, IPv4 マルチキャスト

  • AFI = 1, SAFI = 128, L3VPN IPv4 ユニキャスト

  • AFI = 1, SAFI = 129, L3VPN IPv4 マルチキャスト

  • AFI = 2、SAFI = 1, IPv6 ユニキャスト

  • AFI = 2、SAFI = 2, IPv6 マルチキャスト

  • AFI = 25, SAFI = 65, BGP-VPLS/BGP-L2VPN

  • AFI = 2、SAFI = 128, L3VPN IPv6 ユニキャスト

  • AFI = 2、SAFI = 129, L3VPN IPv6 マルチキャスト

  • AFI = 1, SAFI = 132, RT 制約

  • AFI = 1、SAFI = 133、フロー仕様

  • AFI = 1、SAFI = 134、フロー仕様

  • AFI = 3, SAFI = 128, CLNS VPN

  • AFI = 1、SAFI = 5、NG-MVPN IPv4

  • AFI = 2、SAFI = 5, NG-MVPN IPv6

  • AFI = 1、SAFI = 66、MDT-SAFI

  • AFI = 1、SAFI = 4、IPv4 (ラベル付き)

  • AFI = 2、SAFI = 4、IPv6 (6PE)

Inet. 2 ルーティングテーブルにインストールされているルートは、SAFI を使用し、マルチキャストソースへのルートとして識別されるため、MP-BGP ピアにのみエクスポートできます。Inet. 0 ルーティングテーブルにインストールされているルートは、標準 BGP のピアにのみエクスポートできます。

Inet. 2 ルーティングテーブルは、ユニキャストトラフィックを送信することができなかった場合には、そのルートのサブセットを使用する必要があります。このルートは使用されません。Inet. 2 ルーティングテーブルには、マルチキャスト逆引きパス転送のチェックに使用されるユニキャストルートと、NLRI マルチキャストの更新から MP BGP によって学習された追加の到達可能性情報が格納します。Inet の BGP を構成すると、このルーティングテーブルが自動的に作成されます (NLRI anyに設定)。

MP-BGP を有効にすると、以下のことが可能になります。

BGP ピアセッションで受信したプレフィックス数の制限

BGP ピアセッションで受信するプレフィックス数を制限したり、挿入されたプレフィックス数が設定した制限値を超えたときに、レート制限のメッセージをログに記録することができます。また、プレフィックス数が制限を超えた場合にピアリングを破棄することもできます。

BGP セッションで受信可能なプレフィックス数に制限を設定するには、以下のprefix-limitステートメントを含めます。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

maximum number 場合は、1~4,294,967,295 の範囲の値を指定します。指定された最大数のプレフィックスを超えると、システムログメッセージが送信されます。

teardownステートメントを指定した場合、プレフィックスの最大数を超えると、セッションが破棄されます。割合を指定した場合、メッセージがログに記録されるのは、プレフィックス数が指定された最大制限値を超えた場合です。セッションが切断された後、短時間で再確立されます ( idle-timeoutステートメントを含める場合を除く)。idle-timeoutステートメントを指定した場合は、セッションを特定の期間だけ停止させるか、または無期限に維持するかのいずれかになります。指定foreverした場合、セッションは、コマンドをclear bgp neighbor発行した後に再確立されます。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート drop-excess <percentage> はドロップされます。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート hide-excess <percentage> は非表示になります。割合が変更された場合は、ルートが自動的に再評価されます。

注:

Junos OS リリース 9.2 以降では、ポリシー セッションで受け入れ可能なプレフィックス数に制限をBGP ピアできます。詳細についてはBGP ピアセッションで受け入れられるプレフィックスの数を制限する、を参照してください。

BGP ピアセッションで受け入れられるプレフィックスの数を制限する

Junos OS リリース 9.2 以降では、セッションで受け入れ可能なプレフィックスのBGP ピアできます。指定された上限を超えると、システムログメッセージが送信されます。また、指定したプレフィックス数の制限を超えた場合に BGP セッションをリセットするように指定することもできます。

BGP ピアセッションで受け入れることができるプレフィックス数の制限を設定するには、以下のaccepted-prefix-limitステートメントを含めます。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

maximum number 場合は、1~4,294,967,295 の範囲の値を指定します。

受け入れらteardownれるプレフィックス数が設定された上限を超えた場合に、BGP ピアセッションをリセットするためのステートメントを含めます。また、1~100 の割合の値を含め、受け入れられるプレフィックスの数が最大制限の割合を超えた場合にシステム ログ メッセージを送信できます。デフォルトでは、リセットされた BGP セッションは短時間で再確立されます。指定しidle-timeoutた期間に BGP セッションが再確立されないようにするステートメントを含めます。タイムアウト値は、1~2400分から設定できます。コマンドを forever 発行するまでBGPセッションが再確立されるのを防ぐオプションを含 clear bgp neighbor める。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート drop-excess <percentage> はドロップされます。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート hide-excess <percentage> は非表示になります。割合が変更された場合は、ルートが自動的に再評価されます。

注:

無着陸のアクティブルーティング (NSR) が有効になっていて、バックアップルーティングエンジンへのスイッチオーバーが発生した場合、ダウンしている BGP ピアは自動的に再起動されます。idle-timeout foreverステートメントが設定されている場合でも、ピアは再起動されます。

注:

別の方法として、BGP ピアセッションで受け取ることができるプレフィックス数を制限することもできます。 (受諾ではありません)。詳細についてはBGP ピアセッションで受信したプレフィックス数の制限、を参照してください。

BGP ルーティングテーブルグループの設定

セッションがBGPまたはマルチキャストNLRIを受信すると、適切なテーブル( またはユニキャスト用、マルチキャスト用)にルートが inet.0inet6.0inet.2inet6.2 インストールされます。ユニキャストプレフィックスとマルチキャストテーブルの両方を追加するには、BGP ルーティングテーブルグループを構成します。この機能は、マルチキャストの NLRI ネゴシエーションを実行できない場合に便利です。

BGP ルーティングテーブルグループを構成するにはrib-group 、以下のステートメントを含めます。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

他の装置にある PE ルーティングデバイスへのルートの解決

ルート解決のために、ラベル付けされたルートをルーティング テーブル inet.3 に配置できます。これらのルートは、その後、プロバイダエッジ (PE) ルーティングデバイス接続によって解決されます。これは、リモート PE が別の自律システムに配置されている場合です (AS)。PE ルーティング デバイスが VPN ルーティングおよび転送(VRF)ルーティング インスタンスにルートをインストールするには、ネクスト ホップをテーブル内に格納されたルートに解決する必要 inet.3 があります。

ルートをルート テーブルに inet.3 ルーティング テーブル、 ステートメントを含 resolve-vpn める:

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

ラベル付きおよびラベルなしルートの許可

1つのセッションでラベル付きとラベルなしのルートの両方を交換することを許可できます。ラベル付きルートは、inet. 3 または inet 6.3 ルーティングテーブルに配置されます。また、ラベル付きまたはラベルなしのユニキャストルートも、ルーティングデバイスによって送信または受信できます。

ラベル付きとラベルなしのルートの両方が交換されるribようにするには、次のステートメントを使用します。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

例:IPv4 トランスポート経由の IPv6 BGP ルートの構成

この例では、ipv4 インターフェイスで両方を設定した場合に、IPv4 接続経由で IPv6 プレフィックスと IPv4 接頭辞の両方をエクスポートする方法について説明します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定は必要ありません。

概要

IPv6 BGP プレフィックスをエクスポートする場合は、以下の点に注意してください。

  • BGP は、IPv4 にマッピングされた IPv6 プレフィックスを使用して次ホッププレフィックスを導出します。たとえば、IPv4 next-hop プレフィックス10.19.1.1は、IPv6 ネクストホッププレフィックス:: ffff: 10.19.1.1 に変換されます。

    注:

    IPv6 BGP プレフィックスをエクスポートするには、IPv4 にマップされた IPv6 のネクストホップへのアクティブルートが必要です。

  • リンク上で IPv6 接続を構成する必要があります。接続には、IPv6 トンネルまたはデュアルスタック構成のどちらかを指定する必要があります。この例では、デュアルスタックが使用されています。

  • IPv4 マッピングされた IPv6 プレフィックスを設定する場合、96 ビットを超えるマスクを使用します。

  • 通常の IPv6 プレフィックスを使用する場合は、静的ルートを構成します。この例では、静的ルートを使用しています。

図 1に、トポロジーの例を示します。

図 1: IPv4 トランスポート経由の IPv6 BGP ルートを構成するためのトポロジIPv4 トランスポート経由の IPv6 BGP ルートを構成するためのトポロジ

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

デバイス R1

デバイス R2

デバイス R3

デバイス R1 の構成

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

デバイス R1 を構成するには、次のようになります。

  1. IPv4 アドレスと IPv6 アドレスの両方を含む、インターフェイスを構成します。

  2. EBGP を構成します。

  3. BGP を有効化して、IPv4 のユニキャストルートと IPv6 ルーティングを実行します。.

    IPv4 ユニキャストルートはデフォルトで有効になっています。ここでは、完全な構成を示しています。

  4. ルーティングポリシーを設定します。

  5. いくつかの静的ルートを構成します。

  6. 自律システム (AS) 番号を設定します。

結果

構成モードからshow interfaces、、、 show policy-optionsshow protocols、およびshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。デバイス R2 とデバイス R3 の設定を繰り返し、必要に応じて、インターフェイス名と IP アドレスを変更します。

検証

構成が正常に機能していることを確認します。

近隣ノードの状態を確認する

目的

BGP が IPv6 ユニキャストルートを送信できるように設定されていることを確認します。

アクション

動作モードから、 show bgp neighborコマンドを入力します。

出力内でさまざまな発生が見つかった場合、BGP は IPv6 ユニキャスト ルート inet6-unicast の実行が可能になっています。

ルーティングテーブルを確認しています

目的

Inet 6.0 ルーティングテーブルにデバイス R2 に BGP ルートが設定されていることを確認します。

アクション

動作モードから、 show route protocol bgp inet6.0コマンドを入力します。

BGP IPv6 セッション経由の IPv4 ルートのアドバタイズの概要

IPv6 ネットワークでは、BGP 通常、BGP ピア間の ipv6 セッションで IPv6 ネットワークレイヤーの到達可能性情報を通知します。以前のリリースでは、Junos OS は、inet6 unicast、inet6 マルチキャスト、inet6 のラベル付きユニキャストアドレスシリーズの交換のみをサポートしていました。この機能により、すべての BGP アドレスファミリを交換できます。コアに IPv6 を備えたデュアルスタック環境で実現します。この機能により、IPv6 BGP セッションを介して ipv4 のネクストホップに IPv4 ユニキャスト到達可能性を通知 BGP ことができます。

この機能は BGP IPv6 セッションのみに対応しています。 IPv4 は両方のエンドポイントで構成されています。このlocal-ipv4-addressアドレスには、ibgp またはマルチホップ ebgp セッションのループバックまたは ipv4 アドレスを指定できます。BGP に含まれていないシングルホップ外部 BGP スピーカーの場合、構成済みのローカル IPv4 アドレスが直接接続されていない場合、BGP セッションは閉じられ、アイドル状態のままになり、エラーが生成さshow bgp neighborれます。これは、コマンドの出力に示されます。.

IPv6 セッション上で IPv4 ルートアドバタイズを有効にlocal-ipv4-addressするには、以下のように構成します。

注:

BGP 既に IPv6 BGP セッションを介してこれらのアドレスを通知する機能を備えているため、inet6 unicast、inet6 マルチキャスト、inet6 のラベル付きユニキャストアドレス族に対してこの機能を構成することはできません。

この設定local-ipv4-addressは、BGP がセルフネクストホップでルートをアドバタイズする場合にのみ使用されます。IBGP が EBGP ピアから学習したルートまたはルートリフレクタが、BGP ルートをクライアントにアドバタイズする場合、BGP はルートのネクストホップをlocal-ipv4-address変更せず、構成された内容を無視して、元の IPv4 ネクストホップを使用します。

例:IPv6 BGP セッション上での IPv4 ルートの広告

この例は、IPv6 BGP セッションを介して IPv4 ルートをアドバタイズする方法を示しています。コアに IPv6 を備えたデュアルスタック環境では、リモートの IPv4 ホストに接続する必要があります。そのため、BGP は、IPv6 送信元と宛先のアドレスを使用して、BGP セッションを介して BGP ピアに ipv4 のネクストホップを使用して IPv4 ルートをアドバタイズします。この機能は、IPv6 BGP セッションで IPv4 のネクストホップを使用して、BGP が IPv4 ユニキャスト到達可能性を通知できるようにします。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • デュアルスタッキング機能を備えた3つのルーター

  • すべてのデバイスで Junos OS リリース16.1 以降を実行している場合

IPv6 BGP セッションを介して IPv4 アドバタイズメントを有効にする前に、以下のことを確認してください。

  1. デバイスインターフェイスを構成します。

  2. すべてのデバイスでデュアルスタックを構成します。

概要

リリース16.1 では、Junos OS は、IPv6 BGP セッションを介して ipv4 のネクストホップを使用して IPv4 ユニキャスト到達可能性を通知 BGP ことができます。以前の Junos OS リリースでは、BGP は IPv6 BGP セッションを介して、inet6 のユニキャストアドレスと inet6 のラベルを提供することしかできませんでした。この機能により、BGP は、すべての BGP アドレスを IPv6 セッション上で交換できます。BGP を有効にすると、ipv4 のネクストホップを使用して、IPv6 セッションを介して BGP ピアに IPv4 ルートをアドバタイズできます。この設定local-ipv4-addressは、BGP がセルフネクストホップでルートをアドバタイズする場合にのみ使用されます。

注:

BGP 既に IPv6 BGP セッションを介してこれらのアドレスを通知する機能を備えているため、inet6 unicast、inet6 マルチキャスト、inet6 のラベル付きユニキャストアドレス族に対してこの機能を構成することはできません。

Topology

では 図 2 、ルーターR1とR2 BGP IPv6外部インターフェイス セッションが実行されています。ルーター R2 とルーター R3 の間には、IPv6 IBGP セッションが確立されています。IPv4 静的ルートは、R1 上の BGP に再分散されます。IPv6 BGP セッションを介して IPv4 ルートを再配布するには、階層レベルの[edit protocols bgp address family]すべてのルーターで新しい機能が有効になっている必要があります。

図 2: IPv6 BGP セッション上での IPv4 ルートの広告IPv6 BGP セッション上での IPv4 ルートの広告

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ルーター R1

ルーター R2

ルーター R3

ルーター R1 の構成

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。Cli のナビゲートの詳細については、『 Cli ユーザーガイド』の「 Cli エディターを設定モードで使用する」を参照してください。

ルーター R1 を構成するには、次のようになります。

注:

適切なインターフェイス名、アドレス、その他のパラメーターを変更した後、他のルーターについてもこの手順を繰り返します。

  1. IPv4 および IPv6 アドレスを使用して、インターフェイスを構成します。

  2. ループバックアドレスを設定します。

  3. アドバタイズする必要がある IPv4 静的ルートを構成します。

  4. BGP ホストの自律システムを構成します。

  5. 外部エッジルーターで EBGP を構成します。

  6. 機能を有効にして BGP IPv6 セッションで IPv4 adddress 140.1.1.1 を通知します。

  7. ポリシー p1 を定義して、すべての静的ルートを受け入れます。

  8. EBGP group ebgp-v6 にポリシー p1 を適用します。

結果

構成モードからshow interfaces、、、 show protocolsshow routing-options、およびshow policy-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、構成をコミットします。

検証

構成が正常に機能していることを確認します。

BGP セッションが稼働していることを確認しています

目的

BGP が設定されたインターフェイスで実行されていること、および各近隣アドレスに対して BGP セッションがアクティブになっていることを確認してください。

アクション

動作モードから、ルーター show bgp summary R1 で コマンドを実行します。

BGP セッションが稼働していて、BGP ピアリングが確立されています。

IPv4 アドレスがアドバタイズされていることを確認しています

目的

構成された IPv4 アドレスがルーター R1 によって、構成された BGP の近隣ノードに通知されていることを確認します。

アクション

動作モードから、ルーター show route advertising-protocol bgp ::150.1.1.2 R1 で コマンドを実行します。

IPv4 静的ルートは BGP 近隣ルーター R2 にアドバタイズされています。

BGP の近隣ルーター R2 がアドバタイズされた IPv4 アドレスを受信することを確認します。

目的

ルーター R2 が IPv6 上の BGP 近隣にアドバタイズしている IPv4 アドレスを受信していることを確認します。

アクション

ルーター R2 のスイッチに静的 IPv4 ルートが存在しているルーティング テーブル、アドバタイズされた IPv4 ルートをルーター R1 から受信している状態を示します。

BGP への IPv6 ネクストホップの使用による IPv4 ルートの再配布について

IPv6 トラフィックを主にトランスポートするネットワークでは、必要に応じて IPv4 ルートをルーティングする必要があります。たとえば、IPv6 のみのネットワークを備えたインターネットサービスプロバイダ、IPv4 トラフィックをルーティングしている顧客がいます。この場合、そのような顧客にサポートし、IPv6 ネットワークを介して IPv4 トラフィックを転送する必要があります。RFC 5549 で説明されているとおり、IPv4 ネットワーク層 到達可能性に関する情報と IPv6 ネクスト ホップ IPv4 トラフィックは、CPE(顧客構内機器)デバイスから IPv4-over-IPv6 ゲートウェイにトンネリングされます。これらのゲートウェイは、エニーキャストアドレスを使用して、お順に説明したデバイスに発表されます。ゲートウェイデバイスは、リモートのフル送付状デバイスに動的な IPv4 over IPv6 トンネルを作成し、IPv4 集約ルートをアドバタイズしてトラフィックを誘導します。

注:

Dynamic IPv4 over IPv6 トンネル機能は、Junos OS リリース 17.3 R1 での統合型 ISSU をサポートしていません。

プログラム可能なインターフェイスを使用したルートリフレクタ (Rr) は、IBGP からゲートウェイルーターに接続し、IPv6 アドレスを持つホストルートを次ホップとして使用します。これらの Rr は、IPv4/32 アドレスをアドバタイズして、トンネル情報をネットワークに挿入します。ゲートウェイルーターは、リモートカスタマープロバイダエッジに動的な IPv4 over IPv6 トンネルを作成します。また、ゲートウェイルーターは、トラフィックを誘導するために IPv4 集約ルートをアドバタイズします。その後、RR は ISP へのトンネルソースルートをアドバタイズします。RR によってトンネルルートが削除された場合、BGP はトンネルを遮断するルートを withdraws し、「」に到達できない状態にします。また、すべての集約ルートコントリビュータールートが削除された場合に、ゲートウェイルーターは IPv4 集約ルートと IPv6 トンネルソースルートを withdraws します。ゲートルーターは、アンカーパケット転送エンジンラインカードがダウンしたときにルートの撤回を送信し、トラフィックが他のゲートウェイルーターにリダイレクトされるようにします。

IPv6 次ホップを持つ IPv4 ルートをサポートするために、以下の拡張機能が導入されています。

BGP next-hop エンコード

BGP は、IPv6 のネクストホップで IPv4 ルートを送信するために使用される次ホップエンコード機能によって拡張されています。この機能がリモートピアで使用できない場合、BGP はこのエンコーディング機能に基づいてピアをグループ化し、ネゴシエートされたネットワークレイヤーの到達可能性情報 (NLRI) リストから、エンコード機能を使用せずに BGP ファミリを削除します。Junos OS は、1つの解決テーブルのみを許可します (例: 0)。IPv6 の次ホップを使用して IPv4 BGP ルートを許可するには BGP 新しい解決ツリーを作成します。この機能により、Junos OS ルーティングテーブルに複数の解像度ツリーを持たせることができます。

RFC 5549、Advertising IPv4 ネットワーク層 Reachability Information with IPv6 Next Hop RFC 5512、BGP Encapsulation Subsequent Address Family Identifier(SAFI)、BGP Tunnel Encapsulation Attribute(BGP Tunnel Encapsulation Attribute) で指定された新しいカプセル化コミュニティが導入され、ネクスト ホップ アドレスのアドレス ファミリーを決定します。カプセル化コミュニティーは、入口ノードで作成する必要があるトンネルのタイプを示します。IPv6 のネクストホップアドレスと V4oV6 カプセル化コミュニティーを使用して IPv4 ルートを受信する BGP と、BGP は IPv4 over IPv6 動的トンネルを作成します。カプセル化コミュニティーを使用せずにルート BGP 受信すると、BGP ルートは V4oV6 トンネルを作成せずに解決されます。

新しいポリシーアクションdynamic-tunnel-attributes dyan-attributeは、新しい拡張カプセル[edit policy-statement policy name term then]化をサポートするために、階層レベルで使用できます。

トンネルのローカリゼーション

トンネルのローカリゼーションによって、動的トンネルインフラストラクチャが拡張され、より多くのトンネルをサポートするようになりました。トンネルのローカリゼーションによって、アンカーに障害が発生したときにトラフィックを処理する弾力性を提供する必要があります。1つ以上のシャーシでもう一度バックアップを実行し、ルーティングプロトコルプロセス (rpd) によって障害点からバックアップシャーシへとトラフィックを誘導します。シャーシは、ネットワークへの個々のループバックアドレスではなく、これらの集約プレフィックスのみをアドバタイズします。

トンネルの処理

IPv4 over IPv6 トンネルは、必要なシャーシ全体をサポートするために、トンネルの固定機能と動的トンネルインフラストラクチャを使用します。トンネルの状態はパケット転送エンジンにローカライズされ、その他のパケット転送エンジンはトラフィックをトンネルアンカーに誘導します。

トンネル受信

トンネル受信またはトンネルカプセル化により、ネットワークトラフィックがお客様のサイトに転送されます。トラフィックがシャーシに入ったパケット転送エンジンにトンネルの状態が存在する場合、ルーティングプロトコルプロセス (rpd) は、IPv6 トンネルを介して IPv4 ルートを再配分するために以下の手順を使用します。
図 3: 同じ PFE でトンネル状態が利用可能な場合のトンネル入口処理同じ PFE でトンネル状態が利用可能な場合のトンネル入口処理
図 4: トンネルの状態が異なる PFE 上にある場合のトンネル入口処理トンネルの状態が異なる PFE 上にある場合のトンネル入口処理
  1. IPv6 ヘッダー内の IPv4 トラフィックをカプセル化します。

    最大転送ユニット (MTU) 適用は、カプセル化の前に実行されます。カプセル化されたパケットのサイズがトンネルサイズMTUを超え、IPv4パケットが設定されていない場合、パケットはフラグメント化され、これらのフラグメント DF-bit がカプセル化されます。

  2. 内部パケットヘッダーでハッシュベースのトラフィック負荷分散を使用します。

  3. 宛先 IPv6 アドレスにトラフィックを転送します。Ipv6 アドレスは、IPv6 ヘッダーから取得されます。

トンネル送信

トンネル送信によって、顧客の敷地内機器からネットワーク側へのトラフィックが転送されます。
図 5: 同じ PFE でトンネル状態が利用可能な場合のトンネル送信処理同じ PFE でトンネル状態が利用可能な場合のトンネル送信処理
図 6: リモート PFE でトンネル状態が利用可能な場合のトンネル送信処理リモート PFE でトンネル状態が利用可能な場合のトンネル送信処理
  1. Decapsulates IPv4 パケットが IPv6 パケット内に存在しています。

  2. スプーフィング防止チェックを実行して、IPv6 と IPv4 のペアがトンネルの設定に使用された情報と一致することを確認します。

  3. カプセル化されていないパケットのIPv4ヘッダーからIPv4宛先アドレスを検索し、指定されたIPv4アドレスにパケットを転送します。

トンネルのロードバランシングとアンカーパケット転送エンジンの障害処理

ネットワークパケット転送エンジン固定されたトンネル トラフィックの null ルート フィルタリングを回避するには、ネットワーク 障害を速やかに処理するパケット転送エンジン。トンネルのローカリゼーションでは、BGP の提供情報を使用して障害をグローバルに修復する必要があります。トンネルトラフィックは、障害発生地点から別のバックアップシャーシへと、同一のトンネル状態を保持します。トラフィックの負荷を分散するために、シャーシは各プレフィックスセットに対して異なるマルチ出口識別子 (MED) 値を通知するように構成されているため、トンネルの4分の1のトラフィックだけが各シャーシを通過するようになっています。また、各シャーシでエニィキャストアドレスの同じセットを構成し、各シャーシに向けて4分の1のトラフィックのみを処理することで、同じような方法で通信を行います。

Anchor パケット転送エンジンは、トンネルのすべての処理を実行する単一のエンティティです。アンカーパケット転送エンジン選択は、静的プロビジョニングを通してパケット転送エンジン物理インタフェースに結び付けられています。パケット転送エンジンのいずれかがダウンすると、デーモンは、ラインカード上のすべてのパケット転送エンジンにマークを付け、この情報をルーティングプロトコルプロセスルーティングプロトコルプロセスやその他のデーモンに通知します。ルーティングプロトコルプロセスは、障害が発生したパケット転送エンジンに固定されたプリフィックスの BGP 引出と、ダウンしたパケット転送エンジンに割り当てられた IPv6 アドレスを送信します。これらの広告は、トラフィックを他のバックアップシャーシに再ルーティングします。障害が発生したパケット転送エンジンが再び起動すると、シャーシはupパケット転送エンジン as と update ルーティングプロトコルプロセスをマークします。ルーティングプロトコルプロセスは、特定のパケット転送エンジンに固定されたトンネルが、ルーティングトラフィックで使用できるようになり、そのピアに対して BGP の更新をトリガーします。このプロセスは、大規模なトンネル構成のために数分で完了することがあります。このAckメカニズムをシステムに組み込むことで、トラフィックを最小限に抑えて、元のシャーシに移動することで、トラフィックロスを最小化できます。

トンネルループバックストリームの統計情報

動的トンネルインフラストラクチャは、カプセル化後にパケットをループさせるためにパケット転送エンジンのループバックストリームを使用します。このループバックストリームの帯域幅が制限されているため、トンネルループバックストリームのパフォーマンスを監視する必要があります。

ループバックストリームの統計を監視するには、転送レート、 show pfe statistics traffic detailドロップパケットレート、バイトレートなどの集約ループバックストリーム統計を表示する operational コマンドを使用します。

IPv6 ネクストホップアドレスで IPv4 ルートを再配分するための BGP の構成

リリース 17.3 R1 から開始すると、Junos OS デバイスは IPv4 トラフィックを IPv6 のみのネットワーク経由で転送できます。これは通常、IPv4 トラフィックを転送することはできません。RFC 5549 で説明されているように、IPv4 トラフィックは、送付状デバイスから IPv4 over IPv6 ゲートウェイへとトンネリングしています。これらのゲートウェイは、エニーキャストアドレスを使用して、お順に説明したデバイスに発表されます。その後、ゲートウェイデバイスは、リモートの顧客オンプレミス機器に動的な IPv4 over IPv6 トンネルを作成し、IPv4 集約ルートをアドバタイズしてトラフィックを誘導します。プログラム可能なインターフェイスでリフレクタをルーティングすると、トンネル情報がネットワークに挿入されます。ルートリフレクタは、IBGP からゲートウェイルーターに接続され、IPv6 アドレスを持つホストルートの IPv4 アドレスを次ホップとして通知します。

注:

Dynamic IPv4 over IPv6 トンネル機能は、Junos OS リリース 17.3 R1 での統合型 ISSU をサポートしていません。

IPv6 のネクストホップアドレスを使用して IPv4 ルートを分散する BGP の設定を開始する前に、以下を実行します。

  1. デバイスインターフェイスを構成します。

  2. OSPF またはその他の IGP プロトコルを構成します。

  3. MPLS と LDP を構成します。

  4. BGP を構成します。

IPv6 次ホップアドレスを使用して IPv4 ルートを配信する BGP を構成するには、次のようにします。

  1. Ipv6 ピアを使用して BGP グループに対して拡張されたネクストホップエンコードオプションを構成し、IPv6 セッションで IPv4 アドレスをルーティングします。
  2. Ipv4 over IPv6 トンネルを構成し、その属性を定義して、IPv4 トラフィックを IPv6 のみのネットワーク上で転送します。IPv4 トラフィックは、送付状デバイスから IPv4 over IPv6 ゲートウェイへとトンネリングされています。
  3. トンネル属性を構成します。

    たとえば、次の属性をfirst_tunnel使用して動的トンネルを設定します。

  4. 構成された動的トンネル属性プロファイルをプレフィックスリストまたはルートフィルターに関連付けるポリシーを定義します。

    たとえば、動的トンネルdynamic_tunnel_policy 属性をトラフィック見出しにのみ特定のルート 2.2.2.2/32 に関連付ける場合は、dynamic_tunnel_policy first_tunnelポリシーを定義します。

  5. 定義されたポリシーをエクスポートします。

    たとえば、設定済みのポリシー ポリシー dynamic_tunnel_policy します。

レイヤー 2 VPN と VPLS シグナリングを有効にする

レイヤー2 VPN BGP VPLS NLRIメッセージの送信を有効にできます。

VPN と VPLS のシグナリングを有効にfamilyするには、以下のステートメントを含めます。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

プレフィックスの最大数を設定するには、 prefix-limit以下のステートメントを含めます。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

プレフィックスの最大数を設定すると、その番号に達すると、メッセージがログに記録されます。teardownステートメントを指定した場合は、プレフィックスの最大数に達すると、セッションが破棄されます。割合を指定した場合、メッセージは、プレフィックス数がその割合に達するとログに記録されます。セッションが切断されると、短時間で再確立されます。指定さidle-timeoutれた期間だけセッションを停止するステートメントを含めたり、繰り返します。を指定foreverした場合、セッションは、 clear bgp neighborコマンドを使用した後に再確立されます。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート drop-excess <percentage> はドロップされます。ステートメントを含め、割合を指定した場合、プレフィックス数が割合を超えると、過剰なルート hide-excess <percentage> は非表示になります。割合が変更された場合は、ルートが自動的に再評価されます。

トラフィックフィルタリングの BGP フロールートについて

フロールートは、IP パケットのマッチング条件を集約したものです。フロー ルートは、NLRI(フロー仕様ネットワークレイヤー到達可能性情報)メッセージを使用してネットワークを介して伝達され、フロー フロー フローに instance-name.inetflow.0 ルーティング テーブル。パケットは、特定のマッチ条件が満たされた場合にのみ、フロールートを経由して転送されます。

フロールートとファイアウォールフィルターは、コンポーネントに基づいてパケットをフィルタリングし、一致するパケットに対してアクションを実行するという点で似ています。フロールートは、ファイアウォールフィルターと同様に、トラフィックフィルタリングとレート制限機能を提供します。さらに、異なる自律システム間でフロールートを伝達することもできます。

フロールートは、フロー仕様の NLRI メッセージを通して BGP によって伝達されます。これらの NLRIs を適用するには、BGP を有効にする必要があります。

Junos OS リリース15.1 から開始して、既存の inet フローと inetvpn フローファミリーに対応する、idr のアクティブルーティング (NSR) サポートを拡張し、draft--flowspec-flowspec ごとに、ルート検証を拡張するため BGP の変更が実装されています。この機能強化の一環として、2つの新しい文が導入されています。「ファーストインストール」および「なし」を参照してください。

注:

Junos OS リリース16.1 から始まる IPv6 サポートは BGP フロー仕様に拡張されており、IPv6 および VPN パケットのトラフィックフロー仕様ルールの伝播を許可することができます。BGP フロー仕様は、トラフィックフィルタリングルールの調整を自動化して、無停止のアクティブルーティング (NSR) 中の分散サービス拒否攻撃を緩和します。

BGP フロー仕様は、Junos OS リリース 16.1 R1 から開始して、 extended-communityトラフィックマーキングフィルタリングアクションをサポートしています。IPv4 トラフィックの場合、Junos OS は、は IPv4 パケットの DiffServ コードポイント (DSCP) ビットを拡張コミュニティーの対応する値に変更します。IPv6 パケットの場合、Junos OS は、送信 IPv6 パケットのtraffic classフィールドの最初の6ビットを拡張コミュニティーの対応する値に変更します。

cRPDリリース20.3R1から、BGPフロー仕様NLRIを介して伝達されたフロールートとポリシングルールが、仮想環境のLinux Net cRPD filterフレームワークを介してLinuxカーネルにダウンロードされます。

フロールートの条件を照会します。

フロールートに対してthenステートメント内のアクションを実行する前に、パケットが照合する必要がある条件を指定します。fromステートメント内のすべての条件が、実行されるアクションと一致している必要があります。一致条件を指定する順序は重要ではありません。パケットは一致するためにすべての条件に一致しなければなりません。

照合条件を設定するには、 match階層レベルの[edit routing-options flow]ステートメントを含めます。

表 1フロールートの照合条件について説明します。

表 1: フロールート Match 条件

条件の照合

説明

destination prefix prefix-offset number

IP 宛先アドレスフィールド。

モードに設定された拡張MPCを持つJunosデバイスでのみ使用できるオプションのフィールドを使用して prefix-offset 、Junos OSがIPv6プレフィックスとの照合を開始する前に省略する必要があるビット数を指定できます。 enhanced-ip

destination-port number

TCP またはユーザーデータグラムプロトコル (UDP) 宛先ポートフィールド。同じ用語にport and destination-port match 条件を指定することはできません。

数値の代わりに、次のいずれかの同義語を指定できます (ポート番号も表示されています)。afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(514)、(2401)、(67)(53)(2105)、(2106)、(512)、(79)、(20)、(80)、 cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)(389)、(513)(434)、(435)、(138)、(138) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldaploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssn (137)、(139)、(2049)、(1188)、(123)、(1723)、(1723)(515)、(1813)、(1812)、(520)、(2108)、(161)、 nfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrap (162)、(444)、(1080)、(22)、(111)、(514)、(517)(517)、(23)(69)、(525)、(513)、(177)、(2103)、(2104) snppsockssshsunrpcsyslogtacacs-dstalktelnettftptimedwhoxdmcpzephyr-cltzephyr-hm

dscp number

差別化サービスコードポイント (DSCP)。DiffServ プロトコルは、IP ヘッダーにToS(サービス タイプ)バイトを使用します。このバイトの最も重要な 6 ビットが DSCP を形成しています。

DSCP は16進数または10進数の形式で指定できます。

flow-label numeric-expression

フローラベルの値と一致します。このフィールドの値は、0 ~ 1048575 の範囲になります。

この一致条件は、モードに設定された拡張Junosを持つデバイスでのみサポート enhanced-ip されています。この照合条件は、IPv4 ではサポートされていません。

fragment type

フラグメントの種類フィールドです。キーワードは、関連付けられているフラグメントタイプ別にグループ化されています。

  • dont-fragment

    注:

    このオプションは、IPv6 ではサポートされていません。

  • first-fragment

  • is-fragment

  • last-fragment

  • not-a-fragment

この一致条件は、モードに設定された拡張Junos OSを持つデバイスでのみサポート enhanced-ip されています。

icmp-code numbericmp6-code icmp6-code-value;

ICMP コードフィールドです。この値またはキーワードは、よりicmp-type具体的な情報を提供します。値の意味は、関連付けられた値によって異なため、 を icmp-type とともに icmp-type 指定する必要があります icmp-code

数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

  • パラメーターの問題:ip-header-bad required-option-missing(0)、(1)

  • リダイレクトredirect-for-hostredirect-for-networkredirect-for-tos-and-host (1)、(0)、(3)、(2) redirect-for-tos-and-net

  • 時間超過:ttl-eq-zero-during-reassemblyttl-eq-zero-during-transit(1)、(0)

  • ませcommunication-prohibited-by-filteringdestination-host-prohibiteddestination-host-unknowndestination-network-prohibiteddestination-network-unknown (13)、(10)、(7)、(9)、(4)、(14)、(12)、(12)、(11)、(3)、(15)、(2)、(8)、(5) fragmentation-neededhost-precedence-violationhost-unreachablehost-unreachable-for-TOSnetwork-unreachablenetwork-unreachable-for-TOSport-unreachableprecedence-cutoff-in-effectprotocol-unreachablesource-host-isolatedsource-route-failed

icmp-type number icmp6-type icmp6-type-value

ICMP パケットタイプフィールド。通常は、このマッチングをprotocol match ステートメントと組み合わせて指定し、ポートで使用されるプロトコルを決定します。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。echo-replyecho-requestinfo-replyinfo-requestmask-request (0)、(8)、(16)、(15)、(18)、(12)、(5)、(9)、(10)、(4)、(11)、(13)、(14)、(3) mask-replyparameter-problemredirectrouter-advertisementrouter-solicitsource-quenchtime-exceededtimestamptimestamp-replyunreachable

packet-length number

IP パケットの合計長。

port number

TCP または UDP 送信元または宛先ポートフィールドです。同じ用語で、 port match とdestination-portsource-port一致条件のどちらか一方を指定することはできません。

数値の代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

protocol number

IP プロトコルフィールドです。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。ah, egpespgreicmpigmp (8)、(50)、(47)、(1)、(2)、(41)、(89)、(103)、(46)、(6)、(17) ipipipv6ospfpimrsvptcpudp 

この一致条件は、モード用に設定された拡張JUNOSデバイスの IPv6 でのみサポート enhanced-ip されています。

source prefixprefix-offset number

IP 送信元アドレスフィールド

モードに設定された拡張MPCを持つJunosデバイスでのみ使用できるオプションのフィールドを使用して prefix-offset 、Junos OSがIPv6プレフィックスとの照合を開始する前に省略する必要があるビット数を指定できます。 enhanced-ip

source-port number

TCP または UDP 送信元ポートフィールド。port And source-port match 条件を同じ用語で指定することはできません。

数値フィールドの代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

tcp-flag type

TCP ヘッダー形式。

フロールートのアクション

フロールートで構成した条件にパケットが一致した場合に実行するアクションを指定できます。アクションをコンフィギュレーションするには、 then[edit routing-options flow]階層レベルに明細書を含めます。

表 2フロールートアクションについて説明します。

表 2: フロールート動作修飾子

アクションまたはアクションの変更

説明

対応

accept

パケットを受信します。これがデフォルトです。

discard

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。

community

ルート内のすべてのコミュニティーを指定されたコミュニティに置き換えます。

マーク の値

このフローと一致するトラフィックの DSCP 値を設定します。0 ~ 63 の値を指定します。このアクションは、モードに設定された拡張Junosを持つデバイスでのみサポート enhanced-ip されています。

next term

評価のために、次の照合条件に進みます。

routing-instance extended-community

パケットが転送されるルーティングインスタンスを指定します。

rate-limit bits-per-second

フロールートの帯域幅を制限します。制限をビット/秒 (bps) で表現します。Junos OS リリース 16.1 R4 以降では、レート制限範囲は [0 ~ 1兆] になっています。

sample

フロールート上のトラフィックをサンプリングします。

フロールートの検証

Junos OS では、検証プロシージャを使用して検証されている場合にのみ、フロールーティングテーブルにフロールートをインストールします。ルーティングエンジンは、フロールーティングテーブルにルートをインストールする前に検証を実行します。

BGP 使用したフロールート受信したネットワークレイヤー到達可能性情報 (NLRI) メッセージは、フロープライマリインスタンスルーティングテーブルinstance.inetflow.0にインストールされる前に検証されます。この検証手順については、 draft-ietf-idr-flow-spec-09.テキスト「 Dissemination of Flow Specification Rules 」を参照してください。BGP の NLRI メッセージを使用してフロールートの検証プロセスをバイパスし、独自のインポートポリシーを使用することができます。

検証操作を追跡するにはvalidation[edit routing-options flow]階層レベルでステートメントを追加します。

BGP のフロー仕様アルゴリズムバージョン7以降をサポート

デフォルトでは、Junos OS は、BGP フロー仕様ドラフトのバージョン6で定義された条件順序アルゴリズムを使用します。Junos OS リリース 10.0 以降では、BGP フロー仕様のバージョン 7 で最初に定義され、RFC 5575、Flow Specification Routesの発信でサポートされている条件順序アルゴリズムに準拠するようルーターを設定できます。

ベスト プラクティス:

BGP フロー仕様のドラフトのバージョン7で最初に定義された条件順を使用するように Junos OS を設定することをお勧めします。また、ルーター上で構成されたすべてのルーティングインスタンスで同じ条件順序アルゴリズムを使用するように Junos OS を設定することをお勧めします。

インターネットドラフトのバージョン7で最初に定義されたフロー仕様アルゴリズムを使用するように BGP をstandard設定するに[edit routing-options flow term-order]は、階層レベルのステートメントを含めます。

バージョン6で定義されている用語順序のアルゴリズムを使用するにlegacyは、 [edit routing-options flow term-order]階層レベルに明細書を追加します。

注:

コンフィギュレーションされた条件には、ローカルの意味しかありません。つまり、条件は、リモート BGP ピアに送信されたフロールートとは伝達されません。つまり、その注文は、独自の言葉オーダー構成によって完全に決定されます。そのため、リモートピアの注文のコンフィギュレーションについて認識next termしていない場合は、順序に依存するアクションを設定する際に注意が必要です。ローカルnext termは、リモートピアでnext term構成されたものとは異なる場合があります。

注:

Junos OS 進化するとnext term 、そのアクションの最後の条件としては表示できません。フィルター条件がアクションnext termとして指定されていますが、合致する範囲が構成されていない場合、サポートされていません。

Junos OS 16.1から、特定のインターフェイスで受信したトラフィックにフィルタを flowspec 適用しないオプションがあります。フィルタの先頭に、これらの特定のインターフェイスで受信したパケットを受け入れる flowspec 新しい条件が追加されます。新しい用語は、フロー仕様フィルターの一部として、転送テーブルフィルタに関連付けられている用語の除外リストを作成する変数です。

特定のインターフェイスで受信したトラフィックにフィルタを適用から除外するには、まず階層レベルにファミリー フィルタ グループ ステートメントを含めて、そのようなインターフェイス上に設定し、階層レベルで ステートメントを含めてインターフェイス グループにフィルタを追加する必要があります。 flowspecgroup-idinetgroup-id[edit interfaces]flowspecflow interface-group group-id exclude[edit routing-options] ステートメントを使用してgroup-idset routing-options flow interface-group group-idルーティングインスタンスごとに1つだけ設定できます。

例:フロー仕様のルーティングを実行するための BGP の有効化

この例では、BGP でフロー仕様のネットワークレイヤー到達可能性情報 (NLRI) メッセージの送信を許可する方法について説明します。

要件

開始する前に:

  • デバイスインターフェイスを構成します。

  • 内部ゲートウェイプロトコル (IGP) を設定します。

  • BGP を構成します。

  • ルート (ダイレクトルートや IGP ルートなど) をルーティングテーブルから BGP にエクスポートするルーティングポリシーを設定します。

概要

ファイアウォールフィルター情報を BGP の一部として適用すると、自律システム全体で、サービス拒否 (DOS) 攻撃に対してファイアウォールフィルターを動的に伝達できます。フロールートはフロー仕様の NLRI にカプセル化され、ネットワークまたは仮想プライベートネットワーク (Vpn) を通じて、フィルターと同様の情報を共有します。フロールートは、一致条件とパケットの結果アクションを集約したものです。ファイアウォールフィルターと同様に、トラフィックフィルタリングとレート制限機能を提供します。ユニキャストフロールートは、デフォルトインスタンス、VPN ルーティングおよび転送 (VRF) インスタンス、および仮想ルーターインスタンスでサポートされています。

インポートとエクスポートのポリシーをファミリー inet flowまたはファミリー inet-vpn flow nlri に適用して、許可またはアドバタイズされたフロールートに影響を与えることができます。また、インポートとエクスポートのポリシーを他の BGP ファミリーに適用する方法と同様です。唯一の違いは、フローポリシーの設定に from rib inetflow.0ステートメントを含める必要があることです。このステートメントによって、ポリシーがフロールートに適用されます。このルールの例外は、ポリシーにthen reject or then accept文のみが含まれており、 from文がない場合に発生します。その後、ポリシーは IP ユニキャストと IP フローを含むすべてのルートに影響を及ぼします。

フロールートフィルターは、まずルーター上で静的に設定され、その後に実行されるアクションが一連の一致条件とともに使用します。その後、(またfamily inet unicastfamily inet flowfamily inet-vpn flow) の他に、この BGP 対応デバイスとそのピア間に設定されています。

デフォルトでは、静的に構成されたフロールート (ファイアウォールフィルター) は、 family inet flowまたはfamily inet-vpn flow nlri をサポートする他の BGP 対応デバイスにアドバタイズされます。

受信側 BGP 対応デバイスは、ファイアウォールフィルターをフロールーティングテーブルinstance-name.inetflow.0にインストールする前に検証プロセスを実行します。この検証手順については、 RFC 5575, Dissemination of Flow Specification Rules に記載されています

受信側 BGP 対応デバイスは、以下の基準を通過するとフロールートを受け入れます。

  • フロールートの発信者は、ルートに埋め込まれている宛先アドレスの最適な対戦ユニキャストルートの発信者と一致します。

  • フロールートの宛先アドレスと比較した場合、別のネクストホップ自律システムからアクティブなルートを受信している場合、特定のユニキャストルートはありません。

第1の基準は、フロールートに埋め込まれた宛先アドレスのユニキャスト転送によって使用される次ホップによって、フィルターがアドバタイズされていることを保証します。たとえば、フロールートが10.1.1.1、proto = 6、port = 80 に設定されている場合、受信側 BGP 有効なデバイスは、宛先プレフィックス 10.1.1.1/32 と一致する、ユニキャストルーティングテーブルでより具体的なユニキャストルートを選択します。「10.1/16 and 10.1.1/24」というユニキャストルーティングテーブルでは、比較対象として後者がユニキャストルートとして選択されます。アクティブなユニキャストルートエントリのみが考慮されます。これは、最適なユニキャストルートの発信者によって通知された場合に、フロールートが有効であるという概念に従っています。

2つ目の条件は、特定の住所ブロックがさまざまなエンティティに割り当てられている状況に対応します。集約ルートである最高一致のユニキャストルートに解決されるフローは、複数のネクストホップ自律システムにルーティングされる、より特定されたルートをカバーしていない場合にのみ受け入れられます。

BGP の NLRI メッセージを使用してフロールートの検証プロセスをバイパスし、独自のインポートポリシーを使用することができます。BGP がフロー仕様の NLRI メッセージを受信してno-validateいる場合、 [edit protocols bgp group group-name family inet flow]階層レベルのステートメントは、パケットがポリシーによって受け付けられた後のフロールート検証手続きを省略します。インポートポリシーを設定して、宛先アドレスと、コミュニティー、ネクストホップ、パスなどのパス属性に一致させることができます。フロールートで構成した条件にパケットが一致した場合に実行するアクションを指定できます。アクションをコンフィギュレーションするには、 [edit routing-options flow]階層レベルに明細書を含めます。フロー仕様 NLRI タイプには、RFC 5575 で定義されているように、宛先プレフィックス、送信元プレフィックス、プロトコル、ポートなどのコンポーネントが含まれています。インポートポリシーは、フロー仕様 NLRI でパス属性と宛先アドレスを使用して、受信ルートをフィルタリングできます。このインポートポリシーでは、RFC 5575 内の他のコンポーネントをフィルタリングすることはできません。

フロー仕様では、IPv4 ユニキャストおよび VPN ユニキャストフィルタリングの最も一般的なアプリケーションに対処するために必要なプロトコル拡張を定義しています。同じメカニズムを再利用したり、新しい照合基準を追加して、他の BGP アドレスファミリー (IPv6 ユニキャストなど) の同様のフィルタリングに対応することもできます。

フロールートがinetflow.0テーブルにインストールされると、カーネル内のファイアウォールフィルターのリストにも追加されます。

ルーターでのみ、フロー仕様の NLRI メッセージが Vpn でサポートされます。VPN は、NLRI でのルートターゲットの拡張コミュニティーとインポートポリシーを比較します。一致している場合、VPN はフロールートを使用して、パケットトラフィックのフィルタリングとレート制限を実行できます。受信したフロールートはフロールーティングテーブルinstance-name.inetflow.0にインストールされます。フロールートは、VPN ネットワーク全体に伝達し、複数の vpn 間で共有することもできます。アドレスファミリーに対して、マルチプロトコル BGP (MP-BGP) でフロー仕様の NLRI を使用できるinet-vpnようにするflowには、階層レベルで明細書を追加します。 [edit protocols bgp group group-name family inet-vpn] VPN フロールートは、デフォルトインスタンスでのみサポートされています。ファミリinet-vpnを持つ vpn 用に構成されたフロールートは自動的no-validateに検証されないため[edit protocols bgp group group-name family inet-vpn] 、このステートメントは階層レベルではサポートされません。フロールートが単一の AS 内のデバイス間でローカルに構成されている場合、検証は必要ありません。

インポートポリシーとエクスポートポリシーは、 family inet flowまたはfamily inet-vpn flowその他の BGP シリーズに適用されるので、許可またはアドバタイズに影響を与えるフロールートに適用できます。唯一の違いは、フローポリシーの設定にステートメントをfrom rib inetflow.0含める必要があることです。このステートメントによって、ポリシーがフロールートに適用されます。このルールの例外は、ポリシーにthen reject or then accept文のみが含まれており、 from文がない場合に発生します。その後、ポリシーは IP ユニキャストと IP フローを含むすべてのルートに影響を及ぼします。

この例では、以下のエクスポートポリシーを設定する方法を示します。

  • ルートフィルターによって指定されたフロールートの提供を許可するポリシー。10.13/16 ブロックでカバーされているフロールートのみをアドバタイズします。このポリシーがユニキャストルートに影響を与えることはありません。

  • すべてのユニキャストおよびフロールートを近隣ノードにアドバタイズできるポリシー。

  • すべてのルート (ユニキャストまたはフロー) を近傍に提供できないようにするポリシー。

Topology

構成

静的なフロールートの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

BGP ピアセッションを設定するには、次のようにします。

  1. 照合条件を構成します。

  2. アクションを設定します。

  3. 事項フロー仕様アルゴリズムでは、標準ベースの条件を設定します。

    Flowspec RFC のドラフトバージョン6で指定されているデフォルトの条件に従って、特定のマッチング条件を満たす用語が、より具体的なマッチング条件を持つ用語の前に常に評価されます。これにより、より具体的なマッチング条件を持つ用語が評価されることはありません。RFC 5575 のバージョン7は、特定の一致条件よりも前に、より具体的なマッチング条件が評価されるように、アルゴリズムのリビジョンを作成しました。旧バージョンとの互換性を維持するために、新しいアルゴリズムがより有意義であるにもかかわらず、デフォルトの動作が Junos OS で変更されることはありません。新しいアルゴリズムを使用するには、 term-order standardそのステートメントを構成に含めます。この文は Junos OS リリース10.0 以降でサポートされています。

結果

設定モードから、 show routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

ルートフィルターによって指定された広告フロールート

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

BGP ピアセッションを設定するには、次のようにします。

  1. BGP グループを構成します。

  2. フローポリシーを設定します。

  3. ローカル自律システム (AS) 番号を設定します。

結果

設定モードから、、、およびshow protocolsshow policy-optionsshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

すべてのユニキャストおよびフロールートをアドバタイズする

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

BGP ピアセッションを設定するには、次のようにします。

  1. BGP グループを構成します。

  2. フローポリシーを設定します。

  3. ローカル自律システム (AS) 番号を設定します。

結果

設定モードから、、、およびshow protocolsshow policy-optionsshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

ユニキャストまたはフロールートのアドバタイズなし

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

BGP ピアセッションを設定するには、次のようにします。

  1. BGP グループを構成します。

  2. フローポリシーを設定します。

  3. ローカル自律システム (AS) 番号を設定します。

結果

設定モードから、、、およびshow protocolsshow policy-optionsshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

ルーティングテーブルにインストールされるフロールートの数を制限する

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

注:

ルートの制限を適用すると、予測不可能な動的ルートプロトコル動作が発生する可能性があります。たとえば、制限に達し、ルートが拒否された場合、BGP は、ルート数が制限を下回ると、拒否ルートの再インストールを試みるとは限りません。この問題を解決するには、BGP セッションをクリアする必要がある場合があります。

フロールートを制限するには、次のようにします。

  1. Table にinetflow.0インストールするプレフィックス数の上限を設定します。

  2. 500ルートがインストールされている場合、しきい値を 50% に設定すると、警告がシステムログに記録されます。

結果

設定モードから、 show routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

BGP ピアリングセッションで受信したプレフィックス数の制限

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

注:

、 、 、または teardown <percentage>drop-excess <percentage> ステートメントのいずれかの hide-excess<percentage> オプションを一度に 1 つ含めできます。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

特定の近隣ノードにプレフィックス制限を設定すると、そのピアがフロールート数をアドバタイズできるように、より柔軟に制御が可能になります。

プレフィックス数を制限するには、以下のようにします。

  1. 近傍10.12.99.2 からの BGP ルートの制限値を1000に設定します。

  2. セッションまたはプレフィックスが制限に達した場合に、 、 または ステートメント オプションを実行するネイバー セッションまたはプレフィックス teardown <percentage>drop-excess <percentage>hide-excess<percentage> を設定します。

    ステートメントを指定し、割合を指定した場合、プレフィックス数がその割合に達すると teardown <percentage> 、メッセージがログに記録されます。セッションが停止した後、セッションは短時間で、 idle-timeoutステートメントを含めない限り、再び確立されます。

    ステートメントを指定し、割合を指定すると、プレフィックス数がその割合を超えると、過剰なルート drop-excess <percentage> はドロップされます。

    ステートメントを指定し、割合を指定した場合、プレフィックス数がその割合を超えると、過剰なルート hide-excess <percentage> は非表示になります。

結果

設定モードから、 show protocolsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

NLRI の検証

目的

その近傍で有効な NLRI を確認します。

アクション

動作モードから、 show bgp neighbor 10.12.99.5コマンドを実行します。inet-flow出力を確認します。

ルートの確認

目的

フロールートを見てみましょう。サンプル出力には、BGP から学習したフロールートと、静的に構成されたフロールートが示されています。

ローカルに構成されたフロールート ( [edit routing-options flow]階層レベルで構成) の場合、ルートはフロープロトコルによってインストールされます。そのため、またはのようにshow route table inetflow.0 、テーブルを指定することでフロー show route table instance-name.inetflow.0ルートをinstance-name表示できます。また、where はルーティングインスタンス名です。または、 show route protocol flowコマンドを実行することで、ローカルに構成されたすべてのフロールートを複数のルーティングインスタンスに表示することもできます。

フロー ルートがローカルに設定されていないが、ルーターのスイッチから受信した場合BGP ピアは、スイッチによってこのフロー ルートがルーティング テーブルBGP。フロールートを表示するには、テーブルを指定するかshow route protocol bgp、またはを実行します。すべての BGP ルート (フローおよび非フロー) を表示します。

アクション

動作モードから、 show route table inetflow.0コマンドを実行します。

フロールートは、ファイアウォールフィルターの条件を表します。フロールートを設定する場合は、照合条件とアクションを指定します。Match 属性では、送信元アドレス、宛先アドレス、およびポートやプロトコルなどのその他の修飾子と一致させることができます。複数の一致条件を含む単一フロールートの場合、すべての照合条件がルートのプレフィックスフィールドにカプセル化されます。フロールート上でshow routeコマンドを発行すると、ルートのプレフィックスフィールドがすべての照合条件と共に表示されます。10.12.44.1,*とは、マッチング条件がmatch destination 10.12.44.1/32あることを意味します。出力にプレフィックスが含まれ*,10.12.44.1ている場合は、条件がmatch source 10.12.44.1/32一致していることを意味します。一致条件に送信元と宛先の両方が含まれている場合は、アスタリスクがアドレスに置き換えられます。

用語順番号は、ファイアウォールフィルタで評価される用語のシーケンス (フロールート) を示します。このshow route extensiveコマンドは、各用語 (ルート) のアクションを表示します。

フロー検証の検証

目的

フロールート情報を表示します。

アクション

動作モードから、 show route flow validation detailコマンドを実行します。

ファイアウォールフィルターの検証

目的

カーネルにインストールされているファイアウォールフィルタを表示します。

アクション

動作モードから、 show firewallコマンドを実行します。

許可されたフロールート数を超えた場合のシステムロギングの確認

目的

インストールされているフロールート数の制限を構成する場合は、 ルーティングテーブルにインストールされるフロールートの数を制限する「」で説明されているように、しきい値に達したときにシステムログメッセージを表示します。

アクション

動作モードから、 show log <message>コマンドを実行します。

BGP ピアリングセッションで受信したプレフィックス数を超えた場合のシステムログの確認

目的

インストールされているフロールート数の制限を構成する場合は、 BGP ピアリングセッションで受信したプレフィックス数の制限「」で説明されているように、しきい値に達したときにシステムログメッセージを表示します。

アクション

動作モードから、 show log messageコマンドを実行します。

ステートメント オプションを teradown <percentage> 指定した場合:

ステートメント オプションを drop-excess <percentage> 指定した場合:

ステートメント オプションを hide-excess <percentage> 指定した場合:

例:IPv6 フロー仕様ルーティングを実行するための BGP の構成

この例は、トラフィックフィルタリング用に IPv6 フロー仕様を構成する方法を示しています。BGP フロー仕様を使用して、サービス拒否攻撃を緩和するために、ドメイン間およびドメイン間のトラフィックフィルタリングルールの調整を自動化することができます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 2個の MX シリーズルーター

  • Junos OS リリース16.1 以降

IPv6 フロー仕様ルートを配信するために BGP を有効にする前に、以下を実行します。

  1. デバイスインターフェイスで IP アドレスを構成します。

  2. BGP を構成します。

  3. ルート (静的ルート、ダイレクトルート、IGP ルートなど) をルーティングテーブルから BGP にエクスポートするルーティングポリシーを設定します。

概要

フローの仕様は、サービス拒否攻撃に対する防御を提供し、帯域幅を消費する異常なトラフィックを制限して、ソースの近くで停止を阻止します。以前の Junos OS リリースでは、フロー仕様ルールが、ネットワークレイヤーの到達可能性情報として BGP 上で IPv4 に伝達されました。Junos OS リリース16.1 から始まるフロー仕様機能は、IPv6 シリーズでサポートされており、IPv6 および IPv6 VPN のトラフィックフロー仕様ルールの伝播を可能にします。

Topology

図 7に、トポロジーの例を示します。ルーター R1 とルーター R2 は異なる自律システムに属しています。IPv6 フロー仕様はルーター R2 上で構成されています。すべての着信トラフィックはフロー仕様の条件に基づいてフィルタリングされ、指定されたアクションに応じてトラフィックの処理方法が異なります。この例では、フロー仕様の条件に一致する、abcd::11:11:11:10/128 のすべてのトラフィック見出しが破棄されます。一方、abcd::11:11:11:30/128 と、フロー仕様の条件を満たすトラフィックが受け入れられます。

図 7: IPv6 フロールートを伝送するための BGP の構成IPv6 フロールートを伝送するための BGP の構成

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ルーター R1

ルーター R2

ルーター R2 の構成

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。Cli のナビゲートの詳細については、『 Cli ユーザーガイド』の「 Cli エディターを設定モードで使用する」を参照してください。

ルーター R2 を構成するには、次のようになります。

注:

適切なインターフェイス名、アドレス、その他のパラメーターを変更した後、ルーター R1 に対してこの手順を繰り返します。

  1. IPv6 アドレスを使用してインターフェイスを構成します。

  2. IPv6 ループバックアドレスを設定します。

  3. ルーター ID と自律システム (AS) 番号を設定します。

  4. ルーター R1 とルーター R2 の間に EBGP ピアリングセッションを構成します。

  5. 静的ルートと次ホップを構成します。したがって、この例では、ルーティングテーブルにルートを追加して機能を検証しています。

  6. フロー仕様の条件を指定します。

  7. 指定された一 discard 致条件と一致するパケットを破棄するアクションを設定します。

  8. フロー仕様の条件を指定します。

  9. 指定された一 accept 致条件に一致するパケットを受け入れるアクションを設定します。

  10. 静的なルートを受け入れる BGP を可能にするポリシーを定義します。

結果

構成モードからshow interfaces、、、 show protocolsshow routing-options、およびshow policy-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

構成が正常に機能していることを確認します。

Inet6flow テーブルに IPv6 フロー仕様ルートが存在することを確認します。

目的

ルーター R1 および R2 のinet6flow表にルートを表示し、BGP がフロールートを学習していることを確認します。

アクション

動作モードから、ルーター show route table inet6flow.0 extensive R1 で コマンドを実行します。

動作モードから、ルーター show route table inet6flow.0 extensive R2 で コマンドを実行します。

ルートの存在 abcd::11:11:11:10/128、abcd::11:11:11:30/128 inet6flow (BGP がフロールートを学習したことを確認しました。

BGP 概要情報を確認します。

目的

BGP 構成が正しいことを確認します。

アクション

動作モードから、ルーター show bgp summary R1 および R2 で コマンドを実行します。

テーブルにinet6.0 BGP の近隣アドレスが含まれていて、その BGP の近隣ノードとのピアリングセッションが確立されていることを確認します。

フロー検証の検証

目的

フロールート情報を表示します。

アクション

動作モードから、ルーター show route flow validation R1 で コマンドを実行します。

この出力には、 inet6.0テーブル内のフロールートが表示されます。

IPv6 ルートのフロー仕様の確認

目的

指定されたフロー仕様ルートに基づいて破棄され、受け入れられるパケット数を表示します。

アクション

動作モードから、ルーター show firewall filter_flowspec_default_inet6_ R2 で コマンドを実行します。

この出力は、abcd::11:11:11:10/128 に送信されたパケットが捨てられ、88826パケットがルート abcd::11:11:11:11:30/128 として受け入れられることを示しています。

BGP フロー仕様の設定 IP へのリダイレクトによる DDoS トラフィックのフィルタリング

Junos OSリリース18.4R1から、BGP Flow-Specインターネットドラフト draft-ietf-idr-flow-redirect-ip-02.18.4R1で説明されているBGPフローの仕様がサポートされています。 IP アクションへのリダイレクト拡張 BGP コミュニティを使用して、サービスプロバイダネットワークにおける DDoS の軽減のためのトラフィックフィルタリングオプションを提供します。レガシーフロー仕様「IP」にリダイレクトするには、BGP nexthop 属性が使用されます。Junos OS は、デフォルトで拡張コミュニティーを使用して IP フロー仕様アクションにリダイレクトします。この機能は、仮想サービス制御ゲートウェイ (vSCG) でのサービス連鎖をサポートするために必要です。IP アクションにリダイレクトします。グローバルに到達可能なアドレスに divert マッチングフロー仕様トラフィックを送信して、トラフィックをフィルタリングして、出力デバイスにトラフィックを DDoS フィルターすることが可能なフィルタデバイスに接続することができます。

BGP フロー仕様ルートのためにトラフィックを IP にリダイレクトする前に、以下を実行します。

  1. デバイスインターフェイスを構成します。

  2. OSPF またはその他の IGP プロトコルを構成します。

  3. MPLS と LDP を構成します。

  4. BGP を構成します。

BGP の拡張コミュニティーを使用して IP へのリダイレクト機能を設定します。

  1. BGP Flow-Spec インターネット ドラフト draft-ietf-idr-flowspec-redirect-ip-02.テキスト 、IP アクションへのリダイレクトで、静的 IPv4 フロー仕様ルートに対して IP アクションへのリダイレクトを設定します。

    Junos OS は、拡張コミュニティーを使用して IP フロー仕様アクションにリダイレクトします。デフォルトで IP にリダイレクトします。受信デバイスは、DDoS トラフィックを検知して、指定された IP アドレスに送信します。

    たとえば、DDoS トラフィックを IPv4 アドレス10.1.1.1 にリダイレクトします。

  2. 静的な IPv6 フロー仕様のルートの IP アクションへのリダイレクトを構成します。

    たとえば、DDoS のトラフィックを IPv6 アドレス1002にリダイレクトします。 db8::

  3. 特定の BGP コミュニティからトラフィックをフィルタリングするポリシーを定義します。

    たとえば、ポリシー p1 を定義して BGP コミュニティー redirip からトラフィックをフィルタリングします。

  4. BGP コミュニティーを設定、追加、削除するポリシーを定義して、拡張コミュニティーを指定します。

    たとえば、ポリシー p1 を定義して、コミュニティーの reidirip と拡張コミュニティーを設定、追加、削除して、トラフィックを IP アドレス10.1.1.1 にリダイレクトします。

  5. VRF テーブルを使用して VRF フロー仕様のルートを解決するように BGP を構成します。階層レベルのステートメントが含まれています。

Nexthop 属性を使用して、従来のフロー仕様を IP 機能にリダイレクトするように設定します。

注:

BGP の拡張コミュニティーを使用してトラフィックを IP アドレスにリダイレクトするポリシーを設定したり、従来のホップツーネクスト IP アドレスへと転送したりすることはできません。

  1. インターネット ドラフトで指定された IP にリダイレクトするレガシー フロー仕様を設定します。 draft-ietf-idr-flow-redirect-ip-00.テキスト 、 BGP Flow-Spec Extended Community for Traffic Redirect to IP Next Hop に含める階層レベルで指定します。

  2. 次ホップ属性に一致するポリシーを定義します。

    たとえば、ポリシー p1 を定義して、トラフィックを次ホップ IP アドレス10.1.1.1 にリダイレクトします。

  3. レガシーフロー仕様の「ネクストホップ」属性を使用して、BGP コミュニティーを設定、追加、削除するポリシーを定義します。 IP アクションにリダイレクトします。

    たとえば、ポリシー p1 を定義し、BGP コミュニティーの redirnh を設定、追加、削除して、DDoS トラフィックを next-hop IP アドレス10.1.1.1 にリダイレクトします。

リリース履歴テーブル
リリース
説明
20.3R1
cRPDリリース20.3R1から、BGPフロー仕様NLRIを介して伝達されたフロールートとポリシングルールが、仮想環境のLinux Net cRPD filterフレームワークを介してLinuxカーネルにダウンロードされます。
16.1R4
Junos OS リリース 16.1 R4 以降では、レート制限範囲は [0 ~ 1兆] になっています。
16.1
Junos OS リリース16.1 から始まる IPv6 サポートは BGP フロー仕様に拡張されており、IPv6 および VPN パケットのトラフィックフロー仕様ルールの伝播を許可することができます。
16.1
BGP フロー仕様は、Junos OS リリース 16.1 R1 から開始して、 extended-communityトラフィックマーキングフィルタリングアクションをサポートしています。
16.1
Junos OS 16.1から、特定のインターフェイスで受信したトラフィックにフィルタを flowspec 適用しないオプションがあります。
15.1
Junos OS リリース15.1 から開始して、既存の inet フローと inetvpn フローファミリーに対応する、idr のアクティブルーティング (NSR) サポートを拡張し、draft--flowspec-flowspec ごとに、ルート検証を拡張するため BGP の変更が実装されています。