仮想ルーターを使用したリバースルートパケットモード
フロー処理中にサーバーとクライアント間のトラフィック ルートが変更された場合、トラフィックは仮想ルーター(VR)を使用して再ルーティングされます。再ルーティングで使用されるVRは、インターフェイスまたはフィルターベースフォワーディング(FBF)で使用できます。リルートの動作は、 set security flow advanced-options reverse-route-packet-mode-vr コマンドを使用して監視されます。
reverse-route-packet-mode-vr コマンドはルート論理システムで動作し、グローバルに有効になります。
リバースルートオプションが有効になっている場合、パケットフローに変更はありません。リバース ルート オプションが無効になっている場合、ルート ルックアップはパケット受信インターフェイスからの VR を使用します。ルートの VR が正しく設定されていない場合、サーバーとクライアント間のトラフィックはドロップされます。
クライアントからサーバーパケットへの VR 情報が利用できないため、フローファーストパスの解決予約ルートは設定されていません。
例えば、 図 1 は、 reverse-route-packet-mode-vr コマンドが設定されていない場合の パケットフロー の動作を示しています。クライアントからサーバーへのトラフィックは、受信インターフェイスge-0/0/0.0のルーティング インスタンスVR2を使用してトラフィックをルーティングします。また、サーバーからクライアントへのトラフィックは、受信インターフェイスge-0/0/0.0のルーティング インスタンスVR2を使用してトラフィックをルーティングします。
図 2 は、reverse-route-packet-mode-vr コマンドが interface を使用して設定されている場合の パケットフロー の動作を示しています。クライアントからサーバーへのトラフィックは、受信インターフェイスge-0/0/0.0のルーティング インスタンスVR2を使用してトラフィックをルーティングします。サーバーからクライアントへのトラフィックは、インターフェイス ge-0/0/1.0 のルーティング インスタンス VR3 を使用してトラフィックをルーティングします。
で有効になるリバース ルート
図3は、reverse-route-packet-mode-vrコマンドがFBFを使用して設定されている場合のパケットフローの動作を示しています。クライアントからサーバーへのトラフィックは、VR2のパケット受信インターフェイスge-0/0/0.0を使用してトラフィックをルーティングします。インターフェイスge-0/0/1.0でFBFを設定すると、VR3がVR4に変更されます。サーバーからクライアントへのトラフィックは、VR4 を使用してトラフィックをルーティングします。
で有効になるリバースルート
仮想ルーター上のホスト間トラフィックの理解
SRXシリーズファイアウォールでは、ファイアウォールフィルターを通過するすべてのトラフィックは、ホスト間トラフィックと呼ばれます。ファイアウォールからデバイスへのトラフィックは、ホストからのトラフィックと呼ばれます。ホスト間トラフィックはエグレスインターフェイスを使用し、送信元ホストトラフィックはイングレスインターフェイスを使用します。両方のインターフェイスが同じルーティング インスタンスにない場合は、セッションミスマッチが発生します。この問題を解決するために、ホスト間トラフィックとホスト送信元トラフィックは、同じルーティング インスタンスで利用可能なインターフェイスを選択します。
図 4 は、インターフェイス ge-0/0/0.0 のルーティング インスタンス VR5 と宛先インターフェイス lo0.1 のルーティング インスタンス VR6 を使用するホスト間トラフィックを示しています。
上のホスト間トラフィック
たとえば、ホスト間トラフィックがローカルインターフェイス(ローカルなど)を使用する場合です。X)つまり、ルーティング インスタンス 5(VR5)にあり、ホストからのトラフィックは、ルーティング インスタンス 6(VR6)のインターフェイスを使用します。ホスト間トラフィックのインターフェイス情報を表示するセッション出力は次のとおりです。
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..5, Pkts: 1, Bytes: 84, CP Session ID: 10000178
セッション出力には、ホスト間トラフィックのローカルインターフェイスがローカルと表示されます。5.
ホスト間トラフィックと送信元トラフィックを同期するために、ホスト間トラフィックは VR6 で使用可能なトラフィック宛先 IP インターフェイス(lo0.1)を使用します。送信元トラフィックはVR6で使用可能なインターフェイスを使用しているため、セッションが一致します。ホスト間トラフィックのインターフェイス情報を表示するセッション出力は次のとおりです。
Session ID: 10000179, Policy name: pol1/4, Timeout: 2, Valid In: 192.168.90.1/4 --> 192.168.91.1/19050;icmp, Conn Tag: 0x0, If: xe-9/0/3.0, Pkts: 1, Bytes: 84, CP Session ID: 10000178 Out: 192.168.91.1/19050 --> 192.168.90.1/4;icmp, Conn Tag: 0x0, If: .local..6, Pkts: 1, Bytes: 84, CP Session ID: 10000178
セッション出力には、ホスト間トラフィックのローカルインターフェイスがローカルと表示されます。6.