Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

パケットベースの転送

SRXデバイスは、パケットモードとフローモードの2つの異なるモードで動作します。フロー モードでは、SRX はトラフィックの状態またはセッションを分析することにより、すべてのトラフィックを処理します。これは、トラフィックのステートフル処理とも呼ばれます。パケット モードでは、SRX はパケット単位でトラフィックを処理します。これは、トラフィックのステートレス処理とも呼ばれます。

パケットベースの処理について

Junos OS を実行しているジュニパーネットワークスデバイスを出入りするパケットは、パケットベースの処理を受ける可能性があります。パケットベースまたはステートレスのパケット処理は、パケットを個別に処理します。各パケットは、治療のために個別に評価されます。ステートレス パケットベースの転送は、フロー情報や状態情報に関係なく、パケット単位で実行されます。各パケットは、治療のために個別に評価されます。

図 1 は、パケットベース転送のトラフィック フローを示しています。

図 1:パケットベース転送 Traffic Flow for Packet-Based Forwardingのトラフィック フロー

パケットがデバイスに入ると、分類子、フィルター、ポリサーが適用されます。次に、パケットのエグレス インターフェイスがルート ルックアップによって決定されます。パケットのエグレスインターフェイスが見つかったら、フィルターが適用され、パケットはキューに入られ、送信のためにスケジュールされたエグレスインターフェイスに送信されます。

パケットベースの転送では、特定の接続に属する以前のパケットまたは後続のパケットに関する情報は必要なく、トラフィックを許可または拒否する決定はパケット固有です。このアーキテクチャは、個々のフローや状態を追跡せずにパケットを転送するため、大規模なスケーリングのメリットがあります。

Junos OSリリース15.1X49-D100以降、SRX100では、 SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX650 の各キャプチャ サイズは、パケット キャプチャの最大キャプチャ サイズを 1520 バイトに拡張して、1500 バイトのデータと 12 バイトのジュニパー イーサネット ヘッダーをキャプチャできます」

選択的なステートレス パケットベース サービスの理解

選択的なステートレス パケットベース サービスにより、フローベース転送とパケットベース転送の両方をシステムで同時に使用できます。ACL(アクセスコントロールリスト)とも呼ばれるステートレスファイアウォールフィルターを使用して、ステートフルフローベースの転送を回避するために、パケットベースのステートレス転送を必要とするトラフィックを選択的に誘導できます。それほど向かっていないトラフィックは、デフォルトのフローベース転送パスに従います。フローベース転送のバイパスは、フロー セッションスケーリング制約を明示的に回避したいトラフィックに便利です。

デフォルトでは、Junos OSを実行するジュニパーネットワークスのセキュリティデバイスは、フローベースの転送を使用します。選択的なステートレスパケットベースのサービスでは、入力フィルター条件に基づいて、選択されたトラフィックに対してのみパケットベースの処理を提供するようにデバイスを設定できます。その他のトラフィックは、フローベースの転送のために処理されます。フローベース転送のバイパスは、セッションスケーリングの制約やセッション作成や保守のコストを回避したい導入に便利です。

デバイスを選択的なステートレス パケットベース処理に設定すると、システムに入るパケットは特定の条件に応じて異なる方法で処理されます。

  • 入力フィルター条件で指定された一致条件を満たすパケットは、パケット モードとしてマークされ、設定されたすべてのパケット モード機能が適用されます。フローベースのセキュリティ機能は適用されない。回避します。

  • パケットモードにフラグが立てられない場合、通常の処理を受けます。MPLS を除くすべてのサービスは、このトラフィックに適用できます。

図 2 は、フローベースの処理をバイパスする、選択的なステートレス パケットベース サービスを持つトラフィック フローを示しています。

図 2:選択的なステートレス パケットベース サービス Traffic Flow with Selective Stateless Packet-Based Servicesを使用したトラフィック フロー

パケットがインターフェイス上に入ってくると、インターフェイスに設定された入力パケットフィルターが適用されます。

  • パケットが ファイアウォールフィルターで指定された条件に一致する場合、 packet-mode アクション修飾子がパケットに設定されます。パケットモードアクション修飾子は、パケットキーバッファのビットフィールドを更新します。このビットフィールドを使用して、フローベースの転送をバイパスする必要があるかどうかを判断します。その結果、パケットモードアクション修飾子を持つパケットは、フローベースの転送を完全にバイパスします。パケットのエグレス インターフェイスは、ルート ルックアップによって決定されます。パケットのエグレスインターフェイスが見つかったら、フィルターが適用され、パケットはキューに入られ、送信のためにスケジュールされたエグレスインターフェイスに送信されます。

  • パケットがこのフィルター条件で指定された条件に一致しない場合、そのパケットはフィルターで設定された他の条件に対して評価されます。すべての用語が評価された後、パケットがフィルター内の条件に一致しない場合、パケットは通知なく破棄されます。パケットが廃棄されるのを防ぐために、フィルターで、すべてのパケットを受け入れるアクションを指定する条件を設定します。

ステートレス サービスの定義されたセットは、選択的なステートレス パケットベース サービスで利用できます。

  • IPv4 ルーティング(ユニキャストおよびマルチキャスト プロトコル)

  • サービス クラス (CoS)

  • リンク フラグメント化とインターリービング(LFI)

  • GRE(一般ルーティングのカプセル化)

  • レイヤー 2 スイッチング

  • MPLS(Multiprotocol Label Switching)

  • ステートレス ファイアウォール フィルター

  • CRTP(Compressed Real-Time Transport Protocol)

MPLS サービスを必要とするトラフィックはパケット モードで処理する必要がありますが、状況によっては、ステートフル インスペクション、NAT、IPsec などのフロー モードでのみ提供できる特定のサービスをこのトラフィックに同時に適用する必要がある場合があります。フロー モードとパケット モードの両方でトラフィックを処理するようシステムに指示するには、トンネル インターフェイスを介して接続された複数のルーティング インスタンスを設定する必要があります。1 つのルーティング インスタンスはフロー モードでパケットを処理するように設定し、もう一方のルーティング インスタンスはパケット モードでパケットを処理するように設定する必要があります。トンネル インターフェイスを使用してルーティング インスタンスを接続する場合、これらのルーティング インスタンス間のトラフィックは再び転送パスにインジェクトされ、別の転送方法を使用して再処理できます。

選択的ステートレス パケットベース サービス構成の概要

この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。選択的なステートレス パケット ベースのサービスは、ACL(アクセス コントロール リスト)とも呼ばれるステートレス ファイアウォール フィルターを使用して設定します。ファイアウォールフィルターで一致条件を指定することで、トラフィックをパケットベースの転送に分類し、アクション修飾子を packet-mode 設定してアクションを指定します。一致条件とアクションが定義されると、ファイアウォールフィルターが関連するインターフェイスに適用されます。

ファイアウォールフィルターを設定するには:

  1. アドレスファミリーを定義する — まず、ファイアウォールフィルターが一致するパケットのアドレスファミリーを定義します。ファミリー名を定義するには、 を指定 inet してIPv4パケットをフィルタリングします。MPLS パケットをフィルタリングするには、 を指定 mpls します。を指定 ccc して、レイヤー 2 スイッチングクロスコネクトをフィルタリングします。
  2. 用語の定義 — フィルタ条件を指定する 1 つ以上の条件と、一致した場合に実行するアクションを定義します。各項は、一致条件とアクションという 2 つのコンポーネントで構成されています。

    • 一致条件 — アクションを実行するためにパケットが一致する必要がある特定の特性を指定します。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、IP プロトコル フィールドなど、さまざまな一致条件を定義できます。

    • アクション — パケットが一致条件に一致した場合に実行する内容を指定します。可能なアクションは、パケットの受け入れ、破棄、または拒否です。次の期間に移動します。何もアクションを起こさないで下さるのです

      1 つの action 条件で指定できる(または省略する)ことができますが、アクション修飾子とアクション修飾子の任意の組み合わせを指定できます。アクション修飾子には、デフォルト accept のアクションが含まれます。例えば、アクション修飾子を指定し、アクションを指定しない場合、指定されたアクション修飾子が実装され、パケットが受け入れられます。

      アクション修飾子はpacket-mode、フローベースの転送をバイパスするトラフィックを指定します。他のアクション修飾子と同様に、または countなどのaccept他のpacket-modeアクションと共にアクション修飾子を設定できます。

  3. インターフェイスにファイアウォールフィルターを適用 — ファイアウォールフィルターをインターフェイスに適用して、ファイアウォールフィルターを有効にします。

パケットがインターフェイス上に入ってくると、インターフェイスに設定された入力パケットフィルターが適用されます。パケットが指定された条件に一致し packet-mode 、アクションが設定されている場合、パケットはフローベースの転送を完全にバイパスします。

フィルターを設定する場合は、ファイアウォール フィルター内の条件の順序に注意してください。パケットは、設定に記載されている順序で各条件に対してテストされます。最初の一致条件が見つかった場合、その条件に関連付けられたアクションがパケットに適用され、アクション修飾子が含まれていない限り next term 、ファイアウォールフィルターの評価は終了します。アクションが next term 含まれている場合、一致するパケットはファイアウォールフィルターの次の条件に対して評価されます。そうでない場合、一致するパケットはファイアウォールフィルター内の後続の条件に対して評価されません。

選択的なステートレスパケットベースサービスにファイアウォールフィルターを設定する場合:

  • 不要なパケットドロップを回避するために、フローをバイパスする必要があるトラフィックを正確に特定します。

  • 必ず、パケットベースフローパスに関係するすべてのインターフェイスに、パケットモードアクションを使用してファイアウォールフィルターを適用してください。

  • フローベースの転送を使用するように、ホストバウンド TCP トラフィックを必ず設定してください。アクション修飾子を含むファイアウォール フィルター条件に一致条件を指定する場合は、このトラフィックを packet-mode 除外します。フローをバイパスするように設定されたホストバウンド TCP トラフィックは破棄されます。選択的なステートレス パケットベース サービスでは、非同期フローモード処理はサポートされていません。

  • アクション修飾子で入力パケットフィルター(出力ではありません)を設定します packet-mode

メモ:

ネストファイアウォールフィルター(別のフィルターの条件内にフィルターを設定)は、選択的なステートレスパケットベースサービスではサポートされていません。

選択的なステートレス パケットベースサービスを設定できる典型的な導入シナリオは次のとおりです。

  • エンドツーエンドの転送がパケットベースであるイントラネットトラフィックなど、プライベートLANとWANインターフェイス間のトラフィックフロー

  • プライベートLANと安全性の高くないWANインターフェイス間のトラフィックフローでは、トラフィックがパケットベースの転送とフローベースの転送を使用して、安全性が高く、安全性が高くないトラフィックをそれぞれ使用します。

  • プライベートWANリンクがダウンした場合のフローベースIPsec WANへのフェイルオーバーによるプライベートLANとWANインターフェイス間のトラフィックフロー

  • フローベース LAN からパケットベース MPLS WAN へのトラフィック フロー

例:エンドツーエンドのパケットベース転送向けの選択的なステートレスパケットベースサービスの設定

この例では、エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定する方法を示しています。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。

要件

開始する前に、以下を行います。

  • ステートレス ファイアウォール フィルターを構成する方法を理解する。

  • 基本的な接続性を確立します。.

概要

この例では、各デバイスのインターフェイスのIPアドレスを設定します。R0の場合は10.1.1.2/24です。R1 の場合、10.1.1.1/24、10.2.1.1/24、および 203.0.113.1/30 です。R2の場合は203.0.113.2/30です。R3の場合は10.2.1.2/24です次のようにデバイスに静的ルートを作成し、ネクストホップ アドレスを関連付けます。R0 は 10.1.1.2、R1 は 198.51.100.2、R2 は 203.0.113.1、R3 は 10.2.1.1 です。

デバイスR1では、untrustと呼ばれるゾーンを設定し、インターフェイスge-0/0/3に割り当てます。また、 trustと呼ばれるゾーンを作成し、インターフェイスge-0/0/1とge-0/0/2を割り当てます。trust ゾーンと untrust ゾーンを設定して、サポート対象のすべてのアプリケーション サービスをインバウンド サービスとして許可します。ゾーン間を通過する送信元アドレス、宛先アドレス、アプリケーションからのトラフィックを許可します。

次に、ファイアウォールフィルターのバイパスフローフィルターを作成し、内部インターフェイスge-0/0/1とge-0/0/2の間のトラフィックに一致し、パケットモードアクション修飾子を含むバイパスフロー条件-1とバイパスフロー条件-2という用語を定義します。条件 accept-rest を定義して、残りのトラフィックをすべて受け入れます。最後に、内部インターフェイスge-0/0/1およびge-0/0/2にファイアウォールフィルターバイパスフローフィルターを適用します(外部インターフェイスには適用されません)。その結果、すべての内部トラフィックはフローベースの転送をバイパスし、インターネットとの間のトラフィックはフローベースの転送をバイパスしません。

図 3 は、この例で使用するネットワーク トポロジーを示しています。

図 3:エンドツーエンドのパケットベース サービス Intranet Traffic Using End-to-End Packet-Based Servicesを使用したイントラネット トラフィック

企業の支社は、プライベート WAN を介して相互に接続されています。この内部トラフィックでは、セキュリティが問題ではないため、パケット転送が必要です。したがって、このトラフィックでは、フローベースの転送をバイパスするように、選択的なステートレスパケットベースサービスを設定することにします。インターネットとの間の残りのトラフィックは、フローベースの転送を使用します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定するには:

  1. デバイスR0、R1、R2、およびR3上のインターフェイスのIPアドレスを設定します。

  2. 静的ルートを作成し、デバイスR0、R1、R2、およびR3に適切なネクストホップアドレスを関連付けます。

  3. セキュリティ ゾーンを設定し、インターフェイスを割り当てます。

  4. ゾーンのアプリケーション サービスを設定します。

  5. セキュリティ ポリシーの設定

  6. ファイアウォールフィルターを作成し、すべてのパケットベースの転送トラフィックの条件を定義します。

  7. 残りのトラフィックの別の条件を指定します。

  8. 関連するインターフェイスにファイアウォールフィルターを適用します。

結果

設定モードから、 、 、 show routing-optionsコマンドを入力して設定をshow interfacesshow firewall確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

エンドツーエンドのパケットベース設定の検証

目的

選択的なステートレス パケットベース サービスが設定されていることを確認します。

アクション

設定モードから、 、show security policiesshow routing-optionsshow security zonesおよび コマンドをshow firewall入力show interfacesします。

ファイアウォールフィルター、インターフェイス、ポリシーの意図した設定が出力に表示されていることを確認します。

条件が、パケットをテストする順序で示されていることを確認します。コマンドを使用して、ファイアウォールフィルター内で条件を insert 移動できます。

イントラネット・トラフィックでのセッション確立の検証

目的

イントラネット内のインターフェイスにトラフィックを送信する際に、セッションが確立されていることを確認します。

アクション

セッションが確立されていることを確認するには、以下のタスクを実行します。

  1. デバイス R1で、 運用モード clear security flow session all コマンドを入力して、既存のすべてのセキュリティフローセッションをクリアします。

  2. デバイス R0で、 運用モード ping コマンドを入力して、トラフィックをデバイスに送信します R3

  3. デバイスR1で、 から を通じてR3R1送信されるトラフィックがある場合R0は、 運用モードshow security flow sessionコマンドを入力します。

メモ:

確立されたセッションを確認するには、コマンドがパケットの show security flow session 送受信中に ping コマンドを入力してください。

Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、セッション フローの概要には、CP セッション ID が含まれています。

出力は、 から R0 R3 に送信されるトラフィックとセッションが確立されていないことを示しています。この例では、インターフェイスInternal 1packet-modeInternal 2会社のイントラネットトラフィックに 対して、 と アクション修飾子を適用bypass-flow-filterしています。この出力では、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスしているため、セッションが確立されていないことを確認します。

インターネットトラフィックでのセッション確立の検証

目的

トラフィックがインターネットに送信されるときにセッションが確立されていることを確認します。

アクション

インターネットへのトラフィックがフローベースの転送を使用し、セッションが確立されていることを確認するには、以下のタスクを実行します。

  1. デバイス R1で、 運用モード clear security flow session all コマンドを入力して、既存のすべてのセキュリティフローセッションをクリアします。

  2. デバイス R0で、 運用モード ping コマンドを入力して、トラフィックをデバイスに送信します R2

  3. デバイスR1で、 から から R1R2送信されるR0トラフィックがある場合、 運用モードshow security flow sessionコマンドを入力します。

メモ:

確立されたセッションを確認するには、コマンドがパケットの show security flow session 送受信中に ping コマンドを入力してください。

出力には、デバイスR0から確立されたセッションにR1送信されるトラフィックが表示されます。この例では、会社のインターネットトラフィックのpacket-modeインターフェイスInternetで アクション修飾子と を適用bypass-flow-filterしていません。この出力では、インターネットへのトラフィックがフローベースの転送を正しく使用していることを確認し、そのためセッションが確立されます。

デバイスR3R2間のトラフィックを送信し、このセクションのコマンドを使用して確立されたセッションを確認します。

例:パケットベースからフローベースの転送に対する選択的ステートレスパケットベースサービスの設定

この例では、パケットベースからフローベースの転送に対して、選択的なステートレス パケットベース サービスを設定する方法を示します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550M、SRX1500、およびvSRXデバイスでサポートされています。

要件

開始する前に、以下を行います。

  • ステートレス ファイアウォール フィルターを構成する方法を理解する。

  • 基本的な接続性を確立します。.

概要

この例では、各デバイスのインターフェイスのIPアドレスを設定します。デバイスR0を198.51.100.9/24として使用する場合。R1の場合は、 は198.51.100.10/24および203.0.113.5/24です。R2の場合は203.0.113.9/24ですデバイスR1では、ルーティングインスタンス間に内部サービスインターフェイスlt-0/0/0を設定し、2つの仮想デバイス間のピア関係を設定します。次に、プライマリ-VR ゾーンと Internet-VR-ゾーンという 2 つのセキュリティ ゾーンを作成し、関連するインターフェイスを割り当て、サポートされるすべてのアプリケーションとプロトコルを許可するように構成します。

次に、ポリシーを設定し、すべてのパケットが許可されるように指定します。仮想デバイス ルーティング インスタンス Internet-VR を設定し、フローベースの転送用にインターフェイスを割り当てます。デバイス R0、R1、および R2 で OSPF を有効にします。デバイスR2では、パケットモードアクション修飾子を含むバイパスフロー条件でフィルターバイパスフローフィルターを設定します。一致条件を指定していないため、このフィルターは適用されるインターフェイスを通過するすべてのトラフィックに適用されます。

最後に、デバイスR1では、内部インターフェイスge-0/0/2.0およびlt-0/0/0.0にファイアウォールフィルターバイパスフローフィルターを適用します。Internet-VR ルーティング インスタンスに関連付けられたインターフェイスにはフィルターを適用しません。その結果、プライマリ ルーティング インスタンスに関連付けられた LAN インターフェイスを通過するすべてのトラフィックはパケットベースの転送を使用し、Internet-VR ルーティング インスタンスを通過するすべてのトラフィックはフローベースの転送を使用します。

図 4 は、この例で使用するネットワーク トポロジーを示しています。

図 4:パケットベース転送向けの選択的ステートレス パケットベース サービス Selective Stateless Packet-Based Services for Packet-Based Forwarding

プライベートLANに面したインターフェイスにはセキュリティサービスは必要ありませんが、WANに面したインターフェイスにはセキュリティが必要です。この例では、パケットベースの転送とフローベースの転送の両方を、2 つのルーティング インスタンス(パケットベースの転送を処理するインスタンスとフローベースの転送を処理する)を設定することで、安全性が高く、安全性が高くないトラフィックを設定します。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

エンドツーエンドのパケットベース転送に選択的なステートレスパケットベースサービスを設定するには:

  1. インターフェイスのIPアドレスを設定します。

  2. ルーティング インスタンス間の内部サービス インターフェイスを設定します。

  3. セキュリティ ゾーンを設定します。

  4. ポリシーを設定します。

  5. 仮想デバイスルーティングインスタンスを設定します。

  6. ネットワーク内のすべてのインターフェイスで OSPF を有効にします。

  7. ファイアウォールフィルターを作成し、パケットベースの転送トラフィックの条件を定義します。

  8. 関連するインターフェイスにファイアウォールフィルターを適用します。

結果

設定モードから、 、show routing-instancesshow protocolsshow securityおよび のコマンドをshow interfaces入力して、設定をshow firewall確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認します。

パケットベースからフローベースの設定への検証

目的

選択的ステートレスパケットベースサービスが、パケットベースからフローベースの転送に対して設定されていることを確認します。

アクション

設定モードから、 、show routing-instancesshow protocolsshow securityおよび コマンドをshow firewall入力show interfacesします。

ファイアウォール フィルター、ルーティング インスタンス、インターフェイス、ポリシーの意図した設定が出力に示されていることを確認します。

条件が、パケットをテストする順序で示されていることを確認します。コマンドを使用して、ファイアウォールフィルター内で条件を insert 移動できます。

LANトラフィックのセッション確立の検証

目的

LAN 内のインターフェイスでトラフィックが送信された場合、セッションが確立されていることを確認します。

アクション

セッションが確立されていることを確認するには、以下のタスクを実行します。

  1. デバイス R1では、運用モードから コマンドを入力して、 clear security flow session all 既存のすべてのセキュリティフローセッションをクリアします。

  2. デバイス R0では、運用モードから コマンドを ping 入力して、トラフィックをデバイスに送信します Primary-VR

  3. デバイス R1で、 を介してデバイス R0 から送信されるトラフィックを使用して R1、 運用モードから コマンドを show security flow session 入力します。

メモ:

確立されたセッションを確認するには、コマンドがパケットを show security flow session 送受信している間に ping コマンドを入力してください。

出力は、 から R0 Primary-VR に送信されるトラフィックとセッションが確立されていないことを示しています。この例では、インターフェイスge-0/0/0lt-0/0/0.0会社のLANトラフィックに 対して packet-mode アクション修飾子 で を適用bypass-flow-filterしました。この出力では、2つのインターフェイス間のトラフィックがフローベースの転送を正しくバイパスしているため、セッションが確立されていないことを確認します。

インターネットトラフィックでのセッション確立の検証

目的

トラフィックがインターネットに送信されるときにセッションが確立されていることを確認します。

アクション

インターネットへのトラフィックがフローベースの転送を使用し、セッションが確立されていることを確認するには、以下のタスクを実行します。

  1. デバイス R1では、運用モードから コマンドを入力して、 clear security flow session all 既存のすべてのセキュリティフローセッションをクリアします。

  2. デバイス R0では、運用モードから コマンドを ping 入力して、トラフィックをデバイスに送信します R2

  3. デバイスR1では、 から から にR2R1送信されるR0トラフィックで、 運用モードから コマンドをshow security flow session入力します。

メモ:

確立されたセッションを確認するには、コマンドがパケットを show security flow session 送受信している間に ping コマンドを入力してください。

出力には、デバイスR0から確立されたセッションにR2送信されるトラフィックが表示されます。この例では、企業のインターネットトラフィックのpacket-modeルーティングインスタンスInternet-VRに アクション修飾子と を適用bypass-flow-filterしていません。この出力では、インターネットへのトラフィックがフローベースの転送を正しく使用していることを確認し、そのためセッションが確立されます。

セッションは、 と の間でトラフィックが流れている場合と、 の間lt-0/0/0.1ge-0/0/3を流れている場合ではなく、 の間ge-0/0/2lt-0/0/0.0でトラフィックが流れている場合にのみ確立されることに注意してください。

関連ドキュメント

リリース履歴テーブル
リリース
説明
15.1X49-D30
Junos OS リリース 15.1X49-D30 および Junos OS リリース 17.3R1 以降、セッション フローの概要には、CP セッション ID が含まれています。