Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

プロトコル ファミリーとインターフェイス アドレスのプロパティ

このセクションでは、プロトコル ファミリーとインターフェイス アドレスのプロパティを設定する方法について説明します。

プロトコルファミリーを設定する

プロトコルファミリーは、インターフェイス設定内の論理プロパティのグループです。プロトコルファミリーには、プロトコルスイートを構成するすべてのプロトコルが含まれています。特定のスイート内のプロトコルを使用するには、プロトコルファミリー全体をインターフェイスの論理的プロパティとして設定する必要があります。

プロトコルファミリーには、以下の一般的なプロトコルスイートが含まれます。

  • Inet—OSPF、BGP、Internet Control Message Protocol (ICMP) などの IPプロトコル トラフィックをサポートします。

  • Inet6—RIP for IPv6(RIPng)、IS-IS、BGPなどの IPv6 プロトコルのトラフィックをサポートします。

  • ISO—IS-ISトラフィックをサポートします。

  • MPLS—MPLSをサポートします。

論理インターフェイスにプロトコルファミリーを設定するには、 family ステートメントを含めて、選択したファミリーを指定します。

プロトコルファミリーを設定する際、 [edit interfaces interface-name unit logical-unit-number family family] 階層下にある以下のタスクを完了します。

  • MTUを設定します。

  • インターフェイスがマルチキャストトラフィックのみを送受信できるように、ユニットとファミリーを設定します。

  • ルーターによるリダイレクトメッセージを無効にします。

  • アドレスをインターフェイスに割り当てます。

インターフェイス アドレスを割り当てる

プロトコルファミリーを設定する際にアドレスを指定することで、インターフェイスにアドレスを割り当てます。 inet または inet6 ファミリーの場合は、インターフェイス IP アドレスを設定します。 iso ファミリーでは、ループバックインターフェースに1つ以上のアドレスを設定します。 cccethernet-switchingtccmplstnpvpls ファミリでは、アドレスを設定することはありません。

アドレスをインターフェイスに割り当てるには、次のステップを実行します。

  1. [edit interfaces interface-name unit logical-unit-number family family]階層レベルでインターフェイスアドレスを設定します。

    • ルーターとスイッチでIPバージョン4(IPv4)アドレスを設定するには、[edit interfaces]階層レベルでinterface interface-name unit number family inet address a.b.c.d/nnステートメントを使用します。

      同じインターフェイスに複数のIPv4アドレスを割り当てることもできます。

    • ルーターとスイッチでIPバージョン6(IPv6)アドレスを設定するには、[edit interfaces]階層レベルでinterface interface-name unit number family inet6 address aaaa:bbbb:...:zzzz/nnステートメントを使用します。

      手記:

      • IPv6アドレスは、コロンで区切られた16ビット値のリストを使って、16進数で表します。ダブルコロン(::)は、0に設定されたすべてのビットを表します。

      • 特定のインターフェイスで機能するには、ルーターまたはスイッチアドバタイズメントを手動で設定し、自動設定のデフォルトプレフィックスをアドバタイズする必要があります。
  2. [オプション] ネットワークまたはサブネットのブロードキャストアドレスを設定します。
    手記:

    ブロードキャストアドレスには、すべて1またはすべて0のホスト部分が含まれている必要があります。アドレス 0.0.0.0 または 255.255.255.255を指定することはできません。
  3. [オプション] IPv6トラフィックを伝送するインターフェイスでは、ホストを設定し、固有の64ビットIPバージョン6インターフェイス識別子(EUI-64)を割り当てます。

デフォルト、プライマリ、および優先アドレスとインターフェイスの設定

このセクションでは、デフォルト、プライマリ、および優先アドレスとインターフェイスの設定方法について説明します。

デフォルト、プライマリ、および優先アドレスとインターフェイス

ルーターにはデフォルトアドレスとプライマリインターフェイスがあります。および インターフェイスには、プライマリアドレスと優先アドレスがあります。

ルーターの デフォルト アドレス は、番号なしインターフェイスの送信元アドレスとして使用されます。ルーティングプロトコルは、OSPFおよび内部BGP(IBGP)などのプロトコルが使用するルーターIDとしてデフォルトアドレスを選択しようとします。

ルーターの プライマリインターフェイス は、インターフェイス名が指定されていない場合、および宛先アドレスが特定の発信インターフェイスを意味しない場合にパケットが出るインターフェイスです。

インターフェイスの プライマリアドレス は、ローカルで発信され、インターフェイスに送信されたブロードキャストおよびマルチキャストパケットのローカルアドレスとしてデフォルトで使用されます。インターフェイスの 優先アドレス は、ローカルルーターによってサブネット上の宛先に発信されたパケットに使用されるデフォルトローカルアドレスです。

手記:

設定ステートメントを使用して、インターフェイスのIPをプライマリおよび優先として明示的にマークすることができます。インターフェイスが1つのIPのみに割り当てられている場合、そのアドレスはデフォルトでプライマリかつ優先アドレスと見なされます。複数のIPアドレスが割り当てられており、いずれもプライマリとして明示的に設定されていない場合、数字が一番小さいIPアドレスがそのインターフェイス上のプライマリアドレスとして使用されます。

ルーターのデフォルトアドレスは、以下のシーケンスを使用して選択されます。

  1. 127.0.0.1されていないループバックインターフェイスlo0のプライマリアドレスが使用されます。

  2. プライマリインターフェイスのプライマリアドレスが使用されます。

  3. 「プライマリ」アドレスと「優先」アドレスを持つ複数のインターフェイスがある場合、一番小さいインターフェイスインデックスを持つインターフェイスが選択され、そのプライマリアドレスが使用されます。どのインターフェイスのIPアドレスも明示的に primary ステートメントでマークされていない場合、そのインターフェイスの数値的に一番小さいアドレスがシステムのデフォルトアドレスとして使用されます。

  4. IPアドレスを持つ残りのインターフェイスを選択できます。これには、ルーターの管理インターフェイスまたは内部インターフェイスが含まれます。このため、ループバックアドレスを割り当てるか、プライマリインターフェイスを明示的に設定するかして、デフォルトのアドレス選択を制御することをお勧めします。

ルーターのプライマリインターフェイスの設定

ルーターの プライマリインターフェイス には以下の特性があります。

  • ping 255.255.255.255などのコマンドを入力すると、パケットが出るインターフェイスです。このコマンドは、インターフェイス名が含まれない(インターフェイス type-0/0/0.0 修飾子がない)で、宛先アドレスが特定の発信インターフェイスを意味しないコマンドです。

  • これは、SAP(セッションアナウンスメントプロトコル)など、ローカルで実行中のマルチキャストアプリケーションがデフォルトでグループ参加を実行するインターフェイスです。

  • ループバックインターフェイス(lo0)で設定された非127アドレスがない場合、番号なしインターフェイスから発信されたパケットに対してデフォルトローカルアドレスが派生したインターフェイスです。

デフォルトでは、最小インデックス アドレスを持つマルチキャスト対応インターフェイスが、プライマリインターフェイスとして選択されます。

異なるインターフェイスをプライマリインターフェイスとして設定するには、 primary ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family]

インターフェイスのプライマリアドレスの設定

インターフェイス上の プライマリアドレス は、ローカルで発信され、インターフェイス上で送信されるブロードキャストおよびマルチキャストパケットのローカルアドレスとしてデフォルトで使用されるアドレスです。例えば、 ping interface et-0/0/0.0 255.255.255.255 コマンドが送信したパケット内のローカルアドレスは、インターフェイス et-0/0/0.0のプライマリアドレスです。プライマリアドレスフラグは、複数の非127アドレスがループバックインターフェイス( lo0)で設定されている場合、番号なしインターフェイスで送信されたパケットに使用されるローカルアドレスの選択にも便利です。デフォルトでは、インターフェイス上のプライマリアドレスは、インターフェイスで設定された数が最も低いローカルアドレスとして選択されます。

別のプライマリアドレスを設定するには、 primary ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family address address]

インターフェイスの優先アドレスの設定

インターフェイス上の 優先アドレス は、ローカルルーターがサブネット上の宛先に発信したパケットに使用されるデフォルトローカルアドレスです。デフォルトでは、数が最も低いローカルアドレスが選択されます。例えば、アドレス 172.16.1.1/12172.16.1.2/12、および 172.16.1.3/12 が同じインターフェイスで設定されている場合、サブネット上の優先アドレス(デフォルトでは 172.16.1.1)が、 ping 172.16.1.5 コマンド発行時のローカルアドレスとして使用されます。

サブネットに異なる優先アドレスを設定するには、 preferred ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family address address]

同じIPv4アドレスを持つインターフェイスの動作

複数の物理インターフェイスに同じIPバージョン4(IPv4)アドレスを設定できます。複数の物理インターフェイスに同じIPv4アドレスを割り当てた場合、それらのインターフェイスの運用動作は、(暗黙的に)ポイントツーポイントかどうかで異なります。

同じルーティング インスタンス内の複数のインターフェイスに同じIPアドレスを設定すると、オペレーティングシステムがその中のインターフェイスの1つにランダムに設定を適用します。その他のインターフェイスはIPアドレスがないままとなります。

次の例は、暗黙的に明示的にポイントツーポイントインターフェイスであるインターフェイスに同じIPv4アドレスを割り当てる設定例を示しています。例には、動作ステータスを表示するための暗黙的および明示的なポイントツーポイントインターフェイスに対応する show interfaces terse コマンド出力も示されています。

  1. 2つの非P2Pインターフェイスに同じIPv4アドレスを設定するには

    次のサンプル出力(前述の設定の場合)は、 et-0/1/0.0 のみが同じ IPv4 アドレス 203.0.113.1/24 を割り当てられていて、その link 状態は up であり、 et-3/0/1.0 には IPv4 アドレスが割り当てられていないにもかかわらず、 link 状態は up であり、 203.0.113.1/24 以外の一意の IPv4 アドレスを受け取った場合にのみ運用可能になることを示しています。

    ショーインターフェースterse

  2. (暗黙的な)P2Pインターフェイスに同じIPv4アドレスを設定するには

    次のサンプル出力(前の設定の場合)は、 et-0/0/0.0et-0/0/3.0 の両方に同じIPv4アドレス 203.0.113.1/24 割り当てられ、 link 状態がダウンしていることを示しています。リンクの問題でインターフェイスがダウンしているのであり、同じIPv4アドレスが両方のインターフェイスに割り当てられているからではありません。常にインターフェイスが1つだけ稼働されていると(Junos OS Evolvedデバイスのスコープ外の冗長スキームに従って)想定されているので、複数が稼働することで悪影響を与える可能性があります。

    ショーインターフェースterse

  3. P2P以外のインターフェイスの複数のインスタンスに同じIPv4アドレスを設定します。

    非P2Pインターフェイスでは、異なるインターフェイスの異なるユニットに同じローカルアドレスを設定することはできません。設定が失敗すると、コミットエラーがスローされ、設定が失敗します。

  4. 同じP2Pインターフェイスの複数のインスタンスに同じIPv4アドレスを設定します。

    次のサンプル出力(前述の設定用)は、異なるインターフェイスの複数のインスタンスに同じIPv4アドレスを設定しようとすると、1つのインターフェイスに正常に設定されることが示されています。

    ショーインターフェースterse

番号なしインターフェイスの設定:概要

番号なしインターフェイスの概要

IP アドレスを保存する必要がある場合、番号なしインターフェイスを設定することができます。番号なしインターフェイスを設定すると、インターフェイスに明示的な IP アドレスを割り当てることなく、インターフェイスでの IP 処理が可能になります。アドレスの保存があまり重要ではないIPバージョン6(IPv6)の場合、番号なしインターフェイスを設定して、複数のインターフェイスで同じサブネットを共有できます。

IPv6番号なしインターフェイスは、イーサネットインターフェイスでのみサポートされています。番号なしインターフェイスを設定するのに使用するステートメントは、設定するインターフェイスのタイプ(ポイントツーポイントインターフェイスまたはイーサネットインターフェイス)によって異なります。

番号なしポイントツーポイント インターフェイトの設定

番号なしポイントツーポイントインターフェイスを設定するには:

  1. 設定モードで、 [edit interfaces interface-name unit logical-unit-number] 階層レベルに移動します。
  2. プロトコルファミリーを設定しますが、 address ステートメントは含めないようにします。
手記:

  • 番号なしインターフェイスを設定する際、ルーター内のインターフェイスに送信元アドレスが設定されていることを確認する必要があります。このアドレスは、デフォルトのアドレスです。そのためには、「ループバックインターフェイス設定」で説明したように、ループバックインターフェイス(lo0)にアドレスを割り当てることをお勧めします。

    lo0インターフェイスでルーティング可能なアドレスを設定する場合、そのアドレスは常にデフォルトアドレスになります。これが理想的な理由は、ループバックインターフェイスが物理インターフェイスから独立して常にアクセス可能だからです。

番号なしイーサネットまたはデモックスインターフェイスの設定

番号なしイーサネットまたはデモレイシング(デモックス)インターフェイスを設定するには:

  1. 設定モードで、 [edit interfaces interface-name unit logical-unit-number family family-name] 階層レベルに移動します。
  2. 番号なしイーサネットまたはデモックスインターフェイスを設定するには、設定に unnumbered-address ステートメントを含めます。
  3. (オプション)設定された静的ルートのネクストホップインターフェイスとして番号なしイーサネットインターフェイスを指定するには、[edit routing-options static route destination-prefix]階層レベルでqualified-next-hopステートメントを含めます。この機能により、スタティック ルートの独立したプリファレンスやメトリックをネクスト ホップ単位で指定することができます。
手記:

  • unnumbered-address ステートメントは、現在、IPバージョン4(IPv4)アドレスファミリーに対してのみ、番号なしデモックスインターフェイスの設定をサポートしています。IPv4 および IPv6 の両方のアドレス ファミリー向けに番号なしの イーサネット インターフェイスを設定することができます。

  • 番号無しに設定したインターフェイス borrows 、別のインターフェイスから割り当てられたIPアドレスを borrower interfaceと呼びます。IP アドレスを借用する側のインターフェイスを donor interface と呼びます。 unnumbered-address ステートメントでは、 interface-name はドナー インターフェイスを指定します。番号なしイーサネットインターフェイスの場合、ドナーインターフェイスは、論理ユニット番号と設定されたIPアドレスを持ち、それ自体が番号なしインターフェイスではないイーサネットまたはループバックインターフェイスのいずれかです。番号なしIP デモックスインターフェイスの場合、ドナーインターフェイスは、論理ユニット番号と設定されたIPアドレスを持ち、それ自体が番号なしインターフェイスではないイーサネットまたはループバックインターフェイスのいずれかです。また、イーサネットとデモックスのいずれの場合でも、ドナー インターフェイスとボロワー インターフェイスは、同じルーティング インスタンスと同じ論理システムのメンバーでなければなりません。

  • 番号なしの イーサネット または デモックス インターフェイスを設定すると、番号なしのインターフェイスが生成するパケットでは、ドナー インターフェイスの IP アドレスが送信元アドレスになります。

  • 番号なしの イーサネット または デモックス インターフェイスを指すホスト ルートを設定することができます。

番号なしイーサネットまたはデモックスインターフェイスの優先送信元アドレスとしてセカンダリアドレスを設定する

複数のセカンダリ IP アドレスを持つループバック インターフェイスが、番号なしイーサネットまたはデモレイシング(デモックス)インターフェイスのドナー インターフェイスとして設定されている場合、オプションとして、ループバック インターフェイスのセカンダリ アドレスのいずれかを番号なしイーサネットまたはデモックス インターフェイスの優先ソース アドレスとして指定できます。この機能により、ネットワーク内の番号のない イーサネット または デモックス インターフェイスの一部で、プライマリ IP アドレス以外の IP アドレスを使用することができます。

ループバックドナーインターフェイスのセカンダリアドレスを、番号なしイーサネットまたはデモックスインターフェイスの優先送信元アドレスとして設定するには、次の手順に従います。

  1. 設定モードで、 [edit interfaces interface-name unit logical-unit-number family family-name] 階層レベルに移動します。
  2. unnumbered-address ステートメントに preferred-source-address オプションを含めます。
手記:

番号なしの イーサネット または デモックス インターフェイスに優先ソース アドレスを設定する場合は、以下の点に注意してください。

  • unnumbered-address ステートメントは、現在、デモックスインターフェイスのIPv4アドレスファミリーと、イーサネットインターフェイスのIPバージョン4(IPv4)および IPバージョン6(IPv6)アドレスファミリーに対してのみ、優先ソースアドレスの設定をサポートしています。

  • 優先ソースアドレスを指定しない場合、ルーターはドナーインターフェイスのデフォルトプライマリIPアドレスを使用します。

  • ドナーループバックインターフェイスのアドレスが、番号なしのイーサネットまたはデモックスインターフェイスの優先ソースアドレスとして使用されている間は、そのアドレスを削除することはできません。

番号なしイーサネットインターフェイス設定の制限

番号なしイーサネットインターフェイスを設定すると、以下の要件および制限が適用されます。

  • unnumbered-addressステートメントは、現在、IPバージョン4(IPv4)およびIPバージョン6(IPv6)アドレスファミリー向けの番号なしイーサネットインターフェイスの設定をサポートしています。

  • IPアドレスは、番号なしインターフェイスとしてまだ設定されていないイーサネットインターフェイスにのみ割り当てることができます。

  • 番号なしイーサネットインターフェイスには、1つ以上のIPアドレスを設定する必要があります。

  • 番号なしイーサネットインターフェイスのドナーインターフェイスを番号なしとして設定することはできません。

  • 番号無しの イーサネット インターフェイスは、arpbroadcastprimarypreferred、または vrrp-groupaddress ステートメント オプションの設定をサポートしていません。

  • インターネットグループ管理プロトコル(IGMP)および物理インターフェイスモジュール(PIM)は、ホストに直接面し、ダウンストリームPIMネイバーがない番号のないイーサネットインターフェイスでのみ実行できます。PIMトポロジーでアップストリームインターフェイスとして機能する番号なしイーサネットインターフェイスでIGMPまたはPIMを実行することはできません。

  • OSPFは、ポイントツーポイント(P2P)接続として設定された番号なしイーサネットインターフェイス上で実行できます。ただし、P2Pとして設定されていない番号なしイーサネットインターフェイスでOSPFまたはIS-ISを実行することはできません。

    IGP(内部ゲートウェイプロトコル)を使用してリンクステート配信を行う場合は、番号無しインターフェイス設定のドナーインターフェイスでOSPFが有効になっていることを確認し、ドナーIPアドレスに到達してOSPFセッションを確立できるようにします。

手記:

同じルーティング インスタンス内の複数のインターフェイスに同じアドレスを設定すると、オペレーティングシステムは最初の設定のみを使用します。このシナリオでは、残りのアドレス設定は無視され、アドレスなしでインターフェイスを残すことができます。アドレスが割り当てられていないインターフェイスは、番号なしイーサネットインターフェイスのドナーインターフェイスとして使用できません。

例えば、以下の設定では、インターフェイス et-0/0/1.0 のアドレス設定は無視されます。

例:番号なしイーサネットインターフェイス設定の表示

目的

設定された番号無しインターフェイスを [edit interfaces interface-name unit logical-unit-number] 階層レベルで表示します。

  • 番号なしインターフェイス—et-1/0/0

  • ドナーインターフェイス—et-0/0/0

  • ドナー インターフェイス アドレス—4.4.4.1/24

番号なしインターフェイスでは、ドナー インターフェイスから IP アドレスを「借り」ます。

アクション

  • [edit]階層レベルでshowコマンドを実行します。

例:番号なしイーサネットインターフェイスの設定された優先ソースアドレスの表示

目的

[edit interfaces interface-name unit logical-unit-number family inet]階層レベルで番号無しインターフェイスの優先ソース アドレスの設定を表示する。

  • 番号なしインターフェイス—et-4/0/0

  • ドナー インターフェイス —lo0

  • ドナー インターフェイス プライマリ アドレス—2.2.2.1/32

  • ドナー インターフェイス セカンダリ アドレス—3.3.3.1/32

アクション

  • [edit]階層レベルでshowコマンドを実行します。

意味

ループバック インターフェイス lo0 は、番号無しイーサネット インターフェイス et-4/0/0 が IP アドレスを「借りる」ドナー インターフェイスです。

この例では、ループバック インターフェイスのセカンダリ アドレスの 1 つである「3.3.3.1」を、番号無し イーサネット インターフェイスの優先ソース アドレスとして示しています。

例:静的ルートのネクストホップとして番号なしイーサネットインターフェイスの設定を表示する

目的

[edit interfaces interface-name unit logical-unit-number family inet] 階層レベルで 静的ルート のネクスト ホップとして設定されている番号無しインターフェイスを表示するには。

  • 番号なしインターフェイス—et-0/0/0

  • ドナー インターフェイス —lo0

  • ドナー インターフェイス プライマリ アドレス—5.5.5.1/32

  • ドナー インターフェイス セカンダリ アドレス—6.6.6.1/32

  • スタティック ルート—7.7.7.1/32

アクション

  • [edit]階層レベルでshowコマンドを実行します。

  • 以下の設定では、カーネルが、番号無しインターフェイス et-0/0/0.0 をネクスト ホップとする、アドレス 7.7.7.1/32 への静的ルートをインストールすることができます。

意味

この例では、et-0/0/0は番号なしインターフェイスです。ループバック インターフェイス(lo0)は、et-0/0/0 IP アドレスを「借りる」ドナー インターフェイスです。また、この例では、番号なしインターフェイス et-0/0/0.0を介してネクスト ホップで7.7.7.1/32する静的ルートを設定しています。

プロトコルMTU

概要

デフォルトのプロトコルMTUは、デバイスとインターフェイスのタイプによって異なります。最初にインターフェイスを設定する際、プロトコルMTUは自動的に計算されます。その後、メディアMTUが変更された場合は、既存のアドレスファミリーのプロトコルMTUも自動的に変更されます。

メディアMTUのサイズを縮小しながら、1つまたは複数のアドレスファミリーがすでに設定され、インターフェイス上でアクティブである場合、プロトコルMTUのサイズも縮小する必要があります。プロトコルMTUのサイズを大きくする場合、メディアMTUのサイズがプロトコルMTUとカプセル化オーバーヘッドの合計と同じかそれ以上であることを確認する必要があります。

プロトコルMTUは、すべてのトンネルインターフェイスで設定できます。

MPLSのプロトコルMTU

MPLS MTU を設定していない場合、 Junos OS Evolved は物理インターフェースの MTU から MPLS MTU を導き出します。この値から、ソフトウェアは、パケット転送エンジンでプッシュされる可能性のあるラベルの最大数のカプセル化固有のオーバーヘッドとスペースを差し引きます。ソフトウェアは、各4バイトずつの3つのラベル、合計で12バイトを用意しています。

MPLS MTUを決定するために使用される公式は次の通りです。

アドレスと制御バイトの削除を無効化する

一部のインターフェイスでは、パケットがトンネルにカプセル化される前に、アドレスと制御バイトがデフォルトで削除されます。

ただし、アドレスと制御バイトの削除を無効にすることができます。

アドレスと制御バイトの削除を無効にするには、 keep-address-and-control ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family ccc]

参照

インターフェースでリダイレクトメッセージの送信を無効にする

デフォルトでは、インターフェイスはプロトコルリダイレクトメッセージを送信します。インターフェイスでこれらのメッセージの送信を無効にするには、 no-redirects ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family]

ルーターまたはスイッチ全体のプロトコルリダイレクトメッセージの送信を無効にするには、[edit system]階層レベルでno-redirectsステートメントを含めます。

インターフェイスへのフィルターの適用

ファイアウォールフィルターでのインターフェイスグループの定義

ファイアウォールフィルターを適用する場合、インターフェイスグループの一部となるようにインターフェイスを定義できます。そのインターフェイスで受信されたパケットは、グループの一部としてタグ付けされます。次に、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサーユーザーガイドで説明されているように、interface-group一致ステートメントを使用してこれらのパケットを照合できます。

インターフェイスをインターフェイスグループの一部として定義するには、 group ステートメントを含めます。

以下の階層レベルでこのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family filter]

手記:

番号0は、有効なインターフェイスグループ番号ではありません。

出力インターフェースでのフィルターベースフォワーディング

ポートミラーリングされたパケットが、パケットヘッダーのパターンに基づいて複数の監視インターフェイスまたは収集インターフェイスに分配される場合は、ポートミラーリングのエグレスインターフェイスにフィルターベースフォワーディング(FBF)フィルターを設定すると便利です。

FBFフィルターが出力フィルターとしてインストールされている場合、フィルタに転送されるパケットは、すでに少なくとも1つのルート検索を受けています。パケットがエグレスインターフェイスでFBFフィルタによって分類された後、追加のルート検索のために別のルーティングテーブルにリダイレクトされます。パケット転送エンジン内でのパケットループを回避するために、後者のルーティングテーブル(FBFルーティング インスタンスによって指定)でのルート検索は、パケットにすでに適用されているテーブルで指定されたどのネクストホップとは異なるネクストホップになる必要があります。

入力インターフェイスがFBF用に設定されている場合、ルーティングテーブルがソース検索を処理するように設定されていないため、別のルーティング インスタンスに向かうパケットのソース検索は無効になります。

インターフェイスへのフィルターの適用

ファイアウォールフィルターをインターフェイスに適用するには、 filter ステートメントを含めます。

単一フィルターを適用するには、 input ステートメントを含めます。

インターフェイスで受信したパケットを評価するためにフィルターの一覧を適用するには、 input-list ステートメントを含めます。

1つの入力リストには、最大16のフィルター名を含めることができます。

インターフェイスで送信されたパケットを評価するためにフィルターの一覧を適用するには、 output-list ステートメントを含めます。

input-list ステートメントまたは output-list ステートメントを使用してフィルターを適用すると、<interface-name>.<unit-direction> という名前の新しいフィルターが作成されます。このフィルターは、インターフェイス固有のものです。

以下の階層レベルでこれらのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family family]

familyステートメントでは、プロトコルファミリーは、cccinetinet6mpls、またはvplsです。

group ステートメントで、フィルターに関連付けられるインターフェイスグループ番号を指定します。

input ステートメントでは、インターフェイスでパケットが受信された時に評価される1つのファイアウォールフィルターの名前をリストします。

input-listステートメントでは、インターフェイスでパケットが受信された時に評価するフィルターの名前をリストします。最大 16 のフィルター名を含めることができます。

output ステートメントでは、インターフェイスでパケットが送信された時に評価される1つのファイアウォールフィルターの名前をリストします。

手記:

出力インターフェイスに適用されるMPLSファミリーファイアウォールフィルターは、製品制限により、PTX10003ルーターではサポートされていません。

output-listステートメントでは、インターフェイスでパケットが送信された時に評価するフィルターの名前をリストします。最大 16 のフィルター名を含めることができます。

フィルターをインターフェイス lo0に適用すると、ルーティングエンジンによって受信または送信されたパケットに適用されます。

ファイアウォールフィルターの詳細については 、ルーティングポリシー、ファイアウォールフィルター、およびトラフィックポリサー ユーザーガイドを参照してください。MPLSフィルターの詳細については、 MPLS アプリケーションユーザーガイドを参照してください。

例:VPLS トラフィックの入力フィルター

例:出力インターフェースでのフィルターベースフォワーディング

次の例は、出力インターフェイスでのフィルターベースフォワーディングの設定を示しています。この例では、パケットフローは次のパスに従います。

  1. パケットは、送信元アドレスと宛先アドレスがそれぞれ 10.50.200.110.50.100.1 のインターフェイス et-1/2/0.0 に到達します。

  2. ルーティングテーブル inet.0 のルート検索は、エグレスインターフェイス et-0/0/3.0 を指します。

  3. et-0/0/3.0にインストールされた出力フィルターは、パケットをルーティングテーブルfbf.inet.0にリダイレクトします。

  4. パケットはfbf.inet.0 テーブルのエントリー 10.50.100.0/25 と一致し、パケットは最終的にインターフェイス et-2/0/0.0 からルーターを離れます。

ソースクラスと宛先クラスの使用を有効化する

ソースクラスと宛先クラスの使用の概要

IPバージョン4(IPv4)、IPバージョン6(IPv6)、MPLS、またはピアAS課金トラフィックを伝送するインターフェイスの場合、ネットワークを通過するトラフィックの入口および出口点を基にパケット数を管理できます。入口と出口のポイントは、ソースと宛先のプレフィックスによって識別され、 ソースクラス宛先クラスとして定義される不連続なセットにグループ化されます。ルーティングネイバー、自律システム、ルートフィルターなど、さまざまなパラメータに基づいてクラスを定義できます。

ソースクラス使用率(SCU)アカウンティングカウントパケットは、IPソースアドレスで検索を実行することにより、顧客に送信されたパケットをカウントします。SCUを使用すると、プロバイダーコアの特定のプレフィックスから発信され、カスタマーエッジの特定のプレフィックス宛てのトラフィックを追跡できます。インバウンドとアウトバウンドの両方の物理インターフェイスでSCUアカウンティングを有効にし、パケットの送信元のルートが転送テーブルにある必要があります。

手記:

SCUも宛先クラス使用率(DCU)アカウンティングも、直接接続されたインターフェイスルートでは動作しません。ソフトウェアアーキテクチャの制限により、ソースクラス使用率では、転送テーブルに直接ルートを持つ送信元からのパケットはカウントされません。

宛先クラス使用率(DCU)は、IP宛先アドレスの検索を実行することにより、顧客からのパケットをカウントします。DCUを使用すると、カスタマーエッジから発信され、プロバイダーコアルーター上の特定のプレフィックス宛てのトラフィックを追跡できます。

手記:

インターフェイスのDCUまたはSCU設定を変更する前に、インターフェイスのネットワークトラフィックを停止することを推奨します。トラフィックを停止せずにDCUまたはSCUの設定を変更すると、DCUまたはSCUの統計が破損する可能性があります。設定を変更した後にトラフィックを再開する前に、 clear interfaces statistics コマンドを入力してください。

図 1 は、ISP ネットワークを示しています。このトポロジーでは、DCUを使用して、顧客が特定のプレフィックスに送信するパケットをカウントできます。たとえば、プレフィックス 210.210/16 および 220.220/16宛てのパケットをカウントする 3 つのカウンター(顧客ごとに 1 つ)を用意できます。

SCUを使用して、プロバイダーが特定のプレフィックスから送信するパケットをカウントできます。例えば、プレフィックス 210.210/16 および 215.215/16 から送信されたパケットや、特定の出力インターフェイスで送信されたパケットをカウントできます。

図 1: ソースクラスと宛先クラスを使用したプレフィックスアカウンティング Prefix Accounting with Source and Destination Classes

最大126のソースクラスと最大126の宛先クラスを設定できます。宛先クラスの使用とソースクラスの使用を有効にするインターフェイスごとに、オペレーティングシステムは、126クラスの上限まで、対応するクラスごとにインターフェイス固有のカウンターを維持します。

手記:

トンネルを介してルーターを出るトランジットパケットの場合、RPF、転送テーブルフィルタリング、ソースクラス使用率、宛先クラス使用率などの転送パス機能は、トンネルトラフィックの出力インターフェイスとして設定したインターフェイスではサポートされません。ファイアウォールフィルタリングの場合、トンネル宛先へのネクストホップインターフェイスであるインターフェイスの入力トラフィックに適用されるファイアウォールフィルターを介した出力トンネルパケットを許可する必要があります。
手記:

出力サービスが有効になっているときにDCUアカウンティングを実行すると、次の設定で一貫性のない動作が発生します。

  • SCU入力とDCUの両方がパケット入力インターフェイスで設定されている。

  • SCU出力がパケット出力インターフェイスで設定されている。

  • インターフェイスサービスが出力インターフェイスで有効になっている。

送信元プレフィックスと宛先プレフィックスがルーターに設定されているSCUクラスとDCUクラスに一致する着信パケットの場合、SCUカウンターとDCUカウンターの両方がインクリメントされます。この動作は有害でも否定的でもありません。ただし、SCUカウントのみがインクリメントされるという点で、サービスされていないパケットとは一貫性がありません(このケースは、SCUクラスIDがDCUクラスIDを上書きするため)。

インターフェイスでパケットカウントを有効にするには、 accounting ステートメントを含めます。

direction 以下のいずれかになります。

  • input- 少なくとも1つの予想されるイングレスポイントを設定します。

  • output- 少なくとも1つの予想されるエグレスポイントを設定します。

  • input output—単一のインターフェイスで、少なくとも1つの予想されるイングレスポイントと1つの予想されるエグレスポイントを設定します。

以下の階層レベルでこれらのステートメントを使用することができます。

[edit interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)]

SCUを機能させるには、少なくとも1つの入力インターフェイスと少なくとも1つの出力インターフェイスを設定する必要があります。

インターフェイスでアカウンティングを有効にすると、オペレーティングシステムはそのインターフェイスのパケットカウンターを維持し、 inetinet6、および mpls プロトコルファミリー用に個別のカウンターを使用します。次に、ポリシーアクションステートメントでソースクラスと宛先クラスの属性を設定する必要があります。これらの属性は、転送テーブルのエクスポートポリシーに含める必要があります。

手記:

ポリシーアクションステートメントを設定する場合、一致するルートごとに1つのソースクラスのみを設定できます。つまり、複数のソースクラスを同じルートに適用することはできません。

vrf-table-labelステートメントで設定されたレイヤー3 VPNのSCUアカウンティングを設定できます。[edit routing-instances routing-instance-name vrf-table-label]階層レベルでsource-class-usageステートメントを含めます。この階層レベルの source-class-usage ステートメントは、仮想ルーティングおよび転送(VRF)インスタンスタイプでのみサポートされます。

手記:

vrf-table-labelステートメントがVRF内で設定されている場合、動的に作成されるラベルスイッチインターフェイス(LSI)でDCUカウンターを有効にすることはできません。

ソースクラスと宛先クラスの使用を有効化する

図 2: 送信元クラスと宛先クラスを使用したプレフィックスアカウンティング Prefix Accounting with Source and Destination Classes

ソースクラス使用率(SCU)と宛先クラス使用率(DCU)を有効にする前に、1つのインターフェイス上でDCUとSCU出力を設定する必要があります。

ソースクラスと宛先クラスの使用を有効にするには:

  1. SCUの設定を完了します

    送信元ルーターAおよびBは、監視対象のプレフィックスとしてループバックアドレスを使用します。ほとんどの設定タスクと実際の監視は、トランジットルーターSCUで行われます。

    ルーターAのループバックアドレスには、ルーターSCUのソースクラスAに割り当てられるプレフィックスの発信元が含まれています。ただし、このルーターではSCU処理は行われません。したがって、基本的なOSPFルーティング用にルーターAを設定し、OSPFプロセスにループバックインターフェイスとインターフェイス et-0/0/2 を含めてください。


  3. ポリシーを転送テーブルに適用して、ルーターAおよびBからのループバックアドレスのプレフィックスと一致するルートフィルターポリシーステートメントを設定します。

    最後に、ポリシーを転送テーブルに適用します。

    この例では、ルーターSCUがアクティビティの大部分を処理します。ルーターSCUで、 [edit interfaces interface-name unit unit-number family inet accounting] 階層レベルのインバウンドおよびアウトバウンドインターフェイスでソースクラスの使用を有効にします。予想されるトラフィック(入力、出力、またはこの場合はその両方)を必ず指定してください。

    ルーターAおよびBからのループバックアドレスのプレフィックスと一致するルートフィルターポリシーステートメントを設定する場合、ポリシーに、ルーターAからのパケットを scu-class-a という名前の1つのグループに分類し、ルーターBからのパケットを scu-class-bという名前の2番目のクラスに分類するステートメントを含めます。複数の用語を含む単一のポリシーが効率的に使用されていることに注目してください。

  4. ルーターBを設定します。

    ルーターAが元プレフィックスを提供するのと同様に、ルーターBのループバックアドレスは、ルーターSCUの scu-class-b に割り当てられたプレフィックスと一致します。この場合も、このルーターではSCU処理は行われないため、基本的なOSPFルーティング用にルーターBを設定し、ループバックインターフェイスとインターフェイス et-0/0/4 をOSPFプロセスに含めます。

  5. トンネルPICを搭載したプロバイダエッジルーターで、仮想ループバックトンネルインターフェイスを設定します。

    SCUおよびDCUを使用して、レイヤー3 VPNのパケットをカウントすることができます。MPLSトンネルのエグレスポイントでレイヤー3 VPN実装のパケットカウントを有効にするには、PEルーターに仮想ループバックトンネルインターフェイス(vt)を設定し、仮想ループバックトンネルインターフェイスにVRF(仮想ルーティングと転送)のインスタンスタイプをマッピングし、VPNから受信したトラフィックをソースクラスの出力インターフェイスに送信する必要があります。 次の例に示すように:

  6. VRFインスタンスタイプを仮想ループバックトンネルインターフェイスにマッピングします。

    vrf-table-labelステートメントで設定されたレイヤー3 VPNのSCUアカウンティングを設定できます。[edit routing-instances routing-instance-name vrf-table-label]階層レベルでsource-class-usageステートメントを含めます。この階層レベルの source-class-usage ステートメントは、仮想ルーティングおよび転送(VRF)インスタンスタイプでのみサポートされます。vrf-table-labelステートメントが設定されている場合、DCUはサポートされません。

  7. VPNから受信したトラフィックをソースクラスの出力インターフェイスへ送信します。

概要

ターゲットブロードキャストは、異なるサブネットから発信される L3 ブロードキャスト IP パケットで、ターゲットサブネットをフラッディングするプロセスです。ターゲットブロードキャストの意図は、ネットワーク全体にブロードキャストせずに、LAN インターフェイス上のブロードキャストパケットでターゲットサブネットをフラッディングすることです。

IP ダイレクト ブロードキャストは、ブロードキャスト パケットを特定のリモート サブネットに送信し、そのサブネット内でブロードキャストする技術です。IP ダイレクトブロードキャストを使用すると、ネットワーク全体にブロードキャストせずに、指定したサブネット上のホストにブロードキャストパケットを送信することで、リモートネットワーク管理を容易にすることができます。IP ダイレクト ブロードキャスト パケットは、ターゲット サブネットのみでブロードキャストされます。ネットワークの残りの部分は、IP ダイレクト ブロードキャスト パケットをユニキャスト パケットとして扱い、それに応じて転送します。

ターゲットブロードキャストは、ルーターまたはスイッチのエグレスインターフェイス上のさまざまなオプションで設定され、IPパケットはLAN(エグレス)インターフェイス上のみでブロードキャストされます。ターゲットブロードキャストは、LAN インターフェイスのバックアップや、wake-on LAN (WOL) などのリモート管理タスクを実行するのに役立ち、VRF インスタンスをサポートします。

サブネットから発信される通常の L3 ブロードキャスト IP パケットは、同じサブネット内でブロードキャストされます。これらの IP パケットが異なるサブネットに到達すると、パケットはルーティングエンジンに転送されます(他のアプリケーションに転送するため)。したがって、バックアップなどのリモート管理タスクは、別のサブネットを介して特定のサブネットで実行できません。回避策として、ターゲットブロードキャストを有効にして、別のサブネットから発信されたブロードキャストパケットを転送することができます。

L3 ブロードキャスト IP パケットには、ターゲットサブネットの有効なブロードキャストアドレスであるIP アドレスがあります。これらの IP パケットは、次のように、宛先サブネットに到達するまでユニキャスト IP パケットと同じ方法でネットワークを通過します。

  1. 宛先サブネットでは、受信ルーターがエグレスインターフェイスでターゲットブロードキャストを有効にしている場合、IP パケットがエグレスインターフェイスとルーティングエンジン、またはエグレスインターフェイスのみに転送されます。
  2. IPパケットはその後、LANインターフェイスを介してのみターゲットサブネットをフラッディングするブロードキャストIPパケットに変換され、ターゲットサブネット上のすべてのホストがIPパケットを受信します。LANインターフェイスが存在しない場合、パケットは破棄されます。
  3. シーケンスの最後のステップは、ターゲットとするブロードキャストによって異なります。
    • ターゲットブロードキャストが受信ルーターで有効化されていない場合、IPパケットは通常のレイヤー3ブロードキャストIPパケットとして扱われ、ルーティングエンジンに転送されます。
    • ターゲットブロードキャストがオプションなしで有効化されている場合、IPパケットがルーティングエンジンに転送されます。

ターゲットブロードキャストを設定し、IPパケットのみをエグレスインターフェイスに転送することができます。この転送は、ルーター、またはエグレスインターフェイスとルーティングエンジン双方に、処理するパケットが殺到している場合に役立ちます。

ルーティングエンジン lo0 で設定された ファイアウォールフィルター は、ターゲットブロードキャストの結果として ルーティングエンジン に転送される IP パケットに適用されません。その理由は、ブロードキャスト パケットがローカル ネクストホップ トラフィックではなく、フラッド ネクストホップ トラフィックとして転送されるためです。ファイアウォールフィルターは、ルーティングエンジンに向けられたトラフィックのローカルネクストホップルートにのみ適用できます。

ターゲットブロードキャストの概要

ターゲットブロードキャストパケットには、ダイレクトブロードキャストのターゲットであるサブネット(ターゲットサブネット)の有効なブロードキャストアドレスであるIP アドレスがあります。ターゲットブロードキャストの意図は、ネットワーク全体にブロードキャストせずに、ブロードキャストパケットでターゲットサブネットをフラッディングすることです。ターゲットブロードキャストパケットをターゲットサブネットから発信することはできません。

ターゲットブロードキャストパケットを送信すると、ターゲットサブネットに移動するときに、ネットワークはユニキャストパケットを転送するのと同じ方法でパケットを転送します。パケットがターゲットサブネットに直接接続されているスイッチに到達すると、スイッチはターゲットサブネットに直接接続されているインターフェイスでターゲットブロードキャストが有効になっているかどうかを確認します。

  • ターゲットブロードキャストがそのインターフェイスで有効になっている場合、スイッチは、サブネットに設定されたブロードキャスト IP アドレスとしてIP アドレスを書き換えて、そのサブネットでパケットをブロードキャストします。スイッチは、パケットをリンク層ブロードキャスト パケットに変換し、ネットワーク上のすべてのホストが処理します。

  • ターゲットサブネットに直接接続されているインターフェイスでターゲットブロードキャストが無効になっている場合、スイッチはパケットをドロップします。

ターゲットブロードキャストの実装

ターゲットブロードキャストをサブネットごとに設定するには、サブネットの VLAN の L3 インターフェイスでターゲットブロードキャストを有効にします。そのサブネットに接続されているスイッチが、サブネットのブロードキャスト IP アドレスを宛先アドレスとして持つパケットを受信すると、スイッチはサブネット上のすべてのホストにパケットをブロードキャストします。

デフォルトでは、ターゲットブロードキャストは無効になっています。

ターゲットブロードキャストを有効にするタイミング

ターゲットブロードキャストはデフォルトで無効になっています。インターネットに直接接続されていないサブネット内のホストで、バックアップや WOL タスクなどのリモート管理または管理サービスを実行する場合は、ターゲットブロードキャストを有効にします。

サブネット上でターゲットブロードキャストを有効にすると、そのサブネット内のホストにのみ影響します。サブネットのブロードキャスト IP アドレスを宛先アドレスとするサブネットの L3 インターフェイスで受信したパケットのみが、サブネットにフラッディングされます。

ターゲットブロードキャストを有効にしない場合

通常、インターネットに直接接続しているサブネットでは、ターゲットブロードキャストを有効にしません。サブネットの L3 インターフェイスでターゲットブロードキャストを無効にすると、そのサブネットにのみ影響します。サブネット上のターゲットブロードキャストを無効にし、そのサブネットのブロードキャスト IP アドレスを持つパケットがスイッチに到着すると、スイッチはブロードキャストパケットをドロップします。

サブネットがインターネットに直接接続されている場合、そのサブネット上でターゲットブロードキャストを有効にすると、ネットワークが DoS 攻撃を受けやすくなります。

悪意のある攻撃者は、送信元 IP アドレスをスプーフィングして、ネットワークを欺き、攻撃者を正規のものとして識別させることができます。その後、攻撃者はICMPエコー(ping)パケットでターゲットブロードキャストを送信できます。ターゲットブロードキャストが有効になっているネットワーク上のホストがICMPエコーパケットを受信すると、ホストは、なりすましの送信元IPアドレスを持つ被害者に応答を送信します。この返信により、DoS攻撃でping返信が大量に発生し、 スマーフ 攻撃と呼ばれるなりすましの送信元アドレスを圧倒する可能性があります。ターゲットブロードキャストが有効になっている公開ネットワークでよくあるDoS攻撃として、 フラグル 攻撃があります。この攻撃は smurf 攻撃と似ていますが、悪意のあるパケットが ICMP エコー パケットではなく UDP エコー パケットである点が異なります。

ターゲットブロードキャストの設定

ターゲットブロードキャストの設定

さまざまなオプションを使って、エグレスインターフェイス上でターゲットブロードキャストを設定することができます。

次のどちらの設定も可能です。

  • レイヤー3アドレス宛てのIPブロードキャストパケットを、エグレスインターフェイス経由で転送し、IPブロードキャストパケットのコピーをルーティングエンジンに送信することができます。

  • IPブロードキャストパケットを、エグレスインターフェイスを介してのみ転送するように許可することができます。

なおパケットは、エグレスインターフェイスがLANインターフェイスである場合にのみブロードキャストされます。

ターゲットブロードキャストとそのオプションを設定するには:

  1. インターフェイスを設定します。

    又は

  2. 論理ユニット番号を[edit interfaces interface-name階層レベルで設定します。
  3. [edit interfaces interface-name unit interface-unit-number階層レベルで、プロトコルファミリーをinetとして設定します。
  4. ターゲットブロードキャストを[edit interfaces interface-name unit interface-unit-number family inet階層レベルで設定します。
  5. IP ブロードキャスト パケットをレイヤー 3 アドレスに転送します。
    1. グレスインターフェイス経由で、同じパケットのコピーをルーティングエンジンに送信します。

      又は

    2. エグレスインターフェイスを介してのみ。

ターゲットブロードキャスト設定オプションを表示する

次の例では、ターゲットブロードキャストの設定オプションについて示しています。

エグレスインタフェイス上のIPブロードキャストパケットをルーティングエンジンに転送する

目的

エグレスインターフェイス上で、ターゲットブロードキャストがエグレスインターフェイス上のIPブロードキャストパケットを転送し、同じパケットのコピーをルーティングエンジンに送信するように設定されている場合、構成が表示されます。

アクション

irb の設定を表示するには、[edit interfaces irb unit interface-unit-number family inet]show コマンドを実行します。

エグレスインターフェイス上でのみIPブロードキャストパケットを転送する

目的

エグレスインターフェイス上で、エグレスインターフェイス上のみでIPブロードキャストパケットを転送するようにターゲットブロードキャストが設定されている場合に、設定を表示します。

アクション

設定を表示するには、[edit interfaces irb unit interface-unit-number family inet]show コマンドを実行します。