OpenConfigファイアウォールフィルターコマンドのJunos設定へのマッピング

メモ：

ジュニパーネットワークスACXシリーズ、MXシリーズ、PTXシリーズ向けのサポートされているデータモデルのバージョンとそのJunos OSまたはJunos Evolved OSリリースについては、 OpenConfigデータモデルのバージョンのトピックを参照してください。

以下の表は、OpenConfig ファイアウォールフィルターコマンドと Junos OS の関連設定とのマッピングを示しています。

表 1: 差別化されたサービスコードポイント(DSCP)フィルターの構成
表 2: Google ディスカバリープロトコル(GDP)とトレースルートの設定
_{表 3: MPLS フィルターの構成}
表 4: IPv4 フィルタ設定
表 5: IPv6 フィルタの設定
表 6: バインド構成
表 7: IPv6 ネットワークインスタンスフィルタリングの構成
表 8: ネットワークインスタンスアクションのフィルタリング設定
表 9: ネットワークインスタンスのバインド設定

表 1: 差別化されたサービスコードポイント(DSCP)フィルターの構成
コマンド名	OpenConfig Configuration	Junos の設定
フィルター	network-instances { network-instance n1 { policy-forwarding { policies { policy dscp-steer { config { policy-id dscp-steer; } rules { rule 1 { config { sequence-id 1; } ipv4 { config { dscp <>; } } ipv6 { config { dscp <>; } } action { config { network-instance <>; } } } } } } } }	firewall { family inet { filter dscp-steer-ipv4-n1 { term 1 { from { interface et-1/0/0.0; dscp <>; } then { routing-instance <>; } } term 2 { then accept; } } } family inet6 { filter dscp-steer-ipv6-n1 { term 1 { from { interface et-1/0/0.0; traffic-class <>; } then { routing-instance <>; } } term 2 { then accept; } } } }
バインディング	network-instances { network-instance n1 { policy-forwarding { interfaces { interface et-1/0/0.0 { config { apply-forwarding-policy dscp_steer; } interface-ref { config { interface et-1/0/0; subinterface 0; } } } } } } }	routing-instances { n1 { forwarding-options { family inet { filter { input dscp-steer-ipv4-n1; } } family inet6 { filter { input dscp-steer-ipv6-n1; } } } } } In case of binding to ‘default’ routing instance then following will be the junos config forwarding-options { family inet { filter { input dscp-steer-ipv4-n1; } } family inet6 { filter { input dscp-steer-ipv6-n1; } } }
このOpenConfig DSCP設定は、デバイス設定で指定された次の入力基準セットに従って、特定のポートにルーティングされたトラフィックをフィルタリングすることを目的としています。入力レイヤー 3 インターフェイス DSCP が有効トランスポートとしてのIPプロトコルの使用一致しない場合、パケットはデフォルトの VRF コンテキストにフィルタリングされ、公開されたヘッダーに従ってルーティングされます。

表 1: 差別化されたサービスコードポイント(DSCP)フィルターの構成

コマンド名

OpenConfig Configuration

Junos の設定

フィルター

network-instances {
  network-instance n1 {
     policy-forwarding {
        policies {
            policy dscp-steer {
                config {
                    policy-id dscp-steer;
                }
                rules {
                    rule 1 { 
                        config {
                            sequence-id 1;
                        }
                        ipv4 {
                            config {
                                dscp <>;
                            }
                        }
                        ipv6 {
                            config {
                                dscp <>;
                            }
                        }
                        action {
                            config {
                                network-instance <>;
                            }
                        }
                      }
                 }
            }
        }
    }
}

firewall  {
  family inet {
    filter dscp-steer-ipv4-n1 {
        term 1 { 
            from { 
                interface et-1/0/0.0; 
                dscp <>;
           } 
            then { 
                routing-instance <>; 
            } 
        }
        term 2 {
            then accept;
  	}
    } 
  }
  family inet6 {
    filter dscp-steer-ipv6-n1 {
        term 1 { 
            from { 
                interface et-1/0/0.0; 
                traffic-class <>;
           } 
            then { 
                routing-instance <>; 
            } 
        }
        term 2 {
            then accept;
  	}
    } 
  }

}

バインディング

network-instances {
  network-instance n1 {
    policy-forwarding {
        interfaces {
            interface et-1/0/0.0 {
                config {
                    apply-forwarding-policy dscp_steer;
                }
                interface-ref {
                    config {
                        interface et-1/0/0;
                        subinterface 0;
                    }
                }
            }
        }
     }
  } 
}

routing-instances {
      n1 {
            forwarding-options { 
                 family inet { 
                     filter { 
                         input dscp-steer-ipv4-n1;  
                     } 
                 } 
                 family inet6 { 
                     filter { 
                         input dscp-steer-ipv6-n1;  
                     } 
                 } 
            }
       }
} 

In case of binding to ‘default’ routing instance then following will be the junos config

forwarding-options { 
       family inet { 
              filter { 
                   input dscp-steer-ipv4-n1;  
              } 
       } 
       family inet6 { 
              filter { 
                    input dscp-steer-ipv6-n1;  
              } 
       } 
 }

このOpenConfig DSCP設定は、デバイス設定で指定された次の入力基準セットに従って、特定のポートにルーティングされたトラフィックをフィルタリングすることを目的としています。

入力レイヤー 3 インターフェイス
DSCP が有効
トランスポートとしてのIPプロトコルの使用

一致しない場合、パケットはデフォルトの VRF コンテキストにフィルタリングされ、公開されたヘッダーに従ってルーティングされます。

表 2: Google ディスカバリープロトコル(GDP)とトレースルートフィルターの設定
コマンド名	OpenConfig Configuration	Junos の設定
フィルター	acl-sets { acl-set gdp-trace-route-filter ACL_MIXED { config { name gdp-trace-route-filter; type ACL_MIXED; } acl-entries { acl-entry 1 { config { sequence-id 1; } l2 { config { ethertype 0x6007; } } actions { config { jnx-redirect <>; } } acl-entry 2 { config { sequence-id 2; } ipv4 { config { hop-limit 0; } } actions { config { jnx-redirect <>; } } acl-entry 3 { config { sequence-id 3; } ipv4 { config { hop-limit 1; } } actions { config { jnx-redirect <>; } } acl-entry 4 { config { sequence-id 4; } ipv6 { config { hop-limit 0; } } actions { config { jnx-redirect <>; } } acl-entry 5 { config { sequence-id 5; } ipv6 { config { hop-limit 1; } } actions { config { jnx-redirect <>; } } } acl-entry 6 { config { sequence-id 6; } actions { config { forwarding-action ACCEPT; } } } } } } }	firewall { family any { filter gdp-trace-route-filter { term 1 { from { ether-type 0x6007; } then redirect <>; } term 2 { from { ip-version { ipv4 { ttl 0; } } } then redirect <>; } term 3 { from { ip-version { ipv4 { ttl 1; } } } then redirect <>; } term 4 { from { ip-version { ipv6 { hop-limit 0; } } } then redirect <>; } term 5 { from { ip-version { ipv6 { hop-limit 1; } } } then redirect <>; } term 6 { then accept; } } } } services { inline-monitoring { instance { <> { controller p4; } } } }
Junos`redirect`ステートメントは、`redirect`フィルター条件内のアクションに対応します。インライン監視は暗黙的に構成されます。ステートメントの下は`instance-nameredirect`変更できません。ステートメントを削除し`redirect`、設定を再度コミットする必要があります。
バインディング	interfaces { interface et-0/0/1 { config { id et-0/0/1; } interface-ref { config { interface et-0/0/1; subinterface 4000; } } ingress-acl-sets { ingress-acl-set gdp-trace-route-filter ACL_MIXED { config { set-name gdp-trace-route-filter; type ACL_MIXED; } } } } }	/* gdp-trace-route-filter binding */ interfaces { et-0/0/1 { unit 4000 { filter { input gdp-trace-route-filter; } } } }

コマンド名

OpenConfig Configuration

Junos の設定

フィルター

acl-sets { 
   acl-set gdp-trace-route-filter ACL_MIXED { 
        config { 
            name gdp-trace-route-filter; 
            type ACL_MIXED; 
        } 
        acl-entries { 
            acl-entry 1 { 
                config {
                    sequence-id 1;
                }
                l2 { 
                    config { 
                       ethertype 0x6007; 
                    } 
                } 
                actions { 
                    config { 
                       jnx-redirect <>; 
                    } 
                } 
            acl-entry 2 {
                config {
                    sequence-id 2;
                } 
                ipv4 { 
                    config { 
                        hop-limit 0; 
                    } 
                } 
                actions { 
                    config { 
                      jnx-redirect <>; 
                    } 
                } 
            acl-entry 3 {
                config {                
                    sequence-id 3;      
                }  
                ipv4 { 
                    config { 
                         hop-limit 1; 
                    } 
                } 
                actions { 
                    config { 
                       jnx-redirect <>; 
                    } 
                } 
            acl-entry 4 {
                config {                
                    sequence-id 4;      
                } 
                ipv6 { 
                    config { 
                          hop-limit 0; 
                    } 
                } 
                actions { 
                    config { 
                       jnx-redirect <>; 
                    } 
                } 
            acl-entry 5 { 
                config {                
                    sequence-id 5;      
                }  
                ipv6 { 
                    config { 
                          hop-limit 1; 
                    } 
                } 
                actions { 
                    config { 
                       jnx-redirect <>; 
                    } 
                } 
            } 
            acl-entry 6 { 
                config {                
                    sequence-id 6;      
                }
                actions { 
                    config { 
                       forwarding-action ACCEPT; 
                    } 
                } 
            } 
        } 
    } 
  } 
}

firewall {
    family any {
        filter gdp-trace-route-filter {
            term 1 {
                from {
                    ether-type 0x6007;
                }
                then redirect <>;  
            }
            term 2 {
                from {
                    ip-version {
                        ipv4 {
                            ttl 0;
                        }
                    }
                }
                then redirect <>;  
            }
            term 3 {
                from {
                    ip-version {
                        ipv4 {
                            ttl 1;
                        }
                    }
                }
                then redirect <>;  
            }
            term 4 {                    
                from {                  
                    ip-version {        
                        ipv6 {          
                            hop-limit 0;
                        }               
                    }                   
                }                       
                then redirect <>;  
            }                           
            term 5 {                    
                from {                  
                    ip-version {        
                        ipv6 {          
                            hop-limit 1;
                        }               
                    }                   
                }                       
                then redirect <>;  
            }                           
            term 6 {                    
                then accept;            
            }                           
        }                               
    }                                   
} 
services {
    inline-monitoring {
        instance {
            <> {
                controller p4;
            }
        }
    }
}

Junosredirectステートメントは、redirectフィルター条件内のアクションに対応します。インライン監視は暗黙的に構成されます。ステートメントの下はinstance-nameredirect変更できません。ステートメントを削除しredirect、設定を再度コミットする必要があります。

バインディング

interfaces { 
    interface et-0/0/1 { 
        config { 
             id et-0/0/1; 
        } 
        interface-ref { 
            config { 
                interface et-0/0/1; 
                subinterface 4000; 
            } 
        } 
        ingress-acl-sets { 
             ingress-acl-set gdp-trace-route-filter ACL_MIXED { 
                 config { 
                      set-name gdp-trace-route-filter; 
                      type ACL_MIXED; 
                } 
             } 
         } 
    } 
}

/* gdp-trace-route-filter binding */ 
interfaces { 
     et-0/0/1 { 
         unit 4000 { 
               filter {
		 input gdp-trace-route-filter; 
               }
         } 
     } 
}

表 3: MPLS フィルターの構成
コマンド名	OpenConfig Configuration	Junos の設定
トラフィッククラス	acl-sets { acl-set <> ACL_MPLS { acl-entries { acl-entry 1 { mpls { config { traffic-class <>; } } } } } }	family mpls { filter <> { term <> { from { exp0 <>; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/mpls/config/traffic-class
開始ラベルの値	acl-sets { acl-set <> ACL_MPLS { acl-entries { acl-entry 1 { mpls { config { start-label-value <>; } } } } } }	family mpls { filter <> { term <> { from { label 0 <>; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/mpls/config/start-label-value
終了ラベル値	acl-sets { acl-set <> ACL_MPLS { acl-entries { acl-entry 1 { mpls { config { end-label-value <>; } } } } } }	family mpls { filter <> { term <> { from { label 0 <>; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/mpls/config/end-label-value

表 4: IPv4 フィルタ設定
コマンド名	OpenConfig Configuration	Junos の設定
宛先アドレス	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { ipv4 { config { destination-address <>; } } } } } }	firewall { family inet { filter <> { term <> { from { destination-address { <>; } } } } } }
OpenConfig path: acl/acl-sets/acl-set/acl-entries/acl-entry/ipv4/config/destination-address
Dscp	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { ipv4 { config { dscp <>; } } } } } }	Firewall { family inet { filter <> { term <> { from { dscp <>; } } } } }
OpenConfig path: acl/acl-sets/acl-set/acl-entries/acl-entry/ipv4/config/dscp
ホップ制限	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { ipv4 { config { hop-limit <>; } } } } } }	firewall { family inet { filter <> { term <> { from { ttl <>; } } } } }
OpenConfig path: acl/acl-sets/acl-set/acl-entries/acl-entry/ipv4/config/hop-limit
プロトコル	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { ipv4 { config { protocol <>; } } } } } }	firewall { family inet { filter <> { term <> { from { protocol <>; } } } } }
OpenConfig path: acl/acl-sets/acl-set/acl-entries/acl-entry/ipv4/config/protocol
送信元アドレス	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { ipv4 { config { source-address <>; } } } } } }	firewall { family inet { filter <> { term <> { from { source-address { <>; } } } } } }
OpenConfig path: acl/acl-sets/acl-set/acl-entries/acl-entry/ipv4/config/source-address
宛先ポート	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { transport { config { destination-port <>; } } } } } }	firewall { family inet { filter <> { term <> { from { destination-port <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/destination-port
送信元ポート	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { transport { config { source-port <>; } } } } } }	firewall { family inet { filter <> { term <> { from { source-port <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/source-port
TCP フラグ	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { transport { config { tcp-flags <>; } } } } } }	firewall { family inet { filter <> { term <> { from { tcp-flags <>; } } } } }
OpenConfig path: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/tcp-flags
インターフェイス	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { input-interface { interface-ref { config { interface <>; subinterface <>; } } } } } } }	firewall { family inet { filter <> { term <> { from { interface <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/input-interface/interface-ref/config/interface-subinterface
転送アクション受け入れる	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { actions { config { forwarding-action ACCEPT; } } } } } }	firewall { family inet { filter <> { term <> { then accept; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
転送アクションドロップ	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { actions { config { forwarding-action DROP; } } } } } }	firewall { family inet { filter <> { term <> { then { discard; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
転送アクション拒否	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { actions { config { forwarding-action REJECT; } } } } } }	firewall { family inet { filter <> { term <> { then { reject; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
ログアクションLOG_SYSLOG	acl-sets { acl-set <> ACL_IPV4 { acl-entries { acl-entry <> { actions { config { log-action LOG_SYSLOG; } } } } } }	firewall { family inet { filter <> { term <> { then syslog; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/log-action

表 5: IPv6 フィルタの設定
コマンド名	OpenConfig Configuration	Junos の設定
宛先アドレス	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { ipv6 { config { destination-address <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { destination-address { <>; } } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/ipv6/config/destination-address
ホップ制限	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { ipv6 { config { hop-limit <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { hop-limit <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/ipv6/config/hop-limit
プロトコル	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { ipv6 { config { protocol <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { next-header <>; } } } } }
OpenConfig path: /acl/acl-sets/acl-set/acl-entries/acl-entry/ipv6/config/protocol
送信元アドレス	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { ipv6 { config { source-address <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { source-address { <>; } } } } } }
OpenConfig path: /acl/acl-sets/acl-set/acl-entries/acl-entry/ipv6/config/source-address
Dscp	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { ipv6 { config { dscp <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { traffic-class <>; } } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/ipv6/config/dscp
宛先ポート	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { transport { config { destination-port <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { destination-port <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/destination-port
送信元ポート	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { transport { config { source-port <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { source-port <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/source-port
TCP フラグ	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { transport { config { tcp-flags <>; } } } } } }	firewall { family inet6 { filter <> { term <> { from { tcp-flags <>; } } } } }
OpenConfig path: /acl/acl-sets/acl-set/acl-entries/acl-entry/transport/config/tcp-flags
インターフェイス	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { input-interface { interface-ref { config { interface <>; subinterface <>; } } } } } } }	firewall { family inet6 { filter <> { term <> { from { interface <>; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/input-interface/interface-ref/config/interface
転送アクション受け入れる	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { actions { config { forwarding-action ACCEPT; } } } } } }	firewall { family inet6 { filter <> { term <> { then accept; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
転送アクションドロップ	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { actions { config { forwarding-action DROP; } } } } } }	firewall { family inet6 { filter <> { term <> { then discard; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
転送アクション拒否	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { actions { config { forwarding-action REJECT; } } } } } }	firewall { family inet6 { filter <> { term <> { then { reject; } } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/forwarding-action
ログアクションLOG_SYSLOG	acl-sets { acl-set <> ACL_IPV6 { acl-entries { acl-entry <> { actions { config { log-action LOG_SYSLOG; } } } } } }	firewall { family inet6 { filter <> { term <> { then syslog; } } } }
OpenConfig パス: /acl/acl-sets/acl-set/acl-entries/acl-entry/actions/config/log-action

表 6: バインド構成
コマンド名	OpenConfig Configuration	Junos の設定
イングレスバインド設定	openconfig-acl:acl { interfaces { interface <> { interface-ref { config { interface <>; subinterface <>; } } ingress-acl-sets { ingress-acl-set <> ACL_IPV6; } } } }	interfaces { xe-<> { unit 0 { family inet6 { filter { input <>; } } } } }
OpenConfig パス: /acl/interfaces/interface/config/interface/interface-ref/config/interface/ingress-acl-sets/ingress-acl-set
エグレスバインド設定	openconfig-acl:acl { interfaces { interface <> { interface-ref { config { interface <>; subinterface <>; } } egress-acl-sets { egress-acl-set <> ACL_IPV6; } } } }	interfaces { <> { unit 0 { family inet6 { filter { output <>; } } } } }
OpenConfig パス: /acl/interfaces/interface/config/interface/interface-ref/config/interface/egress-acl-sets/egress-acl-set

表 7: IPv6 ネットワークインスタンスフィルタリングの構成
コマンド名	OpenConfig Configuration	Junos の設定
宛先アドレス	network-instances { network-instance <> { policy-forwarding { policies { policy <> { rules { rule <> { ipv6 { config { destination-address <>; } } } } } } } } }	firewall { family inet6 { filter <> { term <> { from { destination-address { <>; } } } } } }
OpenConfigパス: /network-instances/network-instance/policy-forwarding/policies/policy/rules/rule/ipv6/config/destination-address
ホップ制限	network-instances { network-instance <> { policy-forwarding { policies { policy <> { rules { rule <> { ipv6 { config { hop-limit <>; } } } } } } } } }	firewall { family inet6 { filter <> { term <> { from { ttl <>; } } } } }
OpenConfigパス: /network-instances/network-instance/policy-forwarding/policies/policy/rules/rule/ipv6/config/hop-limit
プロトコル	network-instances { network-instance <> { policy-forwarding { policies { policy <> { rules { rule <> { ipv6 { config { protocol <>; } } } } } } } } }	firewall { family inet6 { filter <> { term <> { from { protocol <>; } } } } }
OpenConfigパス: /network-instances/network-instance/policy-forwarding/policies/policy/rules/rule/ipv6/config/protocol
送信元アドレス	network-instances { network-instance <> { policy-forwarding { policies { policy dscp <> { rules { rule <> { ipv6 { config { source-address <>; } } } } } } } } }	firewall { family inet6 { filter <> { term <> { from { source-address <>; } } } } }
OpenConfigパス: /network-instances/network-instance/policy-forwarding/policies/policy/rules/rule/ipv6/config/source-address
アクション: 破棄	network-instances { network-instance <> { policy-forwarding { policies { policy <> { rules { rule <> { action { config { discard <>; } } } } } } } } }	firewall { family inet6 { filter <> { term <> { then { discard; } } } } }

表 8: ネットワークインスタンスアクションのフィルタリング設定
コマンド名	OpenConfig Configuration	Junos の設定
アクション: 破棄	network-instances { network-instance <> { policy-forwarding { policies { policy <> { rules { rule <> { action { config { discard <>; } } } } } } } } }	firewall { family inet { filter <> { term <> { then { discard; } } } } } firewall { family inet6 { filter <> { term <> { then { discard; } } } } }
OpenConfigパス: /network-instances/network-instance/policy-forwarding/policies/policy/rules/rule/action/config/discard
アクション: ネットワークインスタンスの設定	network-instances { network-instance <> { policy-forwarding { policies { policy dscp-steer { rules { rule <> { action { config { network-instance <>; } } } } } } } } }	firewall { family inet { filter <> { term <> { then { routing-instance <>; } } } } } firewall { family inet6 { filter <> { term <> { then { routing-instance <>; } } } } }
OpenConfig パス: /network-instances/network-instance/policy-forwarding/policies/policy dscp-steer/rules/rule/action/config/network-instance メモ： `network-instance`リーフが設定されている場合、転送ルールの一致条件に一致するパケットは、インターフェイスが関連付けられているネットワークインスタンスではなく、参照されているネットワークインスタンスで検索されます。この設定により、単一のイングレスアクセスインターフェイスから複数のサブトポロジーに対するポリシールーティングが可能になります。

表 9: ネットワークインスタンスのバインド設定
コマンド名	OpenConfig Configuration	Junos の設定
INET:転送ポリシーの適用(デフォルトルーティングインスタンス)	INETインターフェイスバインドイングレス(デフォルトルーティングインスタンス) network-instances { network-instance <> { policy-forwarding { interfaces { interface <> { config { apply-forwarding-policy <>; } interface-ref { config { interface <>; subinterface <>; } } } } } } }	INETインターフェイスバインドイングレス(デフォルトルーティングインスタンス) firewall { family inet { filter <> { term <> { then { next-interface; } } } } } forwarding-options { family inet { filter { input <>; } } }
OpenConfig パス: /network-instances/network-instance/policy-forwarding/interfaces/interface/config/apply-forwarding-policy/interface-ref/config/interface/subinterface メモ： `apply-forwarding-policy`リーフを使用して、ポリシーをインターフェイスに適用します。参照されたインターフェイスで受信するパケットを、指定されたポリシー内の一致基準と比較する必要があります。条件が満たされると、指定された転送アクションが適用されます。これらのポリシーは、対応するインターフェイスでのサービス品質分類や ACL アクションよりも優先されません。
INET:転送ポリシーの適用(デフォルトのルーティングインスタンスではありません )	INETインターフェイスバインドイングレス(デフォルトのルーティングインスタンスではありません) network-instances { network-instance <> { policy-forwarding { interfaces { interface <> { config { apply-forwarding-policy <>; } interface-ref { config { interface <>; subinterface <>; } } } } } } }	INETインターフェイスバインドイングレス(デフォルトのルーティングインスタンスではありません) firewall { family inet { filter <> { term <> { then { next-interface; } } } } } routing-instances { <> { forwarding-options { family inet { filter { input <>; } } } } }
OpenConfig パス: /network-instances/network-instance/policy-forwarding/interfaces/interface/config/apply-forwarding-policy/interface-ref/config/interface/subinterface
INET6: 転送ポリシーの適用(デフォルトルーティングインスタンス)	INET6 インターフェイスバインドイングレス(デフォルトルーティングインスタンス) network-instances { network-instance <> { policy-forwarding { interfaces { interface <> { config { apply-forwarding-policy <>; } interface-ref { config { interface <>; subinterface <>; } } } } } } }	INET6 インターフェイスバインドイングレス(デフォルトルーティングインスタンス) firewall { family inet6 { filter <> { term <> { then { next-interface; } } } } } forwarding-options { family inet6 { filter { input <>; } } }
OpenConfig パス: /network-instances/network-instance/policy-forwarding/interfaces/interface/config/apply-forwarding-policy/interface-ref/config/interface/subinterface
INET6: 転送ポリシーの適用(デフォルトのルーティング・インスタンスではない )	INET6 インターフェイスバインドイングレス(デフォルトのルーティングインスタンスではありません) network-instances { network-instance <> { policy-forwarding { interfaces { interface <> { config { apply-forwarding-policy <>; } interface-ref { config { interface <>; subinterface <>; } } } } } } }	INET6 インターフェイスバインドイングレス(デフォルトのルーティングインスタンスではありません) firewall { family inet6 { filter <> { term <> { then { next-interface; } } } } } routing-instances { <> { forwarding-options { family inet6 { filter { input <>; } } } } }
メモ：これらのフィルターは、入力転送テーブルフィルターとして実装されることに注意してください。メモ：エグレスフィルタリングはサポートされていません。