Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ルーティングポリシーおよびファイアウォールフィルター

  • 非ローカルパケットの自動ドロップ(ACX7020-AC、ACX7020-AC-C、ACX7020-DC、ACX7020-DC-C、ACX7020-FLTR、ACX7024X、ACX7100-32C、ACX7100-48L、ACX7332、ACX7348、ACX7509、ACX7024、、PTX10001-36MR、PTX10002-36QDD、PTX10003、PTX10004、PTX10008、PTX10016、PTX12008、QFX5130-32CD、QFX5130E-32CD、QFX5130-48C、QFX5130-48CM、QFX5220、QFX5230-64CD、QFX5240-64OD、QFX5240-64QD、QFX5700、QFX5700E)- デバイスは、例外パケットとしてフラグが立てられていない限り、ルーティングエンジンに対してローカルでないすべてのパケットをドロップします。この機能は、サポートされているすべてのプラットフォームで自動的に有効になります。ドロップされたパケット数は、 show system statistics コマンドの「non-local drops」カウンターで確認できます。

    [ show system statistics を参照]

  • 高速検索フィルター(PTX10002-36QDDおよびPTX12008)のファイアウォールフィルター一致条件のサポート—これらのプラットフォームのこのリリースで、高速検索フィルターの新しい一致条件が導入されました。

    [ fast-lookup-filter(PTX)を参照してください。

  • CLIおよび非CLIファイアウォールフィルターの設定およびコンパイルされた情報の表示(PTX10001-36MR、PTX10002-36QDD、PTX10003、PTX10004、PTX10008、およびPTX10016)—ファイアウォールフィルターが設定されている場合、設定に対して最適化操作が実行されます。最適化プロセスでは、フィルターの項がマージまたは削除される場合があります。このアクションにより、設定されたフィルターとハードウェアでプログラムされたフィルターの間に違いが生じる可能性があります。2つの新しい show コマンドが導入され、CLIまたは非CLIファイアウォールフィルターの設定情報、またはコンパイル/最適化後の同じファイアウォールフィルターの情報が表示されます。

    [ show-firewall-configurationを参照]

  • 名前付きリスト(PTX10001-36MR、PTX10002-36QDD、PTX10003、PTX10004、PTX10008、PTX10016)で送信元ポートまたは宛先ポートを一致させるポートリストを作成して、複数のポート(送信元ポートまたは宛先ポート)を便利にグループ化し、ファイアウォール設定でポートリスト、ソースポートリスト、宛先ポートリストの一致条件として簡単に参照できるようにします。

    [ port-list を参照してください。

  • ポリシーを使用してフロー指定フィルターを検証する(PTXシリーズ)—ポリシーを使用して、外部BGP(外部BGP)セッション上のフロールートをピアにシグナリングするエッジルーターでフロー仕様フィルターを検証します。ポリシーを設定することで、フロー ルートがプロトコル セッションを誤ってまたは悪意を持ってブロックするのを防ぐことができます。また、送信元から不正な形式、サポートされていない、または望ましくないフロー ルートが侵入するのを防ぐこともできます。

    [edit policy-options flowspec-attribute]階層レベルで一致条件とフロー ルート アクションを指定して、ポリシーを設定します。

    [ フロー ルート検証のポリシーの設定] を参照してください。

  • 選択的フロー ルート(PTXシリーズ)でルートごとのアカウンティングを有効にするポリシー—フロー仕様ルートの個々のカウンターを選択的に有効にすることができます。以下のステートメント形式で、新しいポリシーアクション flow route accounting を使用します。

    set policy-options policy-statement < term > then flow-route-accounting

    [ flowspec-attribute を参照]

  • フロー ファミリー マッチング ポリシー設定用の新しい CLI オプション(PTXシリーズ)—特定のファミリー ルートとマッチングするポリシーを設定するために、以下の新しい CLI オプションを使用できます。以下のオプションは、 [edit policy-options policy-statement from family] 階層レベルで使用します。

    inet-flow—IPv4フローファミリー

    inet6-flow—IPv6フローファミリー

    inet-vpn-flow—IPv4 VPN フロー ファミリー

    inet6-vpn-flow—IPv6 VPN フロー ファミリー

    [ flowspec-attribute を参照]