Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

Filter-Based Forwarding Overview

ファイアウォールフィルターを使用して、特定のパケットをブロックできます。また、特定のパケットの転送方法に影響を与えるためにも使用できます。

パケットを分類したり、ルーティングインスタンスに誘導したりするフィルター

IPv4 または IPv6 トラフィックの場合のみ、ステートレス ファイアウォール フィルターを転送クラスおよびルーティング インスタンスと組み合わせて使用することで、パケットのネットワーク内の移動方法を制御できます。これは、 フィルターベース転送 (FBF)と呼ばれます。

送信元アドレスに基づいて着信パケットを照合し、一致するパケットを指定された転送クラスに分類するフィルタリング項目を定義できます。このタイプのフィルタリングは、特定のタイプのトラフィックに優遇措置を与えたり、ロードバランシングを向上させたりするように設定できます。ステートレスファイアウォールフィルター forwarding-class class-nameを設定してパケットを転送クラスに分類するには、非終了アクションで条件を設定します。

また、一致するパケットを指定されたルーティングインスタンスに送信するフィルタリング条件を定義することもできます。このタイプのフィルタリングは、トラフィックがそのパスを続ける前に、ファイアウォールまたは他のセキュリティデバイスを介して特定のタイプのトラフィックをルーティングするように設定できます。トラフィックをルーティングインスタンスに転送するステートレスファイアウォールフィルターを設定するには、terminating アクションで条件を設定し、一致するパケットが転送されるルーティングインスタンスを指定します。routing-instance routing-instance-name <topology topology-name>

注:

ユニキャストリバースパスフォワーディング(uRPF)チェックは、FBFアクションと互換性があります。uRPF チェックは、スタティックおよび動的インターフェイスに対して FBF アクションが有効になる前に、送信元アドレス チェックのために処理されます。これは、IPv4 ファミリと IPv6 ファミリの両方に適用されます。
注:

サービス オフロード(SOF)および電源モード Ipsec(PMI)パスの後には、FBF で転送されるパケットは続きません。

  • SOF - SOF が有効になっている場合でも、パケットは FBF で転送される場合、SOF を通過しません。

  • PMI - PMI が構成されている場合、フィルターが構成されている方向では、その方向のパケットは PMI を通過しません。戻りパケットがFBFで転送されない限り、返されるパケットはPMIを通過します。

マスター ルーティング インスタンスにトラフィックを転送するには、次に示すように、ファイアウォール構成で を参照 します。routing-instance default

注:

参照 しないでください。routing-instance master これは機能しません。

ルーターまたはスイッチ内でパケットを分類して転送するための入力フィルタリング

イングレスインターフェイスにフィルターを設定することで、送信元アドレスに基づいてパケットを分類するフィルターを設定し、ルーターまたはスイッチ内でパケットが通過する転送パスを指定できます。

たとえば、アプリケーションでこのフィルターを使用して、共通のアクセス レイヤー (レイヤー 2 スイッチなど) を持ち、異なるインターネット サービス プロバイダー (ISP) に接続されている 2 つのクライアントからのトラフィックを区別できます。フィルターが適用されると、ルーターまたはスイッチは 2 つのトラフィック ストリームを区別して、それぞれを適切なネットワークに送信できます。クライアントが使用しているメディアの種類に応じて、フィルターは送信元 IP アドレスを使用して、トンネルを介して対応するネットワークにトラフィックを転送できます。また、フィルターを設定し、IP プロトコルタイプまたは IP 優先順位ビットに基づいてパケットを分類することもできます。

パケットを別のルーティングテーブルに転送する出力フィルタリング

また、エグレスインターフェイスでフィルターを設定することで、出力フィルターに基づいてパケットを転送することもできます。ポートミラーリングの場合、ポート ミラーリングされたパケットを、パケットヘッダーのパターンに基づいて複数の監視PICや収集PICに分散させると便利です。ポートミラーリングのエグレスインターフェイスにFBFを設定する必要があります。

出力フィルターに転送されたパケットは、FBFフィルターがエグレスインターフェイスで設定されている場合、少なくとも1回のルート検索を通過しています。パケットがエグレスインターフェイスでFBFフィルタによって分類された後、さらなるルート検索のために別のルーティングテーブルにリダイレクトされます。

フィルターベース転送の適用に関する制約事項

フィルターベース転送が設定されたインターフェイスは、ソースクラス使用率(SCU)フィルターマッチングまたはソースクラスおよび宛先クラス使用率(SCU/DCU)アカウンティングをサポートしません。

フィルターベース転送がインターフェイスに直接接続されている場合、または転送テーブルフィルターを介して接続されている場合、そのインターフェイスのDCUは機能しません。

関連項目