Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

フィルターベースのフォワーディングの概要

ファイアウォールフィルターを使用して、特定のパケットをブロックできます。また、特定のパケットの転送方法に影響を与えるために使用することもできます。

パケットを分類したり、ルーティングインスタンスに誘導したりするフィルター

IPv4またはIPv6トラフィックの場合のみ、ステートレスファイアウォールフィルターを転送クラスやルーティングインスタンスと組み合わせて使用することで、パケットがネットワーク内でどのように移動するかを制御できます。これは 、フィルターベースの転送 (FBF)と呼ばれます。

送信元アドレスに基づいて着信パケットを照合し、照合したパケットを指定した転送クラスに分類するフィルタリング条件を定義できます。このタイプのフィルタリングは、特定のタイプのトラフィックを優遇したり、ロードバランシングを改善したりするために設定することができます。パケットを転送クラスに分類するようにステートレスファイアウォールフィルターを設定するには、非終了アクションforwarding-class class-nameで条件を設定します。

また、一致するパケットを指定されたルーティングインスタンスに誘導するフィルタリング条件を定義することもできます。このタイプのフィルタリングは、トラフィックがそのパスを継続する前に、ファイアウォールまたはその他のセキュリティデバイスを介して特定のタイプのトラフィックをルーティングするように設定できます。トラフィックをルーティングインスタンスに誘導するようにステートレスファイアウォールフィルターを設定するには、終了アクションrouting-instance routing-instance-name <topology topology-name>で条件を設定し、一致するパケットが転送されるルーティングインスタンスを指定します。

注:

ユニキャストリバースパスフォワーディング(uRPF)チェックは、FBFアクションと互換性があります。静的および動的インターフェイスに対してFBFアクションを有効にする前に、送信元アドレスチェックのためのuRPFチェックが処理されます。これは、IPv4 と IPv6 の両方のファミリーに適用されます。
注:

FBFで転送されるパケットは、サービスオフロード(SOF)およびパワーモードIpsec(PMI)パスの後に続きません。

  • SOF - SOFが有効になっていても、FBFで転送される場合、パケットはSOFを通過しません。

  • PMI - PMIが設定されている場合、フィルターが設定されている方向、その方向のパケットはPMIを通過しません。返送パケットがFBFで転送されない限り、返送パケットはPMIを通過します。
注:

デバイスから別のデバイスへのトレースルートを実行し、ポリシーベースのルーティングが設定されたACX7K(Junos OS Evolved)デバイスがトランジットパスにある場合、トレース結果に重複したホップが観察されます。

マスタールーティングインスタンスにトラフィックを転送するには、次に示すように、ファイアウォール設定で routing-instance default を参照します。

注:

routing-instance masterを参照しないでください。これは機能しません。

ルーターまたはスイッチ内でパケットを分類して転送するための入力フィルタリング

送信元アドレスに基づいてパケットを分類するフィルターを設定し、イングレスインターフェイスにフィルターを設定することで、パケットがルーターまたはスイッチ内で通過する転送パスを指定できます。

例えば、このフィルターをアプリケーションに使用して、共通のアクセスレイヤー(レイヤー2 スイッチなど)を持ちながら、異なるインターネットサービスプロバイダ(ISP)に接続されている2つのクライアントからのトラフィックを区別できます。フィルターが適用されると、ルーターまたはスイッチは 2 つのトラフィック ストリームを区別し、それぞれを適切なネットワークに誘導できます。クライアントが使用しているメディアタイプに応じて、フィルターは送信元IPアドレスを使用して、トンネルを介して対応するネットワークにトラフィックを転送できます。また、IPプロトコルタイプまたはIP優先度ビットに基づいてパケットを分類するようにフィルターを設定することもできます。

別のルーティングテーブルにパケットを転送する出力フィルタリング

また、エグレスインターフェイスにフィルターを設定することで、出力フィルターに基づいてパケットを転送することもできます。 ポートミラーリングの場合、ポートミラーリングされたパケットを、パケットヘッダーのパターンに基づいて複数の監視PICや収集PICに分配すると便利です。ポートミラーリングエグレスインターフェイス上のFBFを設定する必要があります。

出力フィルターに転送されたパケットは、エグレスインターフェイスでFBFフィルターが設定されている場合、少なくとも1つのルート検索を経ています。パケットがエグレスインターフェイスでFBFフィルターによって分類された後、さらなるルート検索のために別のルーティングテーブルにリダイレクトされます。

フィルターベースフォワーディングの適用に関する制限事項

フィルターベースの転送で設定されたインターフェイスは 、ソースクラス使用率(SCU)フィルターマッチングまたはソースクラスと宛先クラス使用率(SCU/DCU)アカウンティングをサポートしていません。

フィルターベースの転送がインターフェイスに直接接続されている場合、または転送テーブルフィルターを介して接続されている場合、そのインターフェイス上のDCUは機能しません。

関連ドキュメント