Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

サービスフィルターの適用に関するガイドライン

アダプティブサービスインターフェイスの制限事項

アダプティブサービスインターフェイスとサービスフィルターには、以下の制約事項が適用されます。

アダプティブサービスインターフェイス

サービスフィルタは、アダプティブサービスインターフェイスでのみ、サービスセットに関連付けられた IPv4 または IPv6 トラフィックに適用できます。適応サービスインターフェイスは、以下のハードウェアでのみサポートされています。

  • アクセス ルーター上AS適応型サービス(M Series)T SERIES PIC

  • マルチサービス(MS)PIC(マルチM SeriesとT Seriesルーター)

  • ルーティング ルーターおよびMX シリーズスイッチ上の MS DPC EX シリーズ

  • MX シリーズルーター上の MS MPCs と Mic

リモート ホストへのリモート ホストへのM Seriesアクセス

適応型サービス インターフェイス メッセージまたはポートによる外部サーバーへのロギングは、一部のルーター M Series fxp0em0 サポートされていません。このアーキテクチャでは、管理インターフェイスからのシステムロギングトラフィックはサポートされていません。代わりに、パケット転送エンジンインターフェイスでは、外部サーバーへのアクセスがサポートされています。

サービスフィルターを適用するためのステートメント階層

IPv4 または IPv6 トラフィックのパケットフィルタリングを有効にすることで、入力または出力サービス処理にパケットを受け付けることができます。そのためには、サービスフィルターを、インターフェイスサービスセットと連携して、アダプティブサービスインターフェイスの入力または出力に適用します。

また、入力サービスの処理が完了した後、パケット転送エンジンに返される IPv4 または IPv6 トラフィックのパケットフィルタリングを有効にすることもできます。これを行うには、アダプティブサービスインターフェイス入力にポストサービスフィルターを適用します。

以下の構成は、サービスフィルターを適応サービスインターフェイスに適用できる階層レベルを示しています。

サービスルールとアダプティブサービスインターフェイスの関連付け

サービスルールを定義およびグループ化するには、適応サービスインターフェイスに適用するには、 service-set service-set-name階層レベルにステートメント[edit services]を含めることで、インターフェイスサービスセットを定義します。

インターフェイスサービスセットをアダプティブサービスインターフェイスの入出力に適用するには、以下のservice-set service-set-name階層レベルを含める必要があります。

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

サービス セットを適応型サービス インターフェイスの 1 方向に適用するが、サービス セットを他の方向に適用しない場合、設定のコミット時にエラーが発生します。

アダプティブサービス PIC では、パケットが PIC に送信されるかどうか、入力サービスと出力サービスのどちらを使用するかによって、異なるアクションを実行します。たとえば、単一のサービスセットを構成して、一方向にネットワークアドレス変換 (NAT) を実行し、逆方向の宛先 NAT (dNAT) にすることができます。

パケットを受信する前にトラフィックをフィルタリングしてサービス処理を実行

パケットを受信する前に IPv4 または IPv6 トラフィックをフィルタリングするには、次service-set service-set-name service-filter service-filter-nameのいずれかのインターフェイスを追加します。

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

service-set-nameの場合は、 [edit services service-set]階層レベルで構成されたサービスセットを指定します。

サービスが適用された後でも、サービスセットは入力インターフェイス情報を保持するため、入力インターフェイス情報に依存するフィルタクラスの転送や DCU (宛先クラスの使用) などの機能は継続して動作します。

以下の要件は、サービス処理用にパケットを受信する前に、インバウンドまたはアウトバウンドのトラフィックをフィルタリングするために適用されます。

  • インターフェイスの入出力側と同じサービスセットを構成します。

  • オプションservice-setの定義なしservice-filterでステートメントを指定した場合、Junos OS は、照合条件が真であると見なされ、自動的に処理するためのサービスセットを選択します。

  • サービスセットが設定されていて、選択されている場合にのみ、service filter が適用されます。

インターフェイスの各側に複数のサービスセット定義を含めることができます。以下のガイドラインが適用されます。

  • 複数のサービスセットを含める場合、ルーター (スイッチ) ソフトウェアは、設定に記載されている順序でそれらを評価します。システムは、サービスフィルターで一致が見つかった最初のサービスセットを実行し、その後の定義を無視します。

  • インターフェイスには、最大6個のサービスセットを適用できます。

  • 複数のサービスセットをインターフェイスに適用する場合は、そのインターフェイスにサービスフィルターを構成して適用する必要があります。

復帰サービストラフィックの事後サービスフィルタリング

IPv4 または IPv6 の入力サービストラフィックをフィルタリングするオプションとして、サービスセットが実行された後に、サービスインターフェイスに返される IPv4 または IPv6 トラフィックにサービスフィルターを適用できます。この方法でサービスフィルターを適用するには、 post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]階層レベルでステートメントを追加します。