Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

サービスフィルタの適用に関するガイドライン

適応型サービスインターフェイスの制約事項

適応型サービス インターフェイスとサービス フィルターには、以下の制限が適用されます。

アダプティブ サービス インターフェイス

サービス フィルターは、 適応サービス インターフェイス でのみ、サービス セットに関連付けられた IPv4 または IPv6 トラフィックに適用できます。アダプティブ サービス インターフェイスは、以下のハードウェアでのみサポートされます。

  • M SeriesおよびT Seriesルーターの適応可能サービス(AS)PIC

  • M シリーズおよび T シリーズ ルーターのマルチサービス(MS)PIC

  • MX シリーズ ルーターおよび EX シリーズ スイッチ上の MS DPC

  • MX シリーズ ルーターでの MS MPC と MIC

M シリーズルーターからリモートホストへのシステムロギング

または ポートを使用した外部サーバーへの適応サービスインターフェイスメッセージのロギングは、M シリーズルーターではサポートされていません。fxp0em0 このアーキテクチャは、管理インターフェイスからのシステム ロギング トラフィックをサポートしていません。代わりに、外部サーバーへのアクセスは、パケット転送エンジンインターフェイスでサポートされています。

サービスフィルタを適用するためのステートメント階層

パケットが入出力サービス処理のために受け入れられる前に、IPv4 または IPv6 トラフィックのパケット・フィルタリングを有効にすることができます。これを行うには、インターフェイスサービスセットと組み合わせて、適応サービスインターフェイスの入力または出力にサービスフィルターを適用します。

また、入力サービス処理の完了後にパケット転送エンジンに戻される IPv4 または IPv6 トラフィックのパケット・フィルタリングを有効にすることもできます。これを行うには、アダプティブ サービス インターフェイス入力にサービス後フィルターを適用します。

以下の設定は、サービス フィルターを適応サービス インターフェイスに適用できる階層レベルを示しています。

サービスルールとアダプティブサービスインターフェイスの関連付け

アダプティブ サービス インターフェイスに適用されるサービス ルールを定義およびグループ化するには、階層レベルでステートメントを含めてインターフェイス サービス セットを定義します。service-set service-set-name[edit services]

インターフェイス サービス セットをアダプティブ サービス インターフェイスの入力と出力に適用するには、次の階層レベルで を含め ます。service-set service-set-name

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

サービス セットをアダプティブ サービス インターフェイスの一方向に適用し、サービス セットを反対方向に適用しない場合、設定をコミットするときにエラーが発生します。

適応サービスPICは、パケットが入力サービスまたは出力サービスのどちらのためにPICに送信されるかに応じて、異なるアクションを実行します。たとえば、単一のサービス セットを設定して、一方向にネットワーク アドレス変換(NAT)を実行し、反対方向に宛先 NAT(dNAT)を実行できます。

サービス処理のためにパケットを受け入れる前にトラフィックをフィルタリングする

入出力サービス処理用のパケットを受け入れる前に、IPv4またはIPv6トラフィックをフィルタリングするには、以下のいずれかのインターフェイスに を含め ます。service-set service-set-name service-filter service-filter-name

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

には、 階層レベルで設定されたサービス セットを指定します。service-set-name[edit services service-set]

サービスセットは、サービスが適用された後も入力インターフェイス情報を保持するため、入力インターフェイス情報に依存するフィルタークラス転送や宛先クラス使用率(DCU)などの機能は引き続き機能します。

サービス処理のためにパケットを受け入れる前に、インバウンドまたはアウトバウンド・トラフィックのフィルタリングには、以下の要件が適用されます。

  • インターフェイスの入力側と出力側で同じサービス セットを設定します。

  • オプションの定義なしで ステートメントを含めると、Junos OSは一致条件が真であるとみなし、自動的に処理対象としてサービスセットを選択します。service-setservice-filter

  • サービス フィルタは、サービス セットが設定され、選択されている場合にのみ適用されます。

インターフェイスの両側に複数のサービスセット定義を含めることができます。次のガイドラインが適用されます。

  • 複数のサービス セットを含める場合、ルータ(またはスイッチ)ソフトウェアは設定に表示される順序で評価します。システムは、サービスフィルタで一致が見つかった最初のサービスセットを実行し、後続の定義を無視します。

  • インターフェイスには最大 6 つのサービス セットを適用できます。

  • インターフェイスに複数のサービス セットを適用する場合は、サービス フィルターも設定してインターフェイスに適用する必要があります。

リターンサービストラフィックのポストサービスフィルタリング

IPv4 または IPv6 入力サービス トラフィックをフィルタリングするオプションとして、サービス セットの実行後にサービス インターフェイスに戻る IPv4 または IPv6 トラフィックにサービス フィルタを適用できます。この方法でサービス フィルターを適用するには、階層レベルでステート メントを含めます 。post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]