Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ポリシー フレームワークの概要

Junos® オペレーティングシステム(Junos OS)は、ルーティング情報とパケットのフローを制御できるJunos OSポリシーの集合体である ポリシーフレームワークを提供します。

Junos OSポリシーアーキテクチャはシンプルで分かりやすいです。ただし、各ポリシーを実際に実装すると、ポリシーがさらに複雑になり、ルーターの機能にパワーと柔軟性が追加されます。ポリシーの設定は、ルーター内およびルーターを通過するルーティング情報またはパケットのフローに大きな影響を与えます。例えば、特定の顧客に関連するルートをルーティング・テーブルに配置できないようにするルーティング・ポリシーを設定することができます。このルーティングポリシーの結果として、顧客ルートはデータパケットをさまざまな宛先に転送するために使用されず、ルートはルーティングプロトコルによってネイバーにアドバタイズされません。

ポリシーを設定する前に、そのポリシーで何を達成したいのかを決め、さまざまな一致条件とアクションを使用して目標を達成する方法を十分に理解してください。また、構成するポリシーのデフォルトポリシーとアクションを理解しておいてください。

ルーティング ポリシーおよびファイアウォール フィルター

ポリシーフレームワークは、次のポリシーで構成されています。

  • ルーティングポリシー-ルーティングプロトコルとルーティングテーブル間、およびルーティングテーブルと転送テーブル間のルーティング情報を制御できます。すべてのルーティング・プロトコルは、Junos OSルーティング・テーブルを使用して、学習したルートを保存し、プロトコル・パケットの中でどのルートをアドバタイズすべきかを決定します。ルーティング・ポリシーは、ルーティング・プロトコルがルーティング・テーブルに格納するルート、およびルーティング・テーブルから取得するルートを制御することができます。

  • ファイアウォールフィルター ポリシー - ルーターを経由してネットワーク宛先に向かうパケットと、ルーターを宛先とするパケットとルーターから送信されるパケットを制御できます。

    注:

    ここでは、ファイアウォールフィルターポリシーという用語は、 ファイアウォールフィルター がポリシーであり、ルーティングポリシーといくつかの基本的な類似点を共有していることを強調するために使用されます。ただし、このマニュアルの残りの部分でファイアウォールフィルターポリシーに言及する場合は、 ファイアウォールフィルター という用語が使用されます。

ルーティングポリシーを作成する理由

以下に、独自のルーティングポリシーを作成して、ルーティングポリシーフレームワーク内のデフォルトルーティングポリシーをプリエンプトしたい典型的な状況を示します。

  • プロトコルがすべてのルートをルーティング テーブルにインポートすることは望ましくありません。ルーティング テーブルが特定のルートについて学習しない場合、そのルートを使用してパケットを転送したり、他のルーティング プロトコルに再配布したりすることはできません。

  • ルーティングプロトコルが、学習したすべてのアクティブなルートをエクスポートすることは望ましくありません。

  • ルーティングプロトコルで、別のルーティングプロトコルから学習したアクティブルートをアナウンスさせたい場合、これは ルート再分配と呼ばれることもあります。

  • 優先値、ASパス、コミュニティなどのルート特性を操作する場合。ルート特性を操作して、宛先に到達するためのアクティブ ルートとして選択するルートを制御できます。一般に、アクティブルートはルーターのネイバーにもアドバタイズされます。

  • デフォルトのBGPルートフラップダンピングパラメータを変更したい。

  • パケット単位のロード バランシングを実行する場合。

  • サービスクラス(CoS)を有効にする場合。

ポリシーの影響を受けるルーター フロー

Junos OS ポリシーは、以下のルーター フローに影響を与えます。

  • ルーティングプロトコルとルーティングテーブル間、およびルーティングテーブルと転送テーブル間のルーティング情報フロー。ルーティング エンジンはこのフローを処理します。ルーティング情報は、ルーティングプロトコルがルーターのネイバーから学習したルートに関する情報です。この情報はルーティングテーブルに保存され、その後、ルーティングプロトコルによってルーターのネイバーにアドバタイズされます。ルーティングポリシーを使用すると、この情報のフローを制御できます。

  • ルーターの物理インターフェイスに出入りするデータパケットのフロー。パケット転送エンジンがこのフローを処理します。データパケット は、送信元から宛先に転送される際にルーターを通過するデータのチャンクです。ルーターは、インターフェイス上でデータパケットを受信すると、転送テーブルで宛先への最適なルートを探すことで、パケットの転送先を決定します。次に、ルーターは適切なインターフェイスを介してデータパケットを宛先に転送します。ファイアウォールフィルターを使用すると、これらのデータパケットのフローを制御できます。

  • ルーターの物理インターフェイスからルーティング エンジンへのローカル パケットのフロー。ルーティング エンジンはこのフローを処理します。ローカルパケット は、ルーターとの間で送受信されるデータのチャンクです。ローカル パケットには通常、ルーティング プロトコル データ、Telnet や SSH などの IP サービス用のデータ、ICMP(インターネット制御メッセージ プロトコル)などの管理プロトコル用のデータが含まれています。ルーティングエンジンは、ローカルパケットを受信すると、そのパケットを適切なプロセスまたはカーネル(どちらもルーティングエンジンの一部である)、またはパケット転送エンジンに転送します。ファイアウォールフィルターを使用すると、これらのローカルパケットのフローを制御できます。

    注:

    この章の残りの部分では、パケットという用語は、特に明記されていない限り、データパケットとローカル パケット の両方を指します。

図 1 は、ルーターを通過するフローを示しています。フローは互いに大きく異なりますが、相互依存性でもあります。ルーティング ポリシーは、転送テーブルに配置されるルートを決定します。一方、転送テーブルは、パケットを転送する適切な物理インターフェイスを決定する上で不可欠な役割を果たします。

図 1: ルーティング情報とパケットのフロールーティング情報とパケットのフロー

ルーティング・ポリシーを設定して、ルーティング・プロトコルがルーティング・テーブルに配置するルートを制御したり、ルーティング・プロトコルがルーティング・テーブルからアドバタイズするルートを制御したりできます(「」を参照 )。図 2ルーティング プロトコルは、ルーティング テーブルからのみアクティブなルートをアドバタイズします。(アクティブルートとは、宛先に到達するためにルーティングテーブル内のすべてのルートから選択された ルート です。

ルーティングポリシーを使用して、以下のことを行うこともできます。

  • 特定のルート特性を変更して、宛先に到達するアクティブなルートとして選択するルートを制御できます。一般に、アクティブルートはルーターのネイバーにもアドバタイズされます。

  • デフォルトの BGP ルート フラップ ダンピング値に変更します。

  • パケット単位のロード バランシングを実行します。

  • サービスクラス(CoS)を有効にします。

図 2: ルーティング情報フローを制御するためのルーティングポリシールーティング情報フローを制御するためのルーティングポリシー

ファイアウォールフィルターを設定することで、パケットフローの以下の側面を制御できます(を参照 )。図 3

  • 物理インターフェイスで受信され、物理インターフェイスから送信されるデータパケット。データパケットのフローを制御するには、物理インターフェイスにファイアウォールフィルターを適用します。

  • 物理インターフェイスからルーティングエンジンに送信されるローカルパケット。ローカルパケットを制御するには、ルーティングエンジンへのインターフェイスであるループバックインターフェイスにファイアウォールフィルターを適用します。

ファイアウォールフィルターは、ルーターを通過してネットワーク宛先に送信される、またはルーティングエンジン宛ての過剰なトラフィックからルーターを保護する手段を提供します。ローカルパケットを制御するファイアウォールフィルターは、サービス拒否攻撃などの外部インシデントからルーターを保護することもできます。

図 3: パケットフローを制御するファイアウォールフィルターパケットフローを制御するファイアウォールフィルター

制御ポイント

すべてのポリシーには、ルーターを介したルーティング情報またはパケットを制御できる 2 つのポイントが用意されています(「」を参照 )。図 4これらのコントロールポイントを使用すると、以下を制御できます。

  • ルーティング テーブルに配置される前後のルーティング情報。

  • 転送テーブル ルックアップ前後のデータ パケット。

  • ルーティングエンジンが受信する前後のローカルパケット。 ( は 1 つの制御ポイントのみを表しているように見えますが、ローカル パケットの双方向フローのため、実際には 2 つの制御ポイントが存在します)。図 4

図 4: ポリシー制御ポイントポリシー制御ポイント

2つのコントロールポイントがあるため、それぞれのテーブルとのやり取りの前後にルーティング情報やデータパケットを制御するポリシーと、ルーティングエンジンとやり取りする前後のローカルパケットを制御するポリシーを設定できます。インポート ・ルーティング・ポリシーはルーティング・テーブルに配置されるルーティング情報を制御し、エクスポート・ルーティング・ポリシーはルーティング・テーブルからアドバタイズされる ルーティング 情報を制御します。入力ファイアウォールは ルーターインターフェイスで受信されるパケットを制御し、 出力ファイアウォールは ルーターインターフェイスから送信されるパケットを制御します。

ポリシーのコンポーネント

すべてのポリシーは、構成する次のコンポーネントで構成されます。

  • 一致条件:ルートまたはパケットを比較する基準。1 つ以上の条件を設定できます。すべての条件が一致すると、1 つ以上のアクションが適用されます。

  • アクション - すべての条件が一致した場合の処理。1 つ以上のアクションを構成できます。

  • 用語 - 一致条件とアクションが定義されている名前付き構造体。1 つ以上の項を定義できます。

ポリシー フレームワーク ソフトウェアは、各着信および発信ルートまたはパケットを条件内の一致条件に照らして評価します。一致条件の基準が満たされると、定義されたアクションが実行されます。

一般に、ポリシー フレームワーク ソフトウェアは、ポリシーの最初の用語の一致条件とルートまたはパケットを比較し、次の用語に進みます。したがって、ポリシーで用語を配置する順序は重要です。

アクションを実行するには、ルートまたはパケットが項内のすべての一致条件に一致する必要があるため、条件内の一致条件の順序は関係ありません。

関連項目