Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:フィルタベースの転送の設定

フィルタベースの転送 (FBF) は、 Policy ベースルーティング (.pbr)とも呼ばれますが、レイヤー3パラメーターやレイヤー4パラメータのベースで、IP トラフィックを異なるインターフェイスにルーティングするためのシンプルで強力な方法を提供します。

FBF は、「match」条件をファイアウォールフィルタで使用し、特定のトラフィックを選択してから、目的のホップを指す指定されたルーティングインスタンスに送信します。次のホップが解決可能になるようにするために、メインルーティングテーブルからのインターフェイスルートは、ルーティングインスタンスに指定されたルーティングテーブルを使用して RIB グループ経由で共有されます。

検索条件には、送信元または宛先の IP アドレス、送信元または宛先のポート、IP プロトコル、DSCP 値、TCP フラグ、ICMP タイプ、およびパケット長を含めることができます。

要件

この例は、以下のハードウェアとソフトウェアの要件を満たしています。

  • MX シリーズ5G ユニバーサルルーティングプラットフォームは、ファイアウォールフィルタが設定されたルーティングデバイスとして機能します。

  • ファイアウォールフィルタが設定されたルーティングデバイスで Junos OS リリース13.3 以降が実行されています。

概要

この例では、1つのデバイス上でフィルタベースの転送を設定するために必要な設定を示しています。図 1は、MX シリーズルーターの受信および送信インターフェイスを示し、パケットがデバイスを通過するときのイベントの論理フローを示しています。

図 1: 指定されたインターフェイスへのフィルターベースの転送指定されたインターフェイスへのフィルターベースの転送

と呼ばれるファイアウォール webFilter フィルタがイングレス インターフェイスにアタッチされています fe-0/0/0 。インターフェイス上に到着するパケットは、フィルタで指定された一致条件に対して評価され、HTTP および HTTPS トラフィックを次のルーティング インスタンスに転送します webtraffic 。このルーティングインスタンスは3つのことを実行します。1 つ目は「ルーティング テーブル」を確立し、2 つ目は静的ルートとネクスト ホップを定義できます。3 つ目は、ネクスト ホップにトラフィックを転送するためのインスタンスを設定できます(ここでは、インターフェイスで webtraffic.inet.0 192.0.2.2)。 fe-0/0/1

ファイアウォール フィルタの条件 2 は、一致しないトラフィックすべてが異なる then accept パスを受け取るタスクを指定します。ネクスト ホップ 203.0.113.2 の静的ルートを定義すると、このトラフィックは fe-0/0/2 . ルートはマスター ネットワークに自動的にルーティング テーブルされます inet.0

FBF を設定する最後の (論理) 手順は、両方のルートを解決可能にすることです。このRIB グループでは、 のインターフェイス ルートを . と FBF-ribinet.0 共有できます webtraffic.inet.0

特定のユースケースまたは複数のデバイストポロジに焦点を当てた例については、関連トピックを参照してください。

構成

手順

CLI クイック構成

1つのデバイス上で、フィルターベースの転送を作成するためのコピー貼り付けとステップバイステップの手順の両方が提供されています。

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

フィルターベースの転送用にデバイスを構成します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

デバイスを構成するには、次のようにします。

  1. インバウンド インターフェイスを設定し、ファイアウォール フィルタ webFilter を追加します。

  2. 送信インターフェイス、つまり Web トラフィック用とその他すべてのトラフィック用の両方を構成します。

  3. Web トラフィックをルーティング インスタンスと他のすべてのトラフィックに渡す webtraffic ファイアウォール フィルタを設定します 203.0.113.1

  4. ナカウンター > を追加して、ファイアウォールフィルタのトラフィック処理を監視します。

  5. ルーティング インスタンス webtraffic を作成し、Web トラフィックを 転送先として設定します fe-0/0/1

  6. 非 Web トラフィックのルートを作成します(ルートは自動的に仮想ネットワークに inet.0 ルーティング テーブル。

  7. RIB グループ を作成し、設定してインターフェイス ルートと共有し、ルーティング テーブル グループをルーティング デバイスのインターフェイスと関連付け、インポートするインターフェイス ルートの ルーティング テーブル グループを指定します。 FBF-ribinet.0webtraffic.inet.0

  8. ルーティング テーブル をルーティング デバイスのインターフェイスに関連付け、インポートするインターフェイス ルーティング テーブルグループを指定します。

結果

構成モードからshow firewall、、、 show routing-instancesshow routing-optionsshow interfaces、の各コマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。