例:送信元アドレスでフィルターベースの転送を設定する
この例では、ポリシーベースルーティング(PBR)とも呼ばれるフィルターベースフォワーディング(FBF)を設定する方法を示しています。このフィルターはパケットを分類して、イングレス ルーティング デバイス内の転送パスを決定します。
フィルターベースの転送は、IPバージョン 4(IPv4)およびIPバージョン 6(IPv6)でサポートされています。
QFX5110、QFX5120、QFX5130、QFX5200、QFX5210、QFX5220、QFX5230、QFX5240、およびQFX5700は instance-type forwardingをサポートしておらず、 instance-type virtual-router のみサポートされます。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
この例では、顧客がさまざまなISPから提供されているインターネット接続を持ちながら、共通のアクセスレイヤーを共有している場合に、サービスプロバイダの選択にFBFを使用します。共有メディア(ケーブル モデムなど)が使用されている場合、共通アクセス レイヤーのメカニズムがレイヤー 2 またはレイヤー 3 のアドレスを見て、顧客を区別します。レイヤー 2 スイッチと 1 台のルーターの組み合わせを使用して共通アクセス層を実装する場合、フィルターベースの転送を使用できます。
FBFでは、インターフェイス上で受信したすべてのパケットが考慮されます。各パケットは、一致条件を持つフィルターを通過します。フィルターの一致条件が満たされ、ルーティングインスタンスを作成している場合、FBFがパケットに適用されます。パケットは、ルーティングインスタンスで指定されたネクストホップに基づいて転送されます。スタティックルートの場合、ネクストホップは特定のLSPにすることができます。
ソースクラス使用フィルター照合およびユニキャストリバースパスフォワーディングチェックは、FBF用に設定されたインターフェイスではサポートされていません。
FBFを設定するには、以下のタスクを実行します。
イングレスデバイスで一致フィルターを作成します。一致フィルターを指定するには、
[edit firewall]階層レベルでfilter filter-nameステートメントを含めます。フィルターを通過したパケットは、そのルールのセットと比較され、そのパケットを分類し、セット内のメンバーシップが決定されます。分類されると、パケットは、フィルター記述言語のacceptアクションで指定されたルーティングテーブルに転送されます。次に、ルーティングテーブルは、テーブル内の宛先アドレスエントリーに対応するネクストホップにパケットを転送します。[edit routing-instances]階層レベルで、パケットの転送先とパケットの転送先を指定するルーティングルーティングテーブルインスタンス作成します。次に例を示します。[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.14; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.18; } } } }フィルターベースフォワーディング(FBF)で使用されるフォワーディングルーティングインスタンスとインターフェイスルートを共有するためのRIBグループを作成します。設定のこの部分では、ルーティングインスタンスにインストールされているルートを、そのインターフェイス上に直接接続されたネクストホップに解決します。
[edit routing-options]階層レベルでルーティングテーブルグループを作成します。[edit] routing-options { interface-routes { rib-group; inet { int-routes; } } } } routing-options { rib-groups { int-routes { import-rib { inet.0; webtraffic.inet.0; } } } }
この例では、パケットの送信元アドレスに基づいて、顧客のトラフィックをドメイン(SP1またはSP2)のネクストホップルーターに誘導するパケットフィルターを示しています。
パケットにSP1顧客に割り当てられた送信元アドレスがある場合、sp1-route-table.inet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。パケットにSP2顧客に割り当てられた送信元アドレスがある場合、sp2-route-table.inet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。パケットがこれらの条件のいずれにも一致しない場合、フィルターはパケットを受け入れ、標準のinet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。
トポロジー
図1 は、この例で使用されているトポロジーを示しています。
デバイスP1では、入力フィルターがデバイスPE3とデバイスPE4から受信したパケットを分類します。パケットは送信元アドレスに基づいてルーティングされます。10.1.1.0/24および10.1.2.0/24ネットワーク内の送信元アドレスを持つパケットは、デバイスPE1にルーティングされます。10.2.1.0/24および10.2.2.0/24ネットワーク内の送信元アドレスを持つパケットは、デバイスPE2にルーティングされます。
接続を確立するために、すべてのインターフェイスで OSPF が設定されます。デモンストレーションのために、クラウド内のネットワークを表すために、ルーティングデバイス上でループバックインターフェイスアドレスが設定されています。
CLIクイック構成セクションには、トポロジー内のすべてのデバイスの構成全体が表示されます。デバイスP1でのフィルターベースの転送の設定セクションでは、イングレスルーティングデバイスであるデバイスP1の設定を順を追って説明しています。
設定
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更してから、コマンドを [edit] 階層レベルのCLIにコピー&ペーストします。
デバイスP1
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then routing-instance sp2-route-table set firewall filter classify-customers term default then accept set interfaces fe-1/2/0 unit 0 family inet filter input classify-customers set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.10/30 set interfaces fe-1/2/1 unit 0 family inet address 172.16.0.13/30 set interfaces fe-1/2/2 unit 0 family inet address 172.16.0.17/30 set protocols ospf rib-group fbf-group set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable set routing-instances sp1-route-table instance-type forwarding set routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.14 set routing-instances sp2-route-table instance-type forwarding set routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.18 set routing-options interface-routes rib-group fbf-group set routing-options rib-groups fbf-group import-rib inet.0 set routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0
デバイスP2
set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.2/30 set interfaces fe-1/2/1 unit 0 family inet address 172.16.0.6/30 set interfaces fe-1/2/2 unit 0 family inet address 172.16.0.9/30 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable
デバイスPE1
set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.14/30 set interfaces lo0 unit 0 family inet address 172.16.1.1/32 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable
デバイスPE2
set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.18/30 set interfaces lo0 unit 0 family inet address 172.16.2.2/32 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable
デバイスPE3
set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.1/30 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set interfaces lo0 unit 0 family inet address 10.1.2.1/32 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable
デバイスPE4
set interfaces fe-1/2/0 unit 0 family inet address 172.16.0.5/30 set interfaces lo0 unit 0 family inet address 10.2.1.1/32 set interfaces lo0 unit 0 family inet address 10.2.2.1/32 set protocols ospf area 0.0.0.0 interface all set protocols ospf area 0.0.0.0 interface fxp0.0 disable
P1のファイアウォールフィルターの設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、『Junos OS CLIユーザーガイド』の「設定モードでのCLIエディターの使用」を参照してください。
メインルーターまたはスイッチでファイアウォールフィルターを設定するには:
SP1 顧客の送信元アドレスを設定します。
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
指定された送信元アドレスでパケットを受信したときに実行されるアクションを設定します。それらはログに記録され、sp1-route-table.inet.0ルーティングテーブルを介してルーティングするためにsp1-route-tableルーティングインスタンスに渡されます。
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then routing-instance sp1-route-table
SP2カスタマーの送信元アドレスを設定します。
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
指定された送信元アドレスでパケットを受信したときに実行されるアクションを設定します。それらはログに記録され、sp2-route-table.inet.0 ルーティングテーブルを介したルーティング用に sp2-route-table ルーティングインスタンスに渡されます。
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then routing-instance sp2-route-table
他の送信元アドレスからパケットを受信した場合に実行するアクションを設定します。これらは受け入れられ、デフォルトのIPv4ユニキャストルーティングテーブルであるinet.0を使用してルーティングされます。
[edit firewall filter classify-customers term default] user@host# set then accept
デバイスP1でのフィルターベースの転送の設定
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、『Junos OS CLIユーザーガイド』の「設定モードでのCLIエディターの使用」を参照してください。
ルーティングインスタンスを設定するには:
インターフェイスを設定します。
[edit interfaces fe-1/2/0] user@host# set unit 0 family inet address 172.16.0.10/30 [edit interfaces fe-1/2/1] user@host# set unit 0 family inet address 172.16.0.13/30 [edit interfaces fe-1/2/2] user@host# set unit 0 family inet address 172.16.0.17/30
入力パケットフィルターとして
classify-customersファイアウォールフィルターをインターフェイスfe-1/2/0.0ルーター割り当てます。[edit interfaces fe-1/2/0] user@host# set unit 0 family inet filter input classify-customers
ルーティングプロトコルまたはスタティックルーティングを使用して、接続を設定します。
ベストプラクティスとして、管理インターフェイスでルーティングを無効にします。
[edit protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
classify-customersファイアウォールフィルターで参照されるルーティングインスタンスを作成します。転送インスタンスタイプは、インターフェイスがインスタンスに関連付けられないフィルターベースの転送をサポートします。[edit routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
ルーティングインスタンスごとに、指定されたネクストホップ(この例ではPE1とPE2)にトラフィックを転送するデフォルトルートを定義します。
[edit routing-instances ] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.14 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.18
ルーティングテーブルを関連付けて、ルーティングテーブルグループを形成します。最初のルーティングテーブルであるinet.0はプライマリルーティングテーブルで、残りはセカンダリルーティングテーブルです。プライマリルーティングテーブルは、ルーティングテーブルグループ(この場合はIPv4)のアドレスファミリーを決定します。
[edit routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
OSPF設定内でfbf-groupルーティングテーブルグループを指定して、3つのルーティングテーブルにOSPFルートをインストールします。
[edit protocols ospf] user@host# set rib-group fbf-group
完了したら、設定をコミットします。
[edit] user@host# commit
結果
show interfaces、show firewall、show protocols、show routing-instances、show routing-optionsコマンドを発行して、設定を確認します。
user@host# show interfaces
fe-1/2/0 {
unit 0 {
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
}
fe-1/2/1 {
unit 0 {
family inet {
address 172.16.0.13/30;
}
}
}
fe-1/2/2 {
unit 0 {
family inet {
address 172.16.0.17/30;
}
}
}
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show protocols
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
user@host# show routing-instances
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.14;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.18;
}
}
}
user@host# show routing-options
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
検証
設定が正常に機能していることを確認します。
指定された送信元アドレスを使用した ping
目的
ネットワークを介していくつかのICMPパケットを送信して、ファイアウォールフィルターをテストします。
アクション
pingコマンドを実行し、デバイスPE1のlo0.0インターフェイスにpingを実行します。このインターフェイスで設定されたアドレスは172.16.1.1です。
送信元アドレス10.1.2.1を指定します。これは、デバイスPE3のlo0.0インターフェイスで設定されたアドレスです。
user@PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
pingコマンドを実行し、デバイスPE2のlo0.0インターフェイスにpingを実行します。このインターフェイスで設定されたアドレスは172.16.2.2です。
送信元アドレス10.2.1.1を指定します。これは、デバイスPE4のlo0.0インターフェイスで設定されたアドレスです。
user@PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
意味
これらのpingを送信すると、ファイアウォールフィルターのアクションがアクティブになります。
ファイアウォールフィルターの検証
目的
ファイアウォールフィルターのアクションが有効になっていることを確認します。
アクション
デバイスP1で
show firewall logコマンドを実行します。user@P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A fe-1/2/0.0 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A fe-1/2/0.0 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A fe-1/2/0.0 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A fe-1/2/0.0 ICMP 10.1.2.1 172.16.1.1