Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:送信元アドレスでのフィルターベース転送の設定

この例では、PBR(ポリシーベースルーティング)とも呼ばれるフィルターベース転送(FBF)を設定する方法を示します。フィルターはパケットを分類して、イングレス ルーティング デバイス内での転送パスを決定します。

フィルターベースの転送は、IP バージョン 4(IPv4)および IP バージョン 6(IPv6)でサポートされています。

注:

QFX5110、QFX5120、QFX5130、QFX5200、QFX5210、QFX5220、QFX5230、QFX5240、QFX5700は instance-type forwardingをサポートしておらず、 instance-type virtual-router のみがサポートされます。

要件

この例では、デバイスの初期化以上の特別な設定は必要ありません。

概要

この例では、顧客が異なる ISP によって提供されるインターネット接続を持ちながら、共通のアクセスレイヤーを共有している場合に、サービスプロバイダーの選択に FBF を使用します。共有メディア(ケーブル モデムなど)を使用する場合、共通アクセス レイヤー上のメカニズムがレイヤー 2 またはレイヤー 3 アドレスを調べて、顧客を区別します。レイヤー 2 スイッチと単一ルーターの組み合わせを使用して共通アクセスレイヤーが実装されている場合、フィルターベースの転送を使用できます。

FBFでは、インターフェイスで受信したすべてのパケットが考慮されます。各パケットは、一致条件を持つフィルターを通過します。フィルタの一致条件が満たされ、ルーティングインスタンスを作成した場合、FBFがパケットに適用されます。パケットは、ルーティング インスタンスで指定されたネクスト ホップに基づいて転送されます。スタティック ルートの場合、ネクスト ホップは特定の LSP にすることができます。

注:

ソースクラス使用フィルターマッチングとユニキャストリバースパス転送チェックは、FBF用に設定されたインターフェイスではサポートされていません。

FBFを設定するには、以下のタスクを実行します。

  • イングレスデバイスで一致フィルターを作成します。一致フィルターを指定するには、[edit firewall]階層レベルで filter filter-name ステートメントを含めます。フィルターを通過したパケットは、一連のルールと比較して分類され、一連のルール内のメンバーシップが決定されます。分類されると、パケットはフィルター記述言語の accept アクションで指定されたルーティングテーブルに転送されます。次に、ルーティング テーブルは、テーブル内の宛先アドレス エントリに対応するネクスト ホップにパケットを転送します。

  • パケットの転送先のルーティングテーブルと、 [edit routing-instances] 階層レベルでのパケットの転送先を指定するルーティングインスタンスを作成します。たとえば、以下のように表示されます。

  • RIBグループを作成し、フィルターベース転送(FBF)で使用される転送ルーティングインスタンスとインターフェイスルートを共有します。設定のこの部分では、ルーティング インスタンスにインストールされたルートを、そのインターフェイス上で直接接続されたネクスト ホップに解決します。[edit routing-options]階層レベルでルーティングテーブルグループを作成します。

この例は、パケットの送信元アドレスに基づいて、ドメイン SP1 または SP2 内のネクストホップ ルーターに顧客のトラフィックを転送するパケット フィルタを示しています。

パケットに SP1 カスタマーに割り当てられた送信元アドレスがある場合、宛先ベースの転送は sp1-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットに SP2 カスタマーに割り当てられた送信元アドレスがある場合、宛先ベースの転送は sp2-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットがこれらの条件のいずれにも一致しない場合、フィルターはパケットを受け入れ、標準のinet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。

トポロジー

図 1 この例で使用されているトポロジーを示しています。

デバイス P1 では、入力フィルタがデバイス PE3 とデバイス PE4 から受信したパケットを分類します。パケットは送信元アドレスに基づいてルーティングされます。送信元アドレスが 10.1.1.0/24 および 10.1.2.0/24 ネットワークにあるパケットは、デバイス PE1 にルーティングされます。送信元アドレスが 10.2.1.0/24 および 10.2.2.0/24 ネットワークにあるパケットは、デバイス PE2 にルーティングされます。

図 1: フィルターベースフォワーディングフィルターベースフォワーディング

接続を確立するには、すべてのインターフェイスに OSPF を設定します。デモンストレーションのために、ループバック インターフェイス アドレスがルーティング デバイスに設定され、クラウド内のネットワークを表します。

CLIクイック構成セクションには、トポロジー内のすべてのデバイスの設定全体が表示されます。デバイスP1でのフィルターベース転送の設定セクションでは、イングレス ルーティング デバイスであるデバイス P1 の設定を順を追って説明します。

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

デバイスP1

デバイスP2

デバイスPE1

デバイスPE2

デバイスPE3

デバイスPE4

P1でのファイアウォールフィルターの設定

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

メインルーターまたはスイッチでファイアウォールフィルターを設定するには:

  1. SP1 のお客様の送信元アドレスを構成します。

  2. 指定された送信元アドレスのパケットを受信したときに実行されるアクションを設定します。これらはログに記録され、sp1-route-table.inet.0 ルーティング テーブル経由でルーティングするために sp1-route-table ルーティング インスタンスに渡されます。

  3. SP2 のお客様の送信元アドレスを構成します。

  4. 指定された送信元アドレスのパケットを受信したときに実行されるアクションを設定します。これらはログに記録され、sp2-route-table.inet.0 ルーティング テーブル経由でルーティングするために sp2-route-table ルーティング インスタンスに渡されます。

  5. 他の送信元アドレスからパケットを受信したときに実行するアクションを設定します。これらは受け入れられ、デフォルトのIPv4ユニキャストルーティングテーブルinet.0を使用してルーティングされます。

デバイスP1でのフィルターベース転送の設定

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

ルーティングインスタンスを設定するには:

  1. インターフェイスを設定します。

  2. classify-customersファイアウォールフィルターを、入力パケットフィルターとしてルーターインターフェイスfe-1/2/0.0に割り当てます。

  3. ルーティングプロトコルまたはスタティックルーティングを使用して、接続を構成します。

    ベスト プラクティスとして、管理インターフェイスでルーティングを無効にします。

  4. classify-customersファイアウォールフィルターで参照されるルーティングインスタンスを作成します。転送インスタンスタイプは、インターフェイスがインスタンスに関連付けられないフィルターベースの転送をサポートします。

  5. ルーティングインスタンスごとに、指定されたネクストホップ(この例ではPE1とPE2)にトラフィックを転送するデフォルトルートを定義します。

  6. ルーティングテーブルを関連付けて、ルーティングテーブルグループを形成します。最初のルーティングテーブルinet.0はプライマリルーティングテーブルで、その他はセカンダリルーティングテーブルです。プライマリルーティングテーブルは、ルーティングテーブルグループのアドレスファミリー(この場合はIPv4)を決定します。

  7. 3つのルーティングテーブルにOSPFルートをインストールするために、OSPF設定内でfbf-groupルーティングテーブルグループを指定します。

  8. 完了したら、設定をコミットします。

結果

show interfacesshow firewallshow protocolsshow routing-instances、および show routing-options コマンドを発行して、設定を確認します。

検証

設定が正常に機能していることを確認します。

指定された送信元アドレスでの ping

目的

ネットワークを介していくつかのICMPパケットを送信し、ファイアウォールフィルターをテストします。

アクション

  1. pingコマンドを実行して、デバイスPE1のlo0.0インターフェイスにpingを実行します。

    このインターフェイスで設定されているアドレスは172.16.1.1です。

    送信元アドレス10.1.2.1を指定します。これは、デバイスPE3のlo0.0インターフェイスで設定されたアドレスです。

  2. pingコマンドを実行して、デバイスPE2のlo0.0インターフェイスにpingを実行します。

    このインターフェイスで設定されているアドレスは172.16.2.2です。

    送信元アドレス10.2.1.1を指定します。これは、デバイスPE4のlo0.0インターフェイスで設定されたアドレスです。

意味

これらのpingを送信すると、ファイアウォールフィルターアクションがアクティブになります。

ファイアウォールフィルターの検証

目的

ファイアウォールフィルターアクションが有効になっていることを確認します。

アクション

  1. デバイス P1 で show firewall log コマンドを実行します。