Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:送信元アドレスでのフィルタベースの転送の設定

この例では、PBR(Policy Based Routing)とも呼ばれるフィルタベース転送(FBF)を設定する方法を示しています。このフィルターは、パケットを分類して、イングレス ルーティング デバイス内の転送パスを決定します。

フィルターベースの転送は、IP バージョン 4(IPv4)と IP バージョン 6(IPv6)でサポートされています。

要件

この例では、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、お客様が異なる ISP によって提供されるインターネット接続を持ち、共通のアクセス レイヤーを共有している場合、サービス プロバイダの選択に FBF を使用します。共有メディア(ケーブル モデムなど)を使用すると、共通アクセス レイヤー上のメカニズムがレイヤー 2 またはレイヤー 3 のアドレスを確認し、顧客を識別します。レイヤー 2 スイッチと単一のルーターの組み合わせを使用して共通アクセス レイヤーを実装する場合は、フィルターベースの転送を使用できます。

FBF では、インターフェイスで受信したすべてのパケットが考慮されます。各パケットは、一致条件を持つフィルターを通過します。フィルターの照合条件が満たされ、ルーティング インスタンスを作成した場合、FBF がパケットに適用されます。パケットは、ルーティング インスタンスで指定されたネクスト ホップに基づいて転送されます。静的ルートの場合、ネクスト ホップは特定の LSP にすることができます。

注:

FBF 用に設定されたインターフェイスでは、送信元クラスの使用フィルタ照会およびユニキャスト リバース パス転送チェックはサポートされていません。

FBF を設定するには、次のタスクを実行します。

  • イングレス デバイスで一致フィルタを作成します。照合フィルタを指定するには、ステートメントを filter filter-name 階層レベルに [edit firewall] 含めます。フィルターを通過するパケットは、一連のルールと比較して分類し、セット内のメンバーシップを決定します。分類が完了すると、パケットはフィルター記述言語の accept アクションで指定されたルーティング テーブルに転送されます。次に、ルーティング テーブルは、テーブル内の宛先アドレス エントリーに対応するネクスト ホップにパケットを転送します。

  • パケットが転送されるルーティング テーブルと、そのパケットが転送される宛先を階層レベルで指定するルーティング インスタンスを [edit routing-instances] 作成します。例えば、

  • RIB グループを作成し、FBF(フィルターベースの転送)で使用される転送ルーティング インスタンスとインターフェイス ルートを共有します。設定のこの部分は、ルーティング インスタンスにインストールされたルートを、そのインターフェイス上の直接接続されたネクスト ホップに解決します。階層レベルでルーティング テーブル グループを [edit routing-options] 作成します。

この例では、パケットの送信元アドレスに基づいて、顧客のトラフィックをドメインの SP1 または SP2 のネクスト ホップ ルーターに誘導するパケット フィルターを示しています。

パケットに SP1 カスタマーに送信元アドレスが割り当てられている場合、宛先ベースの転送は sp1-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットに SP2 カスタマーに割り当てられた送信元アドレスがある場合、宛先ベースの転送は sp2-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットがどちらの条件にも一致しない場合、フィルターはパケットを受け入れ、宛先ベースの転送は標準の inet.0 ルーティング テーブルを使用して行われます。

トポロジ

図 1 は、この例で使用されているトポロジを示しています。

デバイス P1 では、入力フィルタがデバイス PE3 およびデバイス PE4 から受信したパケットを分類します。パケットは送信元アドレスに基づいてルーティングされます。10.1.1.0/24 および 10.1.2.0/24 ネットワークの送信元アドレスを持つパケットは、デバイス PE1 にルーティングされます。10.2.1.0/24 および 10.2.2.0/24 ネットワークの送信元アドレスを持つパケットは、デバイス PE2 にルーティングされます。

図 1: フィルターベースの転送フィルターベースの転送

接続を確立するために、OSPF はすべてのインターフェイスで設定されます。デモンストレーションの目的で、ループバック インターフェイス アドレスは、クラウド内のネットワークを表すルーティング デバイス上に設定されます。

このセクションでは CLI クイック設定 、トポロジ内のすべてのデバイスの設定全体を示します。このセクションでは デバイス P1 でのフィルターベースの転送の設定 、イングレス ルーティング デバイスであるデバイス P1 の設定を順を追って説明します。

設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更してから、コマンドを階層レベルで [edit] CLI にコピーアンドペーストします。

デバイス P1

デバイス P2

デバイス PE1

デバイス PE2

デバイス PE3

デバイス PE4

P1 でのファイアウォール フィルターの設定

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『Junos OS CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

メイン ルーターまたはスイッチでファイアウォール フィルタを設定するには、次の手順にしたがってください。

  1. SP1 顧客の送信元アドレスを設定します。

  2. 指定された送信元アドレスを使用してパケットを受信したときに実行されるアクションを設定します。それらはログに記録され、sp1-route-table.inet.0ルーティングテーブルを介してルーティングするためにsp1-route-tableルーティングインスタンスに渡されます。

  3. SP2 のお客様の送信元アドレスを設定します。

  4. 指定された送信元アドレスを使用してパケットを受信したときに実行されるアクションを設定します。それらはログに記録され、sp2-route-table.inet.0ルーティングテーブルを介してルーティングするためにsp2-route-tableルーティングインスタンスに渡されます。

  5. パケットが他の送信元アドレスから受信されたときに実行するアクションを設定します。デフォルトの IPv4 ユニキャスト ルーティング テーブル inet.0 を使用して受け入れられ、ルーティングされます。

デバイス P1 でのフィルターベースの転送の設定

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『Junos OS CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

ルーティング インスタンスを設定するには、次の手順にしたがってください。

  1. インターフェイスを設定します。

  2. ファイアウォール フィルタを classify-customers 入力パケット フィルタとしてルーター インターフェイス fe-1/2/0.0 に割り当てます。

  3. ルーティング プロトコルまたは静的ルーティングのいずれかを使用して接続を設定します。

    ベスト プラクティスとして、管理インターフェイスでルーティングを無効にします。

  4. ファイアウォール フィルターで参照されるルーティング インスタンスを classify-customers 作成します。転送インスタンス タイプは、インターフェイスがインスタンスに関連付けられていないフィルターベースの転送をサポートします。

  5. 各ルーティング インスタンスについて、指定したネクスト ホップ(この例では PE1 と PE2)にトラフィックを転送するデフォルト ルートを定義します。

  6. ルーティング テーブルを関連付けてルーティング テーブル グループを形成します。最初のルーティング テーブル inet.0 はプライマリ ルーティング テーブルで、その他はセカンダリ ルーティング テーブルです。プライマリ ルーティング テーブルは、ルーティング テーブル グループのアドレス ファミリー(この場合は IPv4)を決定します。

  7. OSPF 設定内で fbf-group ルーティング テーブル グループを指定し、OSPF ルートを 3 つのルーティング テーブルにインストールします。

  8. 完了したら、設定をコミットします。

結果

、 および コマンドをshow interfacesshow routing-instancesshow firewallshow protocols発行して、設定をshow routing-options確認します。

検証

設定が正しく機能していることを確認します。

指定された送信元アドレスを使用した ping

目的

ネットワーク全体に ICMP パケットを送信して、ファイアウォール フィルターをテストします。

対処

  1. コマンドを ping 実行し、デバイス PE1 で lo0.0 インターフェイスに ping を実行します。

    このインターフェイスで設定されたアドレスは 172.16.1.1 です。

    デバイス PE3 の lo0.0 インターフェイスで設定されたアドレスである送信元アドレス 10.1.2.1 を指定します。

  2. コマンドを ping 実行し、デバイス PE2 で lo0.0 インターフェイスに ping を実行します。

    このインターフェイスで設定されたアドレスは、172.16.2.2です。

    デバイス PE4 の lo0.0 インターフェイスで設定されたアドレスである送信元アドレス 10.2.1.1 を指定します。

意味

これらの ping を送信すると、ファイアウォール フィルター アクションがアクティブになります。

ファイアウォール フィルターの検証

目的

ファイアウォール フィルターアクションが有効になっていることを確認します。

対処

  1. デバイス P1 でコマンドを show firewall log 実行します。