Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:論理システムでのフィルターベース転送の設定

この例では、論理システム内でフィルターベース転送を設定する方法を示します。フィルターはパケットを分類して、イングレス ルーティング デバイス内での転送パスを決定します。

要件

この例では、デバイスの初期化以上の特別な設定は必要ありません。

概要

フィルターベースの転送は、IP バージョン 4(IPv4)および IP バージョン 6(IPv6)でサポートされています。

顧客が、異なるISPから提供されるインターネット接続を持ちながら、共通のアクセスレイヤーを共有している場合、サービスプロバイダーの選択にフィルターベースの転送を使用します。共有メディア(ケーブル モデムなど)を使用する場合、共通アクセス レイヤー上のメカニズムがレイヤー 2 またはレイヤー 3 アドレスを調べて、顧客を区別します。レイヤー 2 スイッチと単一ルーターの組み合わせを使用して共通アクセスレイヤーが実装されている場合、フィルターベースの転送を使用できます。

フィルターベースの転送では、インターフェイスで受信したすべてのパケットが考慮されます。各パケットは、一致条件を持つフィルターを通過します。フィルターの一致条件が満たされ、ルーティングインスタンスを作成した場合、フィルターベースの転送がパケットに適用されます。パケットは、ルーティング インスタンスで指定されたネクスト ホップに基づいて転送されます。スタティック ルートの場合、ネクスト ホップは特定の LSP にすることができます。

注:

ソースクラス使用フィルターマッチングとユニキャストリバースパス転送チェックは、フィルターベース転送(FBF)が設定されたインターフェイスではサポートされません。

フィルターベースの転送を設定するには、以下のタスクを実行します。

  • イングレス ルーターまたはスイッチに一致フィルターを作成します。一致フィルターを指定するには、階層レベルでステート メントを含めます 。filter filter-name[edit firewall] フィルターを通過したパケットは、一連のルールと比較して分類され、一連のルール内のメンバーシップが決定されます。分類されると、パケットはフィルター記述言語の accept アクションで指定されたルーティングテーブルに転送されます。次に、ルーティング テーブルは、テーブル内の宛先アドレス エントリに対応するネクスト ホップにパケットを転送します。

  • パケットの転送先のルーティングテーブルと、または 階層レベルでのパケットの転送先を指定するルーティングインスタンスを作成します。[edit routing-instances][edit logical-systems logical-system-name routing-instances] たとえば、以下のように表示されます。

  • FBF(フィルターベース転送)で使用される転送ルーティングインスタンスおよびデフォルトのルーティングインスタンス にインターフェイスルートを追加するルーティングテーブルグループを作成します。inet.0 設定のこの部分では、ルーティング インスタンスにインストールされたルートを、そのインターフェイス上で直接接続されたネクスト ホップに解決します。または 階層レベルでルーティングテーブルグループを作成します。[edit routing-options][edit logical-systems logical-system-name routing-options]

注:

インターフェイスルートがインポートされるルーティングインスタンスの1つとして指定します 。inet.0 デフォルト インスタンスが指定されていない場合、インターフェイス ルートはデフォルト ルーティング インスタンス にインポートされません。inet.0

この例では、パケットの送信元アドレスに基づいて、顧客トラフィックをドメインSP 1またはSP 2のネクストホップルーターに転送するパケットフィルタを示しています。

パケットに送信元アドレスが SP 1 のカスタマーに割り当てられた場合、宛先ベースの転送は sp1-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットに SP 2 カスタマーに割り当てられた送信元アドレスがある場合、宛先ベースの転送は sp2-route-table.inet.0 ルーティング テーブルを使用して行われます。パケットがこれらの条件のいずれにも一致しない場合、フィルターはパケットを受け入れ、標準のinet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。

論理システム内でフィルターベースの転送を機能させる 1 つの方法は、パケットを受信する論理システムでファイアウォール フィルターを設定することです。別の方法は、メインルーターでファイアウォールフィルターを設定し、ファイアウォールフィルターで論理システムを参照することです。この例では、2 番目の方法を使用します。特定のルーティングインスタンスは、論理システム内で構成されます。各ルーティングインスタンスには独自のルーティングテーブルがあるため、ファイアウォールフィルター内のルーティングインスタンスも参照する必要があります。構文は次のようになります。

トポロジー

図 1 この例で使用されているトポロジーを示しています。

論理システム P1 では、入力フィルタが論理システム PE3 と論理システム PE4 から受信したパケットを分類します。パケットは送信元アドレスに基づいてルーティングされます。送信元アドレスが 10.1.1.0/24 および 10.1.2.0/24 ネットワークにあるパケットは、論理システム PE1 にルーティングされます。送信元アドレスが 10.2.1.0/24 および 10.2.2.0/24 ネットワークにあるパケットは、論理システム PE2 にルーティングされます。

図 1: フィルタベース転送を使用する論理システムフィルタベース転送を使用する論理システム

接続を確立するには、すべてのインターフェイスに OSPF を設定します。デモンストレーションのために、ループバック インターフェイス アドレスがルーティング デバイスに設定され、クラウド内のネットワークを表します。

セクションには 、トポロジー内のすべてのデバイスの設定全体が表示されます。CLIクイック構成および セクションは、イングレス ルーティング デバイスである論理システム P1 の段階的な設定を示しています。論理システムP1でのルーティングインスタンスの設定メインルーターでのファイアウォールフィルターの設定

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

メインルーターでのファイアウォールフィルターの設定

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、CLIユーザー・ガイドコンフィギュレーション・モードでのCLIエディタの使用を参照してください。

メインルーターでファイアウォールフィルターを設定するには:

  1. SP1 のお客様の送信元アドレスを構成します。

  2. 指定された送信元アドレスのパケットを受信したときに実行するアクションを設定します。

    ファイアウォールフィルターのアクションを追跡するために、ログアクションが設定されます。論理システム P1 の sp1-route-table.inet.0 ルーティング テーブルは、パケットをルーティングします。

  3. SP2 のお客様の送信元アドレスを構成します。

  4. 指定された送信元アドレスのパケットを受信したときに実行するアクションを設定します。

    ファイアウォールフィルターのアクションを追跡するために、ログアクションが設定されます。論理システム P1 の sp2-route-table.inet.0 ルーティング テーブルは、パケットをルーティングします。

  5. 他の送信元アドレスからパケットを受信したときに実行するアクションを設定します。

    これらのパケットはすべて単純に受け入れられ、デフォルトのIPv4ユニキャストルーティングテーブルinet.0を使用してルーティングされます。

論理システムP1でのルーティングインスタンスの設定

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、CLIユーザー・ガイドコンフィギュレーション・モードでのCLIエディタの使用を参照してください。

論理システム上にルーティングインスタンスを設定するには:

  1. 論理システム上のインターフェイスを設定します。

  2. ファイアウォールフィルターを 入力パケットフィルターとしてルーターインターフェイスlt-1/2/0.10に割り当てます。classify-customers

  3. ルーティングプロトコルまたはスタティックルーティングを使用して、接続を構成します。

    ベスト プラクティスとして、管理インターフェイスでルーティングを無効にします。

  4. ルーティングインスタンスを作成します。

    これらのルーティング インスタンスは、ファイアウォール フィルターで参照されます 。classify-customers

    転送インスタンスタイプは、インターフェイスがインスタンスに関連付けられないフィルターベースの転送をサポートします。すべてのインターフェイスは、デフォルトのインスタンス(この場合は論理システム P1)に属します。

  5. ルーティングインスタンスにインストールされているルートを直接接続されたネクストホップに解決します。

  6. ルーティングテーブルをグループ化して、ルーティングテーブルグループを形成します。

    最初のルーティングテーブルinet.0はプライマリルーティングテーブルで、追加のルーティングテーブルはセカンダリルーティングテーブルです。

    プライマリルーティングテーブルは、ルーティングテーブルグループのアドレスファミリー(この場合はIPv4)を決定します。

  7. ルーティングテーブルグループをOSPFに適用します。

    これにより、OSPF ルートがグループ内のすべてのルーティング テーブルにインストールされます。

  8. デバイスの設定が完了したら、設定をコミットします。

結果

および コマンドを発行して、設定を確認します。show firewallshow logical-systems P1

検証

設定が正常に機能していることを確認します。

指定された送信元アドレスでの ping

目的

ネットワークを介していくつかのICMPパケットを送信し、ファイアウォールフィルターをテストします。

アクション

  1. 論理システム PE3 にログインします。

  2. コマンドを実行して、論理システム PE1 の lo0.3 インターフェイスに ping を実行します。ping

    このインターフェイスで設定されているアドレスは172.16.1.1です。

    論理システム PE3 の lo0.1 インターフェイスで設定されたアドレスである送信元アドレス 10.1.2.1 を指定します。

  3. 論理システム PE4 にログインします。

  4. コマンドを実行して、論理システム PE2 の lo0.4 インターフェイスに ping を実行します。ping

    このインターフェイスで設定されているアドレスは172.16.2.2です。

    論理システム PE4 の lo0.2 インターフェイスで設定されたアドレスである送信元アドレス 10.2.1.1 を指定します。

意味

これらのpingを送信すると、ファイアウォールフィルターアクションがアクティブになります。

ファイアウォールフィルターの検証

目的

ファイアウォールフィルターアクションが有効になっていることを確認します。

アクション

  1. 論理システム P1 にログインします。

  2. 論理システム P1 でコマンドを実行します 。show firewall log

関連項目