Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

GRE またはIPIPトラフィックをカプセル化解除するファイアウォールフィルターの 設定

GRE(Generic Routing Encapsulation) と IP over IP(IPIP)の両方 が、パケットのカプセル化(またはトンネリング)によってネットワークを介してパケットを転送するためのプライベートでセキュアなパスを提供 します。トンネリングは 、トラフィックをカプセル化またはカプセル化解除するトンネルエンドポイントによって実行されます。

ファイアウォールフィルターを使用して、スイッチ上のトンネルトラフィックのカプセル化を解除できます。この機能は、カプセル化解除を実行するためにトンネルインターフェイスを作成する必要がないため、拡張性、パフォーマンス、柔軟性の面で大きなメリットがあります。例えば、1つのファイアウォール条件で、複数のソースIPアドレスから多くのトンネルを終端することができます。

注:

EX4600、QFX5100、OCXスイッチは、ファイアウォールフィルターで作成されたトンネルを含む、最大512のGREトンネルをサポートします。つまり、どの方法を使用しても、合計 512 の GRE トンネルを作成できます。

GRE トラフィックのカプセル化を解除するフィルターの設定

GREトラフィックのカプセル化を解除するファイアウォールフィルターを設定するには:

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    GRE パケットの外部ヘッダーは IPv4 である必要があるため、を使用 family inet して IPv4 フィルターを作成する必要があります。送信元アドレスを指定する場合、トラフィックをGREパケットにカプセル化するデバイス上のアドレスにする必要があります。

    注:

    1 つのファイアウォール条件で複数の送信元 IP アドレスから多くのトンネルを終端するには、送信元アドレスを設定しないでください。この場合、フィルターは、フィルターを適用するインターフェイスで受信した GRE パケットのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、トンネルまたはトンネルを 終端し、GREパケットをカプセル化解除したいスイッチのインターフェイス上のアドレスである必要があります。また、スイッチ上で トンネルを形成するすべてのトンネルソースルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが一致し、GRE トラフィックを受け入れることを指定します。
  4. フィルターが GRE トラフィックのカプセル化を解除する必要があることを指定します。

    これまで実行した設定に基づいて、スイッチは内部ヘッダーをデフォルトルーティングテーブル(inet0)と比較して、カプセル化解除されたパケットを転送します。スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送する場合は、次の手順を実行します。

  5. 仮想ルーティング インスタンスの名前を指定します。
  6. 仮想ルーティング インスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

IPIPトラフィックのカプセル化を解除するフィルターの設定

IPIPトラフィックのカプセル化を解除するファイアウォールフィルターを設定するには::

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    IPIPパケットの外部ヘッダーはIPv4である必要があるため、を使用 family inet してIPv4フィルターを作成する必要があります。送信元アドレスを指定する場合、IPIPパケットにトラフィックをカプセル化するデバイス上のアドレスにする必要があります。

    注:

    1 つのファイアウォール条件で複数の送信元 IP アドレスから多くのトンネルを終端するには、送信元アドレスを設定しないでください。この場合、フィルターは、フィルターを適用するインターフェイスによって受信された IPIP パケットのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、トンネルまたはトンネルを 終端し、IPIPパケットをカプセル化解除したいスイッチのインターフェイス上のアドレスである必要があります。また、スイッチ上で トンネルを形成するすべてのトンネルソースルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが一致し、IPIPトラフィックを受け入れることを指定します。
  4. フィルターが IPIP トラフィックのカプセル化を解除する必要があることを指定します。

    これまで実行した設定に基づいて、スイッチは内部ヘッダーをデフォルトルーティングテーブル(inet0)と比較して、カプセル化解除されたパケットを転送します。スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送する場合は、次の手順を実行します。

  5. 仮想ルーティング インスタンスの名前を指定します。
  6. 仮想ルーティング インスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

インターフェイスへのフィルターの適用

ファイアウォールフィルターを作成した後、GRE またはIPIP トラフィックを受信するインターフェイスにも適用する必要があります。入力方向に必ず適用してください。例えば、

GRE または IPIP パケットの外部ヘッダーは IPv4 である必要があるため、フィルターを IPv4 インターフェイスに適用し、 を指定 family inetする必要があります。