Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターを設定して、GRE またはIPIP トラフィックをカプセル化解除する

GRE(一般ルーティングのカプセル化) および IPIP(IP over IP)はどちらも、パケットをカプセル化(またはトンネリング)することによってネットワークを通じてパケットを転送するためのプライベートでセキュアなパスを 提供 します。トンネリングは、トラフィックをカプセル化またはカプセル化解除するトンネルエンドポイントによって実行されます。

ファイアウォールフィルターを使用して、スイッチ上の トンネル トラフィックのカプセル化を解除できます。この機能は、カプセル化解除を実行するためにトンネルインターフェイスを作成する必要がないため、拡張性、パフォーマンス、柔軟性の面で大きなメリットを提供します。例えば、1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端させることができます。

注:

EX4600、QFX5100、OCXスイッチは、ファイアウォールフィルターで作成されたトンネルを含め、最大512のGREトンネルをサポートします。つまり、使用する方法に関係なく、合計 512 の GRE トンネルを作成できます。

GREトラフィックのカプセル化を解除するフィルターの設定

ファイアウォールフィルターを設定して、GREトラフィックのカプセル化を解除するには:

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    GRE パケットの外部ヘッダーは IPv4 である必要があるため、 family inet を使用して IPv4 フィルターを作成する必要があります。送信元アドレスを指定する場合は、トラフィックを GRE パケットにカプセル化するデバイス上のアドレスを指定する必要があります。

    注:

    1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端する場合は、送信元アドレスを構成しないでください。この場合、フィルターを適用したインターフェイスが受信したGREパケットはすべて、フィルターのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、トンネルまたはトンネルを終端し、GREパケットのカプセル化を解除する スイッチのインターフェイス上のアドレスである必要があります。また、 スイッチ上でトンネルを形成するすべてのトンネル送信元ルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが一致し、GRE トラフィックを受け入れる必要があることを指定します。
  4. フィルターが GRE トラフィックのカプセル化を解除することを指定します。

    スイッチは、これまでに実行した設定に基づいて、内部ヘッダーをデフォルト ルーティング テーブル(inet0)と比較することによって、カプセル化解除されたパケットを転送します。スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送するようにするには、次の手順を実行します。

  5. 仮想ルーティングインスタンスの名前を指定します。
  6. 仮想ルーティングインスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

IPIPトラフィックのカプセル化を解除するフィルターの構成

IPIPトラフィックのカプセル化を解除するためにファイアウォールフィルターを設定するには::

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    IPIP パケットの外部ヘッダーは IPv4 である必要があるため、 family inet を使用して IPv4 フィルターを作成する必要があります。送信元アドレスを指定する場合は、トラフィックを IPIP パケットにカプセル化するデバイス上のアドレスにする必要があります。

    注:

    1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端する場合は、送信元アドレスを構成しないでください。この場合、フィルターは、フィルターを適用するインターフェイスによって受信された IPIP パケットのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、トンネルを終端し、IPIPパケットのカプセル化を解除する スイッチのインターフェイス上のアドレスである必要があります。また、 スイッチ上でトンネルを形成するすべてのトンネル送信元ルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが IPIP トラフィックと一致し、受け入れるように指定します。
  4. フィルターがIPIPトラフィックのカプセル化を解除することを指定します。

    スイッチは、これまでに実行した設定に基づいて、内部ヘッダーをデフォルト ルーティング テーブル(inet0)と比較することによって、カプセル化解除されたパケットを転送します。スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送するようにするには、次の手順を実行します。

  5. 仮想ルーティングインスタンスの名前を指定します。
  6. 仮想ルーティングインスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

インターフェイスへのフィルターの適用

ファイアウォールフィルターを作成した後、GRE またはIPIP トラフィックを受信するインターフェイスにも適用する必要があります。必ず入力方向に適用してください。たとえば、次のように入力します。

GRE または IPIP パケットの外部ヘッダーは IPv4 でなければならないため、フィルターを IPv4 インターフェイスに適用し、 family inet を指定する必要があります。