Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

GRE またはIPIP トラフィックのカプセル化を解除するファイアウォールフィルターの設定

GRE(一般ルーティングのカプセル化) と IP over IP(IPIP)はどちらも 、パケットをカプセル化(またはトンネリング)することで、ネットワークを通じてパケットを転送するためのプライベートでセキュアなパスを提供します 。トンネリングは 、トラフィックをカプセル化またはカプセル化解除するトンネルエンドポイントによって実行されます。

ファイアウォールフィルターを使用して、スイッチ上のトンネルトラフィックのカプセル化を解除できます。この機能は、カプセル化解除を実行するためにトンネルインターフェイスを作成する必要がないため、拡張性、パフォーマンス、柔軟性の面で大きなメリットを提供します。例えば、1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端させることができます。

注:

EX4600、QFX5100、OCXスイッチは、ファイアウォールフィルターで作成されたトンネルを含め、最大512のGREトンネルをサポートします。つまり、使用する方法に関係なく、合計 512 の GRE トンネルを作成できます。

GREトラフィックのカプセル化を解除するフィルターの設定

ファイアウォールフィルターを設定して、GREトラフィックのカプセル化を解除するには:

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    GRE パケットの外部ヘッダーは IPv4 でなければならないため、 を使用して IPv4 フィルターを作成する必要があります。family inet 送信元アドレスを指定する場合は、トラフィックを GRE パケットにカプセル化するデバイス上のアドレスを指定する必要があります。

    注:

    1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端する場合は、送信元アドレスを構成しないでください。この場合、フィルターを適用したインターフェイスが受信したGREパケットはすべて、フィルターのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、 トンネルまたはトンネルを終端し、GREパケットのカプセル化を解除するスイッチのインターフェイス上のアドレスである必要があります。また、スイッチ上で トンネルを形成するすべてのトンネル送信元ルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが一致し、GRE トラフィックを受け入れる必要があることを指定します。
  4. フィルターが GRE トラフィックのカプセル化を解除することを指定します。

    スイッチは、これまでに行った設定に基づいて、内部ヘッダーをデフォルトのルーティングテーブル()と比較することによって、カプセル化解除されたパケットを転送します。inet0 スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送するようにするには、次の手順を実行します。

  5. 仮想ルーティングインスタンスの名前を指定します。
  6. 仮想ルーティングインスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

IPIPトラフィックのカプセル化を解除するフィルターの構成

IPIPトラフィックのカプセル化を解除するファイアウォールフィルターを設定するには::

  1. IPv4ファイアウォールフィルターを作成し、(オプションで)トンネルの送信元アドレスを指定します。

    IPIP パケットの外部ヘッダーは IPv4 である必要があるため、を使用して IPv4 フィルターを作成する必要があります。family inet 送信元アドレスを指定する場合は、トラフィックを IPIP パケットにカプセル化するデバイス上のアドレスにする必要があります。

    注:

    1つのファイアウォール条件で複数の送信元IPアドレスからの多くのトンネルを終端する場合は、送信元アドレスを構成しないでください。この場合、フィルターは、フィルターを適用するインターフェイスによって受信された IPIP パケットのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定します。

    これは、 トンネルまたはトンネルを終端し、IPIPパケットのカプセル化を解除するスイッチのインターフェイス上のアドレスである必要があります。また、スイッチ上で トンネルを形成するすべてのトンネル送信元ルーターで、このアドレスをトンネルエンドポイントとして設定する必要があります。

  3. フィルターが IPIP トラフィックと一致し、受け入れるように指定します。
  4. フィルターがIPIPトラフィックのカプセル化を解除することを指定します。

    スイッチは、これまでに行った設定に基づいて、内部ヘッダーをデフォルトのルーティングテーブル()と比較することによって、カプセル化解除されたパケットを転送します。inet0 スイッチが仮想ルーティング インスタンスを使用してカプセル化解除されたパケットを転送するようにするには、次の手順を実行します。

  5. 仮想ルーティングインスタンスの名前を指定します。
  6. 仮想ルーティングインスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

インターフェイスへのフィルターの適用

ファイアウォールフィルターを作成したら、GRE または IPIP トラフィックを受信するインターフェイスにも適用する必要があります。必ず入力方向に適用してください。たとえば、次のように入力します。

GRE または IPIP パケットの外部ヘッダーは IPv4 である必要があるため、フィルターを IPv4 インターフェイスに適用して を指定する必要があります 。family inet

関連項目