Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターを構成して GRE トラフィックをカプセル化解除する

Generic routing カプセル化 (GRE) により、パケットをカプセル化 (トンネリング) することで、ネットワーク経由でパケットを転送するためのプライベートでセキュアなパスが提供されます。トラフィックをカプセル化またはカプセル化解除するトンネルエンドポイントによって、GRE トンネリングが実行されます。

ファイアウォールフィルターを使用して、スイッチ上で GRE トラフィックをカプセル化解除できます。この機能により、カプセル化を実行するためにトンネルインターフェイスを作成する必要がないため、拡張性、パフォーマンス、柔軟性という点で大きなメリットが得られます。たとえば、1つのファイアウォール条件を使用して、複数の送信元 IP アドレスから多数のトンネルを終了させることができます。

注:

EX4600、QFX5100、および OCX スイッチは、ファイアウォールフィルタによって作成されたトンネルを含む、最大 512 GRE トンネルをサポートしています。つまり、使用する方法に関係なく、合計 512 GRE トンネルを作成できます。

GRE トラフィックのカプセル化を解除するフィルターの構成

GRE トラフィックのカプセル化を解除するようにファイアウォールフィルターを設定するには、以下のようにします。

  1. IPv4 ファイアウォールフィルターを作成し、必要に応じてトンネルの送信元アドレスを指定するには、次のようにします。

    GRE パケットの外側のヘッダーは IPv4 family inetであるため、を使用して ipv4 フィルターを作成する必要があります。発信元アドレスを指定する場合は、デバイス上のアドレスとして、トラフィックを GRE パケットにカプセル化する必要があります。

    注:

    1つのファイアウォール条件で複数の送信元 IP アドレスから多くのトンネルを終了するには、送信元アドレスを構成しないようにします。この場合、フィルターは、フィルターを適用するインターフェイスによって受信された GRE パケットのカプセル化を解除します。

  2. トンネルの宛先アドレスを指定してください:

    これは、トンネルまたはトンネルを終了するスイッチのインターフェイス上のアドレスである必要があり、GRE パケットはカプセル化解除されます。また、 このアドレスは、トンネリングをスイッチとして形成するすべてのトンネルソースルーター上のトンネルエンドポイントとして設定する必要があります。

  3. フィルタが一致し、GRE トラフィックを受け付けるように指定します。
  4. フィルターが GRE トラフィックを逆カプセル化することを指定します。

    これまでに実行した構成に基づいて、内部ヘッダーをデフォルトのルーティングテーブル (inet0) と比較して、カプセル化されたパケットを転送します。スイッチが仮想ルーティングインスタンスを使用してカプセル化解除されたパケットを転送するようにする場合は、次の手順を実行します。

  5. 仮想ルーティングインスタンスの名前を指定します。
  6. 仮想ルーティングインスタンスが仮想ルーターであることを指定します。
  7. 仮想ルーターに属するインターフェイスを指定します。

インターフェイスへのフィルタの適用

ファイアウォールフィルターを作成した後は、GRE トラフィックを受信するインターフェイスにも適用する必要があります。必ず入力方向に適用してください。たとえば、次のように入力します。

GRE パケットの外側のヘッダーは IPv4 である必要があるため、フィルターを IPv4 インターフェイスに適用してfamily inet、指定する必要があります。