Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:特定のアウトゴーイングインターフェイスまたは宛先 IP アドレスへのフィルターベースの転送の構成

特定のアウトゴーイングインターフェイスまたは宛先 IP アドレスへのフィルターベースの転送を理解する

ポリシーベースのルーティング (フィルターベースの転送とも呼ばれる) は、特定の IP ヘッダーの特性に合わせてインターフェイスに適用されるファイアウォールフィルターを使用することを意味し、通常のパケットとは異なる方法で、これらの一致するパケットのみをルーティングします。回送.

Junos OS リリース12.2 から開始すると、、 then next-interfacethen next-ip、またはthen next-ip6ファイアウォールフィルタのアクションとして、、またはを使用できます。特定の対戦条件、IPv4、IPv6 アドレス、またはインターフェイス名は、対応する応答アクションとして指定できます。

以下の条件を満たすことができます。

  • レイヤー3のプロパティ (例: 送信元または宛先の IP アドレスまたは TOS バイト)

  • レイヤー4のプロパティ (送信元または宛先ポートなど)

ポリシーベースのルーティングを有効にするには、指定された IPv4 または IPv6 アドレスのルートがルーティングテーブルに存在している必要があります。同様に、指定されたインターフェイスを通過するルートは、アクションを有効next-interfaceにするために転送テーブル内に存在している必要があります。これを実現するには、OSPF や IS-IS などの内部ゲートウェイプロトコル (IGP) を構成して、レイヤー3ルートをアドバタイズします。

ファイアウォールフィルターは条件に一致し、パケットを次のいずれかに転送します。

  • IPv4 アドレス ( next-ipファイアウォールフィルタアクションを使用)

  • IPv6 アドレス ( next-ip6ファイアウォールフィルタアクションを使用)

  • インターフェイス ( next-interfaceファイアウォールフィルタアクションを使用)

たとえば、顧客にサービスを提供し、サービスを別のサーバーに配置することが考えられます。サービスの例として、ホスト DNS またはホストされた FTP があります。顧客のトラフィックがジュニパーネットワークスルーティングデバイスに到着すると、フィルタベースの転送を使用して、MAC アドレスまたは IP アドレスに一致条件を適用したり、パケットを特定の場所に送信したりすることによって、トラフィックをサーバーに送信できます。適切なサーバーに関連付けられているアウトゴーイングインターフェイス。宛先のいくつかは IPv4 または IPv6 アドレスである場合がありnext-ipnext-ip6その場合は or アクションが役立ちます。

必要に応じて、送信インタフェースまたは IP アドレスをルーティングインスタンスに関連付けることができます。

たとえば、以下のように記述します。

例:特定のアウトゴーイングインターフェイスへのフィルターベースの転送の設定

この例では、ファイアthen next-interfaceウォールフィルタでアクションとして使用する方法を示します。

要件

この例は、以下のハードウェアとソフトウェアの要件を満たしています。

  • MX シリーズ5G ユニバーサルルーティングプラットフォームは、ファイアウォールフィルタが設定されたルーティングデバイスとして機能します。

  • ファイアウォールフィルタが設定されたルーティングデバイス上で実行されるリリース12.2 を Junos OS します。

  • next-interface (またはnext-ip) アクションを持つフィルターは、Trio MPC でホストされているインタフェースにのみ適用できます。フィルターを I チップベースの DPC に適用すると、コミット操作は失敗します。

  • next-interface interface-nameアクションで参照されるアウトゴーイングインターフェイスは、TRIO の MPC または I チップベースの DPC でホストできます。

概要

この例では、デバイス R1 には2つのループバックインタフェースアドレスが設定されています。172.16.1.1 と172.16.2.2 です。

デバイス R2 では、ファイアウォールフィルタに複数の条件が設定されています。各条件は、受信トラフィックの送信元アドレスの1つと一致し、指定されたアウトゴーイングインターフェイスにトラフィックをルーティングします。アウトゴーイングインターフェイスは、デバイス R2 とデバイス R3 間の VLAN タグ付きインターフェイスとして構成されます。

IS-IS は、デバイス間の接続に使用されます。

図 1は、この例で使用されているトポロジを示しています。

図 1: 指定されたアウトゴーイングインターフェイスへのフィルターベースの転送指定されたアウトゴーイングインターフェイスへのフィルターベースの転送

この例では、デバイス R2 の構成を示しています。

Topology

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

デバイス R2

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定モードでの CLI エディターの使用 」を Junos OS CLIしてください

デバイス R2 を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ファイアウォールフィルターを構成します。

  3. インターフェイスで IS-IS を有効にします。

結果

設定モードから、、、およびshow interfacesshow firewallshow protocolsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

使用されているパスの確認

目的

デバイス R1 からデバイス R4 へのトラフィックを送信するときに、必要なパスが使用されていることを確認してください。

アクション

デバイス R1 上でtraceroute コマンドを入力します。

この出力は、 tracerouteコマンドで使用される送信元アドレスに応じて、第2ホップが変化することを示しています。

この機能を確認するために、デバイス R1 とデバイス R4 の間で traceroute 操作が実行されます。送信元 IP アドレスが172.16.1.1 の場合、パケットはデバイス R2 上の ge-2/1/1.0 インターフェイスに転送されます。送信元 IP アドレスが172.16.2.2 の場合、パケットはデバイス R2 上の ge/1/1.1 インターフェイスに転送されます。

例:特定の宛先 IP アドレスへのフィルターベースの転送の構成

この例では、ファイアthen next-ipウォールフィルタでアクションとして使用する方法を示します。

要件

この例は、以下のハードウェアとソフトウェアの要件を満たしています。

  • MX シリーズ5G ユニバーサルルーティングプラットフォームは、ファイアウォールフィルタが設定されたルーティングデバイスとして機能します。

  • ファイアウォールフィルタが設定されたルーティングデバイス上で実行されるリリース12.2 を Junos OS します。

  • next-interface (またはnext-ip) アクションを持つフィルターは、Trio MPC でホストされているインタフェースにのみ適用できます。フィルターを I チップベースの DPC に適用すると、コミット操作は失敗します。

  • 次のインターフェイスのインターフェイス名アクションで参照されるアウトゴーイングインターフェイスは、Trio の MPC または I チップベースの DPC でホストできます。

概要

この例では、デバイス R2 は物理リンクと相互接続された2つのルーティングインスタンスを備えています。特定のソースからのトラフィックは、IP レイヤー上で透過的に動作するトラフィックオプティマイザーによる検査のために、上側のリンクを介して送信される必要があります。トラフィックオプティマイザーに障害が発生すると、トラフィックはより下位のリンクに移動します。方向 R1>R3 および R3>R1 のフローは同じパスを通ります。

図 2は、この例で使用されているトポロジを示しています。

図 2: 指定されたアウトゴーイングインターフェイスへのフィルターベースの転送指定されたアウトゴーイングインターフェイスへのフィルターベースの転送

デバイス R2 上では、ファイアウォールフィルタが、入力方向の interface ge-1/0/8 に適用されます。2つ目の条件は、特定の送信元アドレス 10.0.0.0/24 と一致し、トラフィックをアドレス192.168.0.3 にルーティングします。このアドレスは、次ホップの192.168.20.2 に解決されます。インターフェイス ge-1/1/0 に接続されているリンクがダウンすると、アドレス192.168.0.3 は次ホップの192.168.30.2 に解決します。

デバイス R2 上では、ファイアウォールフィルタが入力方向の interface ge-1/0/0 に適用されます。2つ目の用語は、宛先アドレス 10.0.0.0/24 に一致し、トラフィックをアドレス192.168.0.2 にルーティングします。このアドレスは、次ホップの192.168.20.1 に解決されます。インターフェイス ge-1/3/8 に接続されたリンクがダウンすると、ip アドレス192.168.0.2 は次ホップの192.168.30.1 に解決されます。

注:

next-ipアクションを使用して設定されたアドレスは自動的に解決されません。イーサネットインターフェイスでは、設定されたアドレスがルーティングプロトコルまたは静的ルートを使用して解決されていることを前提としています。

デバイス R2-VR1 とデバイス R2 VR2 の間で使用されている内部 BGP (IBGP)。デバイス R1 とデバイス R2-VR1 の間、およびデバイス R2-VR2 とデバイス R3 の間では、外部の BGP (EBGP) が使用されます。

BGP の運用は次のように進んでいます。

  • VR1 は、R1 からの10/8 と R2-VR2 の0/0 を学習しています。

  • VR2 は、VR1 の R3 および10/8 から0/0 を学習しています。

  • R1 は10/8 をアドバタイズし、VR1 から0/0 を受信します。

  • R3 は0/0 を公表し、VR2 から10/8 を受信します。

デバイス R2 に適用されるファイアウォールフィルタは、直接接続されたインターフェイスの制御プレーントラフィック (この例では EBGP セッション) を許可する必要があります。

この例では、デバイス R2 の構成を示しています。

Topology

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

デバイス R1

デバイス R2

デバイス R3

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定モードでの CLI エディターの使用 」を Junos OS CLIしてください

デバイス R2 を構成するには、次のようになります。

  1. インターフェイスを構成します。

  2. ルーティングインスタンスを構成します。

  3. 静的ルートと BGP ルーティングを構成します。

  4. ファイアウォールフィルターを構成します。

  5. ルーティングポリシーを設定します。

結果

設定モードから、、、およびshow interfacesshow firewallshow protocolsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

使用されているパスの確認

目的

デバイス R1 からデバイス R3 にトラフィックを送信するときは、必要なパスが使用されていることを確認してください。

アクション

デバイス R1 上で、リンクtraceroute障害の前後にコマンドを入力します。

トラフィックオプティマイザーの障害が発生する前

トラフィックオプティマイザーが失敗した後

この出力は、 tracerouteコマンドで使用される送信元アドレスに応じて、第2ホップが変化することを示しています。

この機能を確認するために、traceroute オペレーションはデバイス R1 のデバイス R3 で実行されます。送信元 IP アドレスが10.0.0.1 の場合、デバイス R2 上の ge-1/1/0.0 インターフェイスからパケットが転送されます。送信元 IP アドレスが10.1.0.1 である場合、パケットはデバイス R2 上の ge/1/1.0 インターフェイスに転送されます。

Ge-1/1/0 と、ge-1/3/8 の間のリンクが失敗した場合、発信元 IP アドレス10.0.0.1 を持つパケットが、デバイス R2 上の ge/1/1.0 インターフェイスから転送されます。