転送テーブル フィルターの適用
転送テーブル フィルターを使用すると、コンポーネントに基づいてデータ パケットをフィルタリングし、フィルターに一致するパケットに対してアクションを実行できます。転送テーブルのイングレスパケットまたはエグレスパケットにフィルターを適用できます。フィルタ [edit firewall family family-name] は 階層レベルで設定します。詳細については、「 転送テーブル フィルタの設定」を参照してください。
転送テーブルのイングレスパケットに転送テーブルフィルターを適用するには、 階層レベルで フィルター と input ステートメントを含めます [edit forwarding-options family family-name] 。
[edit forwarding-options family family-name] filter { input filter-name; }
転送テーブルのエグレス パケットにファイアウォール フィルターを適用することで、宛先クラスの情報に基づいてフィルタリングできます。ルーティング テーブルによって転送されたパケットにファイアウォール フィルターを適用することで、ルート ルックアップで決定された特定のパラメーターに基づいてマッチングを行うことができます。たとえば、ルートを特定の宛先クラスと送信元クラスに分類できます。ポリシングとミラーリングに使用されるファイアウォールフィルターは、これらのクラスに基づいて照合できます。
転送テーブルのエグレスパケットにファイアウォールフィルターを適用するには、 階層レベルで フィルター と output ステートメントを含めます [edit forwarding-options family family-name] 。
[edit forwarding-options family family-name] filter { output filter-name; }
エグレス転送テーブルフィルターも使用している場合、一致条件を含む interface-group ファイアウォールフィルターを設定できません。これは、一致条件が interface-group パケットを受信した論理インターフェイスを使用してインターフェイスグループ(またはインターフェイスグループのセット)に一致するのに対し、転送テーブルフィルターはローカルホストトラフィックとトランジットパケットにのみ適用されるためです。
転送テーブル フィルターをフラッディング テーブルに適用するには、次に示すように、 階層レベルでフラッディング input ステートメントとステートメント [edit forwarding-options family family-name] を含めます。ステートメントは flood 、 vpls プロトコル ファミリーに対してのみ有効です。
[edit forwarding-options family vpls] flood { input filter-name; }
MX シリーズ ルーターでのみ、仮想スイッチに転送テーブル フィルターを適用するには、 階層レベルでフィルター と input ステートメントを含めます [edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options] 。
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
仮想スイッチの構成方法の詳細については、 ルーティングデバイス用 Junos OS レイヤー 2 スイッチングおよびブリッジングライブラリを参照してください。
MXシリーズ3Dユニバーサルエッジルーターでは、 階層レベルで ステートメント[edit forwarding-options family inet6]を使用することでsoure-checking、転送テーブルフィルターを適用できます。
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
これにより、送信元アドレスのタイプが未指定、ループバック、マルチキャスト、またはリンクローカルの場合、IPv6パケットは破棄されます。
RFC 4291、 IPバージョン6アドレッシングアーキテクチャでは、送信元アドレスとして使用する場合に特別な処理が必要な4つのアドレスタイプについて言及しています。次の 4 種類のアドレスがあります。
未指定
ルーパック
マルチキャスト
リンクローカル ユニキャスト
ループバック アドレスとマルチキャスト アドレスは、IPv6 パケットの送信元アドレスとして使用してはなりません。未指定アドレスおよびリンクローカルアドレスは送信元アドレスとして使用できますが、ルーターはこれらのアドレスを送信元アドレスとして持つパケットを転送してはなりません。通常、送信元アドレスとして未指定またはリンクローカルアドレスを含むパケットは、ローカルホストに配信されます。宛先がローカルホストでない場合は、パケットを転送しないでください。このステートメントを設定すると、これら4つのアドレスタイプのIPv6パケットをフィルタリングまたは破棄できます。
T4000以外のT Seriesルーターでは、パケットが実際に転送テーブルによって転送されたかどうかに関係なく、転送テーブルによって転送されたパケットはエグレス転送テーブル フィルターに到達します。ルートがネクストホップを拒否または破棄することを指している場合でも、パケットはエグレスフィルターに到達します。
T4000タイプ5フレキシブルPICコンセントレータ(FPC)では、パケットが転送テーブルによって転送された場合のみ、パケットがエグレスフィルターに到達します。
エグレス転送テーブル フィルターは、FPC のイングレス インターフェイスに適用されます。同じ宛先への異なるパケットが異なるFPCに到着すると、異なるポリサーに遭遇する可能性があります。
バージョン14.2以前では、Jシリーズサービスルーターでエグレス転送テーブルフィルターはサポートされていません。
Junos OS リリース 8.4 以降では、VPLS に対してこの出力ステートメントを設定できなくなりました。引き続き、 階層レベルの input ステートメント [edit forwarding-options family vpls filter] でイングレス転送テーブルフィルターを設定することができます。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。