転送テーブルフィルターの適用
転送テーブルフィルターを使用すると、そのコンポーネントに基づいてデータパケットをフィルタリングし、そのフィルタに一致するパケットに対してアクションを実行できます。転送テーブルのイングレスパケットまたはエグレスパケットにフィルターを適用できます。フィルターは [edit firewall family family-name] 階層レベルで設定します。詳細については、「 転送テーブルフィルターの設定」を参照してください。
転送テーブルのイングレスパケットに転送テーブルフィルターを適用するには、[edit forwarding-options family family-name]階層レベルでフィルターステートメントとinputステートメントを含めます。
[edit forwarding-options family family-name] filter { input filter-name; }
転送テーブルのエグレスパケットにファイアウォールフィルターを適用することで、宛先クラス情報に基づいてフィルタリングできます。ルーティングテーブルで転送されたパケットにファイアウォールフィルターを適用することで、ルートルックアップで決定される特定のパラメーターに基づいてマッチングすることができます。例えば、ルートを特定の宛先クラスと送信元クラスに分類できます。ポリシングとミラーリングに使用されるファイアウォールフィルターは、これらのクラスに基づいてマッチングすることができます。
転送テーブルのエグレスパケットにファイアウォールフィルターを適用するには、[edit forwarding-options family family-name]階層レベルでフィルターステートメントとoutputステートメントを含めます。
[edit forwarding-options family family-name] filter { output filter-name; }
エグレス転送テーブルフィルターも使用している場合、 interface-group 一致条件を含むファイアウォールフィルターを使用することはできません。これは、 interface-group 一致条件がパケットを受信した論理インターフェイスを使用してインターフェイスグループ(またはインターフェイスグループのセット)に一致させるのに対し、転送テーブルフィルターはローカルホストトラフィックとトランジットパケットにのみ適用されるためです。
フラッドテーブルに転送テーブルフィルターを適用するには、以下に示すように、[edit forwarding-options family family-name]階層レベルでフラッドステートメントとinputステートメントを含めます。floodステートメントは、vplsプロトコルファミリーに対してのみ有効です。
[edit forwarding-options family vpls] flood { input filter-name; }
MXシリーズルーターのみで、仮想スイッチに転送テーブルフィルターを適用するには、[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]階層レベルにフィルターステートメントとinputステートメントを含めます。
[edit routing-instances routing-instance-name bridge-domains bridge-domain-name forwarding-options]
filter {
input filter-name;
}
仮想スイッチの設定方法の詳細については、 ルーティングデバイス用Junos OSレイヤー2スイッチングおよびブリッジングライブラリを参照してください。
MXシリーズ 3Dユニバーサルエッジルーターでは、[edit forwarding-options family inet6]階層レベルでsoure-checkingステートメントを使用することで、転送テーブルフィルターを適用できます。
[edit forwarding-options family inet6]
family inet6 {
source-checking;
}
}
これにより、送信元アドレスタイプが未指定、ループバック、マルチキャスト、またはリンクローカルの場合、IPv6パケットが破棄されます。
RFC 4291、 IPバージョン6アドレッシングアーキテクチャでは、送信元アドレスとして使用する場合に特別な処理が必要な4つのアドレスタイプについて説明します。4つのアドレスタイプは次のとおりです。
指定なし
ルーパック
マルチキャスト
リンクローカルユニキャスト
ループバックアドレスとマルチキャストアドレスは、IPv6パケットの送信元アドレスとして使用しないでください。未指定のリンクローカルアドレスは送信元アドレスとして使用できますが、ルーターはこれらのアドレスを送信元アドレスとして持つパケットを転送してはなりません。通常、送信元アドレスとして未指定のアドレスまたはリンクローカルアドレスを含むパケットは、ローカルホストに配信されます。宛先がローカルホストでない場合、パケットを転送しないでください。このステートメントを設定すると、これら4つのアドレスタイプのIPv6パケットをフィルタリングまたは破棄します。
エグレス転送テーブルフィルターは、FPCのイングレスインターフェイスに適用されます。同じ宛先への異なるパケットが異なるFPCに到着した場合、異なるポリサーに遭遇する可能性があります。
VPLSにはこの出力ステートメントを設定することはできません。引き続き、 [edit forwarding-options family vpls filter] 階層レベルの入力ステートメントを使用してイングレス転送テーブルフィルターを設定することができます。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。