ファイアウォール フィルターと拡張ネットワーク サービス モードの概要
通常の状態では、すべての ファイアウォール フィルター はコンパイルされ、条件ベースの 2 つの異なる形式で生成されます。コンパイルされた形式は、RE(ルーティング エンジン)カーネル、FPC、MS-DP によって使用されます。条件ベースの形式は MPC によって使用されます。コンパイル済みのファイアウォール フィルターは、適用されるインターフェイスまたは 論理インターフェイス ごとに重複しています。用語ベースのフィルターは、重複するのではなく、各インターフェイスまたは論理インターフェイスによって参照されます。
MPC と他のカードを組み合わせてシャーシに搭載する場合は、両方のファイアウォール フィルター ファイル形式を作成する必要があります。ほとんどのネットワークでは、両方のフィルター形式とコンパイル済みファイアウォール フィルターの重複の任意の量の作成は、ルーターには影響しません。しかし、何千もの静的に設定された加入者インターフェイスを含む加入者管理ネットワークでは、複数の形式でフィルターを作成し、各インターフェイス用にそれらのフィルターを複製することで、ルーターメモリリソースの大部分を利用できます。拡張 IP ネットワーク サービス モードまたは拡張イーサネット ネットワーク サービス モードのいずれかを使用して、静的に設定された加入者インターフェイスを使用する加入者アクセス ネットワークのルーティング フィルターに固有のスケーリングとパフォーマンスを向上させることができます。
インターフェイスが静的または動的に作成され、ファイアウォールフィルターが動的に適用される構成では、拡張モードで実行するようにシャーシネットワークサービスを設定する必要があります。インターフェイスを静的に作成し、ファイアウォールフィルターを静的に適用する構成では、拡張モードで実行するようにシャーシネットワークサービスを設定し、拡張モード向けに各ファイアウォールフィルターを設定する必要があります。
コントロール プレーン トラフィック用のファイアウォール フィルターには、拡張モードを使用しないでください。制御プレーン フィルタリングは、拡張モード フィルターの条件ベース形式を使用できないルーティング エンジン カーネルによって処理されます。
表 1 は、拡張ネットワーク サービス モードの使用を決定する際の設定オプションを示しています。
インターフェイスとフィルターの設定 |
シャーシ拡張モードが必要 |
ファイアウォール フィルター拡張モードが必要 |
---|---|---|
動的に作成されたインターフェイスと動的に適用されるフィルター |
はい |
いいえ |
静的に作成されたインターフェイスと動的に適用されるフィルター |
はい |
いいえ |
静的に作成されたインターフェイスと静的に適用されたフィルター |
はい |
はい |
ルーターのリソースを大幅に節約するには、次のようにシャーシとフィルターの拡張モード設定を組み合わせます。
シャーシにMPCのみをインストールします。
メモ:拡張ネットワーク サービス モードのいずれかを実行するようにシャーシ ネットワーク サービスを設定すると、ルーターで MPC と MS-DPC のみが有効になります。MS-DPC はコンパイル済みファイアウォール フィルター形式を使用するため、拡張ネットワーク サービス モードの 1 つ用に構成されたルーター シャーシで、標準(非拡張)のファイアウォール フィルターを任意の MS-DPC で使用するように設定すると、最適なリソース効率が低下する可能性があります。
ルーターで静的インターフェイスを設定する場合、拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードのいずれかを実行するようにシャーシネットワークサービスを設定します。
静的に作成されたインターフェイスにファイアウォールフィルターを静的に適用する場合、拡張モードのファイアウォールフィルターを設定して、フィルターの作成を条件ベースの形式のみに制限します。
メモ:拡張モード用に構成されていないファイアウォール フィルターは、シャーシが拡張ネットワーク サービス モードのいずれかを実行している場合でも、コンパイルされた形式と条件ベースの両方の形式で作成されます。[] 階層レベルでの
edit chassis network-services
ステートメントのenhanced-mode
設定に関係なく、以下のいずれかが該当する場合は、条件ベース(拡張)ファイアウォール フィルターのみが生成されます。柔軟なフィルター一致条件は、 または
[edit firewall filter filter-name term term-name from]
階層レベルで[edit firewall family family-name filter filter-name term term-name from]
設定されます。トンネルヘッダープッシュまたはポップアクション(GREカプセル化またはカプセル化解除など)は、
[edit firewall family family-name filter filter-name term term-name then]
階層レベルで設定されます。ペイロードプロトコルの一致条件は、 または
[edit firewall filter filter-name term term-name from]
階層レベルで[edit firewall family family-name filter filter-name term term-name from]
設定されます。拡張ヘッダーの一致は、 または
[edit firewall filter filter-name term term-name from]
階層レベルで[edit firewall family family-name filter filter-name term term-name from]
設定されます。一致条件は、IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ動作するように設定されています。
警告:前述の基準を満たすファイアウォール フィルターは、DPC ベースの FPC のループバック、lo0、インターフェイスには適用されません。つまり、DPCベースのFPCのループバックインターフェイスで使用するように設定された条件ベース(拡張)フィルターは適用されません。これにより、RE はそのフィルターによって保護されません。