Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターと拡張ネットワーク サービス モードの概要

通常の状態では、すべての ファイアウォール フィルター はコンパイルされ、条件ベースの 2 つの異なる形式で生成されます。コンパイルされた形式は、RE(ルーティング エンジン)カーネル、FPC、MS-DP によって使用されます。条件ベースの形式は MPC によって使用されます。コンパイル済みのファイアウォール フィルターは、適用されるインターフェイスまたは 論理インターフェイス ごとに重複しています。用語ベースのフィルターは、重複するのではなく、各インターフェイスまたは論理インターフェイスによって参照されます。

MPC と他のカードを組み合わせてシャーシに搭載する場合は、両方のファイアウォール フィルター ファイル形式を作成する必要があります。ほとんどのネットワークでは、両方のフィルター形式とコンパイル済みファイアウォール フィルターの重複の任意の量の作成は、ルーターには影響しません。しかし、何千もの静的に設定された加入者インターフェイスを含む加入者管理ネットワークでは、複数の形式でフィルターを作成し、各インターフェイス用にそれらのフィルターを複製することで、ルーターメモリリソースの大部分を利用できます。拡張 IP ネットワーク サービス モードまたは拡張イーサネット ネットワーク サービス モードのいずれかを使用して、静的に設定された加入者インターフェイスを使用する加入者アクセス ネットワークのルーティング フィルターに固有のスケーリングとパフォーマンスを向上させることができます。

インターフェイスが静的または動的に作成され、ファイアウォールフィルターが動的に適用される構成では、拡張モードで実行するようにシャーシネットワークサービスを設定する必要があります。インターフェイスを静的に作成し、ファイアウォールフィルターを静的に適用する構成では、拡張モードで実行するようにシャーシネットワークサービスを設定し、拡張モード向けに各ファイアウォールフィルターを設定する必要があります。

メモ:

コントロール プレーン トラフィック用のファイアウォール フィルターには、拡張モードを使用しないでください。制御プレーン フィルタリングは、拡張モード フィルターの条件ベース形式を使用できないルーティング エンジン カーネルによって処理されます。

表 1 は、拡張ネットワーク サービス モードの使用を決定する際の設定オプションを示しています。

表 1:拡張ネットワーク サービス モードとファイアウォール フィルターの使用事例の決定

インターフェイスとフィルターの設定

シャーシ拡張モードが必要

ファイアウォール フィルター拡張モードが必要

動的に作成されたインターフェイスと動的に適用されるフィルター

はい

いいえ

静的に作成されたインターフェイスと動的に適用されるフィルター

はい

いいえ

静的に作成されたインターフェイスと静的に適用されたフィルター

はい

はい

ルーターのリソースを大幅に節約するには、次のようにシャーシとフィルターの拡張モード設定を組み合わせます。

  • シャーシにMPCのみをインストールします。

    メモ:

    拡張ネットワーク サービス モードのいずれかを実行するようにシャーシ ネットワーク サービスを設定すると、ルーターで MPC と MS-DPC のみが有効になります。MS-DPC はコンパイル済みファイアウォール フィルター形式を使用するため、拡張ネットワーク サービス モードの 1 つ用に構成されたルーター シャーシで、標準(非拡張)のファイアウォール フィルターを任意の MS-DPC で使用するように設定すると、最適なリソース効率が低下する可能性があります。

  • ルーターで静的インターフェイスを設定する場合、拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードのいずれかを実行するようにシャーシネットワークサービスを設定します。

  • 静的に作成されたインターフェイスにファイアウォールフィルターを静的に適用する場合、拡張モードのファイアウォールフィルターを設定して、フィルターの作成を条件ベースの形式のみに制限します。

    メモ:

    拡張モード用に構成されていないファイアウォール フィルターは、シャーシが拡張ネットワーク サービス モードのいずれかを実行している場合でも、コンパイルされた形式と条件ベースの両方の形式で作成されます。[] 階層レベルでのedit chassis network-services ステートメントのenhanced-mode設定に関係なく、以下のいずれかが該当する場合は、条件ベース(拡張)ファイアウォール フィルターのみが生成されます。

    • 柔軟なフィルター一致条件は、 または [edit firewall filter filter-name term term-name from] 階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。

    • トンネルヘッダープッシュまたはポップアクション(GREカプセル化またはカプセル化解除など)は、 [edit firewall family family-name filter filter-name term term-name then] 階層レベルで設定されます。

    • ペイロードプロトコルの一致条件は、 または [edit firewall filter filter-name term term-name from] 階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。

    • 拡張ヘッダーの一致は、 または [edit firewall filter filter-name term term-name from] 階層レベルで[edit firewall family family-name filter filter-name term term-name from]設定されます。

    • 一致条件は、IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ動作するように設定されています。
    警告:

    前述の基準を満たすファイアウォール フィルターは、DPC ベースの FPC のループバック、lo0、インターフェイスには適用されません。つまり、DPCベースのFPCのループバックインターフェイスで使用するように設定された条件ベース(拡張)フィルターは適用されません。これにより、RE はそのフィルターによって保護されません。

関連ドキュメント