サービスフィルタの適用に関するガイドライン
適応型サービスインターフェイスの制約事項
適応型サービス インターフェイスとサービス フィルターには、以下の制限が適用されます。
アダプティブ サービス インターフェイス
サービス フィルターは、 適応サービス インターフェイス でのみ、サービス セットに関連付けられた IPv4 または IPv6 トラフィックに適用できます。アダプティブ サービス インターフェイスは、以下のハードウェアでのみサポートされます。
M SeriesおよびT Seriesルーターの適応可能サービス(AS)PIC
M シリーズおよび T シリーズ ルーターのマルチサービス(MS)PIC
MX シリーズ ルーターおよび EX シリーズ スイッチ上の MS DPC
MX シリーズ ルーターでの MS MPC と MIC
M シリーズルーターからリモートホストへのシステムロギング
fxp0またはem0ポートを使用した外部サーバーへのアダプティブサービスインターフェイスメッセージのロギングは、M Seriesルーターではサポートされていません。このアーキテクチャは、管理インターフェイスからのシステム ロギング トラフィックをサポートしていません。代わりに、外部サーバーへのアクセスは、パケット転送エンジンインターフェイスでサポートされています。
サービスフィルタを適用するためのステートメント階層
パケットが入出力サービス処理のために受け入れられる前に、IPv4 または IPv6 トラフィックのパケット・フィルタリングを有効にすることができます。これを行うには、インターフェイスサービスセットと組み合わせて、適応サービスインターフェイスの入力または出力にサービスフィルターを適用します。
また、入力サービス処理の完了後にパケット転送エンジンに戻される IPv4 または IPv6 トラフィックのパケット・フィルタリングを有効にすることもできます。これを行うには、アダプティブ サービス インターフェイス入力にサービス後フィルターを適用します。
以下の設定は、サービス フィルターを適応サービス インターフェイスに適用できる階層レベルを示しています。
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
サービスルールとアダプティブサービスインターフェイスの関連付け
アダプティブ サービス インターフェイスに適用されるサービス ルールを定義してグループ化するには、[edit services]階層レベルで service-set service-set-name ステートメントを含めてインターフェイス サービス セットを定義します。
インターフェイスサービスセットをアダプティブサービスインターフェイスの入力と出力に適用するには、次の階層レベルで service-set service-set-name を含めます。
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
サービス セットをアダプティブ サービス インターフェイスの一方向に適用し、サービス セットを反対方向に適用しない場合、設定をコミットするときにエラーが発生します。
適応サービスPICは、パケットが入力サービスまたは出力サービスのどちらのためにPICに送信されるかに応じて、異なるアクションを実行します。たとえば、単一のサービス セットを設定して、一方向にネットワーク アドレス変換(NAT)を実行し、反対方向に宛先 NAT(dNAT)を実行できます。
サービス処理のためにパケットを受け入れる前にトラフィックをフィルタリングする
入出力サービス処理用のパケットを受け入れる前に、IPv4 または IPv6 トラフィックをフィルタリングするには、次のいずれかのインターフェイスに service-set service-set-name service-filter service-filter-name を含めます。
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
service-set-nameには、[edit services service-set]階層レベルで設定されたサービスセットを指定します。
サービスセットは、サービスが適用された後も入力インターフェイス情報を保持するため、入力インターフェイス情報に依存するフィルタークラス転送や宛先クラス使用率(DCU)などの機能は引き続き機能します。
サービス処理のためにパケットを受け入れる前に、インバウンドまたはアウトバウンド・トラフィックのフィルタリングには、以下の要件が適用されます。
インターフェイスの入力側と出力側で同じサービス セットを設定します。
オプションの
service-filter定義なしでservice-setステートメントを含めると、Junos OSは一致条件が真であるとみなし、自動的に処理対象としてサービスセットを選択します。サービス フィルタは、サービス セットが設定され、選択されている場合にのみ適用されます。
インターフェイスの両側に複数のサービスセット定義を含めることができます。次のガイドラインが適用されます。
複数のサービス セットを含める場合、ルータ(またはスイッチ)ソフトウェアは設定に表示される順序で評価します。システムは、サービスフィルタで一致が見つかった最初のサービスセットを実行し、後続の定義を無視します。
インターフェイスには最大 6 つのサービス セットを適用できます。
インターフェイスに複数のサービス セットを適用する場合は、サービス フィルターも設定してインターフェイスに適用する必要があります。
リターンサービストラフィックのポストサービスフィルタリング
IPv4 または IPv6 入力サービス トラフィックをフィルタリングするオプションとして、サービス セットの実行後にサービス インターフェイスに戻る IPv4 または IPv6 トラフィックにサービス フィルタを適用できます。この方法でサービス フィルターを適用するには、[edit interfaces interface-name unit unit-number family (inet | inet6) service input]階層レベルで post-service-filter service-filter-name ステートメントを含めます。