- play_arrow ファイアウォールフィルターの設定
- play_arrow ファイアウォールフィルターがネットワークを保護する仕組みを理解する
- ファイアウォールフィルターの概要
- ルーター データ フローの概要
- ステートレス ファイアウォール フィルターの概要
- 標準ファイアウォールフィルターの使用方法について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ステートレス ファイアウォール フィルターのコンポーネント
- ステートレス ファイアウォール フィルター アプリケーション ポイント
- 標準ファイアウォールフィルターによるパケットの評価方法
- ファイアウォールフィルターの理解高速検索フィルター
- PVLAN を使用したエグレス ファイアウォール フィルターについて
- PTXルーターでの選択的クラスベースフィルタリング
- ファイアウォールフィルターの設定に関するガイドライン
- 標準ファイアウォールフィルターの適用に関するガイドライン
- サポートされているフィルタリング基準
- ファイアウォールトラフィックの監視
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの一致条件とアクション
- ファイアウォールフィルター(OCXシリーズ)の概要
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイルの概要
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターの計画について
- ファイアウォールフィルターの評価方法の理解
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターフレキシブル一致条件
- ファイアウォールフィルター非終了アクション
- ファイアウォールフィルター終了アクション
- ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルターの一致条件とアクション
- プロトコル非依存型トラフィックのファイアウォールフィルター一致条件
- IPv4トラフィックのファイアウォールフィルター一致条件
- IPv6トラフィックのファイアウォールフィルター一致条件
- 数字またはテキストエイリアスに基づくファイアウォールフィルター一致条件
- ビットフィールド値に基づくファイアウォールフィルター一致条件
- アドレスフィールドに基づくファイアウォールフィルター一致条件
- アドレス クラスに基づくファイアウォール フィルター一致条件
- MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
- MPLSトラフィックのファイアウォールフィルター一致条件
- MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件
- VPLSトラフィックのファイアウォールフィルター一致条件
- レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件
- レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件
- ループバック インターフェイスでのファイアウォール フィルターのサポート
- play_arrow ルーティング エンジン トラフィックへのファイアウォール フィルターの適用
- ループバックインターフェイスでの論理ユニットの設定 - レイヤー3 VPNのルーティングインスタンス用
- 例:プレフィックスリストに基づいてポートへのTCPアクセスを制限するフィルターの設定
- 例:信頼できる送信元からのトラフィックを受け入れるステートレス ファイアウォール フィルターの設定
- 例:Telnet および SSH アクセスをブロックするフィルターの設定
- 例:TFTPアクセスをブロックするフィルターの設定
- 例:IPv6 TCPフラグに基づいてパケットを受け入れるためのフィルターの設定
- 例:指定された BGP ピア以外からのポートへの TCP アクセスをブロックするフィルターの設定
- 例:TCP および ICMP フラッドから保護するステートレス ファイアウォール フィルターの構成
- 例:パケット/秒レート制限フィルターによるルーティングエンジンの保護
- 例:LAC 加入者の DHCPv6 および ICMPv6 制御トラフィックを除外するフィルターの設定
- DHCPファイアウォールフィルターのポート番号に対する要件
- 例:Configuring a DHCP Firewall Filter to Protect the Routing Engine
- play_arrow トランジットトラフィックへのファイアウォールフィルターの適用
- 例:イングレス キューイング フィルターとして使用するフィルターの設定
- 例:IPv6 フラグに一致するフィルターの設定
- 例:ポートとプロトコルのフィールドで一致するフィルタの設定
- 例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定
- 例:IP オプション パケットをカウントおよび破棄するフィルターの設定
- 例:IP オプション パケットをカウントするフィルターの設定
- 例:受け入れられたパケットをカウントしてサンプルするフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:関連性のない 2 つの基準に一致するようにフィルターを構成する
- 例:アドレスに基づいてDHCPパケットを受け入れるようにフィルタを構成する
- 例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
- 例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定
- IPv4パケットのフラグメント化を防止または許可するファイアウォールフィルターの設定
- モビリティ拡張ヘッダーを持つイングレスIPv6パケットを破棄するファイアウォールフィルターの設定
- 例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
- 例:宛先クラスに基づくレート制限フィルターの設定
- play_arrow 論理システムでのファイアウォールフィルターの設定
- 論理システムのファイアウォール フィルターの概要
- 論理システムでファイアウォールフィルターを設定および適用するためのガイドライン
- 論理システムのファイアウォールフィルターから従属オブジェクトへの参照
- 論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
- 論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
- 例:フィルターベース転送の設定
- 例:論理システムでのフィルターベース転送の設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 論理システムに対してサポートされていないファイアウォール フィルター ステートメント
- 論理システムのファイアウォールフィルターでサポートされていないアクション
- ルーティングインスタンスのフィルターベースフォワーディング
- ACX シリーズルーター上のルーティングインスタンス用の転送テーブルフィルター
- 転送テーブル フィルターの設定
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定
- play_arrow 単一のインターフェイスへの複数のファイアウォールフィルターのアタッチ
- インターフェイスへのファイアウォールフィルターの適用
- ファイアウォールフィルターの設定
- Multifield Classifier 例: マルチフィールド分類の設定
- MPCを使用するMXシリーズルーターのイングレスキューイングのためのマルチフィールド分類子
- パケット転送動作を指定するためのファイアウォールフィルターのマルチフィールド分類子の割り当て(CLI手順)
- ネストされた構成における複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターへの参照を入れ子にするためのガイドライン
- リストとして適用された複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターをリストとして適用するためのガイドライン
- 例:複数のファイアウォールフィルターのリストの適用
- 例:複数のファイアウォールフィルターへの参照のネスト
- 例:インターフェイス セットで受信したパケットのフィルタリング
- play_arrow 単一のファイアウォールフィルターを複数のインターフェイスにアタッチする
- play_arrow IP ネットワーク間でのフィルターベーストンネリングの設定
- play_arrow サービスフィルターの設定
- play_arrow 簡易フィルターの構成
- play_arrow レイヤー 2 ファイアウォール フィルターの設定
- play_arrow 転送、フラグメント、およびポリシング用のファイアウォール フィルターの設定
- play_arrow ファイアウォールフィルターの設定(EXシリーズスイッチ)
- EXシリーズスイッチ用ファイアウォールフィルターの概要
- ファイアウォールフィルターの計画について
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ファイアウォールフィルターの評価方法の理解
- EXシリーズスイッチ上のブリッジングおよびルーティングパケットのファイアウォールフィルター処理ポイントの理解
- EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
- EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
- スイッチでのループバックファイアウォールフィルターの一致条件とアクションのサポート
- ファイアウォールフィルターの設定(CLI手順)
- ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
- EXシリーズスイッチのフィルターベースフォワーディングについて
- 例:EXシリーズスイッチのポート、VLAN、およびルータートラフィック用のファイアウォールフィルターの設定
- 例:EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定する
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- 例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- ポリサーの動作確認
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの設定(QFXシリーズスイッチ、EX4600スイッチ、PTXシリーズルーター)
- ファイアウォールフィルター(QFXシリーズ)の概要
- ファイアウォールフィルターの計画について
- 作成するファイアウォール フィルターの数の計画
- ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)
- ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)
- ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ファイアウォールフィルターの設定
- インターフェイスへのファイアウォールフィルターの適用
- ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
- スイッチでの MPLS ファイアウォール フィルターとポリサーの設定
- ルーターでの MPLS ファイアウォール フィルターとポリサーの設定
- MPLS ファイアウォール フィルターとポリサーの設定
- ファイアウォールフィルターがプロトコルをテストする方法の理解
- ブリッジングおよびルーティングされたパケットに対するファイアウォールフィルター処理ポイントの理解
- フィルターベース転送について
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- ファイアウォールフィルターを設定して、GRE またはIPIP トラフィックをカプセル化解除する
- ファイアウォールフィルターの動作確認
- ファイアウォールトラフィックの監視
- ファイアウォールフィルター設定のトラブルシューティング
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定(EX9200スイッチ)
-
- play_arrow トラフィック ポリサーの設定
- play_arrow トラフィック ポリサーについて
- ポリサー実装の概要
- ARP ポリサーの概要
- 例:ARP ポリサーの設定
- ポリサーとトークン バケット アルゴリズムの利点を理解する
- トラフィック ポリサーの適切なバースト サイズを決定する
- トラフィック ポリシングを使用したネットワーク アクセスの制御の概要
- トラフィック ポリサーのタイプ
- ポリサーとファイアウォールフィルターの動作順序
- ポリシング パケットのフレーム長について
- ポリシングでサポートされる標準
- 階層ポリサー設定の概要
- 拡張階層ポリサーについて
- パケット/秒(pps)ベースのポリサーの概要
- トラフィック ポリサーを適用するためのガイドライン
- 集合型イーサネットインターフェイスに対するポリサーサポートの概要
- 例:物理インターフェイスでの集約トラフィック用の物理インターフェイスポリサーの設定
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ACXシリーズルーターの階層ポリサーの概要
- ACXシリーズルーターで階層ポリサーを設定するためのガイドライン
- ACXシリーズルーターの階層型ポリサーモード
- ACXシリーズルーターでの階層ポリサーの処理
- ACXシリーズルーターの階層型ポリシーに対して実行されるアクション
- ACXシリーズルーターでの集約親および子ポリサーの設定
- play_arrow ポリサーのレート制限とアクションの設定
- play_arrow レイヤー 2 ポリサーの設定
- 階層型ポリサー
- ポリサーオーバーヘッドの設定
- レイヤー 2 の 2 色および 3 色ポリサー
- 擬似回線でのレイヤー 2 トラフィック ポリシングの概要
- 疑似回線用の 2 色レイヤー 2 ポリサーの設定
- 疑似回線用の 3 色レイヤー 2 ポリサーの設定
- 動的プロファイル インターフェイスへのポリサーの適用
- ルーティングインスタンスへの動的プロファイルのアタッチ
- 疑似回線でのレイヤー 2 トラフィック ポリシングでの変数の使用の概要
- 複雑な設定のためのポリサーの設定
- 複雑な構成の動的プロファイルの作成
- 複雑なコンフィギュレーションのためのルーティングインスタンスへの動的プロファイルのアタッチ
- VPLS接続でのレイヤー2トラフィックポリサーの検証
- OVSDB 管理インターフェイスのポリサーについて
- 例:OVSDB 管理インターフェイスへのポリサーの適用
- play_arrow レイヤー 3 での 2 色および 3 色のトラフィック ポリサーの設定
- play_arrow レイヤー 3 での論理および物理インターフェイス トラフィック ポリサーの設定
- play_arrow スイッチ上のポリサーの設定
- ポリサーの概要
- トラフィック ポリサーのタイプ
- ファイアウォールフィルターでのポリサーの使用について
- トリコロールマーキングアーキテクチャの理解
- トラフィックレートを制御するポリサーを構成する(CLI手順)
- トライカラーマーキングポリサーの設定
- リンク アグリゲーション グループを持つポリサーについて
- シングルレートトリカラーマーキングのための色覚異常モードの理解
- シングルレートトライカラーマーキングのカラーアウェアモードの理解
- 2レートトリカラーマーキングのための色覚異常モードの理解
- 2レートトリカラーマーキングのカラーアウェアモードの理解
- 例:2 色ポリサーとプレフィックス リストの使用
- 例:ポリサーを使用したオーバーサブスクリプションの管理
- 転送クラスと損失優先度の割り当て
- 中低PLP用の色覚異常の出口ポリサーの設定
- トラフィック レートを制御するための 2 色および 3 色ポリサーの設定
- 2 色ポリサーの動作確認
- 3 カラー ポリサーの動作確認
- ポリサー設定のトラブルシューティング
- ポリサー設定のトラブルシューティング
-
- play_arrow 設定ステートメントと運用コマンド
- play_arrow トラブルシューティング
- play_arrow ナレッジベース
-
ルーティングポリシーを使用してBGPルートフラッピングを減衰させる
BGP ルートフラッピング は、BGPシステムがネットワーク到達可能性情報をアドバタイズするために、過剰な数の更新メッセージを送信する状況を表します。BGP フラップダンピング は、BGPピア間で送信されるアップデートメッセージの数を減らすことで、ルートコンバージェンス時間に悪影響を与えることなく、これらのピアの負荷を軽減する方法です。
フラップダンピングは、ルートをアクティブルートまたは優先ルートとして選択できないとしてマークすることにより、更新メッセージの数を削減します。これを行うと、ルート情報の伝送をある程度遅延または 抑制しますが、その結果、ネットワークの安定性が向上します。通常、フラップダンピングは外部BGP(EBGP)ルート(つまり、異なるASのルート)に適用します。また、コンフェデレーション内で、コンフェデレーションメンバーAS間で適用することもできます。AS内のルーティングの一貫性は重要であるため、IBGPルートにはフラップダンピングを適用しないでください。(その場合は無視されます)。
BGPフラップダンピングは、RFC 2439、 BGPルートフラップダンピングで定義されています。
デフォルトの BGP フラップダンピング値に変更を有効にするには、ダンピングパラメータの名前付きセットを作成し、それを damping アクションとともにルーティングポリシーに含めることでアクションを定義します( ルート特性を操作するアクションの設定を参照)。ダンピング ルーティング ポリシーが機能するためには、BGP ルート フラップ ダンピングも有効にする必要があります。
次のセクションでは、次のトピックについて説明します。
BGP フラップ ダンピング パラメータの設定
ダンピング パラメーターを定義するには、 damping ステートメントを含めます。
[edit policy-options] damping name { disable; half-life minutes; max-suppress minutes; reuse number; suppress number; }
この名前は、ダンピング パラメーターのグループを識別します。ここでは、文字、数字、ハイフン(-)を含め、最大255文字までを使用できます。名前にスペースを含めるには、名前全体を引用符(“ ”)で囲みます。
表 1で説明されているダンピング パラメーターを 1 つ以上指定できます。
ダンピングパラメータ | 説明 | デフォルト | 可能な値 |
|---|---|---|---|
| 減衰半減期、分単位 | 15分 | 1〜45分 |
| 最大ホールドダウン時間(分) | 60分 | 1 から 720 分 |
| 再利用しきい値 | 750(ユニットレス) | 1 から 20,000 (単位なし) |
| カットオフ(抑制)しきい値 | 3000(ユニットレス) | 1 から 20,000 (単位なし) |
1 つ以上の減衰パラメータを指定しない場合は、パラメータのデフォルト値が使用されます。
これらのパラメータの設定方法を理解するには、ダンピングがルートを抑制する方法を理解する必要があります。ルートをどのくらい長く抑制できるかは、 性能指数(ルートが将来不安定になる確率と相関する値)に基づきます。性能指数値が高いルートは、より長い時間抑制されます。性能指数値は、時間の経過とともに指数関数的に減衰します。
性能指数値 0 が、新しい各ルートに割り当てられます。この値は、ルートが撤回または再アドバタイズされるたびに、またはそのパス属性の 1 つが変更されたときに増加します。不安定になるたびに、値は次のように増加します。
ルートが取り下げられる - 1000
ルートが再アドバタイズされる—1000
ルートのパス属性の変更—500
注:他のベンダーの性能指数の実装では、ルートが取り下げられた場合にのみ価値が増加します。Junos OSに性能指数を実装すると、ルート離脱とルート再広告の両方のメリットが高まります。性能指数の他の実装に対応するには、
reuseとsuppressのしきい値に 2を掛けます。
ルートの性能指数値がカットオフまたは抑制しきい値と呼ばれる特定のレベルに達すると、ルートが抑制されます。ルートが抑制されると、ルーティングテーブルはルートを転送テーブルにインストールせず、このルートをどのルーティングプロトコルにもエクスポートしなくなります。デフォルトでは、性能指数値が3000に達するとルートが抑制されます。このデフォルトを変更するには、[edit policy-options damping name]階層レベルで suppress オプションを含めます。
ルートがフラップした後、安定し、設定可能な時間内に前述のインシデントが発生しない場合、ルートの性能指数値は指数関数的に減少します。デフォルトの半減期は15分です。たとえば、性能指数値が 1500 のルートの場合、インシデントが発生しない場合、その性能指数値は 15 分後に 750 に減少し、さらに 15 分後に 375 に減少します。デフォルトの半減期を変更するには、[edit policy-options damping name]階層レベルで half-life オプションを含めます。
半減期には、max-supressより小さい値を設定します。そうしない場合、設定は拒否されます。
抑制されたルートは、その性能指数値が 再使用しきい値を下回る値に減衰すると再利用可能になるため、一時的な不安定性を経験したルートは再び有効と見なされるようになります。デフォルトの再使用しきい値は 750 です。性能指数値が再利用しきい値を下回ると、ルートは再び使用可能と見なされ、転送テーブルにインストールしてルーティングテーブルからエクスポートできます。デフォルトの再使用しきい値を変更するには、[edit policy-options damping name]階層レベルで reuse オプションを含めます。
最大抑制時間は、ルートが抑制されたままでいられる時間の上限となります。デフォルトの最大抑制時間は 60 分です。デフォルトを変更するには、[edit policy-options damping name]階層レベルで max-suppress オプションを含めます。
max-supressには、半減期より大きい値を設定します。そうしない場合、設定は拒否されます。
ルートの性能指数値は、ルートの抑制しきい値レベル、半減期、再使用しきい値、および最大ホールドダウン時間に基づいて決定される最大抑制しきい値に達すると増加を停止します。
フラッピングルートが収集できる最大のメリットであるメリット上限ε cは、次の式を使用して計算されます。
εc ≤ εr e(t/λ) (ln 2)
εr は性能指数再利用しきい値、tは最大ホールドダウン時間(分)、λは分単位の半減期です。たとえば、この式でデフォルトの性能指数値を使用し、30分の半減期を使用する場合、計算は次のようになります。
εC ≤ 750 E(120/30) (LN 2)
εC ≤ 12000
suppress オプションを使用して設定するカットオフしきい値は、メリット上限(εc)以下である必要があります。設定されたカットオフ閾値またはデフォルトのカットオフ閾値がメリット上限より大きい場合、ルートは抑制されず、ダンピングは発生しません。
性能指数情報を表示するには、 show policy damping コマンドを使用します。
性能指数が割り当てられたルートは、減衰状態を持つと見なされます。ルーティング デバイスの電流ダンピング情報を表示するには、 show route detail コマンドを使用します。
ルーティングポリシーの用語におけるアクションとしてBGPフラップダンピングを指定する
BGP フラップ ダンピングをルーティング ポリシーの用語のアクションとして使用するには、[edit policy-options policy-statement policy-name term term-name from]階層レベルで route-filter ステートメントのオプションとして、damping ステートメントと設定済みのダンピング パラメーターの名前を含めます。
[edit policy-options policy-statement policy-name term term-name from]
route-filter destination-prefix match-type {
damping damping-parameters;
}
または [edit policy-options policy-statement policy-name term term-name then] 階層レベルで:
[edit policy-options policy-statement policy-name term term-name then] damping damping-parameters;
特定のアドレス プレフィックスのダンピングの無効化
通常、ダンピングの有効化または無効化はピアごとに行います。ただし、 disable オプションを含めることで、ピアから受信した特定のプレフィックスのダンピングを無効にすることができます。
[edit policy-options damping name] disable;
特定のアドレス プレフィックスのダンピングの無効化
このルーティングポリシーの例では、ピアに対してダンピングが有効になっていますが、 damping none ステートメントは、 Policy-Aのプレフィックス10.0.0.0/8に対してダンピングを無効にすることを指定します。Policy-Aという名前のルーティングポリシーステートメントはプレフィックス10.0.0.0/8でフィルタリングし、アクションはnoneという名前のdampingステートメントを指しているため、このルートは減衰しません。残りのプレフィックスは、デフォルトのパラメータを使用して減衰されます。
[edit]
policy-options {
policy-statement Policy-A {
from {
route-filter 10.0.0.0/8 exact;
}
then damping none;
}
damping none {
disable;
}
}
BGP Flap Damping の設定
BGP フラップ ダンピングを有効にし、ダンピング パラメーターを設定します。
[edit]
routing-options {
autonomous-system 666;
}
protocols {
bgp {
damping;
group group1 {
traceoptions {
file bgp-log size 1m files 10;
flag damping;
}
import damp;
type external;
peer-as 10458;
neighbor 192.168.2.30;
}
}
}
policy-options {
policy-statement damp {
from {
route-filter 192.168.0.0/32 exact {
damping high;
accept;
}
route-filter 172.16.0.0/32 exact {
damping medium;
accept;
}
route-filter 10.0.0.0/8 exact {
damping none;
accept;
}
}
}
damping high {
half-life 30;
suppress 3000;
reuse 750;
max-suppress 60;
}
damping medium {
half-life 15;
suppress 3000;
reuse 750;
max-suppress 45;
}
damping none {
disable;
}
}
このコンフィギュレーションのダンピング パラメータを表示するには、 show policy damping コマンドを使用します。
user@host> show policy damping
Damping information for "high":
Halflife: 30 minutes
Reuse merit: 750 Suppress/cutoff merit: 3000
Maximum suppress time: 60 minutes
Computed values:
Merit ceiling: 3008
Maximum decay: 24933
Damping information for "medium":
Halflife: 15 minutes
Reuse merit: 750 Suppress/cutoff merit: 3000
Maximum suppress time: 45 minutes
Computed values:
Merit ceiling: 6024
Maximum decay: 12449
Damping information for "none":
Damping disabled