close
keyboard_arrow_left
Table of Contents
- play_arrow ファイアウォールフィルターの設定
- play_arrow ファイアウォールフィルターがネットワークを保護する仕組みを理解する
- ファイアウォールフィルターの概要
- ルーター データ フローの概要
- ステートレス ファイアウォール フィルターの概要
- 標準ファイアウォールフィルターの使用方法について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ステートレス ファイアウォール フィルターのコンポーネント
- ステートレス ファイアウォール フィルター アプリケーション ポイント
- 標準ファイアウォールフィルターによるパケットの評価方法
- ファイアウォールフィルターの理解高速検索フィルター
- PVLAN を使用したエグレス ファイアウォール フィルターについて
- PTXルーターでの選択的クラスベースフィルタリング
- ファイアウォールフィルターの設定に関するガイドライン
- 標準ファイアウォールフィルターの適用に関するガイドライン
- サポートされているフィルタリング基準
- ファイアウォールトラフィックの監視
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの一致条件とアクション
- ファイアウォールフィルター(OCXシリーズ)の概要
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイルの概要
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターの計画について
- ファイアウォールフィルターの評価方法の理解
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターフレキシブル一致条件
- ファイアウォールフィルター非終了アクション
- ファイアウォールフィルター終了アクション
- ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルターの一致条件とアクション
- プロトコル非依存型トラフィックのファイアウォールフィルター一致条件
- IPv4トラフィックのファイアウォールフィルター一致条件
- IPv6トラフィックのファイアウォールフィルター一致条件
- 数字またはテキストエイリアスに基づくファイアウォールフィルター一致条件
- ビットフィールド値に基づくファイアウォールフィルター一致条件
- アドレスフィールドに基づくファイアウォールフィルター一致条件
- アドレス クラスに基づくファイアウォール フィルター一致条件
- MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
- MPLSトラフィックのファイアウォールフィルター一致条件
- MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件
- VPLSトラフィックのファイアウォールフィルター一致条件
- レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件
- レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件
- ループバック インターフェイスでのファイアウォール フィルターのサポート
- play_arrow ルーティング エンジン トラフィックへのファイアウォール フィルターの適用
- ループバックインターフェイスでの論理ユニットの設定 - レイヤー3 VPNのルーティングインスタンス用
- 例:プレフィックスリストに基づいてポートへのTCPアクセスを制限するフィルターの設定
- 例:信頼できる送信元からのトラフィックを受け入れるステートレス ファイアウォール フィルターの設定
- 例:Telnet および SSH アクセスをブロックするフィルターの設定
- 例:TFTPアクセスをブロックするフィルターの設定
- 例:IPv6 TCPフラグに基づいてパケットを受け入れるためのフィルターの設定
- 例:指定された BGP ピア以外からのポートへの TCP アクセスをブロックするフィルターの設定
- 例:TCP および ICMP フラッドから保護するステートレス ファイアウォール フィルターの構成
- 例:パケット/秒レート制限フィルターによるルーティングエンジンの保護
- 例:LAC 加入者の DHCPv6 および ICMPv6 制御トラフィックを除外するフィルターの設定
- DHCPファイアウォールフィルターのポート番号に対する要件
- 例:Configuring a DHCP Firewall Filter to Protect the Routing Engine
- play_arrow トランジットトラフィックへのファイアウォールフィルターの適用
- 例:イングレス キューイング フィルターとして使用するフィルターの設定
- 例:IPv6 フラグに一致するフィルターの設定
- 例:ポートとプロトコルのフィールドで一致するフィルタの設定
- 例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定
- 例:IP オプション パケットをカウントおよび破棄するフィルターの設定
- 例:IP オプション パケットをカウントするフィルターの設定
- 例:受け入れられたパケットをカウントしてサンプルするフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:関連性のない 2 つの基準に一致するようにフィルターを構成する
- 例:アドレスに基づいてDHCPパケットを受け入れるようにフィルタを構成する
- 例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
- 例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定
- IPv4パケットのフラグメント化を防止または許可するファイアウォールフィルターの設定
- モビリティ拡張ヘッダーを持つイングレスIPv6パケットを破棄するファイアウォールフィルターの設定
- 例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
- 例:宛先クラスに基づくレート制限フィルターの設定
- play_arrow 論理システムでのファイアウォールフィルターの設定
- 論理システムのファイアウォール フィルターの概要
- 論理システムでファイアウォールフィルターを設定および適用するためのガイドライン
- 論理システムのファイアウォールフィルターから従属オブジェクトへの参照
- 論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
- 論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
- 例:フィルターベース転送の設定
- 例:論理システムでのフィルターベース転送の設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 論理システムに対してサポートされていないファイアウォール フィルター ステートメント
- 論理システムのファイアウォールフィルターでサポートされていないアクション
- ルーティングインスタンスのフィルターベースフォワーディング
- ACX シリーズルーター上のルーティングインスタンス用の転送テーブルフィルター
- 転送テーブル フィルターの設定
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定
- play_arrow 単一のインターフェイスへの複数のファイアウォールフィルターのアタッチ
- インターフェイスへのファイアウォールフィルターの適用
- ファイアウォールフィルターの設定
- Multifield Classifier 例: マルチフィールド分類の設定
- MPCを使用するMXシリーズルーターのイングレスキューイングのためのマルチフィールド分類子
- パケット転送動作を指定するためのファイアウォールフィルターのマルチフィールド分類子の割り当て(CLI手順)
- ネストされた構成における複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターへの参照を入れ子にするためのガイドライン
- リストとして適用された複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターをリストとして適用するためのガイドライン
- 例:複数のファイアウォールフィルターのリストの適用
- 例:複数のファイアウォールフィルターへの参照のネスト
- 例:インターフェイス セットで受信したパケットのフィルタリング
- play_arrow 単一のファイアウォールフィルターを複数のインターフェイスにアタッチする
- play_arrow IP ネットワーク間でのフィルターベーストンネリングの設定
- play_arrow サービスフィルターの設定
- play_arrow 簡易フィルターの構成
- play_arrow レイヤー 2 ファイアウォール フィルターの設定
- play_arrow 転送、フラグメント、およびポリシング用のファイアウォール フィルターの設定
- play_arrow ファイアウォールフィルターの設定(EXシリーズスイッチ)
- EXシリーズスイッチ用ファイアウォールフィルターの概要
- ファイアウォールフィルターの計画について
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ファイアウォールフィルターの評価方法の理解
- EXシリーズスイッチ上のブリッジングおよびルーティングパケットのファイアウォールフィルター処理ポイントの理解
- EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
- EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
- スイッチでのループバックファイアウォールフィルターの一致条件とアクションのサポート
- ファイアウォールフィルターの設定(CLI手順)
- ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
- EXシリーズスイッチのフィルターベースフォワーディングについて
- 例:EXシリーズスイッチのポート、VLAN、およびルータートラフィック用のファイアウォールフィルターの設定
- 例:EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定する
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- 例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- ポリサーの動作確認
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの設定(QFXシリーズスイッチ、EX4600スイッチ、PTXシリーズルーター)
- ファイアウォールフィルター(QFXシリーズ)の概要
- ファイアウォールフィルターの計画について
- 作成するファイアウォール フィルターの数の計画
- ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)
- ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)
- ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ファイアウォールフィルターの設定
- インターフェイスへのファイアウォールフィルターの適用
- ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
- スイッチでの MPLS ファイアウォール フィルターとポリサーの設定
- ルーターでの MPLS ファイアウォール フィルターとポリサーの設定
- MPLS ファイアウォール フィルターとポリサーの設定
- ファイアウォールフィルターがプロトコルをテストする方法の理解
- ブリッジングおよびルーティングされたパケットに対するファイアウォールフィルター処理ポイントの理解
- フィルターベース転送について
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- ファイアウォールフィルターを設定して、GRE またはIPIP トラフィックをカプセル化解除する
- ファイアウォールフィルターの動作確認
- ファイアウォールトラフィックの監視
- ファイアウォールフィルター設定のトラブルシューティング
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定(EX9200スイッチ)
-
- play_arrow トラフィック ポリサーの設定
- play_arrow トラフィック ポリサーについて
- ポリサー実装の概要
- ARP ポリサーの概要
- 例:ARP ポリサーの設定
- ポリサーとトークン バケット アルゴリズムの利点を理解する
- トラフィック ポリサーの適切なバースト サイズを決定する
- トラフィック ポリシングを使用したネットワーク アクセスの制御の概要
- トラフィック ポリサーのタイプ
- ポリサーとファイアウォールフィルターの動作順序
- ポリシング パケットのフレーム長について
- ポリシングでサポートされる標準
- 階層ポリサー設定の概要
- 拡張階層ポリサーについて
- パケット/秒(pps)ベースのポリサーの概要
- トラフィック ポリサーを適用するためのガイドライン
- 集合型イーサネットインターフェイスに対するポリサーサポートの概要
- 例:物理インターフェイスでの集約トラフィック用の物理インターフェイスポリサーの設定
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ACXシリーズルーターの階層ポリサーの概要
- ACXシリーズルーターで階層ポリサーを設定するためのガイドライン
- ACXシリーズルーターの階層型ポリサーモード
- ACXシリーズルーターでの階層ポリサーの処理
- ACXシリーズルーターの階層型ポリシーに対して実行されるアクション
- ACXシリーズルーターでの集約親および子ポリサーの設定
- play_arrow ポリサーのレート制限とアクションの設定
- play_arrow レイヤー 2 ポリサーの設定
- 階層型ポリサー
- ポリサーオーバーヘッドの設定
- レイヤー 2 の 2 色および 3 色ポリサー
- 擬似回線でのレイヤー 2 トラフィック ポリシングの概要
- 疑似回線用の 2 色レイヤー 2 ポリサーの設定
- 疑似回線用の 3 色レイヤー 2 ポリサーの設定
- 動的プロファイル インターフェイスへのポリサーの適用
- ルーティングインスタンスへの動的プロファイルのアタッチ
- 疑似回線でのレイヤー 2 トラフィック ポリシングでの変数の使用の概要
- 複雑な設定のためのポリサーの設定
- 複雑な構成の動的プロファイルの作成
- 複雑なコンフィギュレーションのためのルーティングインスタンスへの動的プロファイルのアタッチ
- VPLS接続でのレイヤー2トラフィックポリサーの検証
- OVSDB 管理インターフェイスのポリサーについて
- 例:OVSDB 管理インターフェイスへのポリサーの適用
- play_arrow レイヤー 3 での 2 色および 3 色のトラフィック ポリサーの設定
- play_arrow レイヤー 3 での論理および物理インターフェイス トラフィック ポリサーの設定
- play_arrow スイッチ上のポリサーの設定
- ポリサーの概要
- トラフィック ポリサーのタイプ
- ファイアウォールフィルターでのポリサーの使用について
- トリコロールマーキングアーキテクチャの理解
- トラフィックレートを制御するポリサーを構成する(CLI手順)
- トライカラーマーキングポリサーの設定
- リンク アグリゲーション グループを持つポリサーについて
- シングルレートトリカラーマーキングのための色覚異常モードの理解
- シングルレートトライカラーマーキングのカラーアウェアモードの理解
- 2レートトリカラーマーキングのための色覚異常モードの理解
- 2レートトリカラーマーキングのカラーアウェアモードの理解
- 例:2 色ポリサーとプレフィックス リストの使用
- 例:ポリサーを使用したオーバーサブスクリプションの管理
- 転送クラスと損失優先度の割り当て
- 中低PLP用の色覚異常の出口ポリサーの設定
- トラフィック レートを制御するための 2 色および 3 色ポリサーの設定
- 2 色ポリサーの動作確認
- 3 カラー ポリサーの動作確認
- ポリサー設定のトラブルシューティング
- ポリサー設定のトラブルシューティング
-
- play_arrow 設定ステートメントと運用コマンド
- play_arrow トラブルシューティング
- play_arrow ナレッジベース
-
list Table of Contents
例:ポリシーチェーンとルートフィルターの設定
date_range
19-Jan-25
ポリシー チェーンとは、設定の特定のセクション内で複数のポリシーを適用することです。ルート フィルターは、一致するプレフィックスの集合です。
概要
BGPに適用されるポリシーチェーンの例を以下に示します。
content_copy zoom_out_map
user@R1# show protocols bgp
group int {
type internal;
local-address 192.168.0.1;
export [ adv-statics adv-large-aggregates adv-small-aggregates ];
neighbor 192.168.0.2;
neighbor 192.168.0.3;
}
デフォルトのBGPポリシーに加えて、 adv-statics、 adv-large-aggregates、および adv-small-aggregates ポリシーが、デバイスR1のBGPピアに適用されるポリシーチェーンを構成します。そのうちの 2 つのポリシーは、異なる一致タイプのルート フィルターを示しています。もう一方のポリシーはすべてのスタティック ルートに一致するため、ルート フィルターは必要ありません。
content_copy zoom_out_map
user@R1# show policy-options
policy-statement adv-large-aggregates {
term between-16-and-18 {
from {
protocol aggregate;
route-filter 172.16.0.0/16 upto /18;
}
then accept;
}
}
policy-statement adv-small-aggregates {
term between-19-and-24 {
from {
protocol aggregate;
route-filter 172.16.0.0/16 prefix-length-range /19-/24;
}
then accept;
}
}
policy-statement adv-statics {
term statics {
from protocol static;
then accept;
}
}
オプションとして、このポリシー チェーンを、内部 BGP(IBGP)ピア用の単一のマルチボックス ポリシーに変換できます。これを行うと、ポリシー チェーンの利点の 1 つである、ポリシーをさまざまな目的で再利用できるようになります。
図 1 AS 64510にあるデバイスR1を、そのIBGPピア、デバイスR2、デバイスR3とともに表示します。また、デバイスR1は、AS 64511内のデバイスR4およびAS 64512内のデバイスR5との外部BGP(EBGP)接続を持っています。AS 64510内の現在の管理ポリシーは、カスタマーの静的ルートのみを他のIBGPピアに送信することです。トランジットサービスを提供するEBGPピアは、マスク長が18ビット未満の集約ルートのみを受信します。ピアリングサービスを提供するEBGPピアは、すべての顧客ルートと、マスク長が19ビットを超えるすべてのアグリゲートを受信します。これらの管理ポリシーの各部分は、 [edit policy-opitons] 設定階層内の個別のルーティング ポリシーで設定されます。これらのポリシーは、AS 64510の管理者に対し、ピアへのルートアドバタイズメントについて複数の設定オプションを提供します。
デバイスR4は、AS 64510へのトランジットサービスを提供し、割り当てられたルーティングスペースをインターネットにアドバタイズすることを可能にします。一方、デバイスR5によって提供されるピアリングサービスでは、AS 64510が、すべてのカスタマールートの自律システム(AS)間で直接トラフィックをルーティングできます。
設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
デバイスR1
content_copy zoom_out_map
set interfaces fe-1/2/0 unit 0 description to_R2 set interfaces fe-1/2/0 unit 0 family inet address 10.0.0.1/30 set interfaces fe-1/2/2 unit 0 description to_R3 set interfaces fe-1/2/2 unit 0 family inet address 10.0.0.5/30 set interfaces fe-1/2/3 unit 0 description to_R4 set interfaces fe-1/2/3 unit 0 family inet address 10.1.0.5/30 set interfaces fe-1/2/1 unit 0 description to_R5 set interfaces fe-1/2/1 unit 0 family inet address 10.0.0.10/30 set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.1 set protocols bgp group int export adv-statics set protocols bgp group int export adv-large-aggregates set protocols bgp group int export adv-small-aggregates set protocols bgp group int neighbor 192.168.0.2 set protocols bgp group int neighbor 192.168.0.3 set protocols bgp group to_64511 type external set protocols bgp group to_64511 export adv-large-aggregates set protocols bgp group to_64511 neighbor 10.1.0.6 peer-as 64511 set protocols bgp group to_64512 type external set protocols bgp group to_64512 export adv-small-aggregates set protocols bgp group to_64512 export adv-statics set protocols bgp group to_64512 neighbor 10.0.0.9 peer-as 64512 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface fe-1/2/2.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement adv-large-aggregates term between-16-and-18 from protocol aggregate set policy-options policy-statement adv-large-aggregates term between-16-and-18 from route-filter 172.16.0.0/16 upto /18 set policy-options policy-statement adv-large-aggregates term between-16-and-18 then accept set policy-options policy-statement adv-small-aggregates term between-19-and-24 from protocol aggregate set policy-options policy-statement adv-small-aggregates term between-19-and-24 from route-filter 172.16.0.0/16 prefix-length-range /19-/24 set policy-options policy-statement adv-small-aggregates term between-19-and-24 then accept set policy-options policy-statement adv-statics term statics from protocol static set policy-options policy-statement adv-statics term statics then accept set routing-options static route 172.16.1.16/28 discard set routing-options static route 172.16.1.32/28 discard set routing-options static route 172.16.1.48/28 discard set routing-options static route 172.16.1.64/28 discard set routing-options aggregate route 172.16.0.0/16 set routing-options aggregate route 172.16.1.0/24 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 64510
デバイスR2
content_copy zoom_out_map
set interfaces fe-1/2/0 unit 0 description to_R1 set interfaces fe-1/2/0 unit 0 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 0 description to_R3 set interfaces fe-1/2/1 unit 0 family inet address 10.1.0.1/30 set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.2 set protocols bgp group int neighbor 192.168.0.1 export send-static-aggregate set protocols bgp group int neighbor 192.168.0.3 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement send-static-aggregate term 1 from protocol static set policy-options policy-statement send-static-aggregate term 1 from protocol aggregate set policy-options policy-statement send-static-aggregate term 1 then accept set routing-options static route 172.16.2.16/28 discard set routing-options static route 172.16.2.32/28 discard set routing-options static route 172.16.2.48/28 discard set routing-options static route 172.16.2.64/28 discard set routing-options aggregate route 172.16.2.0/24 set routing-options aggregate route 172.16.0.0/16 set routing-options router-id 192.168.0.2 set routing-options autonomous-system 64510
デバイスR3
content_copy zoom_out_map
set interfaces fe-1/2/1 unit 0 description to_R2 set interfaces fe-1/2/1 unit 0 family inet address 10.1.0.2/30 set interfaces fe-1/2/2 unit 0 description to_R1 set interfaces fe-1/2/2 unit 0 family inet address 10.0.0.6/30 set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set protocols bgp group int type internal set protocols bgp group int local-address 192.168.0.3 set protocols bgp group int neighbor 192.168.0.1 export send-static-aggregate set protocols bgp group int neighbor 192.168.0.2 set protocols ospf area 0.0.0.0 interface fe-1/2/2.0 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set policy-options policy-statement send-static-aggregate from protocol static set policy-options policy-statement send-static-aggregate from protocol aggregate set policy-options policy-statement send-static-aggregate then accept set routing-options static route 172.16.3.16/28 discard set routing-options static route 172.16.3.32/28 discard set routing-options static route 172.16.3.48/28 discard set routing-options static route 172.16.3.64/28 discard set routing-options aggregate route 172.16.0.0/16 set routing-options aggregate route 172.16.3.0/24 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 64510
デバイス R4
content_copy zoom_out_map
set interfaces fe-1/2/3 unit 0 description to_R1 set interfaces fe-1/2/3 unit 0 family inet address 10.1.0.6/30 set interfaces lo0 unit 0 family inet address 192.168.0.4/32 set protocols bgp group ext type external set protocols bgp group ext peer-as 64510 set protocols bgp group ext neighbor 10.1.0.5 set routing-options autonomous-system 64511
デバイス R5
content_copy zoom_out_map
set interfaces fe-1/2/1 unit 0 description to_R1 set interfaces fe-1/2/1 unit 0 family inet address 10.0.0.9/30 set interfaces lo0 unit 0 family inet address 192.168.0.5/32 set protocols bgp group ext type external set protocols bgp group ext neighbor 10.0.0.10 peer-as 64510 set routing-options autonomous-system 64512
手順
ステップバイステップでの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの「設定モードでのCLIエディターの使用」を参照してください。
Device R1を設定するには:
デバイスインターフェイスを設定します。
content_copy zoom_out_map[edit interfaces] user@R1# set fe-1/2/0 unit 0 description to_R2 user@R1# set fe-1/2/0 unit 0 family inet address 10.0.0.1/30 user@R1# set fe-1/2/2 unit 0 description to_R3 user@R1# set fe-1/2/2 unit 0 family inet address 10.0.0.5/30 user@R1# set fe-1/2/3 unit 0 description to_R4 user@R1# set fe-1/2/3 unit 0 family inet address 10.1.0.5/30 user@R1# set fe-1/2/1 unit 0 description to_R5 user@R1# set fe-1/2/1 unit 0 family inet address 10.0.0.10/30 user@R1# set lo0 unit 0 family inet address 192.168.0.1/32
デバイスR2およびデバイスR3へのIBGP接続を設定します。
content_copy zoom_out_map[edit protocols bgp group int] user@R1# set type internal user@R1# set local-address 192.168.0.1 user@R1# set neighbor 192.168.0.2 user@R1# set neighbor 192.168.0.3
内部ピアにエクスポートポリシーを適用します。
content_copy zoom_out_map[edit protocols bgp group int] user@R1# set export adv-statics user@R1# set export adv-large-aggregates user@R1# set export adv-small-aggregates
デバイスR4へのEBGP接続を設定します。
content_copy zoom_out_map[edit protocols bgp group to_64511] user@R1# set type external user@R1# set neighbor 10.1.0.6 peer-as 64511
デバイスR4にエクスポートポリシーを適用します。
content_copy zoom_out_map[edit protocols bgp group to_64511] user@R1# set export adv-large-aggregates
デバイスR5へのEBGP接続を設定します。
content_copy zoom_out_map[edit protocols bgp group to_64512] user@R1# set type external user@R1# set neighbor 10.0.0.9 peer-as 64512
デバイスR5のエクスポートポリシーを適用します。
content_copy zoom_out_map[edit protocols bgp group to_64512] user@R1# set export adv-small-aggregates user@R1# set export adv-statics
デバイスR2、デバイスR3へのOSPF接続を構成します。
content_copy zoom_out_map[edit protocols ospf area 0.0.0.0] user@R1# set interface fe-1/2/0.0 user@R1# set interface fe-1/2/2.0 user@R1# set interface lo0.0 passive
ルーティングポリシーを設定します。
content_copy zoom_out_map[edit policy-options policy-statement adv-large-aggregates term between-16-and-18] user@R1# set from protocol aggregate user@R1# set from route-filter 172.16.0.0/16 upto /18 user@R1# set then accept [edit policy-options policy-statement adv-small-aggregates term between-19-and-24] user@R1# set from protocol aggregate user@R1# set from route-filter 172.16.0.0/16 prefix-length-range /19-/24 user@R1# set then accept [edit policy-options policy-statement adv-statics term statics] user@R1# set from protocol static user@R1# set then accept
スタティックルートと集約ルートを設定します。
content_copy zoom_out_map[edit routing-options static] user@R1# set route 172.16.1.16/28 discard user@R1# set route 172.16.1.32/28 discard user@R1# set route 172.16.1.48/28 discard user@R1# set route 172.16.1.64/28 discard [edit routing-options aggregate] user@R1# set route 172.16.0.0/16 user@R1# set route 172.16.1.0/24
自律システム(AS)番号とルーターIDを設定します。
content_copy zoom_out_map[edit routing-options] user@R1# set router-id 192.168.0.1 user@R1# set autonomous-system 64510
結果
設定モードから、show interfaces 、show protocols、show policy-options、およびshow routing-options のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
content_copy zoom_out_map
user@R1# show interfaces
fe-1/2/0 {
unit 0 {
description to_R2;
family inet {
address 10.0.0.1/30;
}
}
}
fe-1/2/2 {
unit 0 {
description to_R3;
family inet {
address 10.0.0.5/30;
}
}
}
fe-1/2/3 {
unit 0 {
description to_R4;
family inet {
address 10.1.0.5/30;
}
}
}
fe-1/2/1 {
unit 0 {
description to_R5;
family inet {
address 10.0.0.10/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
content_copy zoom_out_map
user@R1# show protocols
bgp {
group int {
type internal;
local-address 192.168.0.1;
export [ adv-statics adv-large-aggregates adv-small-aggregates ];
neighbor 192.168.0.2;
neighbor 192.168.0.3;
}
group to_64511 {
type external;
export adv-large-aggregates;
neighbor 10.1.0.6 {
peer-as 64511;
}
}
group to_64512 {
type external;
export [ adv-small-aggregates adv-statics ];
neighbor 10.0.0.9 {
peer-as 64512;
}
}
}
ospf {
area 0.0.0.0 {
interface fe-1/2/0.0;
interface fe-1/2/2.0;
interface lo0.0 {
passive;
}
}
}
content_copy zoom_out_map
user@R1# show policy-options
policy-statement adv-large-aggregates {
term between-16-and-18 {
from {
protocol aggregate;
route-filter 172.16.0.0/16 upto /18;
}
then accept;
}
}
policy-statement adv-small-aggregates {
term between-19-and-24 {
from {
protocol aggregate;
route-filter 172.16.0.0/16 prefix-length-range /19-/24;
}
then accept;
}
}
policy-statement adv-statics {
term statics {
from protocol static;
then accept;
}
}
content_copy zoom_out_map
user@R1# show routing-options
static {
route 172.16.1.16/28 discard;
route 172.16.1.32/28 discard;
route 172.16.1.48/28 discard;
route 172.16.1.64/28 discard;
}
aggregate {
route 172.16.0.0/16;
route 172.16.1.0/24;
}
router-id 192.168.0.1;
autonomous-system 64510;
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
デバイスR4へのルートアドバタイズを検証する
目的
デバイスR1上で、顧客ルートがデバイスR4へアドバタイズされることを確認します。
アクション
content_copy zoom_out_map
user@R1> show route advertising-protocol bgp 10.1.0.6 inet.0: 29 destinations, 31 routes (29 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.0.0/16 Self I * 172.16.2.0/24 Self I * 172.16.2.16/28 Self I * 172.16.2.32/28 Self I * 172.16.2.48/28 Self I * 172.16.2.64/28 Self I * 172.16.3.0/24 Self I * 172.16.3.16/28 Self I * 172.16.3.32/28 Self I * 172.16.3.48/28 Self I * 172.16.3.64/28 Self I
意味
adv-large-aggregatesポリシーは、デバイスR4とのピアリングセッションに適用され、16〜18ビットのサブネットマスク長で集約ルートをアドバタイズします。172.16.0.0/16 集約ルートは管理ポリシーの定義に従って送信されていますが、より大きなサブネット マスクを持つ他の多くのルートもデバイス R4 に送信されています。
長いルートの発信元を確認する
目的
デバイスR1で、他のルートがどこから来ているかを見つけます。
アクション
content_copy zoom_out_map
user@R1> show route 172.16.3.16/28
inet.0: 29 destinations, 31 routes (29 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.3.16/28 *[BGP/170] 20:16:00, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.0.0.6 via fe-1/2/2.0意味
デバイスR1は、デバイスR3とのBGPセッションを通じてこのルートを学習しました。これはアクティブな BGP ルートであるため、BGP のデフォルト ポリシーによって自動的にアドバタイズされます。デフォルトポリシーは、常にすべてのポリシーチェーンの最後に適用されることに注意してください。必要なのは、より具体的なルートがアドバタイズされないようにブロックするポリシーです。
より具体的なルートのブロック
目的
172.16.0.0 /16 アドレス空間内で、サブネット マスク長が 19 ビット以上のルートをすべて拒否する not-larger-than-18 というポリシーを作成します。これにより、16〜18ビットのマスクを持つすべてのアグリゲートがアドバタイズされ、管理ポリシーの目標が達成されます。
アクション
デバイスR1で、
not-larger-than-18ポリシーを設定します。content_copy zoom_out_map[edit policy-options policy-statement not-larger-than-18 term reject-greater-than-18-bits] user@R1# set from route-filter 172.16.0.0/16 prefix-length-range /19-/32 user@R1# set then reject
デバイスR1で、デバイスR4とのピアリングセッションにポリシーを適用します。
content_copy zoom_out_map[edit protocols bgp group to_64511] user@R1# set export not-larger-than-18 user@R1# commit
デバイスR1で、デバイスR4へアドバタイズされているルートを確認します。
content_copy zoom_out_mapuser@R1> show route advertising-protocol bgp 10.1.0.6 inet.0: 29 destinations, 31 routes (29 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.0.0/16 Self I
意味
ポリシー チェーンは正しく機能しています。172.16.0.0 /16ルートのみがデバイスR4にアドバタイズされます。
デバイスR5へのルートアドバタイズを検証する
目的
デバイスR1上で、顧客ルートがデバイスR5にアドバタイズされていることを確認します。
デバイスR5は、AS 64512にあるデバイスR1のEBGPピアです。管理ポリシーでは、このピアは長さが 18 ビットを超える集合ルートとすべてのカスタマールートのみを受信すると規定されています。デバイスR4 で同様の問題が発生することを想定して、マスク長が 16〜18 ビットのすべてのアグリゲートを拒否する not-smaller- than-18 というポリシーを作成できます。
アクション
デバイスR2で、172.16.128.0/17の集約ルートを設定します。
content_copy zoom_out_map[edit routing-options aggregate] user@R2# set route 172.16.128.0/17 discard user@R2# commit
デバイスR1で、デバイスR5にアドバタイズされているルートを確認します。
content_copy zoom_out_mapuser@R1> show route advertising-protocol bgp 10.0.0.9 inet.0: 30 destinations, 32 routes (30 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.1.0/24 Self I * 172.16.1.16/28 Self I * 172.16.1.32/28 Self I * 172.16.1.48/28 Self I * 172.16.1.64/28 Self I * 172.16.2.0/24 Self I * 172.16.2.16/28 Self I * 172.16.2.32/28 Self I * 172.16.2.48/28 Self I * 172.16.2.64/28 Self I * 172.16.3.0/24 Self I * 172.16.3.16/28 Self I * 172.16.3.32/28 Self I * 172.16.3.48/28 Self I * 172.16.3.64/28 Self I * 172.16.128.0/17 Self I
集約ルート 172.16.128.0/17 は、管理ポリシーに違反してアドバタイズされます
デバイスR1で、
not-smaller-than-18ポリシーを設定します。content_copy zoom_out_map[edit policy-options policy-statement not-smaller-than-18 term reject-less-than-18-bits] user@R1# set from protocol aggregate user@R1# set from route-filter 172.16.0.0/16 upto /18 user@R1# set then reject
デバイスR1で、デバイスR5とのピアリングセッションにポリシーを適用します。
content_copy zoom_out_map[edit protocols bgp group to_64512] user@R1# set export not-smaller-than-18 user@R1# commit
デバイスR1で、デバイスR5にアドバタイズされているルートを確認します。
content_copy zoom_out_mapuser@R1> show route advertising-protocol bgp 10.0.0.9 inet.0: 29 destinations, 31 routes (29 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.1.0/24 Self I * 172.16.1.16/28 Self I * 172.16.1.32/28 Self I * 172.16.1.48/28 Self I * 172.16.1.64/28 Self I * 172.16.2.0/24 Self I * 172.16.2.16/28 Self I * 172.16.2.32/28 Self I * 172.16.2.48/28 Self I * 172.16.2.64/28 Self I * 172.16.3.0/24 Self I * 172.16.3.16/28 Self I * 172.16.3.32/28 Self I * 172.16.3.48/28 Self I * 172.16.3.64/28 Self I
意味
ポリシー チェーンは正しく機能しています。長さが 18 ビットを超える集約ルートとすべてのカスタマー ルートのみがデバイス R5 にアドバタイズされます。
