close
keyboard_arrow_left
Table of Contents
- play_arrow Junosルーティングポリシーの理解と設定
- play_arrow 概要
- play_arrow 一致条件、アクション、条件、および式を使用したルーティングポリシーの評価
- ルーティング・ポリシーの評価方法
- ルーティングポリシー一致条件のカテゴリー
- ルーティングポリシー一致条件
- ルート フィルター一致条件
- ルーティングポリシーの用語におけるアクション
- ルーティングポリシーアクションの概要
- 例:内部ピアに最適な外部ルートを告知するルーティングポリシーの設定
- 例:無効なルートをアドバタイズするBGPの設定
- 例:ルーティングポリシーを使用したBGPルートの優先値の設定
- 例:BGP ルート広告の有効化
- 例:既知の無効なルートを拒否する
- 例:ISP ネットワークでのルーティング ポリシーの使用
- ポリシー式の理解
- OSPF プロトコルのバックアップ選択ポリシーについて
- OSPFプロトコルのバックアップ選択ポリシーの設定
- IS-IS プロトコルのバックアップ選択ポリシーの設定
- 例:OSPF または OSPF3 プロトコルのバックアップ選択ポリシーの設定
- play_arrow ポリシーチェーンとサブルーチンを使用した複雑なケースの評価
- play_arrow ルートフィルターとプレフィックスリストを一致条件として構成する
- ルーティング ポリシー一致条件で使用するルート フィルターについて
- ルーティング ポリシー一致条件で使用するルート フィルターと送信元アドレス フィルター リストの理解
- 送信元または宛先 IP のみを使用したロード バランシングについて
- 送信元または宛先 IP のみを使用したロード バランシングの設定
- ルート フィルターのウォークアップの概要
- 運用効率を向上させるためのルート フィルターのウォークアップの構成
- 例:ルート フィルタ リストの構成
- 例:運用効率を向上させるために、ルート フィルターのウォークアップをグローバルに構成する
- 例:ルート フィルターのウォークアップをローカルで構成して運用効率を向上させる
- 例:OSPF を介して学習したプレフィックスの優先度を指定するためのルート フィルター ポリシーの設定
- 例:ルート フィルターを使用した MED の設定
- 例:ルート フィルターのレイヤー 3 VPN プロトコル ファミリー修飾子の設定
- ルーティングポリシー一致条件で使用するプレフィックスリストについて
- 例:ルーティングポリシープレフィックスリストの設定
- 例:RPDインフラストラクチャにおけるルートプレフィックスの優先度の設定
- RPDインフラストラクチャでのルートプレフィックスの優先度の設定
- play_arrow ASパスを一致条件として設定する
- play_arrow コミュニティを一致条件として設定する
- play_arrow BGPルートフラッピングアクションによるネットワークの安定性の向上
- play_arrow ソースクラス使用率と宛先クラス使用率アクションによるトラフィック使用状況の追跡
- ソースクラスの使用方法と宛先クラスの使用オプションについて
- ソースクラスの使用の概要
- SCUを設定するためのガイドライン
- SCUのシステム要件
- SCUの用語と頭字語
- SCUを設定するためのロードマップ
- レイヤー3 VPNでSCUを設定するためのロードマップ
- ルーティング・ポリシーでのルート・フィルタおよびソース・クラスの設定
- 転送テーブルへのポリシーの適用
- インバウンドおよびアウトバウンドインターフェイスでのアカウンティングの有効化
- エグレスPEルーターのvtインターフェイスでの入力SCUの設定
- SCU対応vtインターフェイスのVRFインスタンスへのマッピング
- 出力インターフェイスでのSCUの設定
- 会計プロファイルとSCUクラスの関連付け
- SCUアカウンティングプロファイルの検証
- SCUの設定
- レイヤー3 VPN設定のSCU
- 例:送信元プレフィックスと宛先プレフィックスの転送クラスへのグループ化
- play_arrow 条件付きルーティングポリシーによるトラフィックルーティングの脅威の回避
- play_arrow Discard インターフェイスへのトラフィック転送による DoS 攻撃からの保護
- play_arrow 動的ルーティング ポリシーによるコミット時間の改善
- play_arrow ルーティングポリシーを適用する前のテスト
-
- play_arrow ファイアウォールフィルターの設定
- play_arrow ファイアウォールフィルターがネットワークを保護する仕組みを理解する
- ファイアウォールフィルターの概要
- ルーター データ フローの概要
- ステートレス ファイアウォール フィルターの概要
- 標準ファイアウォールフィルターの使用方法について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ステートレス ファイアウォール フィルターのコンポーネント
- ステートレス ファイアウォール フィルター アプリケーション ポイント
- 標準ファイアウォールフィルターによるパケットの評価方法
- ファイアウォールフィルターの理解高速検索フィルター
- PVLAN を使用したエグレス ファイアウォール フィルターについて
- PTXルーターでの選択的クラスベースフィルタリング
- ファイアウォールフィルターの設定に関するガイドライン
- 標準ファイアウォールフィルターの適用に関するガイドライン
- サポートされているフィルタリング基準
- ファイアウォールトラフィックの監視
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの一致条件とアクション
- ファイアウォールフィルター(OCXシリーズ)の概要
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイルの概要
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターの計画について
- ファイアウォールフィルターの評価方法の理解
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターフレキシブル一致条件
- ファイアウォールフィルター非終了アクション
- ファイアウォールフィルター終了アクション
- ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルターの一致条件とアクション
- プロトコル非依存型トラフィックのファイアウォールフィルター一致条件
- IPv4トラフィックのファイアウォールフィルター一致条件
- IPv6トラフィックのファイアウォールフィルター一致条件
- 数字またはテキストエイリアスに基づくファイアウォールフィルター一致条件
- ビットフィールド値に基づくファイアウォールフィルター一致条件
- アドレスフィールドに基づくファイアウォールフィルター一致条件
- アドレス クラスに基づくファイアウォール フィルター一致条件
- MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
- MPLSトラフィックのファイアウォールフィルター一致条件
- MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件
- VPLSトラフィックのファイアウォールフィルター一致条件
- レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件
- レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件
- ループバック インターフェイスでのファイアウォール フィルターのサポート
- play_arrow ルーティング エンジン トラフィックへのファイアウォール フィルターの適用
- ループバックインターフェイスでの論理ユニットの設定 - レイヤー3 VPNのルーティングインスタンス用
- 例:プレフィックスリストに基づいてポートへのTCPアクセスを制限するフィルターの設定
- 例:信頼できる送信元からのトラフィックを受け入れるステートレス ファイアウォール フィルターの設定
- 例:Telnet および SSH アクセスをブロックするフィルターの設定
- 例:TFTPアクセスをブロックするフィルターの設定
- 例:IPv6 TCPフラグに基づいてパケットを受け入れるためのフィルターの設定
- 例:指定された BGP ピア以外からのポートへの TCP アクセスをブロックするフィルターの設定
- 例:TCP および ICMP フラッドから保護するステートレス ファイアウォール フィルターの構成
- 例:パケット/秒レート制限フィルターによるルーティングエンジンの保護
- 例:LAC 加入者の DHCPv6 および ICMPv6 制御トラフィックを除外するフィルターの設定
- DHCPファイアウォールフィルターのポート番号に対する要件
- 例:Configuring a DHCP Firewall Filter to Protect the Routing Engine
- play_arrow トランジットトラフィックへのファイアウォールフィルターの適用
- 例:イングレス キューイング フィルターとして使用するフィルターの設定
- 例:IPv6 フラグに一致するフィルターの設定
- 例:ポートとプロトコルのフィールドで一致するフィルタの設定
- 例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定
- 例:IP オプション パケットをカウントおよび破棄するフィルターの設定
- 例:IP オプション パケットをカウントするフィルターの設定
- 例:受け入れられたパケットをカウントしてサンプルするフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:関連性のない 2 つの基準に一致するようにフィルターを構成する
- 例:アドレスに基づいてDHCPパケットを受け入れるようにフィルタを構成する
- 例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
- 例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定
- IPv4パケットのフラグメント化を防止または許可するファイアウォールフィルターの設定
- モビリティ拡張ヘッダーを持つイングレスIPv6パケットを破棄するファイアウォールフィルターの設定
- 例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
- 例:宛先クラスに基づくレート制限フィルターの設定
- play_arrow 論理システムでのファイアウォールフィルターの設定
- 論理システムのファイアウォール フィルターの概要
- 論理システムでファイアウォールフィルターを設定および適用するためのガイドライン
- 論理システムのファイアウォールフィルターから従属オブジェクトへの参照
- 論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
- 論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
- 例:フィルターベース転送の設定
- 例:論理システムでのフィルターベース転送の設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 論理システムに対してサポートされていないファイアウォール フィルター ステートメント
- 論理システムのファイアウォールフィルターでサポートされていないアクション
- ルーティングインスタンスのフィルターベースフォワーディング
- ACX シリーズルーター上のルーティングインスタンス用の転送テーブルフィルター
- 転送テーブル フィルターの設定
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定
- play_arrow 単一のインターフェイスへの複数のファイアウォールフィルターのアタッチ
- インターフェイスへのファイアウォールフィルターの適用
- ファイアウォールフィルターの設定
- Multifield Classifier 例: マルチフィールド分類の設定
- MPCを使用するMXシリーズルーターのイングレスキューイングのためのマルチフィールド分類子
- パケット転送動作を指定するためのファイアウォールフィルターのマルチフィールド分類子の割り当て(CLI手順)
- ネストされた構成における複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターへの参照を入れ子にするためのガイドライン
- リストとして適用された複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターをリストとして適用するためのガイドライン
- 例:複数のファイアウォールフィルターのリストの適用
- 例:複数のファイアウォールフィルターへの参照のネスト
- 例:インターフェイス セットで受信したパケットのフィルタリング
- play_arrow 単一のファイアウォールフィルターを複数のインターフェイスにアタッチする
- play_arrow IP ネットワーク間でのフィルターベーストンネリングの設定
- play_arrow サービスフィルターの設定
- play_arrow 簡易フィルターの構成
- play_arrow レイヤー 2 ファイアウォール フィルターの設定
- play_arrow 転送、フラグメント、およびポリシング用のファイアウォール フィルターの設定
- play_arrow ファイアウォールフィルターの設定(EXシリーズスイッチ)
- EXシリーズスイッチ用ファイアウォールフィルターの概要
- ファイアウォールフィルターの計画について
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ファイアウォールフィルターの評価方法の理解
- EXシリーズスイッチ上のブリッジングおよびルーティングパケットのファイアウォールフィルター処理ポイントの理解
- EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
- EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
- スイッチでのループバックファイアウォールフィルターの一致条件とアクションのサポート
- ファイアウォールフィルターの設定(CLI手順)
- ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
- EXシリーズスイッチのフィルターベースフォワーディングについて
- 例:EXシリーズスイッチのポート、VLAN、およびルータートラフィック用のファイアウォールフィルターの設定
- 例:EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定する
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- 例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- ポリサーの動作確認
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの設定(QFXシリーズスイッチ、EX4600スイッチ、PTXシリーズルーター)
- ファイアウォールフィルター(QFXシリーズ)の概要
- ファイアウォールフィルターの計画について
- 作成するファイアウォール フィルターの数の計画
- ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)
- ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)
- ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ファイアウォールフィルターの設定
- インターフェイスへのファイアウォールフィルターの適用
- ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
- スイッチでの MPLS ファイアウォール フィルターとポリサーの設定
- ルーターでの MPLS ファイアウォール フィルターとポリサーの設定
- MPLS ファイアウォール フィルターとポリサーの設定
- ファイアウォールフィルターがプロトコルをテストする方法の理解
- ブリッジングおよびルーティングされたパケットに対するファイアウォールフィルター処理ポイントの理解
- フィルターベース転送について
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- ファイアウォールフィルターを設定して、GRE またはIPIP トラフィックをカプセル化解除する
- ファイアウォールフィルターの動作確認
- ファイアウォールトラフィックの監視
- ファイアウォールフィルター設定のトラブルシューティング
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定(EX9200スイッチ)
-
- play_arrow 設定ステートメントと運用コマンド
- play_arrow トラブルシューティング
- play_arrow ナレッジベース
-
list Table of Contents
例:ポリサーを使用したオーバーサブスクリプションの管理
date_range
19-Jan-25
インターフェイスがオーバーサブスクライブされている場合にポリサーを使用し、輻輳が発生した場合の動作を制御することができます。例えば、 表 1に記載されているように、サーバーがスイッチに接続されているとします。
サーバーの種類 | つながる | IPアドレス |
|---|---|---|
ネットワークアプリケーションサーバー | 1ギガビットインターフェイス | 10.0.0.1 |
認証サーバー | 1ギガビットインターフェイス | 10.0.0.2 |
データベース サーバー | 10ギガビットインターフェイス | 10.0.0.3 |
この例では、ユーザはネットワークアプリケーションサーバが提供するサービスにアクセスし、ネットワークアプリケーションサーバは必要に応じてデータベースサーバに情報を要求します。ユーザーから要求を受信すると、ネットワーク・アプリケーション・サーバーはまず認証サーバーに接続してユーザーの資格情報を検証します。ユーザーが認証され、ネットワークアプリケーションサーバーが要求されたサービスを提供する場合、データベースサーバーからアプリケーションサーバーに送信されるすべてのパケットは、アプリケーションサーバーに接続された1ギガビットイーサネットインターフェイスを2回(アプリケーションサーバーへのイングレス時とユーザーへのエグレス時)通過する必要があります。
ユーザー セッションのイベントの順序は次のとおりです。
ユーザーがアプリケーションサーバーに接続し、サービスを要求します。
アプリケーション・サーバーは、ユーザーの資格情報を要求し、それらを認証サーバーに中継します。
認証サーバーが資格情報を検証すると、アプリケーション・サーバーは要求されたサービスを開始します。
アプリケーション・サーバは、ユーザの要求を満たすために必要なファイルをデータベース・サーバに要求します。
データベース・サーバは、要求されたファイルをアプリケーション・サーバに送信します。
アプリケーションサーバーは、ユーザーへの応答に要求されたファイルを含めます。
データベース・サーバーからアプリケーション・サーバーへのトラフィックは、アプリケーション・サーバーが接続されている 1 ギガビット・インターフェースを輻輳させる可能性があります。この輻輳により、サーバーがユーザーからの要求に応答したり、ユーザー向けの新しいセッションを作成したりできなくなる可能性があります。ポリシングを使用して、これが発生しないようにすることができます。
このファイアウォール構成を作成するには、データベース サーバーで次の手順を実行します。
ポリサーを作成して、データベース・サーバーからアプリケーション・サーバーへのトラフィックが特定の制限を超えた場合にドロップします。
content_copy zoom_out_map[edit firewall] user@switch# set policer Database-Egress-Policer if-exceeding bandwidth-limit 400 burst-size-limit 500m user@switch# set policer Database-Egress-Policer then discard
データベース・サーバーからアプリケーション・サーバーへのトラフィックを検査するフィルターを作成します。
content_copy zoom_out_map[edit firewall] user@switch# edit family inet filter Database-Egress-Filter
データベース・サーバから送信され、アプリケーション・サーバを宛先とするトラフィックにポリサーを適用するようにフィルタを設定します。
content_copy zoom_out_map[edit firewall family inet filter Database-Egress-Filter] user@switch# set term term-1 from destination-address 10.0.0.1 user@switch# set term term-1 then policer Database-Egress-Policer
必要に応じて、データベースサーバーから他の宛先へのトラフィックを許可する条件を設定します(許可しないと、トラフィックは暗黙的な拒否ステートメントによって破棄されます)。
content_copy zoom_out_map[edit firewall family inet filter Database-Egress-Filter] user@switch# set term term-2 then accept
fromステートメントを省略すると、条件がすべてのパケットに一致することになり、これが望ましい動作であることに注意してください。エグレス・フィルターを、アプリケーション・サーバーに接続されたデータベース・サーバー・インターフェースに出力フィルターとしてインストールします。
content_copy zoom_out_map[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet filter output Database-Egress-Filter
最終的な設定は次のようになります。
content_copy zoom_out_map
firewall {
policer Database-Egress-Policer {
if-exceeding {
bandwidth-limit 400;
burst-size-limit 500m;
}
then discard;
}
family inet {
filter Database-Egress-Filter {
term term-1 {
from {
destination-address {
10.0.0.1/24;
}
}
then policer Database-Egress-Policer;
}
term term-2 { # If required, include this term so that traffic from the database server to other destinations is allowed.
then accept;
}
}
}
]