Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターと拡張ネットワークサービスモードの概要

通常の状態では、すべての ファイアウォールフィルター は、コンパイルされた形式と用語ベースの2つの異なる形式で生成されます。コンパイルされたフォーマットは、ルーティングエンジン(RE)カーネル、FPC、およびMS-DPによって使用されます。用語ベースの形式は、MPC によって使用されます。 コンパイルされたファイアウォールフィルターは、適用されるインターフェイスまたは 論理インターフェイス ごとに複製されます。用語ベースのフィルタは、重複するのではなく、各インターフェイスまたは論理インターフェイスによって参照されます。

MPCと他のカードを組み合わせてシャーシに装着する場合は、両方のファイアウォールフィルターファイル形式を作成する必要があります。ほとんどのネットワークでは、両方のフィルター形式を作成し、コンパイルされたファイアウォールフィルターの複製量をいくらでも作成しても、ルーターには影響しません。しかし、静的に設定された数千の加入者インターフェイスを含む加入者管理ネットワークでは、複数の形式でフィルターを作成し、それらのフィルターをインターフェイスごとに複製すると、ルーターのメモリリソースの大部分を利用する可能性があります。拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードのいずれかを使用して、静的に設定された加入者インターフェイスを使用する加入者アクセスネットワークのルーティングフィルターに固有の拡張性と性能を向上させることができます。

インターフェイスが静的または動的に作成され、ファイアウォールフィルターが動的に適用される設定では、シャーシネットワークサービスが拡張モードで実行されるように設定する必要があります。インターフェイスが静的に作成され、ファイアウォールフィルターが静的に適用される設定では、シャーシネットワークサービスが拡張モードで実行されるように設定し、各ファイアウォールフィルターも拡張モード用に設定する必要があります。

手記:

コントロールプレーントラフィック用のファイアウォールフィルターには、拡張モードを使用しないでください。コントロールプレーンフィルタリングはルーティングエンジンカーネルによって処理されます。カーネルカーネルは拡張モードフィルタの用語ベースのフォーマットを使用できません。

表 1 は、拡張ネットワーク サービス モードの使用を決定する際の構成オプションを示しています。

表1:拡張ネットワークサービスモードとファイアウォールフィルターのユースケース判定

インターフェイスとフィルターの構成

シャーシ拡張モードが必要

ファイアウォールフィルター拡張モードが必要

動的に作成されたインターフェイスと動的に適用されるフィルター

はい

いいえ

静的に作成されたインターフェイスと動的に適用されるフィルター

はい

いいえ

静的に作成されたインターフェイスと静的に適用されたフィルター

はい

はい

ルーターのリソースを大幅に削減するには、シャーシとフィルターの拡張モード設定を次のように組み合わせます。

  • シャーシにはMPCのみを取り付けます。

    手記:

    拡張ネットワークサービスモードの1つを実行するようにシャーシネットワークサービスを設定すると、ルーターはMPCとMS-DPCのみを有効にすることになります。MS-DPC はコンパイル済みファイアウォール フィルター形式(拡張ネットワーク サービス モードの 1 つ用に構成されたルーター シャーシ)を使用するため、任意の MS-DPC で使用する標準(非拡張)ファイアウォール フィルターを構成すると、最適なリソース効率が低下する可能性があります。

  • ルーターでスタティック インターフェイスを設定する場合は、シャーシ ネットワーク サービスが拡張 IP ネットワーク サービス モードまたは拡張イーサネット ネットワーク サービス モードのいずれかを実行するように設定します。

  • ファイアウォールフィルターを静的に作成されたインターフェイスに適用する場合、ファイアウォールフィルターを拡張モードに設定して、フィルターの作成を用語ベースの形式のみに制限します。

    手記:

    拡張モード用に設定されていないファイアウォールフィルターは、シャーシが拡張ネットワークサービスモードのいずれかを実行している場合でも、コンパイル形式と用語ベース形式の両方で作成されます。[edit chassis network-services] 階層レベルでの enhanced-mode ステートメントの設定に関係なく、以下のいずれかが当てはまる場合、用語ベース(拡張)ファイアウォールフィルターのみが生成されます。

    • 柔軟なフィルター一致条件は、 [edit firewall family family-name filter filter-name term term-name from] 階層レベルまたは [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • GREカプセル化やカプセル化解除などのトンネルヘッダープッシュまたはポップアクションは、 [edit firewall family family-name filter filter-name term term-name then] 階層レベルで設定されます。

    • ペイロードとプロトコルの一致条件は、 [edit firewall family family-name filter filter-name term term-name from] 階層レベルまたは [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • 拡張ヘッダーの一致は、 [edit firewall family family-name filter filter-name term term-name from] 階層レベルまたは [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ機能する一致条件が設定されています。
    警告:

    前述の基準を満たすファイアウォール フィルターは、DPC ベース FPC のループバック(lo0)インターフェイスには適用されません。つまり、DPC ベース FPC のループバック インターフェイスで使用するために設定された項ベース(拡張)フィルターは適用されません。これにより、RE はそのフィルターによって保護されないままになります。

関連ドキュメント