Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターと拡張ネットワークサービスモードの概要

通常の状態では、すべての ファイアウォールフィルター はコンパイル型と用語ベースの2種類の形式で生成されます。コンパイルされた形式は、ルーティングエンジン(RE)カーネル、FPC、およびMS-DPで使用されます。MPCでは、項ベースの形式が使用されます。 コンパイル済みファイアウォールフィルターは、適用される各インターフェイスまたは 論理インターフェイス に複製されます。用語ベースのフィルターは、重複するのではなく、各インターフェイスまたは論理インターフェイスによって参照されます。

MPCと他のカードの組み合わせがシャーシに装着される場合、両方のファイアウォールフィルターファイルフォーマットを作成する必要があります。ほとんどのネットワークでは、コンパイル済みファイアウォールフィルターのフィルターフォーマットの作成と任意の量の複製は、ルーターに影響を与えません。しかし、静的に設定された数千の加入者インターフェイスを含む加入者管理ネットワークでは、複数の形式でフィルターを作成し、インターフェイスごとにそれらのフィルターを複製すると、ルーターメモリリソースの大部分を消費する可能性があります。拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードのいずれかを使用して、静的に設定された加入者インターフェイスを使用する加入者アクセスネットワークのルーティングフィルターに固有の拡張性とパフォーマンスを向上させることができます。

インターフェイスが静的または動的に作成され、ファイアウォールフィルターが動的に適用される設定では、シャーシネットワークサービスを拡張モードで実行するように設定する必要があります。インターフェイスが静的に作成され、ファイアウォールフィルターが静的に適用される設定では、シャーシネットワークサービスを拡張モードで実行するように設定し、各ファイアウォールフィルターを拡張モード向けに設定する必要があります。

注:

コントロールプレーントラフィック用のファイアウォールフィルターには、拡張モードを使用しないでください。コントロールプレーンのフィルタリングは、ルーティングエンジンカーネルによって処理されますが、カーネルは拡張モードフィルタの項ベースの形式を使用できません。

表1は 、拡張ネットワークサービスモードの使用を決定する際の設定オプションを示しています。

表1:拡張ネットワークサービスモードとファイアウォールフィルターの使用例の決定

インターフェイスとフィルターの設定

シャーシ拡張モードが必要

ファイアウォールフィルター拡張モードが必要

動的に作成されるインターフェイスと動的に適用されたフィルター

はい

いいえ

静的に作成されたインターフェイスと動的に適用されたフィルター

はい

いいえ

静的に作成されたインターフェイスと静的に適用されたフィルター

はい

はい

ルーターのリソースを大幅に節約するには、シャーシとフィルターの拡張モード設定を以下のように組み合わせます。

  • シャーシにはMPCのみをインストールします。

    注:

    拡張ネットワークサービスモードのいずれかを実行するようにシャーシネットワークサービスを設定すると、ルーターはMPCとMS-DPCのみを有効にします。MS-DPCはコンパイル済みファイアウォールフィルターフォーマット(拡張ネットワークサービスモードの1つ用に設定されたルーターシャーシ)を使用するため、任意のMS-DPCで使用するように標準(非拡張)ファイアウォールフィルターを設定すると、最適なリソース効率が低下する可能性があります。

  • ルーター上で静的インターフェイスを設定する際、シャーシネットワークサービスを拡張IPネットワークサービスモードまたは拡張イーサネットネットワークサービスモードのいずれかを実行するように設定します。

  • 静的に作成されたインターフェイスにファイアウォールフィルターを静的に適用する場合は、拡張モードのファイアウォールフィルターを設定して、フィルターの作成を用語ベースの形式のみに制限します。

    注:

    拡張モード用に設定されていないファイアウォールフィルターは、シャーシが拡張ネットワークサービスモードのいずれかを実行している場合でも、コンパイル済み形式と用語ベースの形式の両方で作成されます。[edit chassis network-services]階層レベルでのenhanced-modeステートメントの設定に関係なく、以下のいずれかに該当する場合、用語ベース(拡張)ファイアウォールフィルターのみが生成されます。

    • 柔軟なフィルター一致条件は、 [edit firewall family family-name filter filter-name term term-name from] または [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • GREのカプセル化やカプセル化解除などのトンネルヘッダーのプッシュまたはポップアクションは、 [edit firewall family family-name filter filter-name term term-name then] 階層レベルで設定されます。

    • ペイロードプロトコルの一致条件は、 [edit firewall family family-name filter filter-name term term-name from] または [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • 拡張ヘッダー一致は、 [edit firewall family family-name filter filter-name term term-name from] または [edit firewall filter filter-name term term-name from] 階層レベルで設定されます。

    • IPv6トラフィック用のファイアウォールブリッジフィルターなど、MPCカードでのみ機能する一致条件が設定されています。
    警告:

    前の基準を満たすファイアウォールフィルターは、DPCベースFPCのループバック、lo0、インターフェイスには適用されません。つまり、DPCベースFPCのループバックインターフェイスで使用するように設定された条件ベース(拡張)フィルターは適用されません。これにより、REはそのフィルターによって保護されなくなります。

関連ドキュメント