Junosルーティングの基本9.b
受講者ス タデ ィ ガイ ド
1194 North Mathilda AvenueSunnyvale, CA 94089USA+1-408-745-2000www.juniper.net
Worldwide Education ServicesWorldwide Education Services
コース番号 : EDU-JUN-JRE
Juniper Networks、 Juniper Networks ロ ゴ、 Junos、 NetScreen、 ScreenOS は、 米国およびその他の国における Juniper Networks, Inc. の登録商標です。 JunosE は、 Juniper Networks, Inc. の商標です。 その他すべての商標、 サービスマーク、 登録商標、 登録サービスマークは、 それぞれの所有者に帰属
し ます。
Junos ルーテ ィ ングの基本 受講者ス タデ ィ ガイ ド 、 改訂番号 9.b
Copyright © 2009, Juniper Networks, Inc.
All rights reserved. Printed in USA.
改訂履歴 :
改訂 9.a - 2009 年 7 月
改訂 9.b - 2009 年 10 月
本書の記載情報は、 上記日付において 新のものです。
本書の記載情報は入念に検証されてお り、 ソ フ ト ウ ェ ア リ リース 9.6R1.13 に関し て適正と されています。 ジ ュニパーネ ッ ト ワークスは、 本書の記載内
容の誤り に関する責任を負いません。 ジ ュニパーネ ッ ト ワークスは、 本書の欠陥や遺漏に起因する直接的、 間接的、 特別、 懲罰的、 付随的、 結果的な
損害について、 かかる損害の可能性について予め通知を受けていた場合も含め、 いかなる場合も一切の責任を負いません。
ジュニパーネ ッ ト ワークスは、 予告な く 本書を変更、 修正、 移管、 またはその他の手段で改訂する権利を有し ます。
西暦 2000 年問題に関するお知らせ (YEAR 2000 NOTICE)
ジュニパーネ ッ ト ワークスのハー ド ウ ェ アおよびソ フ ト ウ ェ ア製品には西暦 2000 年問題がな く 、 西暦 2000 年に対応し ています。 Junos オペレーテ ィ
ングシステムには、 判明し ている限り、 2038 年まで時間に関連する制限事項はあ り ません。 ただ し、 NTP アプ リ ケーシ ョ ンでは、 2036 年に一部の問
題が発生する こ とが判明し ています。
ソ フ ト ウ ェ ア ラ イセンス
ジュニパーネ ッ ト ワークスのソ フ ト ウ ェ アのご使用に関する規約は、 ソ フ ト ウ ェ アに付随する ソ フ ト ウ ェ ア ラ イセンス、 も し く は該当する場合にはお客様と ジュニパーネ ッ ト ワークスまたはジ ュニパーネ ッ ト ワークス代理店との間で締結された契約に記載されています。 お客様は、 ジ ュニパーネ ッ ト
ワークスのソ フ ト ウ ェ アを使用する こ とによ り、 そのラ イセンスの規約を理解し、 同意し たこ と を示すこ と にな り ます。 一般的に、 ソ フ ト ウ ェ アラ イ
センスは、 ジ ュニパーネ ッ ト ワークスのソ フ ト ウ ェ アに対し て認められる使用方法を制限する もので、 特定の使用方法の禁止が含まれていた り、 ラ イセンスが自動的に解除される特定条件が記載されている場合があ り ます。 詳細については、 ソ フ ト ウ ェ ア ラ イセンスをご確認 く だ さい。
目次
第 1 章 : コースの紹介. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1-1
第 2 章 : ルーテ ィ ングの基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2-1ルーテ ィ ングの概念 : ルーテ ィ ングの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2-3ルーテ ィ ングの概念 : ルーテ ィ ングテーブル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2-7ルーテ ィ ングの概念 : ルーテ ィ ング ・ イ ンス タ ンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-18静的ルーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-25動的ルーテ ィ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-32ラボ 1: ルーテ ィ ングの基礎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-43
第 3 章 : ルーテ ィ ングポリ シーと フ ァ イアウォールフ ィ ルタ . . . . . . . . . . . . . . . . .3-1ルーテ ィ ングポ リ シーの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-3ケースス タデ ィ : ルーテ ィ ングポリ シー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-23ラボ 2: ルーテ ィ ングポ リ シー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-28フ ァ イアウォールフ ィ ルタの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-29ケースス タデ ィ : フ ァ イアウォールフ ィ ルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-44ユニキャ ス ト ・ リバースパス転送のチ ェ ッ ク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-50ラボ 3: フ ァ イアウォールフ ィ ルタ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-57
第 4 章 : ク ラス ・ オブ ・ サービス (CoS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4-1CoS 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4-3ト ラ フ ィ ッ ク分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-10ト ラ フ ィ ッ クキューイ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-17ト ラ フ ィ ッ クのスケジューリ ング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20ケースス タデ ィ : CoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-28ラボ 4: ク ラス ・ オブ ・ サービス (CoS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-38
付録 A: 略語リ ス ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A-1
付録 B: 解答例と解説 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .B-1
目次 • iii
iv • 目次
コース概要
このコースは、 受講日数 1 日で、 ルーテ ィ ングの基礎知識と設定例を学習できるよ う に
構成されてお り、 学習内容は、 一般的なルーテ ィ ングの概念、 ルーテ ィ ングポ リ シー、フ ァ イアウォールフ ィ ルタ、 ク ラス ・ オブ ・ サービス (CoS) などを対象と し ます。
デモ と実技ラボを通じ て、 Junos オペレーテ ィ ングシステム (Junos OS) の設定と監視、
および基本的なデバイス運用監視を実際に体験する こ とができます。
目標
このコースを修了する と、 次の技能を習得できます。
• ルーテ ィ ングの基本動作と概念について説明する
• ルーテ ィ ングおよびフ ォワーデ ィ ングテーブルを表示し て説明する
• 静的ルーテ ィ ングを設定し、 監視する
• OSPF を設定し、 監視する
• ルーテ ィ ングポ リ シーおよびフ ァ イアウォールフ ィ ルタのフ レームワークについて説明する
• ルーテ ィ ングポ リ シーおよびフ ァ イアウォールフ ィ ルタの評価について説明する
• ルーテ ィ ングポ リ シーを適用するべき状況を識別する
• ルーテ ィ ングポ リ シーを記述し、 適用する
• フ ァ イアウォールフ ィ ルタ を適用するべき状況を識別する
• フ ァ イアウォールフ ィ ルタ を記述し、 適用する
• ユニキャ ス ト ・ リバースパス転送 (RPF) の動作と設定について説明する
• ク ラス ・ オブ ・ サービス (CoS) の目的と利点について説明する
• CoS の各種コ ンポーネン ト について説明する
• CoS を実装し、 適正動作を検証する
受講対象者
このコースは、 Junos OS 搭載デバイ スの設定および監視を担当する人を対象と し てい
ます。
コースレベル
「Junos Routing Essentials」 (Junos ルーテ ィ ングの基本 ) コースは、 受講日数 1 日の入門
コースです。
前提条件
ネ ッ ト ワークに関する基礎知識を持ち、 OSI モデルと TCP/IP プロ ト コルスイー ト につい
て理解し ている こ と を前提と し ています。 また、 本コース受講の前に、 「Introduction to the Junos Operating System」 (Junos オペレーテ ィ ングシステム入門 : IJS) コースを受講し
ていただ く 必要があ り ます。
. コース概要 • v
コース内容
第 1 日
第 1 章 : コースの紹介
第 2 章 : ルーテ ィ ングの基礎
ラボ 1: ルーテ ィ ングの基礎
第 3 章 : ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
ラボ 2: ルーテ ィ ングポ リ シー
ラボ 3: フ ァ イアウォールフ ィ ルタ
第 4 章 : ク ラス ・ オブ ・ サービス (CoS)
ラボ 4: ク ラス ・ オブ ・ サービス (CoS)
vi • コース内容
ド キュ メ ン ト の表記規則
CLI および GUI に表示されるテキス ト
このコース全体を通じ て、 コ マン ド ラ イ ン ・ イ ン タ フ ェース (CLI) やグラ フ ィ ッ ク ・ ユー
ザーイ ン タ フ ェ ース (GUI) に表示されるテキス ト に言及し ている箇所が多 く あ り ます。 本書では、 記載内容をわかりやす く するために、 次表に従っ て各章の本文と GUI/CLI テキ
ス ト の書式を区別し ています。
入力テキス ト と出力テキス ト
このコースでは、 受講者によるテキス入力が必要と なる こ とがあ り ます。 本書では、 多
く の場合、 このよ う な入力テキス ト をそのコ ンテキス ト と と もに示し ています。 表示テ
キス ト に対し て、 入力するテキス ト には太字を使用し て区別し ています。
書式 説明 使用例
Franklin Gothic
通常のテキス ト ラボガイ ド および受講者ス タデ ィ ガイ ドのほとんどのテキスト にこの書式が使用されます。
Courier New
コ ン ソールのテキス ト :
• 画面表示
• コ マン ド に関係し ない構文
GUI テキス ト 要素 :
• メ ニュー名
• テキス ト フ ィ ールドへの入力
commit complete
Exiting configuration mode
[File] > [Open] を選択し、
[Filename] テキス ト ボ ッ ク ス
の [Configuration.conf] を
ク リ ッ ク し ます。
書式 説明 使用例
Normal CLI
Normal GUI
特に区別な し Physical interface:fxp0, Enabled
[Configuration] >
[History] を ク リ ッ ク し て設定
履歴を表示し ます。
CLI Input
GUI Input
入力の必要なテキス ト lab@San_Jose> show route
[File] > [Save] を選択し、
[Filename] フ ィ ールド に
config.ini と入力し ます。
ド キュ メ ン ト の表記規則 • vii
定義済みおよび未定義の構文変数
このコースでは、 通常のテキス ト と構文変数を区別する と と もに、 値がすでに割り当てられている構文変数 ( 定義済み変数 ) と受講者が値を割り当てる必要がある構文変数 ( 未
定義変数 ) を区別し ています。 これらの書式は、 入力テキス ト 用の書式と組み合わせて使
用されている場合があるため、 注意し て く だ さい。
書式 説明 使用例
CLI Variable
GUI variable
変数値がすでに割り当てられている場合のテキス ト
policy my-peers
ダイアログの [my-peers] を ク
リ ッ ク し ます。
CLI Undefined
GUI Undefined
受講者が任意の変数値を割り当てる こ とができる場合のテキスト 、 ラボガイ ド に記載の変数値とユーザー入力値が異なる可能性がある場合のテキス ト
set policy policy-name と入
力し ます。
ping 10.0.1.1
[File] > [Save] を選択し、
[Filename] フ ィ ールド に
filename と入力し ます。
viii • ド キュ メ ン ト の表記規則
その他の情報
教育サービス
教育サービスが提供する各種サービスやコースの情報、 開催日程、 開催場所に関する詳細については、 下記 Web サイ ト でご確認いただけます。 http://www.juniper.net/jp/jp/training
本書について
『Junos ルーテ ィ ングの基本 受講生ス タデ ィ ガイ ド』 の作成およびテス ト は、 ソ フ ト ウ ェ
ア リ リース 9.6R1.13 を使用し て行っ ています。 それよ り前または後のバージ ョ ンでは動
作が異なる可能性があるため、 エ ラーをご報告いただ く 前に、 必ずご使用のバージ ョ ンのマニュアルと リ リース ノ ー ト をご確認 く だ さい。
本書の執筆および管理は、 ジ ュ ニパーネ ッ ト ワーク ス教育サービス開発チームが行ってお り ます。 お問い合わせや改善のためのご提案は、 [email protected] までお寄せ く
だ さ い。
各種技術資料
技術マニュアルやリ リース ノ ー ト は、 次の手順で、 イ ン ターネ ッ ト 上から各種形式で直接ダウンロー ド し て印刷する こ とができます。
• http://www.juniper.net/techpubs/ にアクセス し ます。
• 必要なソ フ ト ウ ェ アまたはハー ド ウ ェ アのリ リース と タ イ ト ルを探し、 ドキュ メ ン ト を表示または印刷する形式を選択し て く だ さい。
各種資料および CD は、 お近 く のジュニパーネ ッ ト ワーク ス販売代理店やアカウン ト 担
当者からお求めいただ く こ とができます。
ジュニパーネ ッ ト ワークスのサポー ト
技術サポー ト については、 Web サイ ト (http://www.juniper.net/customers/support/) 経由で
ジュニパーネ ッ ト ワークスにお問い合わせいただ く か、 お電話にて 1-888-314-JTAC ( 米国
国内からの場合 ) または +1-408-745-2121 ( 米国国外からの場合 ) までご連絡 く ださい。
その他の情報 • ix
x • その他の情報
Junosルーティングの基本
第 1章 : コースの紹介
Junos ルーテ ィ ングの基本
本章の内容 :
• 目標およびコース内容
• ジュニパーネ ッ ト ワークスが提供する各種コース
• ジュニパーネ ッ ト ワーク ス技術認定資格プログラム (JNTCP)
第 1 章 - 2 • コースの紹介
Junos ルーテ ィ ングの基本
自己紹介
このスラ イ ド には、 ク ラスでの自己紹介時にお答えいただ く 質問事項が記載されています。
コースの紹介 • 第 1 章 - 3
Junos ルーテ ィ ングの基本
コース内容
このスラ イ ド には、 このコースで取り上げる ト ピ ッ クが記載されています。
第 1 章 - 4 • コースの紹介
Junos ルーテ ィ ングの基本
前提条件
このスラ イ ド には、 このコースを受講するための前提条件が記載されています。
コースの紹介 • 第 1 章 - 5
Junos ルーテ ィ ングの基本
コースの各種事務 ・ 管理関連
このスラ イ ド には、 コース ・ ク ラスにおける各種事務 ・ 管理に関する事項が記載されています。
第 1 章 - 6 • コースの紹介
Junos ルーテ ィ ングの基本
ト レーニングと教材
このスラ イ ド には、 教育サービスによ り提供される ク ラス内およびオン ラ イ ンで使用可能な教材が記載されています。
コースの紹介 • 第 1 章 - 7
Junos ルーテ ィ ングの基本
その他の各種リ ソース
このスラ イ ド には、 ジュニパーネ ッ ト ワーク ス製品の設置、 構成、 運用に活用できるその他の各種リ ソースが記載されています。
第 1 章 - 8 • コースの紹介
Junos ルーテ ィ ングの基本
ご満足度に関する フ ィ ー ドバッ ク
ジ ュ ニパーネ ッ ト ワーク スでは、 受講者の皆様から ご意見やご感想をお寄せいただき、 その内容を分析するために、 電子調査システムを使用し てお り ます。 受講コースに応じ て、 コース終了時に調査にご協力いただ く か、 または、 終了から約 2 週間後に送られる E メ ールに記載されている リ ン クから オン ラ イ ン調
査フ ォームにア ク セス し てご回答いただ く こ と と な り ます ( そのため、 必ずご
使用の E メ ールア ド レスをお知らせ く だ さ い )。
コース修了証明書の発行には、 フ ィ ー ドバッ ク をお送り いただ く 必要があ り ます。 弊社の教育サービス改善のため、 調査にご協力いただきますよ う お願い申し
上げます。
コースの紹介 • 第 1 章 - 9
Junos ルーテ ィ ングの基本
ジュニパーネ ッ ト ワークス教育サービスのカ リキュ ラム
ジュニパーネ ッ ト ワークス教育サービスは、 エン タープ ラ イズ環境やサービスプロバイダー環境において、 コ ス ト パフ ォーマンスに優れた高性能ネ ッ ト ワーク を配備および保守するための知識と スキルの確立をサポー ト し ています。 技術と業
界に関する豊富な知識を備えた専門 ト レーニング ・ ス タ ッ フ を擁し てお り、 イ ンス ト ラ ク タによるハンズオン コースに加え、 ご自分のペースで学習を進められる便利な e ラーニングコースも提供し てお り ます。
ジュニパーネ ッ ト ワークス教育サービスが提供する、 多彩なプ ラ ッ ト フ ォームをカバーする各種サービスやコースに関する 新情報は、http://www.juniper.net/jp/jp/training でご確認いただけます。
第 1 章 - 10 • コースの紹介
Junos ルーテ ィ ングの基本
JNTCP
ジュニパーネ ッ ト ワーク ス技術認定資格プログラム (JNTCP) は、 プ ラ ッ ト フ ォー
ムに特化し た複数段階の ト ラ ッ クで構成されてお り、 習熟度を評価する筆記試験および設定と ト ラ ブルシューテ ィ ングの実技試験に合格する こ とによ り、 ジュニパーネ ッ ト ワークスの技術に対する技能を証明できるよ う になっ ています。 認定
試験に合格するためには、 イ ン ターネ ッ ト と セキュ リ テ ィ 技術に加え、 ジュニパーネ ッ ト ワークス ・ プ ラ ッ ト フ ォームの設定と ト ラ ブルシューテ ィ ングのスキルを十分に発揮する こ とが求められます。 JNTCP の詳細については、 下記 Web サ
イ ト をご参照 く だ さい。http://www.juniper.net/jp/jp/training/certification/
コースの紹介 • 第 1 章 - 11
Junos ルーテ ィ ングの基本
認定資格レベル
JNTCP の各 ト ラ ッ クには、 1 ~ 4 段階の認定資格レベルが用意されています。 アソ シエー ト レベルおよびスペシ ャ リ ス ト レベルの試験は、 選択問題で構成されるコ ンピ ューターベースの試験です。 これらの試験は、 世界各国のプロ メ ト リ ッ ク
テス ト セン ターで実施されてお り、 前提条件と なる認定資格要件はあ り ません。
プロ フ ェ ッ シ ョ ナルレベルおよびエキスパー ト レベルの試験は、 実技のラボ問題で構成される試験で、 指定のジュニパーネ ッ ト ワークステス ト セン ターで実施されています。 これらのレベルでの受験には、 ト ラ ッ ク内で当該レベルよ り 1 つ前
( 下位 ) のレベルの認定資格を取得し ている こ とが条件と な り ます。 試験の詳細、
料金、 登録については、 下記 JNTCP Web サイ ト でご確認いただけます。http://www.juniper.net/jp/jp/training/certification/
第 1 章 - 12 • コースの紹介
Junos ルーテ ィ ングの基本
準備と学習
このスラ イ ド には、 ジュニパーネ ッ ト ワーク ス認定資格の取得に向けた各種学習方法が記載されています。
コースの紹介 • 第 1 章 - 13
Junos ルーテ ィ ングの基本
ご質問
受講コース ・ ク ラスに関するご質問やご不明な点があれば、 ク ラス内でイ ンス トラ ク タが対応するよ う に努めますので、 遠慮な く お申し出 く だ さい。
第 1 章 - 14 • コースの紹介
Junosルーティングの基本
第 2章 : ルーティングの基礎
Junos ルーテ ィ ングの基本
本章の内容 :
• ルーテ ィ ングの基本動作と概念
• ルーテ ィ ングテーブルと フ ォワーデ ィ ングテーブル
• 静的ルーテ ィ ングの設定と監視
• 基本 OSPF の設定と監視
第 2 章 - 2 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ングの概念 : ルーテ ィ ングの概要
このスラ イ ド には、 この章で取り上げる ト ピ ッ クが記載されています。 初に、
このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングの基礎 • 第 2 章 - 3
Junos ルーテ ィ ングの基本
ルーテ ィ ングの基本的な定義
ルーテ ィ ングの も基本的な形態は、 レ イヤー 3 ネ ッ ト ワーク間のデータ移動
プロセスです。 このスラ イ ド に示す ト ポロジー例は、 ルーターに接続された複数
のレ イヤー 3 ネ ッ ト ワーク を示し ています。 ルーターはルーテ ィ ングを実行する
も一般的なデバイスですが、 スイ ッ チやセキュ リ テ ィ デバイスがルーテ ィ ング機能を提供する場合も多 く あ り ます。 また、 イ ン ターネ ッ ト は単一のネ ッ ト ワー
ク ではな く 、 複数のネ ッ ト ワークの集合体である とい う こ と も認識する必要があり ます。
このセク シ ョ ンでは、 以降のページで、 ルーテ ィ ングで必要な コ ンポーネン ト とJunos オペレーテ ィ ングシステム (Junos OS) 搭載デバイスによるルーテ ィ ング判
定について説明し ます。
第 2 章 - 4 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ングのコ ンポーネン ト
リ モー ト ネ ッ ト ワーク間で効果的なルーテ ィ ングを実現するためには、 さ まざまな コ ンポーネン ト や要素に対する考慮が必要です。 考慮するべき内容は、 エン ド
ツーエン ドの通信パス、 通信パス上の全レ イヤー 3 デバイスが必要なルーテ ィ
ング情報を確実に持つよ う にする こ と、 とい う 2 つの要件に大別されます。
このスラ イ ドの例では、 図示し たネ ッ ト ワーク と イ ン ターネ ッ ト との間に物理パスが存在し ています。 この物理パスが正し く 設定されてお り、 正常に機能し てい
れば、 初の要件は満た されたこ とにな り ます。
2 番目の要件と し て、 通信パス上の全レ イヤー 3 デバイスが、 必要なルーテ ィ ン
グ情報を確実に持っていなければな り ません。 ユーザーネ ッ ト ワークやデーター
セン ター ・ ネ ッ ト ワーク内のデバイスには、 適切に設定されたゲー ト ウ ェ イ ( こ
れらのネ ッ ト ワークやイ ン ターネ ッ ト に接続し ているルーター ) が必要です。 ゲー ト ウ ェ イデバイスは、 受信する通過 ト ラ フ ィ ッ クの各宛先プレ フ ィ ッ ク スに対する適切なネクス ト ホ ッ プを決定し ます。 Junos OS 搭載デバイスは、 ルーテ ィ
ングテーブルのサブセ ッ ト である フ ォワーデ ィ ングテーブルを使用し てこの決定を行います。 ルーテ ィ ングテーブルおよびフ ォワーデ ィ ングテーブルについて
は、 次のセクシ ョ ンで説明し ます。
ルーテ ィ ングの基礎 • 第 2 章 - 5
Junos ルーテ ィ ングの基本
理解の確認
このスラ イ ド には、 簡単なルーテ ィ ングシナ リ オを示し ています。 ユーザー Aがデーターセン ター ・ ネ ッ ト ワーク内のデバイス と通信するために必要なルーテ ィ ング情報を考えてみま し ょ う。
デバイ スが、 自身が直接接続されているサブネ ッ ト 外のデバイ ス と通信するためには、 適切に設定されたゲー ト ウ ェ イが必要です。 ス ラ イ ド のシナ リ オでは、
ユーザー A に関連付けられたデバイ スは、 ルー タ ー IP ア ド レス 10.1.1.1 に設
定されているゲー ト ウ ェ イ を必要と し ます。 同様に、 デー タ ーセン タ ー ・ ネ ッ
ト ワーク内のデバイ ス も、 適切に設定されたゲー ト ウ ェ イ (10.2.2.1) を必要と
し ます。
ユーザーネ ッ ト ワークやデーターセン ター ・ ネ ッ ト ワーク でゲー ト ウ ェ イ と し て機能するルーターは、 接続ネ ッ ト ワーク間で送受信される ト ラ フ ィ ッ クの適切なネクス ト ホ ッ プを決定するために所定のルーテ ィ ング情報を必要と し ます。 この
例では、 ルーターはイ ン タ フ ェ ース設定を介し て必要な情報を学習し ます。 ルー
ターは、 イ ン タ フ ェースが接続されているネ ッ ト ワーク をルーテ ィ ングテーブルおよびフ ォワーデ ィ ングテーブルに追加し、 自身のフ ォワーデ ィ ングテーブルを
参照し て受信 ト ラ フ ィ ッ クのネクス ト ホ ッ プを決定し ます。
第 2 章 - 6 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ングの概念 : ルーテ ィ ングテーブル
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングの基礎 • 第 2 章 - 7
Junos ルーテ ィ ングの基本
ルーテ ィ ング情報源
Junos OS のルーテ ィ ングテーブルは、 複数のルーテ ィ ング情報源 ( 各種ルーテ ィ
ングプロ ト コル、 静的経路、 直接接続経路など ) からのプレ フ ィ ッ クスを統合し
たものです。
有効経路の選択
Junos OS 搭載デバイスが所定のプレ フ ィ ッ ク スに関し て複数の経路を受信し た
場合、 デバイスは 1 つの経路を有効経路と し て選択し ます。 ただ し、 Junos OS で
は、 追加設定を行えば、 複数の等価コ ス ト 経路もサポー ト 可能です。
フ ォワーデ ィ ングテーブル
ルーターは、 各宛先プレ フ ィ ッ クスの有効経路を フ ォワーデ ィ ングテーブルに格納し ます。 フ ォワーデ ィ ングテーブルは、 Junos OS 搭載デバイスによ り転送され
る各パケ ッ ト の送信イ ン タ フ ェ ース と レ イヤー 2 書換え情報を決定し ます。
次ページに続 く
第 2 章 - 8 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
複数のルーテ ィ ングテーブル
Junos OS 搭載デバイスは、 複数ルーテ ィ ングテーブルの使用に対応し ています。 一次ルーテ ィ ングテーブル inet.0 には、 IPv4 ユニキャ ス ト 経路が格納されま
す。 また、 Junos OS が設定に応じ て作成する inet6.0 などの定義済みルーテ ィ
ングテーブルもあ り ます。
Junos OS 搭載デバイスで一般的に使用される定義済みルーテ ィ ングテーブルを
次に示し ます。
• inet.0: IPv4 ユニキャ ス ト 経路用
• inet.1: マルチキャス ト 転送キャ ッ シュ用
• inet.2: リバースパス転送 (RPF) チ ェ ッ ク を実行するための MBGP経路用
• inet.3: MPLS パス情報用
• inet.4: MSDP 経路エン ト リー用
• inet6.0: IPv6 ユニキャ ス ト 経路用
• mpls.0: MPLS ネク ス ト ホ ッ プ用
ルーテ ィ ングの基礎 • 第 2 章 - 9
Junos ルーテ ィ ングの基本
ルーテ ィ ング情報源のプ リ フ ァ レンス
Junos OS は、 さ まざまなルーテ ィ ングプロ ト コルやルーテ ィ ング情報源から受
信し た経路を差別化するために、 ルー ト プ リ フ ァ レンス ( 優先度 ) を使用し てい
ます。 ルー ト プ リ フ ァ レンスは、 他ベンダー装置におけるア ド ミ ニス ト レーテ ィ
ブ ・ デ ィ ス タ ンス ( 管理上の距離 ) に相当し ます。
有効経路の選択
Junos OS は、 さ まざまなルーテ ィ ング情報源から受信し た経路に順位を付け、 有
効経路を選択するための一次基準と し てルー ト プ リ フ ァ レンスを使用し ます。
スラ イ ド 下部の表は、 一部のルーテ ィ ング情報源でのデフ ォル ト のプ リ フ ァ レンス値をま とめたものです。 デフ ォル ト のルー ト プ リ フ ァ レンス値をすべて記載し
た一覧は、 次のページに掲載し ています。
次ページに続 く
第 2 章 - 10 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
有効経路の選択 ( 続き )
ルー ト プ リ フ ァ レンス値は、 0 から 4,294,967,295 の範囲で設定され、 この値が
小さい経路の方が値の大きい経路よ り も優先されます。 次のコ マン ド出力では、
プ リ フ ァ レンス値 5 の静的経路が、 プ リ フ ァ レンス値 10 の OSPF 内部ルー ト よ
り も優先されている こ と を示し ています。
user@host> show route 192.168.36.1 exact
inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both
192.168.36.1/32 *[Static/5] 00:00:31 > to 10.1.1.2 via ge-0/0/10.0 [OSPF/10] 00:02:21, metric 1 > to 10.1.1.2 via ge-0/0/10.0
ほとんどのルーテ ィ ング情報源のデフ ォル ト ・ プ リ フ ァ レンス値は、 要件に合わせて変更可能です。 ただ し、 直接接続およびローカルの経路は、 他のルーテ ィ ン
グ情報源でのプ リ フ ァ レンス値の変更にかかわらず、 常に優先されます。
次ページに続 く
デフ ォル ト のルー ト プ リ フ ァ レンス値
直接接続 0 SNMP 50
ローカル 0 ルーター検出 55
システムルー ト 4 4 RIP 100
静的経路およびStatic LSP
5 RIPng 100
RSVP-signaled LSP 7 DVMRP 110
LDP-signaled LSP 9 集約経路 130
OSPF 内部ルー ト 10 OSPF AS 外部ルー ト 150
IS-IS レベル 1 内部
ルー ト
15 IS-IS レベル 1 外部ルー ト 160
IS-IS レベル 2 内部
ルー ト
18 IS-IS レベル 2 外部ルー ト 165
リ ダイ レ ク ト 30 BGP ( 内部および外部ルー ト ) 170
カーネル 40 MSDP 175
ルーテ ィ ングの基礎 • 第 2 章 - 11
Junos ルーテ ィ ングの基本
有効経路の選択 ( 続き )
同一の宛先に対し て等価コ ス ト パスが存在する場合、 ルーテ ィ ング ・ プロ ト コル ・ プロセス (rpd) は、 使用可能なパスのいずれかを ラ ンダムに選択し ます。 これによ り、 宛先ご とのパケ ッ ト 順を維持し ながら、 パス間の負荷分散を図る こ とができます。 次の出力例は、 この点を説明し たものです。
user@host> show route 10.1.0.0/16
inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both
10.1.1.0/24 *[Static/5] 00:00:25 to 172.20.66.2 via ge-0/0/2.0 > to 172.20.77.2 via ge-0/0/3.010.1.2.0/24 *[Static/5] 00:00:25 > to 172.20.66.2 via ge-0/0/2.0 to 172.20.77.2 via ge-0/0/3.010.1.3.0/24 *[Static/5] 00:00:25 to 172.20.66.2 via ge-0/0/2.0 > to 172.20.77.2 via ge-0/0/3.010.1.4.0/24 *[Static/5] 00:00:25 > to 172.20.66.2 via ge-0/0/2.0 to 172.20.77.2 via ge-0/0/3.0
必要に応じ て、 ルーテ ィ ングポリ シーを介し て、 複数の等価コ ス ト パスにおいてフ ロー単位で負荷分散させる こ と も できます。 負荷分散は、 このコースの学習対
象外であるため、 こ こ では説明し ていません。
第 2 章 - 12 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ングテーブルの表示
このスラ イ ド には、ルーテ ィ ングテーブルの全経路エン ト リーを表示する show
route コ マン ドの使用例を示し ています。 スラ イ ド に示すよ う に、 すべての有効
経路には、 エン ト リーの横にアス タ リ スク (*) が表示されます。 各エン ト リーに
は、 当該経路の学習情報源と そのルー ト プ リ フ ァ レンス値が表示されます。
show route コ マン ド を発行する と、 有効経路、 ホールド ダウン経路、 隠し経路
のサマ リーが表示されます。 有効経路は ト ラ フ ィ ッ ク転送に使用される経路、 ホールド ダウン経路は当該経路が無効と し て宣言される前の停止状態の経路、 隠し経路は無効ネクス ト ホ ッ プや無効ルー ト ポ リ シーなどの理由によ り使用できない経路のこ と をいいます。
コ マン ド の出力は、 宛先プレ フ ィ ッ ク ス、 プロ ト コルタ イプ、 その他の識別属性によ ってフ ィ ルタ リ ングする こ とができます。 フ ィ ルタ リ ングにプロ ト コルを使
用し たコ マン ド 出力例を次に示し ます。
user@host> show route protocol ospf
inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden)+ = Active Route, - = Last Active, * = Both
10.1.1.0/24 [OSPF/10] 04:57:41, metric 2 > to 172.18.25.2 via ge-0/0/13.0224.0.0.5/32 *[OSPF/10] 05:00:58, metric 1 MultiRecv
ルーテ ィ ングの基礎 • 第 2 章 - 13
Junos ルーテ ィ ングの基本
フ ォワーデ ィ ングテーブル
フ ォワーデ ィ ングテーブルには、 ルーテ ィ ングテーブルからの情報のサブセ ッ トが格納されます。 学習し た宛先プレ フ ィ ッ ク スや各宛先プレ フ ィ ッ クスに関連付
けられている送信イ ン タ フ ェ ースなど、 Junos OS 搭載デバイスがパケ ッ ト 転送
に使用する情報が格納されています。
フ ォワーデ ィ ングテーブルの内容を表示するには、 CLI の show route
forwarding-table コ マン ド を使用し ます。
user@host> show route protocol ospf Routing table: inetInternet:Destination Type RtRef Next hop Type Index NhRef Netifdefault user 0 0:17:cb:4e:ae:81 ucst 520 3 ge-0/0/0.0default perm 0 rjct 36 10.0.0.0/32 perm 0 dscd 34 1172.19.0.0/16 user 0 200.1.4.100 ucst 535 3 ge-0/0/3.0172.19.52.0/24 user 0 200.1.2.100 ucst 529 3 ge-0/0/1.0172.19.52.16/28 user 0 200.1.3.100 ucst 534 3 ge-0/0/2.0...
次ページに続 く
第 2 章 - 14 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
フ ォワーデ ィ ングテーブル ( 続き )
Junos OS のカーネルも、 い く つかの転送情報のエン ト リーを作成し、 これら を
恒久的なものとみな し ます。 その例と し て、 合致するエン ト リーのないすべての
パケ ッ ト に適用される default 転送エン ト リーがあ り ます。 パケ ッ ト がこの
default 転送エン ト リーに合致する と、 ルーターはそのパケ ッ ト を破棄し、 送
信元に ICMP 宛先到達不能メ ッ セージを返信し ます。 ユーザーがデフ ォル ト 経路
を定義し た場合は、 ルーターは恒久的な default 転送エン ト リーではな く 、
ユーザー定義エン ト リーを使用し ます。
転送エン ト リーに関連する一般的な経路タ イプの一部を次に示し ます。
• dest: イ ン タ フ ェ ースを介し て直接到達可能な リ モー ト ア ド レス
• intf: イ ン タ フ ェ ースの設定によ っ て作成された経路
• perm: ルーテ ィ ングテーブル初期化時にカーネルによ っ て作成され
た経路
• user: ルーテ ィ ング ・ プロ ト コル ・ プロセスや設定によ っ て作成さ
れた経路
転送エン ト リ ーに関連する一般的なネ ク ス ト ホ ッ プ ・ タ イ プの一部を次に示します。
• bcst: ブロー ド キャス ト
• dscd: ICMP 到達不能メ ッ セージを送信せずに、 暗黙的にパケ ッ ト を
破棄
• hold: ネク ス ト ホ ッ プがユニキャス ト またはマルチキャ ス ト タ イプ
に解決されるのを待機し ている状態
• locl: イ ン タ フ ェ ースのローカルア ド レス
• mcst: ワイヤー ・ マルチキャ ス ト ・ ネクス ト ホ ッ プ (LAN のみ )
• mdsc: マルチキャ ス ト 破棄
• recv: 受信
• rjct: パケ ッ ト を破棄し て ICMP 到達不能メ ッ セージを送信
• ucst: ユニキャ ス ト
• ulst: 負荷分散機能が設定されている場合に使用されるユニキャ ス
ト ・ ネク ス ト ホ ッ プのリ ス ト
ルーテ ィ ングの基礎 • 第 2 章 - 15
Junos ルーテ ィ ングの基本
ネクス ト ホ ッ プの決定
パケ ッ ト が Junos OS 搭載デバイスに到達する と、 デバイスはフ ォワーデ ィ ング
テーブルのエン ト リーを参照し てパケ ッ ト の適切なネク ス ト ホ ッ プを決定し ます。 パケ ッ ト の宛先がローカルデバイスの場合は、 Junos OS はパケ ッ ト をローカ
ル処理し ます。 パケ ッ ト の宛先がリ モー ト デバイスで、 フ ォワーデ ィ ングテーブ
ルに一致するエン ト リーが存在する場合、 Junos OS 搭載デバイスはパケ ッ ト を
エン ト リーに関連付けられたネクス ト ホ ッ プのイ ン タ フ ェ ースに転送し ます。
パケ ッ ト の宛先と一致する宛先プレ フ ィ ッ ク スが複数存在する場合、 Junos OSは も特定性のあるエン ト リー ( 長一致 ) を使用し てパケ ッ ト を宛先に転送し
ます。
一致するエン ト リーが存在し ない場合、 Junos OS 搭載デバイスは送信元デバイ
スに対し て宛先到達不能通知を送信し ます。
第 2 章 - 16 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
理解の確認
スラ イ ド に示すフ ォワーデ ィ ングテーブルの例を使用し て、 ネク ス ト ホ ッ プ ・ イン タ フ ェ ースの決定方法を確認し ま し ょ う 。 宛先に対し て複数のエン ト リーが一
致し た場合、 も特定性のあるエン ト リー ( 長一致 ) がパケ ッ ト のネクス ト
ホ ッ プ ・ イ ン タ フ ェース と し て選択されます。
172.19.52.101 を宛先とするパケ ッ ト の 長一致と なる転送エン ト リーは、 宛先
プレ フ ィ ッ クス 172.19.52.0/24 です。 この宛先プレ フ ィ ッ クスに関連付けられ
ているネクス ト ホ ッ プは ge-0/0/1.0 です。
172.19.52.21 を宛先とするパケ ッ ト の 長一致と なる転送エン ト リーは、 宛先
プレ フ ィ ッ クス 172.19.52.16/28 です。 この宛先プレ フ ィ ッ クスに関連付けられ
ているネクス ト ホ ッ プは ge-0/0/2.0 です。
172.25.100.27 を宛先とするパケ ッ ト に一致する唯一の転送エン ト リーは、 ユー
ザー定義のデフ ォル ト 転送エン ト リーです。 ユーザー定義のデフ ォル ト 転送エン
ト リーに関連付けられているネクス ト ホ ッ プは ge-0/0/0.0 です。
ルーテ ィ ングの基礎 • 第 2 章 - 17
Junos ルーテ ィ ングの基本
ルーテ ィ ングの概念 : ルーテ ィ ング ・ イ ンス タ ンス
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 2 章 - 18 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ング ・ イ ンス タ ンスの概要
Junos OS は、 ルーテ ィ ングテーブル、 イ ン タ フ ェース、 ルーテ ィ ングプロ ト コ
ルのパラ メ ータ を論理的にグループ化し て、 固有のルーテ ィ ング ・ イ ンス タ ンスを生成し ます。 デバイスでは、 1 つのルーテ ィ ング ・ イ ンス タ ンスに含まれる
ルーテ ィ ング情報を論理的に保持し、 他のルーテ ィ ング ・ イ ンス タ ンス と区別します。 ルーテ ィ ング ・ イ ンス タ ンスの使用によ り、 1 つのデバイスで複数のデバ
イスを効果的に模倣する こ とができるため、 柔軟性に優れたルーテ ィ ングを達成できます。
ルーテ ィ ングの基礎 • 第 2 章 - 19
Junos ルーテ ィ ングの基本
master ルーテ ィ ング ・ イ ンス タ ンス
Junos OS は、 master ルーテ ィ ング ・ イ ンス タ ンス と呼ばれるデフ ォル ト のユニ
キャス ト ・ ルーテ ィ ング ・ イ ンス タ ンスを作成し ます。 この master ルーテ ィ ン
グ ・ イ ンス タ ンスは、 デフ ォル ト で、 IPv4 ユニキャス ト ・ ルーテ ィ ングに使用
される inet.0 ルーテ ィ ングテーブルを含んでいます。 Junos OS は、 inet6.0
などその他のルーテ ィ ングテーブルを作成し てそれぞれのルーテ ィ ング ・ イ ンスタ ンスに追加し、 設定によ り必要になった場合にはこれらのルーテ ィ ングテーブルを表示し ます。
user@host> show route instance Instance Type Primary RIB Active/holddown/hidden__juniper_private1__ forwarding __juniper_private1__.inet.0 2/0/2 __juniper_private1__.inet6.0 1/0/0
__juniper_private2__ forwarding __juniper_private2__.inet.0 0/0/1
__master.anon__ forwarding
master forwarding inet.0 7/0/0
第 2 章 - 20 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ユーザー定義のルーテ ィ ング ・ イ ンス タ ンス
一層の柔軟性を実現するために、 Junos OS では、 [edit routing-instances]階層でユーザー定義のルーテ ィ ング ・ インスタ ンスを追加作成する こ と も可能です。 ユーザー定義のルーテ ィ ング ・ インスタ ンスは、 さ まざまな状況に合わせて使用でき、 個々の環境において優れた柔軟性を提供し ます。
ユーザー定義のルーテ ィ ング ・ イ ンス タ ンスを使用する一般的な例と し て、 フ ィルタベース転送 (FBF)、 レ イヤー 2 およびレ イヤー 3 の VPN サービス、 システム仮想化などが挙げられます。
一般的なルーテ ィ ング ・ イ ンス タ ンスの種類の一部を次に示し ます。
• forwarding: 一般的なアクセス層アプ リ ケーシ ョ ンのためのフ ィ ルタベース転送実装に使用される。
• l2vpn: レ イヤー 2 の VPN 実装に使用される。
• no-forwarding: 大規模ネ ッ ト ワーク をよ り規模の小さい管理単位に分割するために使用される。
• virtual-router: システム仮想化など、 非 VPN 関連アプ リ ケーシ ョ ンに使用される。
• vpls: VPN 内のサイ ト 間でポイ ン ト ツーマルチポイ ン ト LAN の実装に使用される。
• vrf: レ イヤー 3 の VPN 実装に使用される。
使用可能なルーテ ィ ング ・ イ ンス タ ンスの種類は、 Junos OS 搭載プ ラ ッ トフ ォーム間で異な り ます。 詳細については、 必ずご使用製品の技術マニュアルでご確認 く だ さい。
ルーテ ィ ングの基礎 • 第 2 章 - 21
Junos ルーテ ィ ングの基本
設定例 : ルーテ ィ ング ・ イ ンス タ ンス
このス ラ イ ド では、 基本的なルーテ ィ ング ・ イ ンス タ ンスの設定例を示し ています。
第 2 章 - 22 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ルーテ ィ ング ・ イ ンス タ ンスの使用 : パー ト 1
ルーテ ィ ング ・ イ ンス タ ンスを作成し、 デバイスがイ ンス タ ンス内のルーテ ィ ング情報を学習する と、 Junos OS は自動的にルーテ ィ ングテーブルを作成し ます。 IPv4 ルーテ ィ ングを使用する場合、 Junos OS は IPv4 ユニキャ ス ト ・ ルーテ ィ ン
グテーブルを作成し ます。 ルーテ ィ ングテーブル名には、
instance-name.inet.0 とい う 形式が使用されます ( こ こ で、
instance-name は、 設定内のルーテ ィ ング・イ ンス タ ンス名です )。 同様に、 イ
ンス タ ンスで IPv6 を使用する場合は、 IPv6 ユニキャ ス ト ・ ルーテ ィ ングテーブ
ルが作成され、 テーブル名の形式は、 instance-name.inet6.0 と な り ます。
スラ イ ド に示すよ う に、 特定のルーテ ィ ング ・ イ ンス タ ンスに関連するルーテ ィングテーブルの内容を表示するには、 CLI の show route table table-name
コ マン ド を使用し ます。
ルーテ ィ ングの基礎 • 第 2 章 - 23
Junos ルーテ ィ ングの基本
ルーテ ィ ング ・ イ ンス タ ンスの使用 : パー ト 2
CLI の show コ マン ド では、 特定のルーテ ィ ング ・ イ ンス タ ンス名を指定する こ
とによ り、 出力内容を フ ィ ルタ リ ングする こ とができます。 スラ イ ドの 初の例
は、 指定ルーテ ィ ング ・ イ ンス タ ンスに含まれる イ ン タ フ ェースを表示する便利な方法を示し たものです。
特定のルーテ ィ ング ・ イ ンス タ ンス名を指定する こ とによ り、 当該イ ンス タ ンスからの ト ラ フ ィ ッ クのみを表示する こ と も できます。 スラ イ ドの 2 番目と 3 番目
の例では、 この方法を ping および traceroute の各ユーテ ィ リ テ ィ と併用し
ています。
第 2 章 - 24 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
静的ルーテ ィ ング
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングの基礎 • 第 2 章 - 25
Junos ルーテ ィ ングの基本
静的ルーテ ィ ング
静的経路はネ ッ ト ワーク環境において、 自律システム (AS) のデフ ォル ト 経路やカスタマーネ ッ ト ワークへの経路など、 さ まざまな目的に使用されます。 動的ルーテ ィ ングプロ ト コルと異な り、 静的ルーテ ィ ングでは、 静的経路によ り提供されるルーテ ィ ング情報を手作業でネッ ト ワーク内の各ルーターやマルチレイヤースイ ッ チに設定し ます。 静的経路の設定はすべて、 [edit routing-options] 階層レベルで行われます。
ネクス ト ホ ッ プの指定
静的経路では、 有効なネクス ト ホ ッ プが定義されている必要があ り ます。 通常は、 終宛先方向の隣接ルーターの IP ア ド レスがネク ス ト ホ ッ プ と な り ます。 ポイ ン ト ツーポイ ン ト のイ ン タ フ ェ ースでは、 リ モー ト デバイスの IP ア ド レスではな く 、 出力イ ン タ フ ェース名を指定する こ とができます。 また、 ネク ス トホ ッ プがビ ッ ト バケ ッ ト である場合もあ り ます。 ビ ッ ト バケ ッ ト とは、 パケ ッ トをネ ッ ト ワークから ド ロ ッ プ ( 破棄 ) する こ と を意味し ます。 Junos OS では、キーワー ド reject または discard を指定する こ とによ り、 パケ ッ ト がド ロ ップ ( 破棄 ) されます。 どち らのオプシ ョ ンを使用し ても、 パケ ッ ト はネ ッ ト ワークから破棄されます。 これら 2 つのキーワー ド の違いは、 パケ ッ ト 破棄後のJunos OS 搭載デバイスの動作が異なる点にあ り ます。 ネクス ト ホ ッ プ値にreject を指定し た場合、 システムは ICMP メ ッ セージ ( ネ ッ ト ワーク到達不能メ ッ セージ ) を IP パケ ッ ト の送信元に返し ます。 ネクス ト ホ ッ プに discard を指定し た場合、 システムは ICMP メ ッ セージを返さず、 暗黙的にパケ ッ ト を破棄し ます。
次ページに続 く
第 2 章 - 26 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ネクス ト ホ ッ プの指定 ( 続き )
Junos OS で設定されている静的経路のネクス ト ホ ッ プ IP ア ド レスは、 デフ ォル
ト で、 直接経路を使用し て到達可能なものでなければな り ません。 他ベンダーの
ソ フ ト ウ ェ ア と異な り、 Junos OS はネク ス ト ホ ッ プの再帰的ルッ ク ア ッ プをデ
フ ォル ト では実行し ません。
静的経路は、 ユーザーが明示的に削除するか、 無効になるまでルーテ ィ ングテーブルに保持されます。 静的経路が無効になるケースの例と し て、 ネクス ト ホ ッ プ
に指定された IP ア ド レスが到達不能になった場合が挙げられます。
ルーテ ィ ングの基礎 • 第 2 章 - 27
Junos ルーテ ィ ングの基本
設定例 : 静的ルーテ ィ ング
このス ラ イ ド は、 IPv4 および IPv6 の静的経路の基本設定構文を示し ています。 この設定には、 ルーテ ィ ングポ リ シーを介し て関連ルー ト を OSPF などの動的
ルーテ ィ ングプロ ト コルに再分配する こ と を禁止する no-readvertise オプ
シ ョ ン も含まれています。 静的経路では、 ト ラ フ ィ ッ ク を管理ネ ッ ト ワーク を
通じ て管理イーサネ ッ ト イ ン タ フ ェ ースから送出する no-readvertise オプ
シ ョ ン を使用する こ と をお勧めし ます。
IPv6 に対するサポー ト は、 Junos OS 搭載デバイス間で異な り ます。 サポー ト 情報
の詳細については、 必ずご使用製品の技術マニュアルでご確認 く だ さい。
第 2 章 - 28 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
静的ルーテ ィ ングの監視
このスラ イ ド には、 静的ルーテ ィ ングの適正な動作を検証する基本的な手順を示し ています。
ルーテ ィ ングの基礎 • 第 2 章 - 29
Junos ルーテ ィ ングの基本
間接ネクス ト ホ ッ プの解決
Junos OS では、 デフ ォル ト で、 静的経路のネク ス ト ホ ッ プ IP ア ド レスが、 直接
経路を使用し て到達可能なものでなければな り ません。 他ベンダーのソ フ ト ウ ェ
ア と異な り、 Junos OS はネクス ト ホ ッ プの再帰的ルッ ク ア ッ プをデフ ォル ト で
は実行し ません。
このス ラ イ ド で示すよ う に、 デフ ォル ト のネ ク ス ト ホ ッ プ解決処理の変更は、CLI の resolve オプシ ョ ン を使用し て行えます。 この場合、 間接ネ ク ス ト ホ ッ
プへの経路も必要と な り ます。 間接ネ ク ス ト ホ ッ プは、 他の静的経路または動
的ルーテ ィ ングプロ ト コルを介し て解決する こ とができ ますが、 可能な限り、
解決手段と し て動的ルーテ ィ ングプロ ト コルを使用する こ と をお勧めし ます。 静的経路ではな く 動的ルーテ ィ ングプロ ト コルを使用し て間接ネ ク ス ト ホ ッ プを解決する と、 間接ネ ク ス ト ホ ッ プが使用できな く な っ た場合に、 静的経路が動的に削除されます。
第 2 章 - 30 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
正規ネクス ト ホ ッ プ
qualified-next-hop オプシ ョ ンを使用する と、 同一宛先に対し て存在する複
数の静的経路に、 個別のプ リ フ ァ レンス値 ( 優先度 ) を設定する こ とができま
す。 このスラ イ ド には、 qualified-next-hop オプシ ョ ンの使用例を示し てい
ます。
スラ イ ド の設定例では、 ネク ス ト ホ ッ プ 172.30.25.1 にはデフ ォル ト 静的経路の
プ リ フ ァ レンス値 5 が割当てられ、 正規ネク ス ト ホ ッ プ 172.30.25.5 にはプ リ
フ ァ レンス値 7 が割当てられています。 この場合、 この静的経路を使用するす
べての ト ラ フ ィ ッ クは、 172.30.25.1 が使用不可にならない限り このア ド レスを
ネクス ト ホ ッ プ と し て使用し ます。 172.30.25.1 が使用不可になった場合、 デバ
イスはネクス ト ホ ッ プ 172.30.25.5 を使用し ます。 この機能は、 一部ベンダーで
はフ ローテ ィ ング ・ ス タ テ ィ ッ ク ・ ルー ト と呼ばれています。
ルーテ ィ ングの基礎 • 第 2 章 - 31
Junos ルーテ ィ ングの基本
動的ルーテ ィ ング
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 2 章 - 32 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
動的ルーテ ィ ング
静的ルーテ ィ ングは、 経路数の少ない小規模ネ ッ ト ワークや、 厳重なルーテ ィ ング制御が必要なネ ッ ト ワークに適し ています。 ただ し、 静的ルーテ ィ ングには欠点もあ り、 拡張や変更が頻繁に行われる大規模ネ ッ ト ワーク環境では管理が煩雑かつ困難になる可能性があ り ます。 通常、 大規模ネ ッ ト ワークや定期的に変更が行われるネ ッ ト ワーク では、 動的ルーテ ィ ングの方が有利です。
動的ルーテ ィ ングで設定が必要なのは、 ルーテ ィ ングプロ ト コルに参加するネ ット ワーク イ ン タ フ ェースだけです。 ルーテ ィ ングプロ ト コルを実行するデバイスは、 相互に動的にルーテ ィ ング情報を学習し ます。 1 つのデバイスが特定の通信デバイスのルーテ ィ ング情報を追加 ・ 削除する と、 他のデバイスも自動的にそれぞれの情報を更新し ます。
動的ルーテ ィ ングの利点
動的ルーテ ィ ングは、 静的ルーテ ィ ングが持つ制限や欠点の多 く を補う ものです。 動的ルーテ ィ ングの利点を次に示し ます。
• 管理オーバーヘ ッ ドが低い : デバイスは自動的にルーテ ィ ング情報を学習するため、 手作業による経路定義が不要です。
• ネ ッ ト ワーク可用性に優れいている : ネ ッ ト ワーク障害時、 動的ルーテ ィ ングでは、 ト ラ フ ィ ッ ク を自動的に障害から回避させる ことができます ( 障害への対応能力が高いため、 障害時のネ ッ ト ワーク稼動率が向上し ます )。
• ネ ッ ト ワークのスケーラ ビ リ テ ィ が高い : デバイスは動的に経路を学習し、 ネ ッ ト ワーク規模で 良パスを計算するため、 ネ ッ ト ワーク拡張に対し て柔軟な対応が可能です。
ルーテ ィ ングの基礎 • 第 2 章 - 33
Junos ルーテ ィ ングの基本
動的ルーテ ィ ングプロ ト コルのサマ リー
このス ラ イ ド には、 内部ゲー ト ウ ェ イ プロ ト コル (IGP、 自律システム内ルー
テ ィ ングプロ ト コル ) と外部ゲー ト ウ ェ イ プ ロ ト コル (EGP、 自律システム間
ルーテ ィ ングプロ ト コル ) の概要を示し ています。
第 2 章 - 34 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
OSPF プロ ト コル
OSPF は、 自律システム (AS) 内での使用を前提に開発された リ ン クステー ト 型
ルーテ ィ ングプロ ト コルであ り、 IGP( 内部ゲー ト ウ ェ イプロ ト コル : 自律システ
ム内ルーテ ィ ングプロ ト コル ) です。 リ ン クステー ト 型プロ ト コルは、 コ ンバー
ジ ェ ンス時間が短 く 、 大規模イ ン ターネ ッ ト ワーク をサポー ト し、 距離ベク ト ル型プロ ト コルと比較し てルーテ ィ ング情報の不備に対する耐性を備えています。
OSPF を実行するデバイスは、 ネ ッ ト ワーク リ ン クやリ ン クの状態に関する情報
を AS 内の他のルーターに送信し ます。 この情報は、 リ ン ク ステー ト 広告 (LSA)によ って、 AS 内の全ルーターに確実に転送され、 各ルーターはこれらの情報を
受信し てローカル保存し ます。 これで、 この情報セ ッ ト には、 ネ ッ ト ワーク内の
すべてのリ ン クが格納されます。
リ ン クステー ト 型プロ ト コルは、 LSA のフ ラ ッデ ィ ング、 ネイバーの検出に加
え、 も う 1 つの重要な タ スク と し て、 リ ン ク ステー ト ・ データベースの構築を
行います。 リ ン ク ステー ト ( ト ポロジー ) データベースは、 LSA を一連の記録と
し て格納し ます。 短パスの決定にあたって重要と なる情報は、 ア ドバタ イズ
( 広告 ) ルーターの ID、 接続ネ ッ ト ワーク、 隣接ルーター、 これらのネ ッ ト ワー
ク または隣接ルーターに関連する コ ス ト です。
次ページに続 く
ルーテ ィ ングの基礎 • 第 2 章 - 35
Junos ルーテ ィ ングの基本
OSPF プロ ト コル ( 続き )
OSPF は、 短経路優先 (SPF、 シ ョ ーテス ト ・ パス ・ フ ァース ト ) アルゴ リズム
( ダイ ク ス ト ラ ・ アルゴ リズムと も呼ばれています ) を使用し て、 全宛先への
短経路を計算し ます。 このアルゴ リズムは、 ツ リー構造で各ノ ー ド間の 短パス
を累積加算し、 終的にそのツ リーで 短の経路を 良候補と し て選択する ものです。
OSPF では、 エ リ ア分割を使用し てネ ッ ト ワーク を階層的に管理する こ とによ
り、 スケーラ ビ リ テ ィ を実現し ます。 OSPF のエ リ アはルーターの論理グループ
です。 Junos OS は OSPF のエ リ アからルーテ ィ ング情報を抽出し、 デバイスはそ
の情報をネ ッ ト ワーク全体に転送し ます。 エ リ アの使用によ り、 各ルーターでの
リ ン ク ステー ト ・ データベースを小型化する こ とができます。 各 OSPF ルーター
は、 それぞれが接続されている各エ リ アのリ ン ク ステー ト ・ データベースを個別に保持し ます。 1 つのエ リ ア内のリ ン クステー ト ・ データベースは、 そのエ リ ア
内の全ルーターで同一です。
正確なルーテ ィ ング情報と接続を保持するために、 OSPF にはバッ クボーンエ リ
ア と呼ばれる特別なエ リ アが保持されます。 OSPF のバッ クボーンエ リ アは Area 0.0.0.0 と呼ばれます。 適正な接続を確保するためには、 他の OSPF エ リ アがすべ
てこのバッ クボーンに接続されている必要があ り ます。 OSPF エ リ ア間のデータ
ト ラ フ ィ ッ クは、 必ずバッ クボーンを通過し ます。
第 2 章 - 36 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 目標と ト ポロジー
このスラ イ ド には、 ケースス タデ ィ の目標および使用する ト ポロジーが記載されています。
ルーテ ィ ングの基礎 • 第 2 章 - 37
Junos ルーテ ィ ングの基本
ケースス タデ ィ : OSPF の構築
このスラ イ ド には、ホス ト A に必要な OSPF 設定を示し ています。スラ イ ド には含
まれていませんが、 ホス ト B およびホス ト C も、 隣接関係の確立と、 ルーテ ィ
ング情報の共有のために、 同様の OSPF 設定を必要と し ます。
第 2 章 - 38 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ケースス タデ ィ : OSPF 隣接関係の検証
このスラ イ ド には、 OSPF の隣接関係を確認するために使用する CLI コ マン ド を
示し ています。 スラ イ ド のコ マン ド出力例から、 ホス ト A がホス ト B およびホス
ト C の両方と隣接関係を確立し ている こ とが確認できます。 以下に、 コ マン ド
出力の各フ ィ ールド について説明し ます。
• Address: ネイバーのア ド レス
• Interface: ネイバーに到達するためのイ ン タ フ ェース
• State: ネイバーの状態 (Attempt、 Down、 Exchange、 ExStart、 Full、Init、 Loading、 2 Way のいずれか )
• ID: 隣接ルーターの ID
• Pri: 指名ルーターと なるための隣接ルーターの優先度 ( 指名ルー
ター選出時にブロー ド キャス ト ネ ッ ト ワークにおいてのみ使用 )。 デフ ォル ト では 128 に設定 ( この値が 高優先度と な り、 指名ルー
ター選出の可能性が も高い )。
• Dead: ネイバーが到達不能になるまでの秒数
ルーテ ィ ングの基礎 • 第 2 章 - 39
Junos ルーテ ィ ングの基本
ケースス タデ ィ : OSPF ルー ト の表示
このスラ イ ド には、 ホス ト A が学習し た OSPF ルー ト を表示する show route
protocol ospf コ マン ド を示し ています。 ホス ト A は、 ルーテ ィ ングテーブル
に直接接続のサブネ ッ ト を OSPF ルー ト と し てではな く 、 直接経路と し て格納し
ています。
第 2 章 - 40 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
本章で学習し た内容 :
• ルーテ ィ ングの基本動作と概念
• ルーテ ィ ングテーブルと フ ォワーデ ィ ングテーブル
• 静的ルーテ ィ ングの設定と監視
• 基本 OSPF の設定と監視
ルーテ ィ ングの基礎 • 第 2 章 - 41
Junos ルーテ ィ ングの基本
復習問題 :
1.
2.
3.
4.
5.
第 2 章 - 42 • ルーテ ィ ングの基礎
Junos ルーテ ィ ングの基本
ラボ 1: ルーテ ィ ングの基礎
このスラ イ ド には、 このラボの目標が記載されています。
ルーテ ィ ングの基礎 • 第 2 章 - 43
Junos ルーテ ィ ングの基本
第 2 章 - 44 • ルーテ ィ ングの基礎
Junosルーティングの基本
第 3章 : ルーティングポリシーとファイアウォールフィルタ
Junos ルーテ ィ ングの基本
本章の内容 :
• ルーテ ィ ングポ リ シーおよびフ ァ イアウォールフ ィ ルタのフ レームワーク
• ポ リ シーと フ ァ イアウォールフ ィ ルタの評価
• ルーテ ィ ングポ リ シー使用の典型的なシナ リ オ
• ルーテ ィ ングポ リ シーの設定と適用
• フ ァ イアウォールフ ィ ルタ使用の典型的なシナ リ オ
• フ ァ イアウォールフ ィ ルタの設定と適用
• ユニキャ ス ト ・ リバースパス転送
第 3 章 - 2 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの概要
このスラ イ ド には、 この章で取り上げる ト ピ ッ クが記載されています。 初に、
このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 3
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの概要
ルーテ ィ ングポ リ シーは、 ルーテ ィ ングテーブルから / ルーテ ィ ングテーブルへ
のルーテ ィ ング情報フ ローを制御するために使用する もので、 ルーテ ィ ング情報
がルーテ ィ ングテーブルを出入りする際に適用する こ とができます。
ルーテ ィ ングポ リ シーは、 動的ルーテ ィ ングプロ ト コルを実行するネイバーからの経路を許可 / 拒否する際の判断に使用されるほか、 動的ルーテ ィ ングプロ ト コ
ルを実行するネイバーへの送信経路の決定にも使用されます。 ルーテ ィ ングポ リ
シーを使用し て、 テーブルに経路が追加や削除される際にその経路の属性を変更する こ と もできます。
ルーテ ィ ングポ リ シーは、 フ ォワーデ ィ ングテーブルへのルーテ ィ ング情報フローも制御し ます。 これによ り、 フ ォワーデ ィ ングテーブルに格納する経路を制
御し た り、 これらの経路に関連付けられている属性を制御する こ とができます。
次ページに続 く
第 3 章 - 4 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの概要 ( 続き )
ルーテ ィ ングテーブルへの経路の取込みを制御するポ リ シーはイ ンポー ト ポ リシーと呼ばれます。 イ ンポー ト ポリ シーは、 経路がルーテ ィ ングテーブルに格納
される前に適用されるため、 ルーテ ィ ングテーブルに存在する経路を変更し た
り、 ローカル経路選択プロセスに影響を与えます。
ルーテ ィ ングテーブルからの経路の送信を制御するポ リ シーはエ クスポー ト ポ リシーと呼ばれます。 エ ク スポー ト ポ リ シーは、 ルーテ ィ ングテーブルから動的
ルーテ ィ ングプロ ト コルやフ ォワーデ ィ ングテーブルに経路をエ クスポー ト する際に適用されます。 ルーテ ィ ングテーブルから エ ク スポー ト できるのは有効経路
のみです。 つま り、 エ ク スポー ト ポ リ シーは、 エ ク スポー ト 対象とする有効経路
を選択し た り、 経路の属性を変更する こ とはできますが、 無効経路がエ クスポート されるよ う にする こ とはできません。
例えば、 同一プレ フ ィ ッ クスについて OSPF ルー ト ( プ リ フ ァ レンス値 10) と
BGP ルー ト ( プ リ フ ァ レンス値 170) がある場合、 エ ク スポー ト ポ リ シーは有効
な OSPF ルー ト を送信するかど うかを判定し、 経路の送信時にその属性を変更し
ます。 ただ し、 エ クスポー ト ポ リ シーは、 無効な BGP ルー ト が送信されるよ う
にする こ とはできません。
Junos オペレーテ ィ ングシステム (Junos OS) は、 ルーテ ィ ングテーブルから経路
をエ クスポー ト する際にエ ク スポー ト ポ リ シーを適用するため、 属性変更は、ローカルのルーテ ィ ングテーブルではな く 、 エ ク スポー ト される経路に対し て行われます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 5
Junos ルーテ ィ ングの基本
デフ ォル ト のルーテ ィ ングポリ シー
各プロ ト コルには、 デフ ォル ト のイ ンポー ト ポ リ シーと エ クスポー ト ポ リ シーがあ り ます。 このスラ イ ド に掲載されている表は、 一般的な各種ルーテ ィ ングプロト コルのデフ ォル ト のイ ンポー ト ポ リ シー / エ クスポー ト ポ リ シーをま とめたものです。
BGP のデフ ォル ト ・ イ ンポー ト ポ リ シーでは、 BGP ネイバーからの全経路を許可し、 ルーテ ィ ングテーブルに格納するよ う に規定されています。 BGP のデフ ォル ト ・ エ クスポー ト ポ リ シーでは、 すべての有効 BGP ルー ト をア ド バタ イズ( 広告 ) するよ う に規定されています。 BGP では、 イ ンポー ト ポ リ シー / エ クスポー ト ポ リ シーを、 プロ ト コル、 グループ、 ネイバーの各レベルで設定する こ とができます。
OSPF のデフ ォル ト ・ イ ンポー ト ポ リ シーでは、 すべての OSPF ルー ト を イ ンポー ト するよ う に規定されています。 リ ン ク ステー ト 型プロ ト コルである OSPFは、 リ ン クステー ト 広告 (LSA) のフ ラ ッ デ ィ ングによ り、 各 OSPF エ リ アで一貫し た リ ン クステー ト ・ データベースを維持し ます。 し たがっ て、 ローカルのリ ンクステー ト ・ データベース維持や LSA のフ ラ ッ デ ィ ングに影響を与えるよ う なポ リ シーを適用する こ とはできません。 また、 ルーテ ィ ングテーブルへの内部ルー ト ( エ リ ア間ルー ト を含む ) の格納を禁止するよ う なポ リ シーも適用できません。 ( リ ン ク ステー ト 型プロ ト コルは、 一貫性のある転送決定を行う ために全デバイスが内部ルー ト に関し て同じルーテ ィ ング情報を持つこ と を前提と し ています。 ルーテ ィ ングテーブルへの内部ルー ト の追加を禁止する と、 ルーテ ィ ングループが発生し た り、 特定プレ フ ィ ッ クスが到達不能になるおそれがあ り ます。) ただ し、 外部ルー ト をブロ ッ クするポ リ シーを適用する こ とは可能です。
次ページに続 く
第 3 章 - 6 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
デフ ォル ト のルーテ ィ ングポリ シー ( 続き )
OSPF のデフ ォル ト ・ エ クスポー ト ポ リ シー ( すべて拒否するよ う に規定 ) では、
エ リ ア内の LSA のフ ラ ッデ ィ ングはブロ ッ ク されません。 システムは、 常に
OSPF エ リ ア全域で LSA のフ ラ ッ デ ィ ングを実行し、 ルーテ ィ ングポ リ シーによ
り この動作を制御する こ とはできません。 デフ ォル ト のエ ク スポー ト ポ リ シーで
は、 他の送信元からの OSPF ネイバーに対する追加経路のア ド バタ イズ ( 広告 )をブロ ッ ク し ます。 OSPF を通じ て他の経路をア ドバタ イズ ( 広告 ) する場合は、
明示的なエ クスポー ト ポリ シーを設定する必要があ り ます。
リ ン クステー ト 型プロ ト コルは、 すべての参加デバイスが一貫し た リ ン クステート ・ データベースを持つこ と を前提と し ているため、 イ ンポー ト ポ リ シー / エ ク
スポー ト ポリ シーはプロ ト コルレベルでのみ設定可能です。
RIP のデフ ォル ト ポ リ シーでは、 明示的に設定されているネイバーから学習し た
全経路を イ ンポー ト するよ う に規定されています。 設定内で明示的に定義されて
いないネイバーから学習し た経路は無視されます。 Junos OS は、 デフ ォル ト で、
RIP ネイバーに対する経路 (RIP ルー ト を含む ) のエ ク スポー ト は行いません。 したがって、 RIP ネイバーに対する任意の経路をア ド バタ イズ ( 広告 ) するために
は、 次のコマン ド出力例に示すよ う に、 RIP ルー ト に合致し、 RIP ルー ト を許可
するエ ク スポー ト ポ リ シーを設定する必要があ り ます。
[edit policy-options]user@host# show policy-statement export-rip-routes { term match-rip-routes { from protocol rip; then accept; }}
RIP では、 イ ンポー ト ポ リ シーはプロ ト コルレベルおよびネイバーレベルで適用
できますが、 エ クスポー ト ポ リ シーは次の出力例に示すよ う にグループレベルでのみ適用可能です。
[edit protocols rip]user@host# show group my-rip-group { export export-rip-routes; neighbor ge-0/0/1.0; neighbor se-1/0/0.0;}
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 7
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの構成要素
ルーテ ィ ングポ リ シーは、 順序付けられた条件のグループで構成されます。 ルー
テ ィ ングポリ シーに名前を付けておけば、 設定内のさ まざまな場所でポ リ シーを簡単に識別する こ とができます。
条件は、 Junos OS におけるすべてのポ リ シーの基本構成要素であ り、 基本的に
if...then ステー ト メ ン ト で定義されます。 from ステー ト メ ン ト で指定された一致
基準がすべて真である ( または from ステー ト メ ン ト が指定されていない ) 場合、
then ステー ト メ ン ト で指定されているすべてのアク シ ョ ンが実行されます。 条件
にも名前を付ける こ とができますが、 付けた名前が条件の評価に影響を及ぼすこ
とはな く 、 条件を参照する際に便利な識別子と し て機能し ます。
Junos OS は、 from ステー ト メ ン ト の評価時に、 単一の一致基準に対する引数間
の論理和 (OR) と し て評価を行い、 さ らに複数の一致基準間の論理積 (AND) と し
て評価を行います。 つま り、 from ステー ト メ ン ト が真とみな されるためには、 評
価対象のアイテムで、 所定の各一致基準に対し て少な く と も 1 つの引数が一致
し ている必要があ り ます。
次ページに続 く
第 3 章 - 8 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの構成要素 ( 続き )
ある経路が、 条件の from ステー ト メ ン ト に指定されているすべての基準に一致
する場合、 Junos OS は当該条件の then ステー ト メ ン ト に指定されているすべて
のア クシ ョ ンを実行し ます。 指定アク シ ョ ンに終了ア ク シ ョ ンが含まれている場
合には、 ポリ シー評価は停止し ます。
経路の許可および拒否を制御するアク シ ョ ン (accept、 reject) は、 終了アク
シ ョ ンです。 これらの終了アク シ ョ ンを使用する と、 first-match ポ リ シー評価が
有効にな り ます。 つま り、 Junos OS は指定アク シ ョ ンを即座に実行し、 ポ リ
シーの他の評価は実行し ません。
Junos OS のポリ シー評価では、 各条件を順番に評価し ていきます。 条件の順番
は、 必要に応じ て、 CLI の設定モー ド で insert コ マン ド を使用し て変更する こ
とができます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 9
Junos ルーテ ィ ングの基本
一般的な選択基準
このスラ イ ド には、 from ステー ト メ ン ト で指定できる経路選択基準を示し てい
ます。 経路は、 プレ フ ィ ッ クス、 プロ ト コル、 一部のルーテ ィ ングプロ ト コル属
性、 ネク ス ト ホ ッ プ情報に基づいて選択する こ とができます。 以降のページで
は、 一致基準オプシ ョ ン route-filter および prefix-list について説明し
ます。
ポ リ シーやポ リ シーの条件で from ステー ト メ ン ト を省略し た場合は、 全経路が
then ステー ト メ ン ト で指定されているアク シ ョ ンの対象と な り ます。
一致基準の一覧は、 CLI のイ ン タ ラ ク テ ィ ブヘルプおよび 『Junos Policy Framework Configuration Guide (Junos ポ リ シーフ レームワーク設定ガ イ ド )』でご確認いただけます。
第 3 章 - 10 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
プレ フ ィ ッ クス リ ス ト
経路の選択は、 プレ フ ィ ッ ク スに基づき、 プレ フ ィ ッ ク ス リ ス ト やルー ト フ ィ ルタ を使用し て行う こ とができます。
プレ フ ィ ッ クス リ ス ト は、 [edit policy-options] 階層で設定される名前を
持つリ ス ト です。 プレ フ ィ ッ ク ス リ ス ト の利点の 1 つに、 複数の場所で使用でき
る こ とが挙げられ、 単一ポリ シー内の複数条件または複数ポ リ シーでプレ フ ィ ッ
ク ス リ ス ト を参照する こ とができます。 また、 ルーテ ィ ングポ リ シーやフ ァ イア
ウォールフ ィ ルタ での使用も可能です ( ただ し、 ステー ト フル ・ フ ァ イアウォー
ル規則には使用できません )。 このよ う に、 プレ フ ィ ッ ク ス リ ス ト はざまざまな
場所で再利用できるため、 状況によ っ ては非常に有用です。
プレ フ ィ ッ クス リ ス ト をルーテ ィ ングポ リ シーの from ステー ト メ ン ト で使用す
る場合は、 次の 2 通りの使用方法があ り ます。 リ ス ト を prefix-list ステー ト
メ ン ト で参照する場合は、 経路がリ ス ト 内のいずれかのプレ フ ィ ッ ク ス と完全に一致し た場合にのみ、 経路が合致し た とみな されます。 リ ス ト を
prefix-list-filter ステー ト メ ン ト で参照する場合は、 プレ フ ィ ッ クス リ ス
ト に適用する一致タ イプ (exact、 longer、 orlonger) を指定する こ とができ
ます。 また、 フ ィ ルタが一致し た場合に実行されるア ク シ ョ ンを指定する こ と も
できます。 このア ク シ ョ ンは一致評価の直後に実行され、 then ステー ト メ ン ト は
評価されません。 一致タ イプについては、 この章で詳し く 後述し ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 11
Junos ルーテ ィ ングの基本
ルー ト フ ィ ルタ
ルー ト フ ィ ルタは、 単一のルーテ ィ ングポ リ シーやポ リ シー条件内で設定されるプレ フ ィ ッ クスのリ ス ト です。 プレ フ ィ ッ ク ス リ ス ト とは異な り、 再利用性がな
く 、 設定されるポリ シーや条件内で限定的に使用されます。 ルー ト フ ィ ルタに
は、 プレ フ ィ ッ クス リ ス ト よ り も多 く の一致タ イプがあ り ます。 これらの一致タ
イプについては、 以降のページで詳し く 説明し ます。 prefix-list-filter ス
テー ト メ ン ト の場合と同様に、 route-filter ステー ト メ ン ト に一致し た場合
に実行する任意のアク シ ョ ンを指定する こ とができます。 このアク シ ョ ンは一致
評価の直後に実行され、 then ステー ト メ ン ト は評価されません。
第 3 章 - 12 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
exact
一致タ イプ exact では、 経路が指定プレ フ ィ ッ ク スに完全一致する場合に、
フ ィ ルタ ステー ト メ ン ト に合致する とみな されます。 スラ イ ドの例では、 プレ
フ ィ ッ ク ス 192.168.0.0/16 のみがフ ィ ルタ ステー ト メ ン ト に合致し ます。
orlonger
一致タ イプ orlonger では、 経路が指定プレ フ ィ ッ ク ス範囲内で、 プレ フ ィ ッ
ク ス長が指定と同じかそれよ り長い場合に、 フ ィ ルタ ステー ト メ ン ト に合致するとみな されます。 スラ イ ドの例では、 192.168.0.0/16 は指定プレ フ ィ ッ クスに完
全一致し、 フ ィ ルタ ステー ト メ ン ト に合致し ます。 さ らに、 192.168.0.0/16 のサ
ブセ ッ ト で、 プレ フ ィ ッ クス長が /17 から /32 の範囲内にある全経路も合致す
る こ とにな り ます。 例えば、 192.168.0.0/16、 192.168.65.0/24、
192.168.24.89/32、 192.168.128/18、 192.168.0.0/17 は合致する とみな され、 10.0.0.0/16、 192.167.0.0/17、 192.168.0.0/15、 200.123.45.0/24 は合致する と
みな されません。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 13
Junos ルーテ ィ ングの基本
longer
一致タ イプ longer では、 経路が指定プレ フ ィ ッ ク ス範囲内で、 プレ フ ィ ッ ク
ス長が指定よ り も長い場合に、 フ ィ ルタ ステー ト メ ン ト に合致する とみな されます。 (longer と orlonger の違いは、 orlonger では指定プレ フ ィ ッ ク ス自体
が合致とみな されるのに対し て、 longer では合致とみな されないとい う点で
す。 ) スラ イ ドの例では、 192.168.0.0/16 のサブセ ッ ト で、 プレ フ ィ ッ ク ス長が
/17 から /32 の範囲内の全経路は合致し ますが、 192.168.0.0/16 自体は合致し
ません。
upto
一致タ イプ upto は、 orlonger に類似する タ イプですが、 合致とみなすプレ
フ ィ ッ ク ス長の 長制限が指定される点が異な り ます。 upto では、 経路が指定
プレ フ ィ ッ クスの範囲内で、 プレ フ ィ ッ ク ス長が所定のプレ フ ィ ッ ク ス と同じかそれよ り長 く 、 かつ、 upto で指定し たプレ フ ィ ッ ク ス長と同じかそれよ り短い
範囲内である場合に、 フ ィ ルタ ステー ト メ ン ト に合致する とみな されます。 スラ
イ ドの例では、 192.168.0.0/16 は指定プレ フ ィ ッ クスに完全一致し、 フ ィ ルタ
ステー ト メ ン ト に合致し ます。 また、 192.168.0.0/16 のサブセ ッ ト で、 プレ
フ ィ ッ ク ス長が /17 から /24 の範囲内 ( それぞれの数値を含む ) にある全経路も
合致する こ とにな り ます。 例えば、 192.168.0.0/16、 192.168.65.0/24、
192.168.128.0/18、 192.168.0.0/17 は合致する とみな され、 192.168.0.0/25、
192.168.24.89/32、 10.0.0.0/16、 192.167.0.0/17、 200.123.45/24 は合致する
とみな されません。
第 3 章 - 14 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
prefix-length-range
一致タ イ プ prefix-length-range は、 upto に類似する タ イ プですが、 合
致とみなすプ レ フ ィ ッ ク ス長の 短と 長の制限が指定される点が異な り ます。 prefix-length-range では、 経路が指定プ レ フ ィ ッ ク スの範囲内で、
プ レ フ ィ ッ ク ス長が 初の指定プ レ フ ィ ッ ク ス長と同じかそれよ り長 く 、 かつ、 2 番目の指定プ レ フ ィ ッ ク ス長と同じかそれよ り短い範囲内である場合
に、 フ ィ ルタ ステー ト メ ン ト に合致する とみな されます。 このス ラ イ ド の例で
は、 192.168.0.0/16 のサブセ ッ ト で、 プ レ フ ィ ッ ク ス長が /20 から /24 の範
囲内 ( それぞれの値を含む ) にある全経路がステー ト メ ン ト に合致し ます。 例えば、 192.168.0.0/20、 192.168.128.0/21、 192.168.64.0/24 は合致する とみ
な され、 192.168.0.0/16、 192.168.24.89/32、 10.0.0.0/16、 192.167.0.0/17、
200.123.45/24、 192.168.128.0/18 は合致する とみな されません。
次ページに続 く
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 15
Junos ルーテ ィ ングの基本
through
一致タ イプ through は、 他の一致タ イプ とは大き く 異な り ます。 through で
は、 指定された 2 つのプレ フ ィ ッ クスの間の基数ツ リー構造に直接沿った全プ
レ フ ィ ッ クスを合致とみな し ます。 こ こで、 指定された 2 つ目のプレ フ ィ ッ クス
は、 1 つ目のプレ フ ィ ッ ク スのサブセ ッ ト である必要があ り ます。 この一致タ イ
プでは、 2 つ目の ( よ り特定性の高い ) プレ フ ィ ッ ク ス と、 このプレ フ ィ ッ クス
をサブセ ッ ト と し て持ち 1 つ目のプレ フ ィ ッ クス と同じかよ り特定性の高い全
プレ フ ィ ッ クスが、 ステー ト メ ン ト と合致する とみな されます。 つま り、 この一
致タ イプでは、 2 つ目の ( よ り特定性の高い ) プレ フ ィ ッ ク ス、 それをサブセ ッ
ト とするその次に特定性の高いプレ フ ィ ッ ク ス、 さ らにそれをサブセ ッ ト とするその次に特定性の高いプレ フ ィ ッ ク ス と続き、 1 つ目のプレ フ ィ ッ ク スに到達す
る構成と な り ます。 このスラ イ ドの例では、 192.168.16.0/20 が合致し ます。 192.168.16.0/20 は、 192.168.0.0/19、 192.168.0.0/18、 192.168.0.0/17、
192.168.0.0/16 のサブセ ッ ト であ り、 これらのプレ フ ィ ッ ク スはすべて
192.168.0.0/16 と同じかよ り特定性が高いため、 合致する とみな されます。 その
他のプレ フ ィ ッ クスは合致する とみな されません。
も う 1 つの例と し て、 from route-filter 192.168.0.0/16 through
192.168.232.0/21 ステー ト メ ン ト を見た場合、 192.168.232.0/21、
192.168.224.0/20、 192.168.224.0/19、 192.168.192.0/18、 192.168.128.0/17、
192.168.0.0/16 は、 このステー ト メ ン ト に合致し ます。
第 3 章 - 16 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ルー ト フ ィ ルタの一致タ イプ
このスラ イ ドの図は、 ルー ト フ ィ ルタの各種一致タ イプを説明し たものです。
Junos OS 搭載デバイスでは、 ルー ト フ ィ ルタに異なるマスク長を指定した場合の
一致評価には注意が必要です。 Junos OS は、 ルー ト フ ィ ルタに指定したプレ
フ ィ ッ クスおよびマスク と、 対象経路のプレ フ ィ ッ クスおよびマスクの間に一致するものがあるかど うかを検索し ます。 この検索では、 ルー ト フ ィ ルタで も特定
性の高いエン ト リーから開始され、 も特定性の低いエン ト リーに達するまで続行されます。 一致する経路が見つかる と、 その経路が、 ルー ト フ ィ ルタに指定され
た一致タ イプに照ら し合わせて評価されます。 そこで一致する と、 その経路はルー
ト フ ィ ルタに合致する とみなされます。 プレ フ ィ ッ クスがルー ト フ ィ ルタに合致し
ない場合、 そのプレ フ ィ ッ クスがルー ト フ ィ ルタでよ り特定性の低いエン ト リーと一致する可能性があったと しても評価はフ ェ イルし ます。 ルー ト リ ス ト の使用に
あたっては、 事前に 『Junos Policy Framework Configuration Guide (Junos ポリ シーフ
レームワーク設定ガイ ド )』 の 「How a Route List is Evaluated ( ルー ト リ ス ト の評価
方法 )」 セクシ ョ ンを読まれる こ と をお勧めし ます。
また、 test policy コ マン ド を使用し て、 ルー ト フ ィ ルタおよびプレ フ ィ ッ ク
ス リ ス ト を含むポリ シーの有効性を検証する こ とができます。 ただ し、 その際に
は、 test policy コ マン ドのデフ ォル ト ポ リ シーでは全経路を許可するよ う に
規定されている点に注意する必要があ り ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 17
Junos ルーテ ィ ングの基本
一般的なアクシ ョ ン
一般的なルー ト ポリ シー ・ ア ク シ ョ ンには、 終了ア ク シ ョ ンである accept お
よび reject などがあ り ます。 これらのア ク シ ョ ンが終了アク シ ョ ン と呼ばれる
のは、 ポ リ シー ( またはポ リ シーチ ェーン ) 評価の停止と、 経路の許可 / 拒否を
引き起こすためです。 終了を伴わない同様のア ク シ ョ ン と し て、
default-action accept および default-action reject があ り、 これら
のアク シ ョ ンは、 ポ リ シー評価を停止させず、 デフ ォル ト ポ リ シーの許可 / 拒否
決定よ り も優先されます。
また、 その他の一般的なアク シ ョ ン と し て、 ポ リ シー評価フ ローに影響を及ぼすルーテ ィ ングポ リ シー ・ アク シ ョ ンがあ り ます。 next term、 next policy ア
ク シ ョ ンが指定されている場合、 Junos OS では、 それぞれ次の条件、 ポ リ シー
が評価されます。
BGP コ ミ ュニテ ィ 、 ルー ト プ リ フ ァ レンスなどのプロ ト コル属性を変更するア
ク シ ョ ン も一般的に使用されます。
第 3 章 - 18 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの定義
ポ リ シーの適用は、 2 段階のステ ッ プに分けられます。 初のステ ッ プ と し て、
ルーテ ィ ングポ リ シーを定義し ます。 Junos OS では、 ルーテ ィ ングポ リ シーは
[edit policy-options] 階層で定義されます。 このスラ イ ド では、3 つの明確
な条件を持つポ リ シーの例を示し ています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 19
Junos ルーテ ィ ングの基本
ルーテ ィ ングポリ シーの適用
ルーテ ィ ングプロ ト コルによ っては、 イ ンポー ト ポ リ シーおよびエ ク スポー ト ポリ シーを複数の階層レベルで適用する こ とができます。 例えば、 BGP セ ッ シ ョ ン
のイ ンポー ト ポ リ シーは、 設定階層内のネイバー、 グループ、 プロ ト コルの各階層レベルで設定する こ とができます。
ただ し、 どのプロ ト コルでもすべての階層レベルでのポ リ シー設定が許可されるわけではあ り ません。 例えば、 OSPF は、 全体で一貫性のある リ ン ク ステー ト ・
データベースを保持する必要があるため、 イ ンポー ト ポ リ シーと エ ク スポー ト ポリ シーの設定はプロ ト コル階層レベルでのみ可能です。 ( 同じ理由で、 OSPF のイ
ンポー ト ポリ シーおよびエ ク スポー ト ポ リ シーの変更数が制限されています。 )
Junos OS 搭載デバイスは、 必ず、 も特定性のある イ ンポー ト ポ リ シーおよび
エ クスポー ト ポ リ シーのみを適用し ます。 し たがっ て、 設定の上位階層で設定さ
れたイ ンポー ト ポリ シーやエ クスポー ト ポ リ シーは、 下位階層で独自のポ リ シー設定が行われていない限り、 下位階層にも適用されますが、 下位階層でポ リ シー
を設定し た場合には、 当該ポ リ シーのみが適用されます。
第 3 章 - 20 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ポリ シーのチ ェーン化
ポ リ シーを カスケー ド する こ とによ り、 ポ リ シー処理をチ ェーン化する こ とができます。 ポ リ シーチ ェーンを作成する こ と で、 複雑な経路操作タ スク をモジュー
ル方式で行う こ とができます。
Junos OS では、 ポ リ シーの評価は、 ルーテ ィ ングプロ ト コルに適用される順番
に基づいて、 左から右に行われます。 Junos OS は、 各ポ リ シーの一致基準を
チ ェ ッ ク し、 経路が合致する と、 関連アク シ ョ ンを実行し ます。 初のポ リ シー
に合致する ものがないか、 合致が非終了アク シ ョ ン と関連付けられていた場合、その経路はチ ェ ーン内の次のポ リ シーに照ら し合わせて評価されます。 このパ
ターンは、 チ ェ ーン内の全ポ リ シーに対し て繰り返されます。 ユーザー定義のポ
リ シーチ ェ ーンの評価で終了ア ク シ ョ ンが発生し なかった場合は、 終的に対象プロ ト コルのデフ ォル ト ポ リ シーが適用されます。 デフ ォル ト のルーテ ィ ングポ
リ シーについては、 この章で前述し ている該当項目をご参照 く だ さい。
ポ リ シー処理は、 ブール演算子でポ リ シーをグループ化し ていない限り、 経路が終了アク シ ョ ンに到達し た時点で終了し ます。 AND や OR などの論理演算による
ポ リ シーのグループ化は、 このコースの学習対象外であるため、 こ こ では説明してません。
次ページに続 く
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 21
Junos ルーテ ィ ングの基本
ポリ シーのチ ェーン化 ( 続き )
前述のよ う に、 個々のポ リ シーは複数の条件によ り構成されます。 条件とは、
一致基準と ア ク シ ョ ン を組合せた もので、 数字や記号で名前を付ける こ とができ ます。
Junos OS では、 上から下に順番に条件を リ ス ト ア ッ プ し て、 順次評価し ます。 各条件の一致基準に対し て評価が行われ、 合致する と、 関連ア ク シ ョ ンが実行され
ます。 初の条件で合致し ない場合は、 2 番目の条件の評価が行われ、 2 番目の
条件で合致し ない場合は 3 番目の条件の評価が行われます。 このパターンは、 全
条件に対し て繰り返されます。 後の条件でも合致し ない場合、 Junos OS は次の
適用ポ リ シーをチ ェ ッ ク し、 終的にはプロ ト コルのデフ ォル ト ポ リ シーを適用し ます。
条件内で合致し た場合には、 Junos OS が該当するアク シ ョ ンを実行し ます。 その
ア ク シ ョ ンが終了アク シ ョ ンである場合は、 条件の処理とポ リ シーの適用は停止されますが、 それ以外の場合は処理が続行されます。
Junos OS では、 ポ リ シー評価フ ローに影響を及ぼすフ ロー制御アク シ ョ ン もサ
ポー ト し ています。 next term、 next policy ア クシ ョ ンが指定されている場
合、 Junos OS では、 それぞれ次の条件、 ポ リ シーが評価されます。
第 3 章 - 22 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : ルーテ ィ ングポリ シー
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 23
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 目標と ト ポロジー
このスラ イ ド には、 ルーテ ィ ングポ リ シーに関するケースス タデ ィ の目標と ト ポロジーが記載されています。 こ こでは、 ルーテ ィ ングポ リ シーを使用し て、 R1のデフ ォル ト 静的経路を OSPF に対し てア ドバタ イズ ( 広告 ) し ます。
第 3 章 - 24 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : ポリ シーの定義
このスラ イ ド では、 このケースス タデ ィ の目標を達成するためのルーテ ィ ングポ
リ シー設定例を示し ています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 25
Junos ルーテ ィ ングの基本
ケースス タデ ィ : ポリ シーの適用
このスラ イ ド では、 前スラ イ ド で定義し たルーテ ィ ングポ リ シーの適用について示し ています。 スラ イ ド に記載されているよ う に、 ルーテ ィ ングポ リ シーが適用
され、 commit 発行によ り新しい設定が有効になる と、 R1 は OSPF エ リ ア 0 内
の他ルーターに対し て、 デフ ォル ト 経路を外部 LSA と し てア ドバタ イズ ( 広告 )し ます。 次のページでは、 この広告の検証について説明し ます。
第 3 章 - 26 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 結果の検証
このスラ イ ド では、 ルーテ ィ ングポ リ シーが想定通り に機能し ている こ と を確認するための検証手順例を示し ています。 CLI の show route protocol ospf
exact 0/0 コ マン ド を使用し て、 R4 がデフ ォル ト の外部 OSPF ルー ト を自身の
ルーテ ィ ングテーブルに追加し たこ とが確認できます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 27
Junos ルーテ ィ ングの基本
ラボ 2: ルーテ ィ ングポリ シー
このスラ イ ド には、 このラボの目標が記載されています。
第 3 章 - 28 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
フ ァ イアウォールフ ィ ルタの概要
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 29
Junos ルーテ ィ ングの基本
フ ァ イアウォールフ ィ ルタ
フ ァ イアウォールフ ィ ルタは、 他ベンダーで通常 「アクセス制御リ ス ト (ACL)」と呼ばれている ものです。 Junos OS のフ ァ イアウォールフ ィ ルタはステー ト レ
スであ り、 主に Junos OS 搭載デバイスの通過 ト ラ フ ィ ッ ク を制御するために使
用されます。
ステー ト レスなフ ァ イアウォールフ ィ ルタは、 各パケ ッ ト を個別に検証し ます。 接続状態を追跡し て、 フ ロー内の全パケ ッ ト に対するアク シ ョ ンを指定できるステー ト フルなフ ァ イアウォールと異な り、 ステー ト レスなフ ァ イアウォールフ ィルタは接続の概念を持ちません。 そのため、 フ ァ イアウォールフ ィ ルタ を記述す
る際には、 ステー ト レスである こ と を念頭に置 く 必要があ り ます。 システムは接
続状態の情報を保持し ないため、 許可する各接続について、 双方向の ト ラ フ ィ ックに対する明示的な許可が必要です。 これとは対照的に、 ステー ト フルなフ ァ イ
アウォールフ ィ ルタは、 接続初期化時に許可を与えるだけで、 その接続における双方向の通信が自動的に許可されます。
フ ァ イアウォールフ ィ ルタ を使用する こ とによ り、 ネ ッ ト ワーク を通過する特定タ イプの ト ラ フ ィ ッ ク を制限する こ とができます。 また、 フ ァ イアウォールフ ィ
ルタ を使用し て監視タ スク を実行する こ とによ り、 ネ ッ ト ワーク環境で効果的なセキュ リ テ ィ 戦略を構築する こ とができます。
第 3 章 - 30 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
フ ァ イアウォールフ ィ ルタの構成要素
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタは異なる目的を達成するためのもので、 異なる一致基準やア ク シ ョ ン基準を持ちますが、 構造は同じ です。
ルーテ ィ ングポ リ シー同様、 フ ァ イアウォールの基本構成要素は条件です。 1 つ
の条件には、 0 以上の一致基準と 1 つ以上のアク シ ョ ンが含まれます。 すべての
一致基準が真である場合、 Junos OS は条件に指定されたアク シ ョ ンを実行し ま
す。 一致基準が指定されていない場合は、 すべての ト ラ フ ィ ッ クがフ ァ イア
ウォールフ ィ ルタの条件に合致する とみな されて、 指定ア ク シ ョ ン実行の対象とな り ます。 フ ィ ルタ を使用し て複数の条件をグループ化し、 条件が評価される順
序を設定する こ とができます。 Junos OS のフ ァ イアウォールフ ィ ルタには 1 つ以
上の条件が必要です。
フ ァ イアウォールフ ィ ルタは、 常にデフ ォル ト 条件を含みます。 このデフ ォル ト条件は、 ユーザー定義の条件で明示的に許可されない全パケ ッ ト を破棄し ます。 フ ァ イアウォールフ ィ ルタ を実装する際には、 条件の順序の重要性と、 評価結果に影響を与える可能性がある こ とに注意する必要があ り ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 31
Junos ルーテ ィ ングの基本
一般的な一致基準
パケ ッ ト の一致基準は、 フ ァ イアウォールフ ィ ルタの条件内の from 句で指定します。 多 く のヘ ッ ダーフ ィ ールドが、 一致基準と し て使用可能です。 ただ し、フ ァ イアウォールフ ィ ルタの処理方法によ っ ては、 すべてのヘ ッ ダーフ ィ ールドが使用できる とは限り ません。
ヘ ッ ダーフ ィ ールド を指定する と、 Junos OS はヘ ッ ダー内でそのフ ィ ールドが存在する位置で合致する ものを検索し ます。 ただ し、 そのヘ ッ ダーフ ィ ール ドが所定のコ ンテキス ト で意味をなすかど うかまでは確認されません。 例えば、 TCPヘ ッ ダーでの ACK フ ラグ検索を指定し た場合、 Junos OS はフ ラグ位置でビ ッ トが立っ ているかど うかはチ ェ ッ ク し ますが、 パケ ッ ト が実際に TCP パケ ッ ト であるかど うかはチ ェ ッ ク し ません。 そのため、 フ ィ ルタ を記述する際にはこの点について考慮する必要があ り ます。 この例の場合は、 パケ ッ ト が TCP パケ ッ ト であ り、 さ らに、 TCP で ACK フ ラグが立っている こ と をチ ェ ッ クするための記述が必要です。
フ ァ イアウォールフ ィ ルタがステー ト レスである こ とは、 フ ラグ メ ン ト 化し たパケ ッ ト の処理で使用できる情報にも影響を与えます。 ステー ト レスなフ ァ イアウォールフ ィ ルタ でのフ ラグ メ ン ト 化パケ ッ ト の処理は、 ステー ト フルな環境での場合よ り も複雑です。 初のフ ラグ メ ン ト 化パケ ッ ト はすべてのレ イヤー 4ヘ ッ ダーを持ちますが、 以降のフ ラグ メ ン ト はこれらのヘ ッ ダーを持ちません。 また、 フ ラグ メ ン ト 化パケ ッ ト でレ イヤー 4 ヘ ッ ダーをチ ェ ッ クする こ とは、予期せぬ結果をまね く おそれがあ り ます。 前述し たよ う に、 Junos OS はレ イヤー4 ヘ ッ ダーの評価を試みますが、 2 番目以降のフ ラグ メ ン ト はこれらのヘ ッ ダーを持たないため、 合致の予測ができな く な り ます。
次ページに続 く
第 3 章 - 32 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
一致基準の分類
一致基準は、 基本的に、 数値範囲、 ア ド レス、 ビ ッ ト フ ィ ールドの 3 つに分類
されます。 通常、 特定分類内の各一致基準には同じ評価オプシ ョ ンを使用する こ
とができます。 一致基準と し て機能する複数のテキス ト シ ノ ニムもあ り ます。 テキス ト シ ノ ニムの一致基準は、 1 つ以上の一致基準に相当し ます。 ( 例えば、
tcp-established とい う一致基準は、 tcp-flag ack および tcp-flag rst
とい う一致基準のテキス ト シ ノ ニムです。 )
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 33
Junos ルーテ ィ ングの基本
一般的なアクシ ョ ン
ア ク シ ョ ンは、 条件の then 句で指定し ます。 フ ァ イアウォールフ ィ ルタの一般的なアク シ ョ ンには、 終了ア ク シ ョ ンやアク シ ョ ン修飾子が挙げられます。
終了アク シ ョ ンでは、 フ ァ イアウォールフ ィ ルタの評価が停止されます。 accept アク シ ョ ンでは、 パケ ッ ト が許可され、 パケ ッ ト の入出力処理が続行されます。 discard ア ク シ ョ ンでは、 イ ン ターネ ッ ト 制御メ ッ セージプロ ト コル(ICMP) メ ッ セージが送信元ア ド レスに返される こ と な く 、 パケ ッ ト が暗黙的に破棄されます。 reject アク シ ョ ンでは、 パケ ッ ト が破棄され、 メ ッ セージが送信元ア ド レスに返されます。 システムによ り送信されるデフ ォル ト メ ッ セージは、 宛先到達不能タ イプで管理上禁止を示す メ ッ セージ コー ド を持つ ICMP メ ッセージです。 reject ア クシ ョ ンには、 デフ ォル ト 以外のメ ッ セージ コー ド を持つ ICMP メ ッ セージや TCP リ セ ッ ト メ ッ セージが送信されるよ う にするための引数を指定できます。 tcp-reset オプシ ョ ンを指定し た場合、 システムは TCP パケ ッ ト に TCP リ セ ッ ト で応答し ますが、 非 TCP パケ ッ ト にはメ ッ セージを返しません。
終了アク シ ョ ンやフ ロー制御ア ク シ ョ ンには、 1 つ以上のアク シ ョ ン修飾子を指定する こ とができます。 ア クシ ョ ン修飾子を指定し て、 終了アク シ ョ ンを指定しない場合、 システムは暗黙的に accept アクシ ョ ンを適用し ます。 パケ ッ ト 情報を記録するには、 count、 log、 syslog の各ア ク シ ョ ン修飾子を使用し ます。 ク ラス ・ オブ ・ サービス (CoS) 情報を指定するには、 forwarding-class および loss-priority アクシ ョ ン識別子を使用し ます。 この章で後述する ト ラフ ィ ッ ク ・ ポ リサーを起動するには、 policer ア ク シ ョ ン識別子を使用し ます
フ ァ イアウォールフ ィ ルタ を適用し、 いずれかの条件によ り ト ラ フ ィ ッ ク を明示的に許可し ない場合には、 デフ ォル ト で ト ラ フ ィ ッ クが破棄されるため、 注意する必要があ り ます。
第 3 章 - 34 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
フ ァ イアウォールフ ィ ルタの定義
フ ァ イアウォールフ ィ ルタの実装は、 2 段階のステ ッ プに分けられます。 初の
ステ ッ プ と し て、 フ ァ イアウォールフ ィ ルタ を定義し ます。 Junos OS では、 フ ァ
イアウォールフ ィ ルタは [edit firewall] 階層で定義し ます。 Junos OS では
複数のプロ ト コルフ ァ ミ リーをサポー ト し ているため、 設定の際には適切なフ ァミ リー階層まで移動する必要があ り ます。 スラ イ ド の例では、 IPv4 のフ ァ イア
ウォールフ ィ ルタ を [edit firewall family inet] 階層レベルで定義し て
います。 Junos OS では、 各種プロ ト コルフ ァ ミ リーをサポー ト し ています。 詳細
については、 ご使用製品のマニュアルをご参照 く だ さい。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 35
Junos ルーテ ィ ングの基本
イ ン タ フ ェースにおける ト ラ フ ィ ッ クのフ ィ ルタ リ ング
フ ァ イアウォールフ ィ ルタ を、 複数箇所での ト ラ フ ィ ッ クのフ ィ ルタ リ ング目的で使用する こ とは可能ですが、 フ ァ イアウォールフ ィ ルタの本来の目的は、 イ ンタ フ ェースに到達する / イ ン タ フ ェースから送出される ト ラ フ ィ ッ クのフ ィ ルタリ ングであ り、 すべてのイ ン タ フ ェースに適用可能です。 また、 フ ァ イアウォールフ ィ ルタ を論理イ ン タ フ ェ ース lo0 に適用し て、 システムを宛先とする ト ラフ ィ ッ ク を フ ィ ルタ リ ングする こ と も できます。
イン タ フ ェースへの IPv4 フ ァ イアウォールフ ィ ルタの適用は、 [edit interfaces interface-name unit unit-number family inet filter]階層で行います。 単一の入力フ ィ ルタまたは出力フ ィ ルタ を適用する場合は、 設定オプシ ョ ン input filter-name または output filter-name を使用し ます。 同一のイン タ フ ェースに対し て入力フ ィ ルタ と出力フ ィ ルタの両方を指定する こと も可能です。 ただし、 IPv6 フ ァ イアウォールフ ィ ルタ を IPv4 イン タ フ ェースに対して指定する こ とはできません。 つま り、 フ ァ イアウォールフ ィ ルタのプロ ト コルフ ァ ミ リーと イン タ フ ェースは一致している必要があり ます。
[edit interfaces interface-name unit unit-number family inet filter]階層で設定オプシ ョ ンinput-listまたはoutput-listを使用し て複数のフ ィ ルタ を適用し、 ト ラ フ ィ ッ ク を フ ィ ルタ リ ングする こ と もできます。 これらのオプシ ョ ンを使用する場合には、 ポ リ シーチ ェーンを作成し ます。 そ う する と、 Junos OS が、 他のポリ シーチ ェ ーン と同様の方法でパケ ッ ト を フ ィ ルタリ ングし ます。
リ モー ト ロケーシ ョ ンから設定変更を行う 場合、 変更後の設定を有効にする際には、 必ず commit confirmed オプシ ョ ンを使用し て く だ さい。 フ ァ イアウォールフ ィ ルタ設定のコ ミ ッ ト を必ず実行するよ う に習慣づけておけば、 障害対応で夜中にあわててオフ ィ スに戻るよ う な事態を回避する こ とができます。
第 3 章 - 36 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
理解の確認 : パー ト 1
このスラ イ ドは、 フ ァ イアウォールフ ィ ルタ適用に関する理解を確認する ものです。 ge-0/0/1.0 イ ン タ フ ェースでのイ ンバウン ドのハイパーテキス ト 転送プロ ト
コル (HTTP) ト ラ フ ィ ッ ク を フ ィ ルタ リ ングするために、 入力フ ィ ルタ と し て
ge-0/0/1.0 イ ン タ フ ェ ースに適用する適切なフ ィ ルタ を設定し てみま し ょ う 。 この要件を満足する設定例については、 次のページで説明し ます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 37
Junos ルーテ ィ ングの基本
理解の確認 : パー ト 2
このスラ イ ド に示す設定例と条件 allow-web-traffic によ り、 Junos OS は
172.27.102.100/32 を宛先とする イ ンバウン ドの HTTP ト ラ フ ィ ッ ク をのみ許可
し ます。 また、 条件 deny-other-web-traffic によ り、 他の HTTP ト ラ
フ ィ ッ クはすべて拒否されます。 ただ し、 明示的に許可されない ト ラ フ ィ ッ クに
対するデフ ォル ト アク シ ョ ンは discard であ り、 こ こ での拒否は厳密には必要
あ り ません。
第 3 章 - 38 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ローカル ト ラ フ ィ ッ クのフ ィ ルタ リ ング : パー ト 1
ト ラ ンジ ッ ト ・ フ ァ イアウォールフ ィ ルタは、 Junos OS 搭載デバイス上のイ ン
タ フ ェース間で送られるパケ ッ ト を対象とする フ ィ ルタ であ り、 システムを不正
ア クセスやその他の脅威から保護し ます。 さ らに、 不正管理アクセスや他の有害
な影響から システムを保護するための方策と し て、 ルーテ ィ ングエンジン (RE)保護を目的と し てフ ァ イアウォールフ ィ ルタ を適用し ます。 パケ ッ ト 転送エンジ
ン (PFE) は、 ト ラ フ ィ ッ クが制御プレーンに到達する前にこれらのフ ィ ルタ を適
用し ます。
Junos OS では、 lo0 フ ァ イアウォールフ ィ ルタにホールを自動的には作成し ませ
ん。 し たがって、 管理 ト ラ フ ィ ッ クだけでな く 、 ルーテ ィ ングプロ ト コルや他の
制御 ト ラ フ ィ ッ クにも RE に到達するための許可が必要です。 暗黙的な破棄 ( 定
義された条件によ り明示的に許可されない全パケ ッ ト を破棄する こ と ) は、 ネ ッ
ト ワークに望ま し く ない影響を及ぼすこ とが知られています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 39
Junos ルーテ ィ ングの基本
ローカル ト ラ フ ィ ッ クのフ ィ ルタ リ ング : パー ト 2
このスラ イ ド には、 ローカルシステムへの管理アクセスを制御する基本的なフ ァイアウォールフ ィ ルタ limit-ssh-access を示し ています。 このフ ィ ルタは、lo0 イ ン タ フ ェ ースに入力フ ィ ルタ と し て適用され、 ルーテ ィ ングエンジンを宛先とするすべての受信 ト ラ フ ィ ッ ク を評価し ます。
limit-ssh-access フ ィ ルタには、3 つの明確な条件が定義されています。 初の条件 ssh-accept は、 trusted とい う名前の定義済みプレ フ ィ ッ クス リ ス トからの SSH ト ラ フ ィ ッ ク を許可し ます。 プレ フ ィ ッ クス リ ス ト trusted の内容を次に示し ます。
[edit policy-options]user@host# show prefix-list trusted { 172.27.102.0/24;}
2 番目の条件 ssh-reject は、 プレ フ ィ ッ ク ス リ ス ト trusted 以外からの他の SSH ト ラ フ ィ ッ ク をすべて破棄し ます。 3 番目の条件は、 その他の全 ト ラフ ィ ッ ク を許可し ます。 このフ ァ イアウォールフ ィ ルタ では、 制御プレーンを宛先とするすべての管理 ト ラ フ ィ ッ ク と プロ ト コル ト ラ フ ィ ッ ク を対象とする必要があ り ます。 スラ イ ドの例では、 条件 else-accept によ り この要件が達成されます。
条件 else-accept がフ ィ ルタに含まれない場合、 他の条件で明示的に許可されない制御 ト ラ フ ィ ッ クおよび管理 ト ラ フ ィ ッ クはすべて破棄される こ とにな ります。 この動作は、 OSPF や BGP などの動的ルーテ ィ ングプロ ト コルや、 SNMPや NTP などの管理プロ ト コルを使用する環境において、 顕著な問題を引き起こすおそれがあ り ます。
第 3 章 - 40 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ポリ シング
フ ァ イアウォールフ ィ ルタは、 パケ ッ ト の破棄や許可に加え、 ト ラ フ ィ ッ クのポリ シング ( レー ト 制限 ) も実行し ます。 レー ト 制限のポリ シングによ り、 イン タ
フ ェースを通過する ト ラ フ ィ ッ ク量を制限する こ とができます。 レー ト 制限のポリ
シングを実行するフ ァ イアウォールフ ィ ルタでも、 ア ド レス、 プロ ト コル、 ポート など通常の一致基準を使用して、 イン タ フ ェース上の ト ラ フ ィ ッ クのう ちレート 制限の対象となるものを判定し ます。 通常と同様に、 from 句がない場合は、 そ
れまでのフ ァ イアウォールフ ィ ルタの条件に一致しなかった全パケッ ト が合致する とみなされます。 フ ァ イアウォールフ ィ ルタの 初の条件に from 句がな く 、 ポ
リサーが指定されている場合には、 イン タ フ ェース ( フ ィ ルタの適用によって入
力または出力 ) 上の全パケ ッ ト がレー ト 制限ポリ シングの対象とな り ます。
Junos OS では、 特定イ ン タ フ ェ ースの特定論理ユニ ッ ト にある特定プロ ト コル
フ ァ ミ リーに直接適用する イ ン タ フ ェ ースベースのポ リサーにも対応し ています。 このよ う なポ リサーは、 レ イヤー 2 VPN ト ラ フ ィ ッ クや MPLS および IPv6フ ァ ミ リーを対象と し、 フ ァ イアウォールフ ィ ルタ を呼び出すこ と な く 動作し ます。 サポー ト されるポ リサーは、 Junos OS 搭載デバイス間で異なる可能性があ り
ます。 サポー ト 情報については、 ご使用製品のマニュアルをご確認 く だ さい。
ポ リ シングは ト ーク ンバケ ッ ト ・ アルゴ リズムを採用し てお り、 平均帯域幅に対し て制限を適用する一方で、 指定し た 大値までのバース ト を許可し ます。 ト ラ
フ ィ ッ クには、 帯域幅制限 ( 平均で許可される毎秒ビ ッ ト 数 )、 大バース ト サ
イズ ( 指定帯域幅制限を超過するデータのバース ト に対し て許可される合計バイ
ト 数 ) とい う 2 種類のレー ト 制限を設定する こ とができます。
次ページに続 く
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 41
Junos ルーテ ィ ングの基本
ポリ シング ( 続き )
大バース ト サイズの判定で推奨される手法は、 イン タ フ ェース速度に当該帯域幅で許可するバース ト 時間を乗算する方法です。 例と して、 フ ァ ス ト イーサネ ッ
ト ・ リ ン クで 5 ミ リ秒 ( 妥当値 ) のバース ト を許可する場合の計算を次に示し ま
す。 バース ト サイズ = 帯域幅 ( 毎秒 100,000,000 ビ ッ ト ) ~ 許可するバース ト 時間 (5/1000 秒 )
この計算によ り、 バース ト サイズは 500,000 ビ ッ ト と な り ます。 この数値を 8で除算し てバイ ト 数に変換する と、 バース ト サイズは 62500 バイ ト と な り ます。
帯域幅は、 bandwidth-limit ステー ト メ ン ト にビ ッ ト 数で指定し ます。 大バー
ス ト サイズは、 burst-size-limit ステー ト メ ン ト にバイ ト 数で指定し ます。
then 句にポリサーが指定されている条件に一致するパケ ッ ト がある と、 初に、
そのパケ ッ ト がポリサーを超過し ているかど うかがチ ェ ッ ク されます。 パケ ッ ト
がポ リサーを超過し ていない場合は、 ポ リサーが設定されていないものと し て、フ ァ イアウォールフ ィ ルタの then 句で指定されたアク シ ョ ンが実行されます。 パケ ッ ト がポ リサーを超過し ている場合は、 ポ リサーの then 句で指定されたア
ク シ ョ ンが実行されます。 ポ リサーの then 句によ りパケ ッ ト が破棄されない場
合は、 フ ァ イアウォールフ ィ ルタの then 句で指定された残りのアク シ ョ ンが実
行されます。 指定のレー ト 制限を超過し てお り、 ポ リサーの then 句およびフ ァ
イアウォールフ ィ ルタの then 句の両方がア ク シ ョ ン修飾子を定義し ている場合
は、 ポ リサーのア クシ ョ ン修飾子が使用されます。
例えば、 次に示すフ ァ イアウォールフ ィ ルタは、 バース ト サイズ 62500 バイ ト 、
10 Mbps を超過するすべての TCP ト ラ フ ィ ッ クのポ リ シングを行います。 これら
の制限を超過する ト ラ フ ィ ッ クはベス ト エ フ ォー ト 型フ ォワーデ ィ ングク ラスに分類され、 制限範囲内の ト ラ フ ィ ッ クは相対的優先転送 (AF) フ ォワーデ ィ ング
ク ラスに分類されます。
firewall { policer class-example { if-exceeding { bandwidth-limit 10m; burst-size-limit 62500; } then forwarding-class best-effort; } family inet { filter example1 { term policer-example { from { protocol tcp; } then { policer class-example; forwarding-class assured-forwarding; accept; } } } }}
第 3 章 - 42 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ポリ シングの例
このスラ イ ド に示す例では、 指定平均帯域幅 400 kbps および指定 大バース ト
サイズ制限 100 KB を超過する ト ラ フ ィ ッ ク を破棄するポ リサー p1 を定義し て
います。 ポ リサーの定義後は、 どのフ ァ イアウォールフ ィ ルタから でも呼び出す
こ とができます。 Junos OS 搭載デバイスは、 デフ ォル ト で、 ポ リサー呼び出し を
個別に処理し、 ポリサーを参照する条件の統計情報も個別に追跡し ます。 ポ リ
サーの定義は、 任意のフ ァ イアウォールフ ィ ルタの条件で参照でき るパラ メ ータセ ッ ト の定義と し て と ら える こ とができます。
ポ リサーはフ ィ ルタ rate-limit-subnet で呼び出され、 指定サブネ ッ ト から
の ト ラ フ ィ ッ クのポ リ シングを行います。 指定サブネ ッ ト からの ト ラ フ ィ ッ クが
制限を超過する と、 その ト ラ フ ィ ッ クは破棄されます。 ト ラ フ ィ ッ クが制限を超
過し ない場合、 その ト ラ フ ィ ッ クは許可されます。
千、 百万、 十億バイ ト およびビ ッ ト には、 それぞれ k、 m、 g の略号を使用する
こ とができます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 43
Junos ルーテ ィ ングの基本
ケースス タデ ィ : フ ァ イアウォールフ ィ ルタ
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 3 章 - 44 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 目標と ト ポロジー
このスラ イ ド には、 フ ァ イアウォールフ ィ ルタに関するケースス タデ ィ の目標とト ポロジーが記載されています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 45
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 出力フ ィ ルタの定義
このスラ イ ド には、 ケースス タデ ィ の目標の一部を達成する出力フ ィ ルタの例を示し ています。
第 3 章 - 46 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 入力フ ィ ルタの定義
このスラ イ ド には、 ケースス タデ ィ の目標の残り を達成する入力フ ィ ルタの例を示し ています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 47
Junos ルーテ ィ ングの基本
ケースス タデ ィ : フ ィ ルタの適用
このスラ イ ド では、 フ ァ イアウォールフ ィ ルタの適用について説明し ています。
第 3 章 - 48 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ケースス タデ ィ : 結果の検証
このスラ イ ド では、 フ ィ ルタの動作検証に使用される show firewall コ マンド の一般的な使用例を示し ています。 このケースス タデ ィ の設定では、 ア ク シ ョン修飾子 count および log を使用し ています。
カウン ターは累積パケ ッ ト 数およびバイ ト 数を示し ます。 カウン ターはフ ィ ルタご とに管理されるため、 複数のフ ィ ルタ で同一名のカウン ターが定義された場合でも、 それぞれのカウン ターの統計情報は独立し て管理されます。 デフ ォル トで、 1 つのフ ィ ルタの各カウン ターについて保持される統計情報は 1 セ ッ ト のみであるため、 複数イ ン タ フ ェースに同一フ ィ ルタが適用されている場合には、 そのフ ィ ルタ を使用するすべてのイ ン タ フ ェースからの全パケ ッ ト が同一のカウンターで数えられます。 カウン ターの統計情報にアクセスするには、 スラ イ ド に示すよ う に、 コ マン ド を使用し ます。 カウン ターの統計情報を リ セ ッ ト するには、clear firewall filter filter コ マン ド を使用し ます。 また、 counter counter 引数を指定し て、 単一カウン ターの統計情報のみを リ セ ッ ト する こ とも できます。
各フ ィ ルタについて、 イ ン タ フ ェース別のカウン ター統計情報を収集するよ う に設定する こ と も できます。 このよ う な設定を行った場合、 フ ィ ルタが適用される各論理イ ン タ フ ェ ースご と、 方向ご とに、 カウン ターが新規作成されます。
スラ イ ド に示すよ う に、 パケ ッ ト のログを表示するには、 CLI の show firewall log コ マン ド を使用し ます。 RE がパケ ッ ト を処理する場合には、フ ィ ルタ名または空白が表示されます。 それ以外の場合は、 パケ ッ ト が PFE により処理されたこ と を示すために、 フ ィ ルタ名ではな く ダ ッ シュ記号 (-) またはpfe が表示されます。 フ ァ イアウォールログの内容は、 システム再起動時にク リア されます。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 49
Junos ルーテ ィ ングの基本
ユニキャス ト ・ リバースパス転送のチ ェ ッ ク
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 3 章 - 50 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
自動アンチスプーフ ィ ング ・ フ ィ ルタ
ユニキャス ト ・ リバースパス転送 (RPF) のチ ェ ッ クでは、 ト ラ フ ィ ッ ク受信が想定されるシステムで、 イン タ フ ェースでのパケ ッ ト 受信を検証し ます。 システムにパケッ ト 送信元への有効経路があり、 パケッ ト 送信元への有効経路のネクス ト ホ ップであるイン タ フ ェースでパケ ッ ト を受信した場合に、 デフ ォル ト で、 そのシステムは所定イン タ フ ェースでの ト ラ フ ィ ッ ク受信を想定する こ とにな り ます。
例えば、 Junos OS 搭載デバイスが送信元ア ド レス 10.10.10.10 のパケ ッ ト を イ ンタ フ ェース ge-0/0/1.0 で受信し、 そのイ ン タ フ ェースでユニキャ ス ト RPFチ ェ ッ ク実行が設定されている場合、 ルーテ ィ ングテーブルで 10.10.10.10 への
良経路がチ ェ ッ ク されます。 このルー ト のルッ ク ア ッ プによ り、 ネク ス ト ホ ップが ge-0/0/1.0 と なる 10.10.10.0/24 への経路が返された場合、 パケ ッ ト はユニキャス ト RPF チ ェ ッ クに合格し、 許可されます。 同一イ ン タ フ ェ ースに対して、 ユニキャス ト RPF と フ ァ イアウォールフ ィ ルタの両方を組合わせて使用する こ と も可能です。
Junos OS は、 PFE に追加情報をダウンロー ド する こ とによ っ てユニキャス ト RPFチ ェ ッ ク を実行するため、 このチ ェ ッ ク機能を有効にする と、 PFE のメ モ リ使用量は増加し ます。
Strict モー ド と Loose モー ド
Junos OS 搭載デバイスは、 デフ ォル ト で、 strict モー ドの RPF チ ェ ッ ク を実行します。 その代替と し て、 ルーテ ィ ングテーブルに送信元への有効経路が存在するこ と だけを確認する loose モー ドの RPF チ ェ ッ ク を実行するよ う に設定する こ とも できます。 ただ し、 デフ ォル ト 経路を持つネ ッ ト ワーク では、 各 IP ア ド レスに必ず有効経路が存在するため、 loose モー ドのチ ェ ッ ク を実行し ても意味があり ません。 一般的には、 デフ ォル ト の strict モー ドの方が有用です。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 51
Junos ルーテ ィ ングの基本
有効パス と実行可能パス
Junos OS 搭載デバイスが RPF チ ェ ッ ク を行う 際は、 デフ ォル ト で、 所定の宛先へ
の有効経路のみを対象と し ます。 完全対称のルーテ ィ ングが存在するネ ッ ト ワー
ク では、 有効経路のみを対象とする このデフ ォル ト 設定で十分に対応できますが、 非対称ルーテ ィ ングが存在する ( 転送パス と リバースパスが異なる ) 可能性
がある場合には、 この動作によ り正常 ト ラ フ ィ ッ クが破棄されて し ま う おそれがあ り ます。 このよ う な問題を低減するために、 RPF チ ェ ッ ク時には宛先までの実
行可能経路も対象とするよ う に要求する こ とができます。 このモー ド では、 指定
された宛先プレ フ ィ ッ クスまでの非有効経路も含め、 受信する全経路が対象と なり ます。 非対称ルーテ ィ ングが存在する可能性があるネ ッ ト ワーク では、 必ずこ
のオプシ ョ ンを指定し て く だ さい。
RPF チ ェ ッ クチ ェ ッ クの実行は、 ネ ッ ト ワーク内の全デバイスで有効にする必要
はあ り ません。 通常は、 すべてのイ ンバウン ド およびアウ ト バウン ドのスプー
フ ィ ングが通過するエ ッ ジデバイスのみにおいて RPF チ ェ ッ クの実行を設定し
ます。 上記のネ ッ ト ワーク例では、 R1( エ ッ ジデバイス ) について、 3 つのイ ン
タ フ ェースすべてで RPF チ ェ ッ ク を実行するよ う に設定し ます。
ユニキャ ス ト RPF の設定オプシ ョ ンは、 Junos OS 搭載デバイス間で異な り ます。 サポー ト 情報の詳細については、 ご使用製品のマニュアルをご確認 く だ さい。
第 3 章 - 52 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
フ ェ イルフ ィ ルタ
Junos OS 搭載デバイスでは、 RPF チ ェ ッ クにフ ェ イルし たパケ ッ ト をデフ ォル
ト で破棄し ますが、 フ ェ イルフ ィ ルタ を指定し てお く と、 RPF チ ェ ッ ク を フ ェ イ
ルし たパケ ッ ト が破棄される前に、 そのフ ィ ルタ でパケ ッ ト を処理する こ とができます。 フ ェ イルフ ィ ルタ では、 RPF チ ェ ッ クにフ ェ イルし たパケ ッ ト の ト ラ
フ ィ ッ クの許可も含め、 フ ァ イアウォールフ ィ ルタ で指定できる全アク シ ョ ン修飾子を実行可能です。 ( ただ し、 入力フ ァ イアウォールフ ィ ルタ でパケ ッ ト をロ
グに記録するよ う に設定し ている場合、 パケ ッ ト が RPF チ ェ ッ クにフ ェ イルす
る と、 そのパケ ッ ト はログに記録されません。 このよ う なパケ ッ ト のログ記録
は、 RPF フ ェ イルフ ィ ルタ で行う必要があ り ます。 )
ほとんどの Junos OS 搭載デバイスでは、 DHCP およびブー ト ス ト ラ ッ プ ・ プロ ト
コル (BOOTP) リ ク エス ト は RPF チ ェ ッ クにフ ェ イルし ます。 これらのリ ク エス ト
を許可するためには、 送信元ア ド レス 0.0.0.0 および宛先ア ド レス
255.255.255.255 の ト ラ フ ィ ッ ク を許可する フ ェ イルフ ィ ルタ を設定する必要
があ り ます。 このスラ イ ド では、 DHCP または BOOTP リ ク エス ト を許可する フ ェ
イルフ ィ ルタの定義例を示し ています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 53
Junos ルーテ ィ ングの基本
RPF 例
このスラ イ ド に示す例では、 すべてのイ ン タ フ ェースで RPF チ ェ ッ ク を strictモー ド で実行し、 すべてのプレ フ ィ ッ クスへの有効経路のみを対象とするよ う に設定されています。 フ ェ イルフ ィ ルタ rpf-dhcp は、 イ ン タ フ ェ ース ge-0/0/2および ge-0/0/3 に適用されます。 この設定では、 前のスラ イ ド で説明し たフ ェ
イルフ ィ ルタ rpf-dhcp を定義し てお り、 DHCP および BOOTP リ ク エス ト を許
可し ます。 すべてのイ ン タ フ ェ ースに対し て RPF チ ェ ッ ク を有効にし たため、
フ ァ イアウォールフ ィ ルタにアンチスプーフ ィ ングの条件を含める必要はあ り ません。
第 3 章 - 54 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
本章で学習し た内容 :
• ルーテ ィ ングポ リ シーおよびフ ァ イアウォールフ ィ ルタのフ レームワーク
• ポ リ シーと フ ァ イアウォールフ ィ ルタの評価
• ルーテ ィ ングポ リ シー使用の典型的なシナ リ オ
• ルーテ ィ ングポ リ シーの設定と適用
• フ ァ イアウォールフ ィ ルタ使用の典型的なシナ リ オ
• フ ァ イアウォールフ ィ ルタの設定と適用
• ユニキャ ス ト ・ リバースパス転送
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 55
Junos ルーテ ィ ングの基本
復習問題 :
1.
2.
3.
4.
5.
第 3 章 - 56 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junos ルーテ ィ ングの基本
ラボ 3: フ ァ イアウォールフ ィ ルタ
このスラ イ ド には、 このラボの目標が記載されています。
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ • 第 3 章 - 57
Junos ルーテ ィ ングの基本
第 3 章 - 58 • ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタ
Junosルーティングの基本
第 4章 : クラス・オブ・サービス (CoS)
Junos ルーテ ィ ングの基本
本章の内容 :
• ク ラス ・ オブ ・ サービス (CoS) の目的と利点
• CoS で使用される コ ンポーネン ト
• CoS コ ンポーネン ト の実装と検証
第 4 章 - 2 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
CoS 概要
このスラ イ ド には、 この章で取り上げる ト ピ ッ クが記載されています。 初に、
このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 3
Junos ルーテ ィ ングの基本
ク ラス ・ オブ ・ サービス (CoS) の使用
Junos OS 搭載デバイ スは、 デフ ォル ト で、 すべての通過 ト ラ フ ィ ッ ク を同等に
処理し ます。 Junos OS はデバイ スに到達し た ト ラ フ ィ ッ ク を先着順に処理し ま
す。 デバイ スはすべての通過 ト ラ フ ィ ッ ク を区別せず同じ入力 / 出力キューに
割当てるため、 通過 ト ラ フ ィ ッ クの遅延や破棄の可能性は ト ラ フ ィ ッ ク間で同等と な り ます。 この メ ソ ッ ド は、 ベス ト エ フ ォー ト 型 ト ラ フ ィ ッ ク処理と呼ば
れます。
Junos OS 搭載デバイスは CoS 機能を備えてお り、 ベス ト エ フ ォー ト 型処理では
ネ ッ ト ワークニーズに対応できない場合に、 この機能を使用し て ト ラ フ ィ ッ ク を差別化する こ とができます。 CoS ツールキ ッ ト は、 複数のコ ンポーネン ト で構成
されます。 まず、 同一サービスを提供する各種カテゴ リー ( フ ォワーデ ィ ングク
ラス ) に ト ラ フ ィ ッ ク を分類するツールがあ り、 次に、 各フ ォワーデ ィ ングク ラ
スの ト ラ フ ィ ッ ク を独自の方法で処理するツール、 さ らに、 ネ ッ ト ワーク規模で
パケ ッ ト 分類が理解されるよ う にパケ ッ ト にカテゴ リー情報をマーキングするツールがあ り ます。
CoS は、 ト ラ フ ィ ッ クのカテゴ リーに対し て 低帯域保証、 低遅延時間、 低パ
ケ ッ ト 損失率を実現する こ と によ り、 ト ラ フ ィ ッ クの差別化を可能にし ます。 つま り、 CoS の適用によ り、 一部アプ リ ケーシ ョ ンのパフ ォーマンスを向上させる
こ とができます。 ただ し、 CoS によ っ て リ ン クの合計帯域幅を増大させた り、 光
速によ り決定される 低遅延時間よ り も さ らに遅延時間を短縮するする こ とはできません。 また、 CoS によ り ネ ッ ト ワークの輻輳を解消する こ とはできません
が、 ネ ッ ト ワークの輻輳が特定 ト ラ フ ィ ッ クに及ぼす影響を制御する こ とは可能
です。
第 4 章 - 4 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
要件の達成
CoS の使用によ り、 Junos OS 搭載デバイスが ト ラ フ ィ ッ ク を転送する順序を制
御する こ とができます。 リ ン ク容量に余裕のあるネ ッ ト ワークにおいても、 回線
上の瞬時コ ンテンシ ョ ンは発生し ます。 2 つのパケ ッ ト が出力イ ン タ フ ェースに
同時に到達し た場合、 システムは片方のパケ ッ ト を転送し、 も う一方のパケ ッ トをキューイ ングし ます。 通常輻輳のないネ ッ ト ワーク ではキューの遅延は 低限
に保たれますが、 遅延時間の影響を受けやすい VoIP などの ト ラ フ ィ ッ クではわ
ずかな遅延でも重大な影響を及ぼしかねません。 このよ う な場合、 ト ラ フ ィ ッ ク
の優先処理を使用する こ とによ り、 遅延時間の影響を受けやすい ト ラ フ ィ ッ ク を他の ト ラ フ ィ ッ クに優先し て転送する こ とができます。 この優先処理では、 すべ
ての帯域保証の達成後に、 さ らに利用可能な予備帯域の割り当ても制御し ます。
多 く の Junos OS 搭載デバイスは、 輻輳を回避するためにランダム初期検知 (RED)アルゴ リズムを使用し ます。 RED アルゴ リズムでは、 輻輳による支障が生じ る前
に選択的にランダムパケ ッ ト を破棄し ます。 この処理で影響を受けた TCP セ ッ
シ ョ ンはスロースター ト モー ド に入り、 ク ラ イアン ト が輻輳リ ンクで送信を試みる ト ラ フ ィ ッ ク量は低減される こ とにな り ます。 このアルゴ リズムの使用によ り、
低帯域ス ト リーム ( ほとんどの対話型セ ッ シ ョ ンなど ) と比較して、 高帯域データ
ス ト リームの方がよ り大きな影響を受けます。
また、 Junos OS 搭載デバイスでは、 ト ラ フ ィ ッ ク ・ ク ラスに対し て一定帯域幅
を保証するよ う に設定し て、 輻輳時でも 低帯域保証を確保できるよ う にする こ
と も可能です。 このよ う にし て、 各リ ン クにおいて、 特定タ イプの ト ラ フ ィ ッ ク
に対し て 低帯域保証を確保する こ とができます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 5
Junos ルーテ ィ ングの基本
フ ォワーデ ィ ングク ラス
フ ォワーデ ィ ングク ラスは、 Junos OS 搭載デバイスで使用される、 共通処理を
必要とする ト ラ フ ィ ッ ク を識別するための抽象概念です。 ト ラ フ ィ ッ クは、 分類
処理において、 特定のフ ォワーデ ィ ングク ラスに関連付けられます。 出力時に
は、 フ ォワーデ ィ ングク ラスに基づいて、 ト ラ フ ィ ッ クが特定の出力キューに割り当てられ、 動作集約マーカーが書換えられます。
通常、 フ ォワーデ ィ ングク ラス と出力キューの間には 1 対 1 の関係が存在する
ため、 フ ォワーデ ィ ングク ラスを出力キューと同一視しがちですが、 一部プ ラ ッ
ト フ ォームではサポー ト する フ ォワーデ ィ ングク ラス数がキューよ り も多い場合もあるため、 このよ う な見方は厳密には誤り であ り、 混乱をまね く おそれがあ り
ます。
第 4 章 - 6 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
損失優先度
パケ ッ ト に損失優先度を関連付ける こ とによ り、 輻輳時のパケ ッ ト 破棄優先度を設定する こ とができます。 RED を適用する場合は、 異なる損失優先度に対し て異
なる破棄率を設定する こ とができます。 このよ う な RED 設定は、 このコースの
学習対象外であるため、 こ こ では説明し ていません。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 7
Junos ルーテ ィ ングの基本
CoS 処理
スラ イ ド の図は、 Junos OS における CoS 処理の概要を示すものです。 矢印は、 情
報の流れを表し ます。 つま り、 プロセスがフ ォワーデ ィ ングク ラスや損失優先度
を設定する場合は、 フ ォワーデ ィ ングク ラスおよび損失優先度のボ ッ ク スの方向( 図の中心方向 ) を指す矢印で表されます。 また、 プロセスがフ ォワーデ ィ ング
ク ラスや損失優先度を入力値と し て使用する場合は、 フ ォワーデ ィ ングク ラスおよび損失優先度のボ ッ クスを始点とする矢印で表されます。
Junos OS 搭載デバイスでは、 DiffServ コー ド ポイ ン ト (DSCP)、 IP 優先度、 MPLS EXP、 IEEE 802.1p などのヘ ッ ダーフ ィ ールド値に基づいて、 パケ ッ ト のフ ォ
ワーデ ィ ングク ラスや損失優先度を設定する こ とができます。 これらのフ ィ ール
ド は通常エ ッ ジデバイスによ って設定され、 ト ラ フ ィ ッ クの分類を示し ます。 そのため、 コ アデバイスがエ ッ ジデバイスから受け取った ト ラ フ ィ ッ ク を再分類する必要はあ り ません。 これらのフ ィ ールドは、 パケ ッ ト が属する ト ラ フ ィ ッ ク分
類を示すため、 動作集約 (BA) ク ラシフ ァ イア と呼ばれています。
Junos OS 搭載デバイスでは、 フ ォワーデ ィ ングク ラスと損失優先度を入力および
出力のマルチフ ィ ールド ・ ク ラシフ ァ イアで設定する こ と もできます。 マルチ
フ ィ ールド ・ ク ラシフ ァ イアは、 フ ァ イアウォールフ ィ ルタ を使用して実装し ます。 マルチフ ィ ールド ・ ク ラシフ ァ イアの使用によ り、 フ ァ イアウォールフ ィ ルタ
の選択基準を使用してパケ ッ ト を選択したり、 then 句でフ ォワーデ ィ ングク ラス
や損失優先度を設定する こ とができます。 また、 入力ポリサーおよび出力ポリサー
を使用してフ ォワーデ ィ ングク ラスや損失優先度を変更する こ と もできます。
次ページに続 く
第 4 章 - 8 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
CoS 処理 ( 続き )
CoS ベースの転送の実装には、 フ ォワーデ ィ ングポ リ シーの各種オプシ ョ ンを使
用できます。 1 つの宛先に対し て複数の等価コ ス ト パスが存在する場合、 CoSベースの転送を使用し て、 各等価コ ス ト パスがどの ト ラ フ ィ ッ ク ク ラスを使用するかを指定する こ とができます。 また、 フ ォワーデ ィ ングポ リ シーのオプシ ョ ン
を使用し て、 特定プレ フ ィ ッ ク スを宛先とするパケ ッ ト のフ ォワーデ ィ ングク ラスや損失優先度を リ セ ッ ト する こ と も できます。
Junos OS 搭載デバイスでは、 キューへの ト ラ フ ィ ッ ク割当て、 RED アルゴ リズ
ムの実装、 BA ヘ ッ ダーの書換えに、 出力のフ ォワーデ ィ ングク ラスおよび損失
優先度を使用し ます。
CoS に関するサポー ト は、 Junos OS 搭載プ ラ ッ ト フ ォーム間で異な り ます。 サポー ト 情報の詳細については、 ご使用プ ラ ッ ト フ ォームのマニュアルをご確認 くだ さい。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 9
Junos ルーテ ィ ングの基本
ト ラ フ ィ ッ ク分類
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 4 章 - 10 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
CoS 配備モデル
CoS の配備モデルには、 基本的に 2 種類あ り ます。 単一デバイスにおける転送
サービスを差別化するためのみに CoS を使用するモデルと、 ネ ッ ト ワーク規模で
複数デバイスにおける転送サービスを差別化するために CoS を使用するモデル
です。
単一デバイス限定で CoS を使用する場合には、 パケ ッ ト は通過時にマルチ
フ ィ ールド ・ ク ラシフ ァ イアを使用し て分類され、 この分類に基づいて、 設定されたサービスが提供されます。 パケ ッ ト 転送時の BA マーキング (DSCP、 IP 優先
度など ) は行われません。 一方、 複数デバイスにわたっ て CoS を使用する場合に
は、 異なる分類方法が使用されます。
ネ ッ ト ワーク内の複数デバイスで CoS を使用し てサービスの差別化を行う場合、
エ ッ ジデバイスで 初に分類を実行し、 BA を使用し て分類をネ ッ ト ワーク内で
転送するのが効果的です。 このモデルでは、 ト ラ フ ィ ッ クがネ ッ ト ワークに到達
し た際にエ ッ ジデバイスがマルチフ ィ ールド ・ ク ラシフ ァ イアを使用し て ト ラフ ィ ッ ク を分類し ます。 エ ッ ジデバイスがパケ ッ ト をネ ッ ト ワークに転送する際
に、 パケ ッ ト には BA マーキングが行われます。 ネ ッ ト ワーク内の他のデバイス
は BA を読込み、 マルチフ ィ ールド ・ ク ラシ フ ァ イアを使用せずに適切なフ ォ
ワーデ ィ ングク ラス と損失優先度を自動的に設定し ます。
次ページに続 く
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 11
Junos ルーテ ィ ングの基本
CoS 配備モデル ( 続き )
ネ ッ ト ワーク規模の CoS 配備での BA 使用には、 複数の利点があ り ます。 まず、
ネ ッ ト ワーク規模で ト ラ フ ィ ッ クに対し て一貫性のある CoS 処理が保証される
点が挙げられます。 また、 各システムで正確なマルチフ ィ ールド ・ ク ラシ フ ァ イ
アを作成および管理する作業が簡素化される とい う点もあ り ます。 BA を使用し
ない場合、 各デバイスではネ ッ ト ワークに到達するすべての ト ラ フ ィ ッ ク を分類するマルチフ ィ ールド ・ ク ラシ フ ァ イアが必要にな り ます。 また、 1 つのデバイ
スで分類変更が行われた場合には、 他デバイスにも個別に適用する必要があ り ます。 3 点目と し て、 イーサネ ッ ト の場合には、 802.1p ビ ッ ト を BA と し て設定す
る こ と で、 CoS を認識する イーサネ ッ ト のスイ ッ チでも ト ラ フ ィ ッ クに対し て差
別化し たサービスを提供できる こ とが挙げられます。
レ イヤー 3 ヘ ッ ダーの既存ビ ッ ト を立てる こ と でパケ ッ ト の BA マーキングが行
われるため、 付加的な作業は発生し ません。
第 4 章 - 12 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
マルチフ ィ ールド ・ ク ラシフ ァ イア
マルチフ ィ ールド ・ ク ラシフ ァ イアの設定は、 通常のフ ァ イアウォールフ ィ ルタの設定と同様に行う こ とができ、 各条件の then 句でフ ォワーデ ィ ングク ラス と
損失優先度を指定し ます。 デフ ォル ト では、 フ ォワーデ ィ ングク ラス (BA ク ラシ
フ ァ イアによ り割当てられたフ ォワーデ ィ ングク ラス、 パケ ッ ト が BA ク ラシ
フ ァ イアによ り分類されない場合にはデフ ォル ト のフ ォワーデ ィ ングク ラス ) は
変更されません。
Junos OS 搭載デバイスは、 BA ク ラ シフ ァ イアの後にマルチフ ィ ールド ・ ク ラ シ
フ ァ イアを適用するため、 マルチフ ィ ールド ・ ク ラシフ ァ イアは常に BA が割当
てたフ ォワーデ ィ ングク ラス と損失優先度を上書き し ます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 13
Junos ルーテ ィ ングの基本
動作集約
Junos OS 搭載デバイスでは、 アウ ト バウン ド のイ ン タ フ ェースに書換え規則を
適用する こ とによ り、 イ ン タ フ ェースからの送出パケ ッ ト に BA マーカーを付加
するよ う に設定する こ とができます。 デフ ォル ト で、 Junos OS はパケ ッ ト 送信
時にレ イヤー 3 の BA ヘ ッ ダーフ ィ ールド を変更し ません。 し たがって、 これら
のフ ィ ールドの設定は、 通常エ ッ ジデバイスにおける 1 回だけで済みます。 ただ
し、 レ イヤー 2 フ ィ ールド (MPLS EXP や IEEE 802.1p など ) は保持されないた
め、 パケ ッ ト が通過する イ ン タ フ ェ ースでレ イヤー 2 の BA ヘ ッ ダーフ ィ ールド
を再設定するよ う に設定する必要があ り ます。
書換え規則は、 [edit class-of-service interfaces] 階層で適用されま
す。 例えば、 デフ ォル ト の IP 優先度マーキングを適用するためには、 set interface-name unit logical-unit-number rewrite-rules
inet-precedence default と入力し ます。 書換え規則は、 レ イヤー 2 と レ イ
ヤー 3 の両方に適用できますが、 IP 優先度と DSCP 規則は IP ヘ ッ ダーの同一
ビ ッ ト を使用するため、 1 つのパケ ッ ト に対し てこれら を同時に適用する こ とは
できません。
次ページに続 く
第 4 章 - 14 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
動作集約 ( 続き )
パケ ッ ト に BA マーキングが付加されたら、 ダウンス ト リームのデバイスがこれ
らの情報を読込み、 パケ ッ ト に適切なフ ォワーデ ィ ングク ラス と損失優先度を自動的に割当てるよ う に設定する こ とができます。 この処理を開始するには、 BAク ラシフ ァ イアを イ ンバウン ドのイ ン タ フ ェ ースに適用し ます。 この操作は
[edit class-of-service interfaces] 階層で行います。 例えば、デフ ォル
ト の IP 優先度の BA ク ラシ フ ァ イアを適用するためには、 set interface-name unit logical-unit-number classifiers
inet-precedence default と入力し ます。 BA ク ラシフ ァ イアは、 レ イヤー 2と レ イヤー 3 の両方に適用できますが、 多 く の場合、 プ ラ ッ ト フ ォーム固有の
制限によ り組合わせ可能なク ラシフ ァ イアが決定されます。 詳細については、
『Junos Class of Service Configuration Guide (Junos ク ラス ・ オブ ・ サービス設定ガ
イ ド )』 をご参照 く だ さい。
デフ ォル ト BA ク ラシ フ ァ イア と書換え規則を使用する こ とによ り、 確実に、
キュー 0 ~ 3 からの ト ラ フ ィ ッ クがネ ッ ト ワーク全体で該当フ ォワーデ ィ ング
ク ラスに正し く 分類されます。 常にネ ッ ト ワーク全体で ト ラ フ ィ ッ ク をキュー 0~ 3 以上に割当てる場合や、 CoS ヘ ッ ダーフ ィ ールド にデフ ォル ト 外のビ ッ ト
パターンを使用する場合には、 カス タムのク ラ シフ ァ イアや書換え規則を使用する必要があ り ます。 カス タムのク ラ シフ ァ イアや書換え規則を使用する場合は、
分類の一貫性を保つため、 これらのク ラ シフ ァ イアや規則を必ずネ ッ ト ワーク内の全デバイスに適用し て く だ さい。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 15
Junos ルーテ ィ ングの基本
ポリサー
ポ リサーは、 特定の種類の ト ラ フ ィ ッ ク を指定の帯域幅やバース ト サイズに限定
する こ と を可能にし ます。 Junos OS 搭載デバイスでは、 設定されている制限を超
過する ト ラ フ ィ ッ クに対し て異なる フ ォワーデ ィ ングク ラスや損失優先度を割当てるよ う に設定する こ とができます。 このよ う なポ リサーの設定では、 通常の ト
ラ フ ィ ッ クポ リサーの場合と同様に、 ポ リサーの then 句に
forwarding-class および loss-priority ステー ト メ ン ト を記述し ます。 ポリサーの forwarding-class および loss-priority ステー ト メ ン ト は、
フ ァ イアウォールフ ィ ルタの then 句で指定し た forwarding-class および
loss-priority ステー ト メ ン ト よ り も優先されます。
例えば、 スラ イ ド に示すポ リサーは、 指定レー ト 制限の範囲内の ト ラ フ ィ ッ クに
は expedited-forwarding フ ォワーデ ィ ングク ラス、 この指定レー ト 制限を
超過する ト ラ フ ィ ッ クには best-effort フ ォワーデ ィ ングク ラスを割当てて
います。 なお、 スラ イ ド には含まれていませんが、 ト ラ フ ィ ッ ク分類が正し く 機
能するためには、 適切なイ ン タ フ ェ ースに対し て apply-cos-markings フ ァ
イアウォールフ ィ ルタ を割当てる必要があ り ます。
Junos OS 搭載プ ラ ッ ト フ ォームによ っ ては、 ポ リサーアク シ ョ ンの一部のみを
サポー ト し ている場合があるため、 ご注意 く だ さい。 サポー ト 情報の詳細につい
ては、 ご使用製品の 新版マニュアルをご確認 く だ さい。
第 4 章 - 16 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
ト ラ フ ィ ッ クキューイ ング
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 17
Junos ルーテ ィ ングの基本
キューイ ングの概要
ト ラ フ ィ ッ クがアウ ト バウン ドのイ ン タ フ ェ ースに到達する と、 各フ ォワーデ ィングク ラスに関連付けられている ト ラ フ ィ ッ クはそれぞれのキューに割当てられます。 アウ ト バウン ドのイ ン タ フ ェースでサポー ト されるキュー数はハー ド ウ ェ
アに依存し ます。
Junos OS 搭載デバイスでは、 各フ ォワーデ ィ ングク ラスに一意のキュー番号を関
連付けます。 このスラ イ ド には、 多 く の Junos OS 搭載デバイスでのデフ ォル ト
のフ ォワーデ ィ ングク ラス と、 それに関連付けられているキュー番号を示し ています。 Junos OS は、 デフ ォル ト で、 特定のネ ッ ト ワーク制御 ト ラ フ ィ ッ ク ( ルー
テ ィ ングプロ ト コル ・ メ ッ セージ、 keepalive など ) を network-control フ ォワー
デ ィ ングク ラスに関連付けられているキュー ( 通常はキュー 3) に割当て、 他の
ト ラ フ ィ ッ クはすべて best-effort フ ォワーデ ィ ングク ラスに関連付けられている
キュー ( 通常はキュー 0) に割当てます。 その他のキューに ト ラ フ ィ ッ ク を送信す
るためには、 明示的なク ラシ フ ァ イアの指定が必要です。
ト ラ フ ィ ッ クが適切なキューに割当てられた後、 スケジューラによ り、 イ ン タフ ェ ースが各キュー上の ト ラ フ ィ ッ ク をどのよ う に処理するかを決定し ます。
第 4 章 - 18 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
フ ォワーデ ィ ングク ラスの定義
フ ォワーデ ィ ングク ラスは、 ク ラスを [edit class-of-service
forwarding-classes]階層のキューに関連付ける こ と によ っ て作成されます。 ハー ド ウ ェ アで対応可能なキュー数を越えてフ ォワーデ ィ ングク ラスを作成し よう とする と、 設定コ ミ ッ ト 時にエ ラー メ ッ セージが表示されます。 キューを使用
するためには、 フ ォワーデ ィ ングク ラス名をキューに関連付ける必要があ り ます。 Junos OS を搭載する多 く のプ ラ ッ ト フ ォームでは、 デフ ォル ト のフ ォワー
デ ィ ングク ラス名はキュー 0 ~ 3 と関連付けられます。
スラ イ ド に示すよ う に、 デフ ォル ト のフ ォワーデ ィ ングク ラス名は変更可能です。 デフ ォル ト のフ ォワーデ ィ ングク ラス名を変更し ても、 Junos OS は当該ク ラ
スに対応するキューに ト ラ フ ィ ッ ク を送信し ます。 また、 デフ ォル ト の BA ク ラ
シ フ ァ イア と書換え規則は、 キューに関連付けられたフ ォワーデ ィ ングク ラス名に関係な く 、 ト ラ フ ィ ッ ク を関連キュー ( 通常はキュー 0 ~ 3) にマ ッ プ し ます。 デフ ォル ト のフ ォワーデ ィ ングク ラス名の変更に加え、 フ ォワーデ ィ ングク ラス名を非デフ ォル ト のキューに割当てる こ と も できます。
その他の CoS 規則は、 キューではな く フ ォワーデ ィ ングク ラスを参照するため、
フ ォワーデ ィ ングク ラスは重要です。 フ ォワーデ ィ ングク ラス名とキュー番号の
対応は、 [edit class-of-service forwarding-classes] 階層のフ ォ
ワーデ ィ ングク ラス定義でのみ保持されます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 19
Junos ルーテ ィ ングの基本
ト ラ フ ィ ッ クのスケジューリ ング
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 4 章 - 20 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
スケジューリ ングの概要
スケジューラ と スケジューラマ ッ プの設定によ り、 システムのキュー処理を制御する こ とができます。 スケジューラには、 キューの処理方法を記述するパラ メ ー
タ群が含まれてお り、 スケジューラは、 スケジューラマ ッ プを通じ て、 特定の
キューと フ ォワーデ ィ ングク ラスに関連付けられます。
パケ ッ ト の転送順序は、 フ ォワーデ ィ ングク ラスに優先度や転送速度を定義するこ と で決定し ます。 Junos OS 搭載デバイスは通常、 優先度の高い順にフ ォワー
デ ィ ングク ラスやキューからパケ ッ ト を取り出し て送信し ます。 デフ ォル ト の優
先度の値は、 Junos OS 搭載デバイス間で異な り ます。
各フ ォワーデ ィ ングク ラスに転送速度を設定する こ と で、 当該フ ォワーデ ィ ング
ク ラスに関連付けられている ト ラ フ ィ ッ クが使用する帯域幅を制御する こ とができます。 デフ ォル ト では、 best-effort フ ォワーデ ィ ングク ラスに関連付けられて
いるキュー ( 通常はキュー 0) には帯域幅の 95 パーセン ト 、 network-control フ ォ
ワーデ ィ ングク ラスに関連付けられているキュー ( 通常はキュー 3) には帯域幅
の 5 パーセン ト が割当てられます。 その他のキューに割当てられる転送速度は 0です。 一部キューが割当ての転送速度を使い切っていない場合には、 転送速度が
exact オプシ ョ ンで指定されていない限り、残るキューが割当ての転送速度を超
過し て使用する こ とができます ( デフ ォル ト )。
次ページに続 く
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 21
Junos ルーテ ィ ングの基本
スケジューリ ングの概要 ( 続き )
各キューのサイズは、 設定されているバッ フ ァサイズによ り決定されます。 デフ ォル ト では、 best-effort フ ォワーデ ィ ングク ラスに関連付けられているキュー
( 通常はキュー 0) には使用可能なバッ フ ァ領域の 95 パーセン ト 、
network-control フ ォワーデ ィ ングク ラスに関連付けられているキュー ( 通常は
キュー 3) には使用可能なバッ フ ァ領域の 5 パーセン ト が割当てられます。 デフ ォル ト で、 その他のキューにはバッ フ ァ領域は割当てられません (0 パーセン
ト )。 し たがっ て、 best-effort および network-control の各フ ォワーデ ィ ングク ラ
スに関連付けられているキュー以外を使用する場合には、 それらのキューにバッフ ァ を割当てる必要があ り ます。 バッ フ ァの使用率が高 く なる と、 RED アルゴ リ
ズムがパケ ッ ト を破棄する確率が増加し ます。 各キューに対し て正確な RED 破
棄プロ フ ァ イルを設定する こ とは可能ですが、 デフ ォル ト 設定では、 キューの領域が完全に消費されるまでパケ ッ ト は破棄されません。 Junos OS を搭載するプ
ラ ッ ト フ ォームには、 RED をサポー ト し ないものもあるため、 ご注意 く だ さい。 CoS に関するサポー ト 情報の詳細については、 ご使用製品のマニュアルをご確認
く だ さい。
第 4 章 - 22 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
キューの優先度
Junos OS は、 低、 中度低、 中度高、 高、 高の 5 つのレベルの転送優先度をサ
ポー ト し ています。 この優先度構造によ り、 Junos OS は高い優先度のキューを
低い優先度のキューよ り も先に処理し ます。 優先度別スケジュー リ ングによ っ て
出力イ ン タ フ ェ ースがキューから ト ラ フ ィ ッ ク を取り出し て送信する順番が決定されるため、 重要な ト ラ フ ィ ッ ク を含むキューが確実に出力イ ン タ フ ェ ースに対し て高いア クセス権を持てるよ う になっています。 この処理において、 Junos OSはキューの優先度を確認し、 各キューが指定の帯域幅プロ フ ァ イルの範囲内であ
るかど う かを判定し ます。
優先度の高いキューは、 そのフ ォワーデ ィ ングク ラスが十分な帯域を持つ限り、優先度の低いキューよ り も先にパケ ッ ト を送信し ます。 高い優先度を持つキュー
に極めて大きい転送帯域を割り当てた場合、 低い優先度の ト ラ フ ィ ッ クがロ ッ クアウ ト される場合があ り ます。 優先度キューイ ングの動作は、 厳密にはプ ラ ッ ト
フ ォームによ っ て異な り ます。 プ ラ ッ ト フ ォーム固有の詳細および動作について
は、 ご使用製品のマニュアルをご参照 く だ さい。
定義済みの帯域幅プロ フ ァ イル設定例について、 次のページで説明し ます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 23
Junos ルーテ ィ ングの基本
スケジューラの設定
スケジューラは、 [edit class-of-service interfaces] 階層で設定し ま
す。 この場合、 スケジューラの名前は特に重要ではあ り ません。 Junos OS は、 ス
ケジューラマ ッ プを使用し て、 スケジューラ と個々のフ ォワーデ ィ ングク ラスおよびキューを関連付けます。 このスラ イ ドの例は、 best-effort フ ォワーデ ィ ング
ク ラスの ト ラ フ ィ ッ ク用のスケジューラであるため、 その目的に併せてスケジューラに sched-best-effort とい う 名前を付けていますが、 別の名前を付
けた と し ても、 スケジューラマ ッ プで best-effort フ ォワーデ ィ ングク ラスに関連
付ける こ とができます。
この例では、 バッ フ ァサイズを転送速度と同じ値に設定し ています。 多 く の場合
は、 この設定で良好に機能し ますが、 異なるバッ フ ァサイズを設定し た方が適切である場合もあ り ます。 詳細については、 『Junos Class of Service Configuration Guide (Junos ク ラス ・ オブ ・ サービス設定ガイ ド )』 をご参照 く だ さい。
また、 この例では、 カス タム破棄プロ フ ァ イルを設定し ていません。 多 く の場合
は、 デフ ォル ト の破棄プロ フ ァ イルで十分に対応できます。 カス タム破棄プロ
フ ァ イル作成による RED パラ メ ータの調整は、 きわめて複雑ですが、 この点に
ついては、 『Junos Class of Service Configuration Guide (Junos ク ラス ・ オブ ・ サー
ビス設定ガイ ド )』 で詳述されています。
第 4 章 - 24 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
スケジューラマ ッ プの作成
スケジューラマ ッ プは、 スケジューラ と フ ォワーデ ィ ングク ラス、 対応するキューを関連付けます。 Junos OS は、 関連付けられている フ ォワーデ ィ ングク ラ
スの名前を使用し てキューを参照し ます。 スケジュ ラーマ ッ プは、 [edit
class-of-service scheduler-maps] 階層で設定し ます。
このスラ イ ドの例では、 4 つのスケジューラ を 4 つのデフ ォル ト キューに関連付
けています。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 25
Junos ルーテ ィ ングの基本
イ ン タ フ ェースへのスケジューラマ ッ プの適用
Junos OS 搭載デバイスにおけるキュー処理の設定での 後の手順は、 スケジュー
ラマ ッ プをアウ ト バウン ドのイン タ フ ェースに関連付ける こ と です。 パケ ッ ト が
出力イン タ フ ェースに到達する と、 そのパケ ッ ト は ト ラ フ ィ ッ クのフ ォワーデ ィングク ラスに関連するキューに割当てられます。 所定のキューに関連付けられて
いるスケジューラに設定されているパラ メ ータ を参照する こ とによ り、 キューからパケ ッ ト を転送する順番が決定されます。 システムは、 スケジューラマ ッ プに
よ り、 どのスケジューラが特定イン タ フ ェースのどのキューに関連付けられているかを理解し ます。 異なるイン タ フ ェースに対し て異なるスケジューラマ ッ プを
使用する こ とによ り、 キューに関連付けられるスケジューリ ング ・ パラ メータ をイン タ フ ェースご とに指定する こ とができます。
スケジューラは、 [edit interfaces] 階層でイン タ フ ェースに per-unit-
scheduler を設定しない限り、 物理イン タ フ ェースの全 ト ラ フ ィ ッ クに適用され
ます。 この場合、 パケ ッ ト はユニ ッ ト 単位でスケジュールされます。 また、 各ユ
ニ ッ ト に異なるスケジューラマ ッ プを定義する こ と もできます。 ユニ ッ ト 単位のス
ケジューラのサポー ト は、 Junos OS 搭載プラ ッ ト フ ォーム間で異な り ます。
第 4 章 - 26 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
CoS 処理のま とめ
このスラ イ ドの図は、 本章の 初の方で紹介し たものと同じ です。 これまでに学
習し た CoS の概念の復習と し て、 こ こ でも う一度各コ ンポーネン ト と ネ ッ ト
ワークにおけるその動作を確認し ま し ょ う 。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 27
Junos ルーテ ィ ングの基本
ケースス タデ ィ : CoS
次に、 このスラ イ ド で矢印で示し ている ト ピ ッ クについて説明し ます。
第 4 章 - 28 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
目標と ト ポロジー
このスラ イ ドの例は、 ネ ッ ト ワーク規模で CoS を適用する比較的単純な ト ポロ
ジーを示し ています。 こ こには、 ト ラ フ ィ ッ ク分類やスケジュー リ ング規則、
フ ォワーデ ィ ングク ラス とキューのマ ッ ピングについて記載されています。
わかりやす く するために、 全イ ン タ フ ェースの全 ト ラ フ ィ ッ クに同じ スケジューリ ング規則を適用する と し ます。 ト ラ フ ィ ッ クがキュー 0 またはキュー 3 以外の
キューに関連付けられている場合には、 そのキューのスケジューラ をすべてのイン タ フ ェ ースで設定し なければなら ない点に注意する必要があ り ます。 この設定
を怠る と、 スケジューラが指定されていないキューを通じ てイ ン タ フ ェ ースからト ラ フ ィ ッ クが送信される こ とにな り、 ネ ッ ト ワーク性能に重大な支障をきたすおそれがあ り ます。
CoS に関するサポー ト は、 Junos OS 搭載プ ラ ッ ト フ ォーム間で異な り ます。 この
例での R1 および R2 は、 J シ リーズのルーターです。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 29
Junos ルーテ ィ ングの基本
R1 入力マルチフ ィ ールド ・ ク ラシフ ァ イア設定
このスラ イ ド には、 R1 に指定の分類規則を適用する場合に必要な設定を示し て
います。
第 4 章 - 30 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
R2 入力マルチフ ィ ールド ・ ク ラシフ ァ イア設定
このスラ イ ド には、 R2 に指定の分類規則を適用する場合に必要な設定を示し て
います。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 31
Junos ルーテ ィ ングの基本
フ ォワーデ ィ ングク ラス と スケジューラの設定
このスラ イ ド には、 両ルーターのフ ォワーデ ィ ングク ラス、 スケジューラ、 スケジューラマ ッ プ設定を示し ています。
第 4 章 - 32 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
BA と スケジューラの適用
このスラ イ ド には、 両ルーターの BA ク ラシ フ ァ イア、 書換え規則、 スケジュー
ラマ ッ プの設定を示し ています。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 33
Junos ルーテ ィ ングの基本
結果の検証 : パー ト 1
show class-of-service interface interface コ マン ド で、 イ ン タ
フ ェ ースのほとんどの CoS 設定を簡単に表示する こ とができます。 このコマン ド
出力には、 デフ ォル ト 値をはじめとする有効設定が表示されています。 また、
CoS 設定の各種コ ンポーネン ト の詳細を表示するには、 他の show
class-of-service コ マン ド を使用し ます。 例えば、ipprec-default ク ラシ
フ ァ イアによる IP ヘ ッ ダー中の type-of-service フ ィ ールド と フ ォワーデ ィ ングク
ラス間のマ ッ プを表示するには、 show class-of-service classifier
name ipprec-default コマン ド を実行し ます。
CoS 設定が意図通り に機能し ているかど うかは、 ト ラ フ ィ ッ クが適切な送信
キューに割り当てられているかど う かでチ ェ ッ ク できます。 ほとんどのイ ン タ
フ ェ ースでは、 各キュー統計サマ リーは show interfaces detail および
show interfaces extensive コ マン ド で表示されます。 一部のカプセル化タ
イプでは、 このコマン ド で統計情報を表示できない場合があ り ます。
第 4 章 - 34 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
結果の検証 : パー ト 2
show interfaces queue コ マン ド で、 ト ラ フ ィ ッ クのキューイ ング状態を表
示する こ とができます。 このコ マン ド は、 各キューに関する さ らに詳細な統計情
報を表示する もので、 すべてのイ ン タ フ ェースで使用できます。 このスラ イ ド と
前ページのスラ イ ド に示し た内容から、 ト ラ フ ィ ッ クが正し く キューイ ングされている こ とが確認できます。
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 35
Junos ルーテ ィ ングの基本
本章で学習し た内容 :
• CoS の目的と利点
• CoS で使用される コ ンポーネン ト
• CoS コ ンポーネン ト の実装と検証
第 4 章 - 36 • ク ラス ・ オブ ・ サービス (CoS)
Junos ルーテ ィ ングの基本
復習問題
1.
2.
3.
4.
ク ラス ・ オブ ・ サービス (CoS) • 第 4 章 - 37
Junos ルーテ ィ ングの基本
ラボ 4: ク ラス ・ オブ ・ サービス (CoS)
このスラ イ ド には、 このラボの目標が記載されています。
第 4 章 - 38 • ク ラス ・ オブ ・ サービス (CoS)
付録 A: 略語リ ス ト
ACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ア クセス ・ コ ン ト ロール ・ リ ス ト (access control list)AS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .自律システム (autonomous system)BA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .動作集約 (behavior aggregate)BOOTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ブー ト ス ト ラ ッ プ ・ プロ ト コル (Bootstrap Protocol)CoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ク ラス ・ オブ ・ サービス (class of service)DSCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .DiffServ コー ド ポイ ン ト (DiffServ code point)EGP . . .外部ゲー ト ウ ェ イプロ ト コル、 自律システム間ルーテ ィ ングプロ ト コル (exterior gateway protocol)FBF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . フ ィ ルタベース転送 (filter-based forwarding)HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ハイパーテキス ト 転送プロ ト コル (Hypertext Transfer Protocol)ICMP . . . . . . . . . . . . . . . . . . . . イ ン ターネ ッ ト 制御メ ッ セージプロ ト コル (Internet Control Message Protocol)IGP . . . . 内部ゲー ト ウ ェ イプロ ト コル、 自律システム内ルーテ ィ ングプロ ト コル (interior gateway protocol)JNTCP. . . . . . . ジュニパーネ ッ ト ワーク ス技術認定資格プログラム (Juniper Networks Technical Certification Program)JTAC . . . . . . . . . ジュニパーネ ッ ト ワークス技術支援セン ター (Juniper Networks Technical Assistance Center)LSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リ ン ク ステー ト 広告 (link-state advertisement)PFE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . パケ ッ ト 転送エンジン (Packet Forwarding Engine)RE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ルーテ ィ ングエンジン (Routing Engine)RED . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ラ ンダム初期検知 (random early detection)rpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ルーテ ィ ング ・ プロ ト コル ・ プロセス (routing protocol process)RPF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . リバースパス転送 (reverse path forwarding)SPF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 短パス優先、 シ ョ ーテス ト ・ パス ・ フ ァース ト (shortest path first)VoIP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ボイス ・ オーバー ・ イ ン ターネ ッ ト ・ プロ ト コル (voice over IP)
略語リ ス ト • A - 1
A - 2 • 略語リ ス ト
付録 B: 解答例と解説
第 1 章 : コースの紹介この章には、 復習問題はあ り ません。
第 2 章 : ルーテ ィ ングの基礎
1.
この章で説明し たよ う に、 2 つのリ モー ト デバイス間の ト ラ フ ィ ッ ク をルーテ ィ ングするにあたっての主な考慮点は、 エン ド ツーエン ド の通信パス と、 通信パス上の全レ イヤー 3 デバイスが必要なルーテ ィ ング情報を持つこ との 2 点です。
2.
デフ ォル ト の IPv4 および IPv6 ユニキャス ト ・ ルーテ ィ ングテーブルは、 それぞれinet.0 と inet6.0 です。
3.
ルーテ ィ ングテーブル内で有効経路を決定するための一次基準は、 ルー ト プ リ フ ァ レンス値です。 プ リ フ ァ レンス値の小さい経路の方が、 プ リ フ ァ レンス値の大きい経路よ りも優先されます。
4.
CLI の qualified-next-hop オプシ ョ ンを使用する と、 同一宛先に対し て存在する複数の静的経路に、 個別のプ リ フ ァ レンス値を設定する こ とができます。
5.
動的ルーテ ィ ングの利点と し て、 管理オーバーヘ ッ ドが低い、 ネ ッ ト ワーク可用性およびスケーラ ビ リ テ ィ に優れている点が挙げられます。
第 3 章 : ルーテ ィ ングポリ シーと フ ァ イアウォールフ ィ ルタ
1.
ルーテ ィ ングポ リ シーは、 ルーテ ィ ングテーブル内のルーテ ィ ング情報を制御するために使用され、 動的プロ ト コルで送受信される経路やフ ォワーデ ィ ングテーブルに格納されている経路の許可、 拒否、 属性変更を行います。
2.
ルーテ ィ ングポ リ シーと フ ァ イアウォールフ ィ ルタはどち ら も、 from および then ステー ト メ ン ト で構成される条件を使用し ます。 from ステー ト メ ン ト は、 定義されたアクシ ョ ンを実行するために合致し なければなら ない一致基準を記述し ます。 then ステー トメ ン ト は、 パケ ッ ト または経路が指定の一致基準を満た し た場合に実行されるアク シ ョンを定義し ます。then ステー ト メ ン ト は、 パケ ッ ト または経路が指定の一致基準を満た し た場合に実行されるアク シ ョ ンを定義し ます。
3.
ポ リ シーやフ ィ ルタ を実装する際の 2 つの主要な手順は、 定義と適用です。 まず 初に、ポ リ シーやフ ィ ルターを適切な階層レベルで定義し ます。 ポ リ シーまたはフ ィ ルターの定義が完了し たら、 それを適用し ます。
解答例と解説 • B - 1
4.
フ ァ イアウォールフ ィ ルタ で明示的に許可されないパケ ッ ト に対するデフ ォル ト のア クシ ョ ンは、 discard です。
5.
ユニキャ ス ト RPF は、 Junos OS 搭載デバイスでアンチスプーフ ィ ングを自動化し ます。
第 4 章 : ク ラス ・ オブ ・ サービス (CoS)1.
CoS は、 VoIP など遅延の影響を受ける ト ラ フ ィ ッ クの優先、 SLA 保証のための輻輳制御、各種 ト ラ フ ィ ッ ク ク ラスに応じ た異なる帯域幅の割当てなどの方法によ ってネ ッ ト ワークの性能要件を達成し ます。
2.
フ ァ イアウォールフ ィ ルタにマルチフ ィ ールド ・ ク ラ シフ ァ イアを実装する こ とによ り、ト ラ フ ィ ッ ク を フ ァ イアウォールフ ィ ルタの一致基準に基づいて分類する こ とができます。 動作集約ク ラシフ ァ イアは、 パケ ッ ト ヘ ッ ダーの動作集約マーキングに基づいて トラ フ ィ ッ ク を分類し ます。 通常、 マルチフ ィ ールド ・ ク ラシ フ ァ イアは、 ネ ッ ト ワークエ ッ ジで 初に ト ラ フ ィ ッ ク を分類するために使用されます。 動作集約マーキングは、ネ ッ ト ワーク内で分類情報を保持するために使用されます。
3.
Junos OS が ト ラ フ ィ ッ ク を処理する際、 ト ラ フ ィ ッ クは特定のフ ォワーデ ィ ングク ラスに分類されます。 ト ラ フ ィ ッ クが出力イ ン タ フ ェースに到達する と、 その ト ラ フ ィ ッ クはフ ォワーデ ィ ングク ラスに基づいて適切なキューに割当てられます。 一部ハー ド ウ ェアでは、 フ ォワーデ ィ ングク ラス とキュー間で多対 1 の関係が存在する場合があ り ます。 し たがっ て、 この 2 つの概念を明確に区別する こ とは重要です。
4.
スケジューラは、 キュー処理に使用する CoS パラ メ ータ を定義し ます。 スケジューラマ ッ プは、 これらのパラ メ ータ を特定のキューと関連付ける ものです。 Junos OS 搭載デバイスでは、 特定イ ン タ フ ェ ースやユニ ッ ト でスケジューラマ ッ プを使用するよ う に設定する こ とができます。
B - 2 • 解答例と解説