FireflyのPacket-Based Forwarding化
JuniperのSRXシリーズをルータとして扱う場合、デフォルト設定ではいろいろ不便です。
まぁ、基本FWですから、MXシリーズとかと同じ感じで扱うと、直接接続したSRX同士でpingさえ飛ばず、絶望するわけです。
FireflyもvSRXと呼ばれるとおり、SRXの仮想版なので、同じ壁に多数の人がぶち当たります。
そもそもForwardingのmodeから違う。
普通のルータはPacket-Basedだけど、SRXはFlow-Based。
Fireflyのデフォルトは下記な感じ。
user@firefly> show security flow status Flow forwarding mode: Inet forwarding mode: flow based Inet6 forwarding mode: drop MPLS forwarding mode: drop ISO forwarding mode: drop Flow trace status Flow tracing status: off Flow session distribution Distribution mode: RR-based Flow ipsec performance acceleration: off Flow packet ordering Ordering mode: Hardware
IPv4はflow basedだし、IPv6やMPLSはdrop扱いなので通信不能。
JUNOSのrouting機能を堪能したいネットワーク屋さんにとってはFW機能とか不要!
FW機能を残すと、zoneの設定とかめんどくさいし。
と、いうわけで、Fireflyをルータとして扱うための設定。
[edit] user@firefly# delete security user@firefly# set security forwarding-options family mpls mode packet-based user@firefly# set security forwarding-options family iso mode packet-based user@firefly# set security forwarding-options family inet6 mode packet-based
security設定は全削除して、MPLSやらIPv6やらをpacket-basedに変更。
再起動したら設定変更完了。
user@firefly> show configuration security
forwarding-options {
family {
inet6 {
mode packet-based;
}
mpls {
mode packet-based;
}
iso {
mode packet-based;
}
}
}全項目がpacket basedになっていればOK
user@firefly> show security flow status Flow forwarding mode: Inet forwarding mode: packet based Inet6 forwarding mode: packet based MPLS forwarding mode: packet based ISO forwarding mode: packet based Flow trace status Flow tracing status: off Flow session distribution Distribution mode: RR-based Flow ipsec performance acceleration: off Flow packet ordering Ordering mode: Hardware
上記設定ですが、もちろん万能ではなく、弊害もあるので注意。
当たり前だけど、security配下に設定する必要がある機能とかはダメ。(だって全消ししてるし)
Flow-BasedとPacket-Basedの違いについて詳細に知りたい人は下記参照
Junos OS Flow-Based and Packet-Based Processing Library for Security Devices - Technical Documentation - Support - Juniper Networks
