Juniper FireFlyをもう少し試してみる

前回のエントリ でFireFlyをVMPlayerにセットアップしました。
コンフィグの事前確認とか行えるようになったのですが、もう少し試してみます。

"Flow-Based Forwarding" と "Packet-Based Forwarding" 

FireFlyはSRXベースなのでデフォルトはFlow-Based Forwardingになっています。

確認してみます

(show security flow status)

root> show security flow status
  Flow forwarding mode:
    Inet forwarding mode: flow based
    Inet6 forwarding mode: drop
    MPLS forwarding mode: drop
    ISO forwarding mode: drop
  Flow trace status
    Flow tracing status: off
  Flow session distribution
    Distribution mode: RR-based
  Flow ipsec performance acceleration: off
  Flow packet ordering
    Ordering mode: Hardware

Inet forwarding modeがflow basedになっています。

flowセッションを見てみよう。

(FireFlyのflowセッション)

root> show security flow session
Session ID: 6, Policy name: self-traffic-policy/1, Timeout: 1800, Valid
  In: 192.168.232.1/50156 --> 192.168.232.100/22;tcp, If: ge-0/0/0.0, Pkts: 931, Bytes: 92990
  Out: 192.168.232.100/22 --> 192.168.232.1/50156;tcp, If: .local..0, Pkts: 847, Bytes: 147057
Total sessions: 1

なるほど。ホストPC(192.168.232.1)からFireFly(192.168.232.100)へsshしてるので
そのセッションがつくられてますね。

ホストPC(192.168.232.1)からFireFly(192.168.232.100)へpingも打ち続けてみよう。
こちらもつくられました。

Session ID: 163, Policy name: self-traffic-policy/1, Timeout: 2, Valid
  In: 192.168.232.1/153 --> 192.168.232.100/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
  Out: 192.168.232.100/1 --> 192.168.232.1/153;icmp, If: .local..0, Pkts: 1, Bytes: 60

このままではMXとかルータを模擬したい場合に挙動が違ってくるのでは。
そもそもセッションを持つ機器は好きではない。

そうだ!!Packet-Based Forwardingに変えてみてみよう。

root> configure
root# delete security
root# set security forwarding-options family mpls mode packet-based
root# commit
warning: You have changed mpls flow mode.
You have to reboot the system for your change to take effect.
If you have deployed a cluster, be sure to reboot all nodes.
commit complete

再起動します

起動してきたのでmodeの確認

(show security flow status)

root> show security flow status
  Flow forwarding mode:
    Inet forwarding mode: packet based
    Inet6 forwarding mode: drop
    MPLS forwarding mode: packet based
    ISO forwarding mode: drop
  Flow trace status
    Flow tracing status: off
  Flow session distribution
    Distribution mode: RR-based
  Flow ipsec performance acceleration: off
  Flow packet ordering
    Ordering mode: Hardware

Inet forwarding modeがpacket basedになっています。

ではホストPC(192.168.232.1)からFireFly(192.168.232.100)へsshpingを実施しflowの確認

(FireFlyのflowセッション)

root> show security flow session

お、なにも出てこない。flowセッションを持たなくなりました。
これがpacket baseか!!

flow baseとpacket baseの説明はこちらにあります。
Understanding Packet-Based and Flow-Based Forwarding

"Flow-Based Forwarding" と "Packet-Based Forwarding" 二つのVMを作っておこう。
ありがとうございました。
(ノ´▽`)ノ{+++THANK YOU+++}ヽ(´▽`ヽ)