例:サービスフィルターの設定と適用
この例では、サービス フィルターを設定および適用する方法を示します。
要件
この例では、以下のハードウェア コンポーネントのいずれかで論理インターフェイス を使用します。xe-0/1/0.0
M シリーズまたは T シリーズ ルーターの適応可能サービス(AS)PIC
M シリーズまたは T シリーズ ルーター上のマルチサービス(MS)PIC
MXシリーズルーター上のマルチサービス(MS)DPC
EX シリーズ スイッチ
開始する前に、以下を確認してください。
サポートされているルーター(またはスイッチ)とPICまたはDPCをインストールし、ルーター(またはスイッチ)の初期設定を実行している。
トポロジーに基本イーサネットを設定し、トラフィックがトポロジー内を流れていること、およびIPv4トラフィックが論理インターフェース を通過していることを確認。
xe-0/1/0.0サービス入出力ルールと、サービスインターフェイスでのサービスのデフォルト設定を使用して、サービスセット を構成しました。
vrf_svcs
サービス セットの設定のガイドラインについては、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。Configuring Service Sets to be Applied to Services Interfaces
概要
この例では、IPv4 トラフィック用に 3 種類のサービス フィルターを作成します。1 つの入力サービス フィルター、1 つのポスト サービス入力フィルター、および 1 つの出力サービス フィルター。同じサービス セットに異なるサービス フィルターを適用できます。関連項目:サービス インターフェイスに適用されるサービス セットの設定
トポロジー
論理インターフェイス の入力トラフィックに入力サービスフィルタと事後サービス入力フィルタを適用し、同じ論理インターフェイス の出力トラフィックに出力サービスフィルタを適用します。xe-0/1/0.0
入力サービス処理に受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス では、 サービスフィルタを使用して、 サービスセットに関連付けられたサービスによる処理のためにトラフィックが受け入れられる前に、 サービスフィルタを使用して IPv4 入力トラフィックをフィルタリングします。
xe-0/1/0.0in_filter_presvcvrf_svcsサービス フィルターは 、ICMP ポート 179 から送信されたパケットをカウントし、これらのパケットをサービス セット に関連付けられている入力サービスに送信し、他のすべてのパケットを破棄します。in_filter_presvcvrf_svcs入力サービス処理完了後の IPv4 トラフィックのフィルタリング:論理インターフェイス では、サービス フィルタ を使用して、入力サービス セット の実行後にサービス インターフェイスに戻るトラフィックをフィルタリングします。
xe-0/1/0.0in_filter_postsvcin_filter_presvcサービス フィルターは 、ICMP ポート 179 から送信されたパケットをカウントしてから破棄します。in_filter_postsvc出力サービス処理に受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス では、サービス フィルタ を使用して、サービス セット に関連付けられたサービスによる処理のためにトラフィックが受け入れられる前に、IPv4 出力トラフィックをフィルタリングします。
xe-0/1/0.0out_filter_presvcvrf_svcsサービスフィルタは 、TCPポート179宛てのパケットをカウントし、サービスセット に関連付けられた出力サービスにパケットを送信します。out_filter_presvcvrf_svcs
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
3 つのサービス フィルターの設定
ステップバイステップでの手順
3 つのサービス フィルターを設定するには、次の手順に従います。
入力サービスフィルターを設定します。
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
ポストサービス入力フィルターを設定します。
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
出力サービスフィルターを設定します。
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
結果
設定モードコマンドを入力して、入出力サービスフィルタとポストサービス入力フィルタの設定を確認します 。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
3 つのサービス フィルターの適用
ステップバイステップでの手順
3 つのサービス フィルターを適用するには:
入力インターフェイス で IPv4 プロトコルにアクセスします。
xe-0/1/0.0[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
入力サービスフィルターと事後サービス入力フィルターを適用します。
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
結果
設定モード コマンドを入力して、インターフェイスの設定 を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
デバイスの設定が完了したら、受験者の設定をコミットします。
検証
設定が正常に機能していることを確認します。
- インバウンドトラフィックが入力サービスの前にフィルタリングされていることの確認
- 入力サービス処理後のインバウンドトラフィックのフィルタリングの確認
- 出力サービス処理の前にアウトバウンドトラフィックがフィルタリングされていることの確認
インバウンドトラフィックが入力サービスの前にフィルタリングされていることの確認
目的
TCPポート179から送信されたインバウンドパケットが、サービスセットに関連付けられた入力サービスによる処理のために送信されることを確認します。vrf_svcs
アクション
サービスセットに関連付けられた入力サービスによる処理のために送信されたパケットの数を表示します。vrf_svcs
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
入力サービス処理後のインバウンドトラフィックのフィルタリングの確認
目的
TCPポート179から送信されたインバウンドパケットが、サービスセットに関連付けられた入力サービスによる処理から戻されていることを確認します。vrf_svcs
アクション
サービスセットに関連付けられた入力サービスによる処理から返されたパケットの数を表示します。vrf_svcs
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn