論理システムのファイアウォール フィルター
ファイアウォールフィルターは、インターフェイスを通過するパケットを受け入れるか、破棄することを定義するルールを提供します。詳細については、以下のトピックを参照してください。
標準のファイアウォール フィルターを使用する方法を理解する
標準のファイアウォール フィルターを使用してローカル パケットに影響を与える
ルーターでは、インターフェイスに1つの物理ループバックインターフェイス、 lo0、および1つ以上のアドレスを設定できます。ループバック インターフェイスは、ルーティング エンジンへのインターフェイスであり、すべての制御プロトコルを実行および監視します。ループバックインターフェイスは、ローカルパケットのみを伝送します。ループバック インターフェイスに適用される標準ファイアウォール フィルターは、ルーティング エンジン宛てまたはルーティング エンジンから送信されるローカル パケットに影響を与えます。
追加のループバックインターフェイスを作成する場合、ルーティングエンジンが保護されるように、それにフィルターを適用することが重要です。ループバックインターフェイスにフィルターを適用する場合、 apply-groups ステートメントを含めるすることをお勧めします。これにより、 lo0 やその他のループバックインターフェイスを含むすべてのループバックインターフェイスでフィルターが自動的に継承されます。
信頼できるソース
標準のステートレス ファイアウォール フィルター の一般的な用途は、ルーティング エンジンのプロセスとリソースを悪意のあるパケットや信頼できないパケットから保護することです。ルーティング エンジンが所有するプロセスとリソースを保護するために、ルーティング エンジンへの到達を許可するプロトコルとサービス、またはアプリケーションを指定する標準のステートレス ファイアウォール フィルターを使用できます。このタイプのフィルターをループバックインターフェイスに適用することで、ローカルパケットが信頼できるソースから確実に送信され、ルーティングエンジン上で実行されているプロセスが外部攻撃から保護されます。
フラッド防御
ルーティング エンジンを宛先とする特定の TCP および ICMP トラフィックを制限する、標準のステートレス ファイアウォール フィルターを作成できます。このような防御機能を備えないルーターは、サービス拒否(DoS)攻撃とも呼ばれる TCP および ICMP フラッド攻撃に対して脆弱です。例えば:
接続要求を開始する SYN パケットの TCP フラッド攻撃は、正規の接続要求を処理できなくなるまでデバイスを圧倒する可能性があり、その結果、サービス拒否が発生します。
ICMPフラッドは、非常に多くのエコーリクエスト(pingリクエスト)でデバイスに過負荷をかけ、すべてのリソースが応答して消費され、有効なネットワークトラフィックを処理できなくなったため、サービス拒否が発生します。
適切なファイアウォール フィルターをルーティング エンジンに適用することで、このような攻撃から保護します。
標準のファイアウォール フィルターを使用してデータ パケットに影響を与える
ルーターのトランジット インターフェイスに適用する標準のファイアウォール フィルターは、送信元から宛先に転送されるルーターを直接別のインターフェイスから別のインターフェイスに転送するユーザー データ パケットのみを評価します。特定のインターフェイスでの不正アクセスやその他の脅威からネットワーク全体を保護するには、ファイアウォール フィルター ルータートランジット インターフェイスを適用します。
「」も参照
例:ICMPフラッドから論理システムを保護するためのステートレスファイアウォールフィルターの設定
この例では、論理システムに対する ICMP サービス拒否攻撃から保護するステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
この例では、ICMP パケットをポリシングする protect-RE と呼ばれるステートレス ファイアウォール フィルターを示しています。では icmp-policer 、ICMP パケットのトラフィック レートを 1,000,000 bps に、バースト サイズを 15,000 バイトに制限します。トラフィック レートを超えるパケットは破棄されます。
ポリサーは、 と呼ばれる icmp-termフィルター条件のアクションに組み込まれます。
この例では、直接接続された物理ルーターから論理システムで設定されたインターフェイスに ping が送信されます。ICMP パケットが最大 1 Mbps(帯域幅制限)の速度で受信された場合、論理システムは ICMP パケットを受け入れます。このレートを超えると、論理システムはすべての ICMP パケットをドロップします。ステートメントは burst-size-limit 、最大 15 Kbps のトラフィック バーストを受け入れます。バーストがこの制限を超えると、すべてのパケットがドロップされます。フロー レートが下がると、ICMP パケットは再び受け入れられます。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでCLIエディターを使用するを参照してください。
論理システムで ICMP ファイアウォール フィルターを設定するには、
論理システム上のインターフェイスを設定します。
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
インターフェイスで ICMP パケットを受信することを明示的に有効にします。
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
ポリサーを作成します。
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
フィルター条件にポリサーを適用します。
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
論理システム インターフェイスにポリサーを適用します。
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
コマンドを発行して、設定を show logical-systems LS1 確認します。
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
検証
設定が正しく機能していることを確認します。
制限を超えない限り Ping の動作を確認する
目的
論理システム インターフェイスが ICMP ベースの DoS 攻撃から保護されていることを確認します。
アクション
論理システムに接続しているシステムにログインし、 コマンドを ping 実行します。
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
意味
通常の ping を送信すると、パケットが受け入れられます。フィルター制限を超える ping パケットを送信すると、パケットは破棄されます。
例:論理システムでのフィルターベースの転送の設定
この例では、論理システム内でフィルターベースの転送を設定する方法を示しています。フィルターは、パケットを分類して、イングレスルーティングデバイス内の転送パスを決定します。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
フィルターベースの転送は、IPv4(IP バージョン 4)と IPv6(IP バージョン 6)でサポートされています。
顧客が異なる ISP によって提供されるインターネット接続を持ち、共通のアクセス レイヤーを共有している場合、サービス プロバイダの選択にフィルターベースの転送を使用します。共有メディア(ケーブル モデムなど)を使用すると、共通アクセス レイヤー上のメカニズムがレイヤー 2 またはレイヤー 3 のアドレスを確認し、顧客間の識別を行います。レイヤー 2 スイッチと単一ルーターの組み合わせを使用して共通アクセス レイヤーを実装する場合、フィルターベースの転送を使用できます。
フィルターベースの転送では、インターフェイスで受信したすべてのパケットが考慮されます。各パケットは、一致条件を持つフィルターを通過します。フィルターの一致条件に一致し、ルーティングインスタンスを作成した場合、フィルターベースの転送がパケットに適用されます。パケットは、ルーティングインスタンスで指定されたネクストホップに基づいて転送されます。静的ルートの場合、ネクストホップは特定のLSPにすることができます。
フィルタベースフォワーディング(FBF)で設定されたインターフェイスでは、送信元クラスの使用フィルターの照会とユニキャストのリバースパス転送チェックはサポートされていません。
フィルターベースの転送を設定するには、以下のタスクを実行します。
イングレスルーターまたはスイッチで一致フィルターを作成します。一致フィルターを指定するには、 階層レベルに
filter filter-nameステートメントを[edit firewall]含めます。フィルターを通過するパケットは、一連のルールと比較して分類し、セット内のメンバーシップを決定します。パケットは、分類されると、フィルター記述言語の accept アクションで指定されたルーティング テーブルに転送されます。ルーティングテーブルは、次に、テーブル内の宛先アドレスエントリーに対応するネクストホップにパケットを転送します。パケットを転送するルーティング テーブルと、 または
[edit logical-systems logical-system-name routing-instances]階層レベルでパケットを転送する宛先を指定するルーティング インスタンスを[edit routing-instances]作成します。例えば:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }フィルターベースフォワーディング(FBF)で使用される転送ルーティングインスタンスとデフォルトルーティングインスタンスにインターフェイスルートを追加するルーティングテーブルグループを作成します
inet.0。設定のこの部分は、ルーティングインスタンスにインストールされたルートを、そのインターフェイス上の直接接続されたネクストホップに解決します。または[edit logical-systems logical-system-name routing-options]階層レベルでルーティング テーブル グループを[edit routing-options]作成します。
インターフェイスルートがインポートされるルーティングインスタンスの1つとして指定 inet.0 します。デフォルトインスタンス inet.0 が指定されていない場合、インターフェイスルートはデフォルトルーティングインスタンスにインポートされません。
この例では、パケットの送信元アドレスに基づいて、顧客のトラフィックをドメイン(SP 1 または SP 2)のネクストホップ ルーターに誘導するパケット フィルターを示しています。
パケットに SP 1 カスタマーに割り当てられた送信元アドレスがある場合、sp1-route-table.inet.0 ルーティング テーブルを使用して宛先ベースの転送が発生します。パケットに SP 2 カスタマーに割り当てられた送信元アドレスがある場合、sp2-route-table.inet.0 ルーティング テーブルを使用して宛先ベースの転送が発生します。パケットがこれらの条件のいずれにも一致しない場合、フィルターはパケットを受け入れ、標準のinet.0ルーティングテーブルを使用して宛先ベースの転送が行われます。
論理システム内でフィルターベースの転送を機能させる方法の 1 つは、パケットを受信する論理システムにファイアウォール フィルターを設定することです。もう 1 つの方法は、メイン ルーターでファイアウォール フィルターを設定してから、ファイアウォール フィルター内の論理システムを参照することです。この例では、2 つ目のアプローチを使用します。特定のルーティング インスタンスは、論理システム内で設定されます。各ルーティングインスタンスには独自のルーティングテーブルがあるため、ファイアウォールフィルター内のルーティングインスタンスも参照する必要があります。構文は次のようになります。
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
トポロジ
図 2 は、この例で使用したトポロジーを示しています。
論理システム P1 では、入力フィルターが論理システム PE3 および論理システム PE4 から受信したパケットを分類します。パケットは送信元アドレスに基づいてルーティングされます。10.1.1.0/24 および 10.1.2.0/24 ネットワークに送信元アドレスを持つパケットは、論理システム PE1 にルーティングされます。10.2.1.0/24 および 10.2.2.0/24 ネットワークに送信元アドレスを持つパケットは、論理システム PE2 にルーティングされます。
備えた論理システム
接続を確立するために、すべてのインターフェイスにOSPFが設定されています。デモ用に、ループバック インターフェイス アドレスは、クラウド内のネットワークを表すようにルーティング デバイス上で設定されます。
CLI クイック設定セクションには、トポロジー内のすべてのデバイスの設定全体が表示されます。「論理システムP1でのルーティングインスタンスの設定」および「メインルーターでのファイアウォールフィルターの設定」セクションでは、イングレスルーティングデバイスである論理システムP1の設定をステップバイステップで示しています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し 、[edit] 階層レベルの CLI にコマンドをコピー アンド ペーストします。
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
メイン ルーターでのファイアウォール フィルターの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
メインルーターでファイアウォールフィルターを設定するには:
SP1 顧客の送信元アドレスを設定します。
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
指定された送信元アドレスを持つパケットを受信したときに実行されるアクションを設定します。
ファイアウォールフィルターのアクションを追跡するには、ログアクションが設定されています。論理システム P1 の sp1-route-table.inet.0 ルーティング テーブルは、パケットをルーティングします。
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
SP2 顧客の送信元アドレスを設定します。
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
指定された送信元アドレスを持つパケットを受信したときに実行されるアクションを設定します。
ファイアウォールフィルターのアクションを追跡するには、ログアクションが設定されています。論理システム P1 の sp2-route-table.inet.0 ルーティング テーブルは、パケットをルーティングします。
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
他の送信元アドレスからパケットを受信したときに実行するアクションを設定します。
これらのパケットはすべて、デフォルトの IPv4 ユニキャスト ルーティング テーブル inet.0 を使用して、単純に受け入れられ、ルーティングされます。
[edit firewall filter classify-customers term default] user@host# set then accept
論理システム P1 でのルーティング インスタンスの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
論理システムでルーティング インスタンスを設定するには、次の手順にしたがっています。
論理システム上のインターフェイスを設定します。
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
ファイアウォールフィルターを
classify-customers入力パケットフィルターとしてルーターインターフェイスlt-1/2/0.10に割り当てます。[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
ルーティング プロトコルまたはスタティック ルーティングのいずれかを使用して接続を設定します。
ベストプラクティスとして、管理インターフェイスでルーティングを無効にします。
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
ルーティング インスタンスを作成します。
これらのルーティング インスタンスは、ファイアウォール フィルターで
classify-customers参照されます。転送インスタンス タイプは、インターフェイスがインスタンスに関連付けられていないフィルターベースの転送をサポートします。すべてのインターフェイスは、デフォルトのインスタンス(この場合は論理システム P1)に属します。
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
ルーティングインスタンスにインストールされたルートを直接接続されたネクストホップに解決します。
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
ルーティングテーブルをグループ化して、ルーティングテーブルグループを形成します。
最初のルーティングテーブルinet.0はプライマリルーティングテーブルで、追加のルーティングテーブルはセカンダリルーティングテーブルです。
プライマリルーティングテーブルは、ルーティングテーブルグループ(ここではIPv4)のアドレスファミリーを決定します。
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
ルーティング テーブル グループを OSPF に適用します。
これにより、OSPF ルートがグループ内のすべてのルーティング テーブルにインストールされます。
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
および show logical-systems P1 コマンドを発行して、設定をshow firewall確認します。
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
検証
設定が正しく機能していることを確認します。
指定された送信元アドレスを持つ ping
目的
ファイアウォール フィルターをテストするために、ネットワークを介していくつかの ICMP パケットを送信します。
アクション
論理システム PE3 にログインします。
user@host> set cli logical-system PE3 Logical system: PE3
コマンドを
ping実行し、論理システム PE1 の lo0.3 インターフェイスに ping を実行します。このインターフェイスで設定されたアドレスは172.16.1.1です。
論理システム PE3 の lo0.1 インターフェイスで設定されたアドレスである送信元アドレス 10.1.2.1 を指定します。
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
論理システム PE4 にログインします。
user@host:PE3> set cli logical-system PE4 Logical system: PE4
コマンドを
ping実行し、論理システム PE2 の lo0.4 インターフェイスに ping を実行します。このインターフェイスで設定されたアドレスは172.16.2.2です。
論理システム PE4 の lo0.2 インターフェイスで設定されたアドレスである送信元アドレス 10.2.1.1 を指定します。
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
意味
これらの ping を送信すると、ファイアウォール フィルター アクションがアクティブになります。
ファイアウォールフィルターの検証
目的
ファイアウォール フィルターのアクションが有効になっていることを確認します。
アクション
論理システム P1 にログインします。
user@host> set cli logical-system P1 Logical system: P1
show firewall log論理システム P1 で コマンドを実行します。user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1