Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

インターフェイス固有のファイアウォール フィルター インスタンスの概要

インターフェイス固有のファイアウォールフィルターのインスタンス化

T Series、M120、M320、MXシリーズルーター、EXシリーズスイッチでは、Junos OSを有効にして、フィルターを適用するインターフェイスごとにファイアウォールフィルターのインターフェイス固有のインスタンスを自動的に作成できます。ファイアウォールフィルターのインターフェイス固有のインスタンス化を有効にし、そのフィルターを複数のインターフェイスに適用すると、複数のインターフェイスのトラフィックの合計に関係なく、フィルター条件で設定されたアクションまたはアクションは、個々のインターフェイスから送受信されるトラフィックストリームに作用します。countpolicer

フィルター構成に ステートメントを含める ことで、ファイアウォールフィルターごとにこのオプションを有効にすることができます。interface-specific

注:

T Series、M120、M320、MXシリーズルーター、EXシリーズスイッチでは、インターフェイスは複数のパケット転送コンポーネントに分配されます。

インターフェイス固有のファイアウォールフィルタリングは、M120およびM320ルーター以外のM Seriesルーターではサポートされていません。M120またはM320ルーター以外のM Seriesルーター上の複数のインターフェイスにファイアウォールフィルターを適用した場合、フィルターはそれらのインターフェイスから送受信されるトラフィックの合計に作用します。

インターフェイス固有のファイアウォール フィルタリングは、標準のステートレス ファイアウォール フィルターとサービス フィルターでサポートされています。インターフェイス固有のインスタンスは、シンプルフィルターではサポートされていません。

ファイアウォールフィルターインスタンスのインターフェイス固有の名前

Junos OSが論理インターフェイス用にファイアウォールフィルターの別のインスタンスを作成すると、そのインスタンスはインターフェイス固有の名前に関連付けられます。システムが生成するファイアウォールフィルターインスタンスの名前は、設定されたフィルターの名前、ハイフン('')、完全なインターフェイス名、入力フィルターインスタンスの場合は「'」、出力フィルターインスタンスの場合は「'」で構成されます。--i-o

  • —例えば、インターフェイス固有のファイアウォールフィルター を 論理インターフェイス の入力に適用すると、Junos OSは次のシステム生成名でインターフェイス固有のフィルターインスタンスをインスタンス化します。Input filter instance namefilter_s_tcpat-1/1/1.0

  • —例えば、インターフェイス固有のファイアウォールフィルター を 論理インターフェイス の出力に適用した場合、Junos OSは次のシステム生成の名前でインターフェイス固有のフィルターインスタンスをインスタンス化します。Output filter instance namefilter_s_tcpge-2/2/2.2

ステートレスファイアウォールフィルター名を指定するJunos OS動作モードコマンドを入力すると、フィルターインスタンスのインターフェイス固有の名前を使用できます。

ヒント:

インターフェイス固有のインスタンスを有効にしてファイアウォールフィルターを設定する場合、フィルター名の長さを 52 バイト に制限することをお勧めします。これは、ファイアウォールフィルター名の長さが 64 バイト に制限されているためです。システム生成のフィルターインスタンス名がこの最大長を超えると、ポリシーフレームワークソフトウェアがそのインスタンス名を拒否することがあります。

インターフェイス固有のファイアウォール フィルター カウンター

インターフェイス固有のファイアウォールフィルターをインスタンス化すると、パケット転送エンジンは、ファイアウォールフィルターのカウンターをインターフェイスごとに個別に維持します。非終了アクションを指定する ことで、ファイアウォール フィルターの条件ごとにインターフェイス固有のカウンターを指定します。count counter-name

システムが生成するインターフェイス固有のファイアウォール フィルター カウンター名は、設定されたカウンターの名前、ハイフン('')、完全なインターフェイス名、入力フィルター インスタンスの場合は ''、出力フィルター インスタンスの場合は ''で構成されます。--i-o

  • —例えば、インターフェイス固有のファイアウォールフィルターにフィルターカウンター を設定するとします。Interface-specific input filter counter namecount_tcp フィルターが論理インターフェイス の入力に適用されると、Junos OSは次のシステム生成カウンター名を作成します。at-1/1/1.0

  • —例えば、インターフェイス固有のファイアウォールフィルターにフィルターカウンター を設定するとします。Interface-specific output filter counter namecount_udp フィルターが論理インターフェイス の出力に適用されると、Junos OSは次のシステム生成カウンター名を作成します。ge-2/2/2.2

インターフェイス固有のファイアウォール フィルター ポリサー

インターフェイス固有のファイアウォールフィルターをインスタンス化すると、ファイアウォールフィルターカウンターの個別のインスタンスが作成されるだけでなく、ポリサーアクションの個別のインスタンスも作成されます。ファイアウォールフィルター設定で指定されたアクションを通じて適用されるポリサーは、インターフェイスグループ内の各インターフェイスに個別に適用されます。非終了アクションを指定することで、 ファイアウォールフィルターの条件ごとにインターフェイス固有のポリサーを指定します。policer policer-name

関連項目