Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

インターフェイス固有のファイアウォールフィルターインスタンスの概要

インターフェイス固有のファイアウォールフィルターのインスタンス化

Junos OS を有効にして、フィルターを適用するインターフェイスごとに、 ファイアウォール フィルター のインターフェイス固有のインスタンスを自動的に作成できます。ファイアウォールフィルターのインターフェイス固有のインスタンス化を有効にし、そのフィルターを複数のインターフェイスに適用すると、フィルター条件で設定された count アクションまたは policer アクションは、複数のインターフェイスのトラフィックの合計に関係なく、個々のインターフェイスに出入りするトラフィックストリームに作用します。

フィルター設定に interface-specific ステートメントを含めることで、ファイアウォールフィルターごとにこのオプションを有効にできます。

インターフェイス固有のファイアウォールフィルタリングは、標準ステートレスファイアウォールフィルターとサービスフィルターでサポートされています。インターフェイス固有のインスタンスは、 シンプルフィルターではサポートされていません 。

注:

ファイアウォールフィルターを、インターフェイス固有とインターフェイス共有の両方にすることはできません。

ファイアウォールフィルターインスタンスのインターフェイス固有名

Junos OSが 論理インターフェイス用にファイアウォールフィルターの個別のインスタンスを作成すると、インスタンスはインターフェイス固有の名前に関連付けられます。システム生成のファイアウォールフィルターインスタンスの名前は、設定されたフィルターの名前の後にハイフン('-')、フルインターフェイス名、および入力フィルターインスタンスの「-i」または出力フィルターインスタンスの「-o」で構成されます。

  • Input filter instance name例えば、論理インターフェイスat-1/1/1.0での入力にインターフェイス固有のファイアウォールフィルターfilter_s_tcpを適用すると、Junos OSは、次のシステム生成名でインターフェイス固有のフィルターインスタンスをインスタンス化します。

  • Output filter instance name例えば、論理インターフェイスso-2/2/2.2での出力にインターフェイス固有のファイアウォールフィルターfilter_s_tcpを適用すると、Junos OSは、次のシステム生成名でインターフェイス固有のフィルターインスタンスをインスタンス化します。

ステートレス ファイアウォール フィルター名を指定する Junos OS 動作モード コマンド を入力すると、フィルター インスタンスのインターフェイス固有の名前を使用できます。

ヒント:

インターフェイス固有のインスタンスを有効にしてファイアウォールフィルターを設定する場合、フィルター名の長さを 52 バイト に制限することをお勧めします。これは、ファイアウォールフィルター名の長さが 64 バイト に制限されているためです。システム生成のフィルターインスタンス名がこの最大長を超えると、ポリシーフレームワークソフトウェアがインスタンス名を拒否することがあります。

インターフェイス固有のファイアウォールフィルターカウンター

インターフェイス固有のファイアウォールフィルターをインスタンス化すると、パケット転送エンジンは、ファイアウォールフィルターのカウンターをインターフェイスごとに個別に維持するようになります。非終了アクション count counter-name を指定することで、ファイアウォールフィルターの条件ごとにインターフェイス固有のカウンターを指定します。

インターフェイス固有のファイアウォールフィルターカウンターのシステム生成名は、設定されたカウンターの名前の後にハイフン('-')、完全なインターフェイス名、および入力フィルターインスタンスの「-i」または出力フィルターインスタンスの「-o」で構成されます。

  • Interface-specific input filter counter name例えば、インターフェイス固有のファイアウォールフィルターにフィルターカウンター count_tcp を設定するとします。論理インターフェイス at-1/1/1.0の入力にフィルターが適用されると、Junos OSは以下のシステム生成カウンター名を作成します。

  • Interface-specific output filter counter name例えば、インターフェイス固有のファイアウォールフィルターに対してフィルターカウンター count_udp を設定するとします。論理インターフェイス so-2/2/2.2での出力にフィルターが適用される場合、Junos OSは以下のシステム生成カウンター名を作成します。

インターフェイス固有のファイアウォールフィルターポリサー

インターフェイス固有のファイアウォールフィルターをインスタンス化すると、ファイアウォールフィルターカウンターの個別のインスタンスが作成されるだけでなく、ポリサーアクションの個別のインスタンスも作成されます。ファイアウォールフィルター設定で指定されたアクションを介して適用されるポリサーは、インターフェイスグループ内の各インターフェイスに個別に適用されます。非終了アクション policer policer-name 指定して、ファイアウォールフィルターの条件ごとにインターフェイス固有のポリサーを指定します。

関連ドキュメント