例:インターフェイス固有のファイアウォール フィルター カウンターの設定
この例では、インターフェイス固有の標準ステートレス ファイアウォール フィルターを構成して適用する方法を示します。
要件
インターフェイス固有のステートレス ファイアウォール フィルターは、T Series、M120、M320、MX シリーズ ルーターでのみサポートされています。
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、指定したプレフィックスに送信元または宛先アドレスがあり、IP プロトコル タイプ フィールドを特定の値に設定したパケットをカウントして受け入れる、インターフェイス固有のステートレス ファイアウォール フィルターを作成します。
トポロジー
インターフェイス固有のステートレス ファイアウォール フィルターを設定して、プレフィックス内の IP 送信元または宛先アドレスと IP プロトコル タイプ フィールドが (または数値)に設定されているパケットをカウントして受け入れます。filter_s_tcp10.0.0.0/12tcp6
ファイアウォール フィルター カウンターの名前は です。count_s_tcp
ファイアウォールフィルターは、複数の論理インターフェイスに適用します。
at-1/1/1.0入力so-2/2/2.2出力
これら 2 つのインターフェイスにフィルターを適用すると、フィルターの 2 つのインスタンスが生成されます。 と をそれぞれ使用します。filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- インターフェイス固有のファイアウォールフィルターを設定する
- インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する
- 候補の設定を確認する
- カウンターをクリアし、受験者の設定をコミットします
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
インターフェイス固有のファイアウォールフィルターを設定する
ステップバイステップでの手順
インターフェイス固有のファイアウォールフィルターを設定するには:
IPv4ファイアウォールフィルター を作成します。
filter_s_tcp[edit] user@host# edit firewall family inet filter filter_s_tcp
フィルターのインターフェイス固有のインスタンスを有効にします。
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
条件の一致条件を設定します。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
用語のアクションを設定します。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する
ステップバイステップでの手順
フィルター を論理インターフェイス に適用するには と :filter_s_tcpat-1/1/1.0so-2/2/2.2
論理インターフェイス で受信したパケットにインターフェイス 固有のフィルターを適用します。
at-1/1/1.0[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
インターフェイス固有のフィルターを、 論理インターフェイス から送信されるパケットに適用します。
so-2/2/2.2[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
候補の設定を確認する
ステップバイステップでの手順
受験者の設定を確認するには:
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewallコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }設定モード コマンドを入力して、インターフェイスの設定 を確認します。
show interfacesコマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
カウンターをクリアし、受験者の設定をコミットします
ステップバイステップでの手順
カウンターをクリアして受験者の設定をコミットするには:
動作コマンド モードから、 コマンドを使用して、 すべてのファイアウォール フィルターの統計情報をクリアします。
clear firewall allこの例で使用されているカウンターのみをクリアするには、インターフェイス固有のフィルター インスタンス名を含めます。
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
候補の構成をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認します。
フィルターが複数のインターフェイスのそれぞれに適用されていることの確認
目的
フィルターが複数のインターフェイスのそれぞれに適用されていることを確認します。
アクション
または 出力レベルでコマンドを実行します。show interfacesdetailextensive
フィルターが次の 入力に適用されていることを確認します。
at-1/1/1.0user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,フィルターが次の 出力に適用されていることを確認します。
so-2/2/2.2user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,