例:インターフェイス固有のファイアウォールフィルターカウンターの設定
この例では、インターフェイス固有の標準ステートレス ファイアウォール フィルターを設定して適用する方法を示します。
要件
インターフェイス固有のステートレス ファイアウォール フィルターは、MX シリーズ ルーターでのみサポートされています。
この例を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
概要
この例では、指定されたプレフィックスの送信元または宛先アドレス、および特定の 値に設定されたIPプロトコルタイプフィールドを持つパケットをカウントして受け入れるインターフェース固有のステートレスファイアウォールフィルターを作成します。
トポロジー
インターフェイス固有のステートレスファイアウォールフィルター filter_s_tcp を設定して、 10.0.0.0/12 プレフィックス内のIP送信元または宛先アドレスで、IP プロトコルタイプフィールドが tcp (または数値 6)に設定されているパケットをカウントして受け入れます。
ファイアウォールフィルターカウンターの名前は count_s_tcpです。
ファイアウォールフィルターは、複数の論理インターフェイスに適用します。
at-1/1/1.0入力so-2/2/2.2出力
これら 2 つのインターフェイスにフィルターを適用すると、それぞれ filter_s_tcp-at-1/1/1.0-i と filter_s_tcp-so-2/2/2.2-o の 2 つのフィルター インスタンスが作成されます。
設定
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイックコンフィグレーション
- インターフェイス固有のファイアウォールフィルターを設定する
- インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する
- 受験者の設定を確認する
- カウンターをクリアし、受験者の設定をコミットします
CLIクイックコンフィグレーション
この例をすばやく設定するには、以下のコマンドをテキストファイルにコピーし、改行を削除してから、 [edit] 階層レベルのCLIにコマンドを貼り付けます。
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
インターフェイス固有のファイアウォールフィルターを設定する
ステップバイステップの手順
インターフェイス固有のファイアウォールフィルターを設定するには:
IPv4ファイアウォールフィルター
filter_s_tcpを作成します。[edit] user@host# edit firewall family inet filter filter_s_tcp
フィルターのインターフェイス固有のインスタンスを有効にします。
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
条件の一致条件を設定します。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
用語のアクションを設定します。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する
ステップバイステップの手順
論理インターフェイスat-1/1/1.0とso-2/2/2.2にフィルターfilter_s_tcpを適用するには:
論理インターフェイス
at-1/1/1.0で受信したパケットに、インターフェイス固有のフィルターを適用します。[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
論理インターフェイス
so-2/2/2.2から送信されるパケットにインターフェイス固有のフィルターを適用します。[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
受験者の設定を確認する
ステップバイステップの手順
受験者の設定を確認するには:
show firewall設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この例の指示を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }show interfacesconfiguration mode コマンドを入力して、インターフェイスの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この例の指示を繰り返して設定を修正します。[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
カウンターをクリアし、受験者の設定をコミットします
ステップバイステップの手順
カウンターをクリアして受験者の設定をコミットするには:
運用コマンドモードから、
clear firewall allコマンドを使用して、すべてのファイアウォールフィルターの統計情報をクリアします。この例で使用されているカウンターのみをクリアするには、インターフェイス固有のフィルターインスタンス名を含めます。
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
候補の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認します。
複数のインターフェイスのそれぞれにフィルターが適用されていることを確認する
目的
フィルターが複数のインターフェイスのそれぞれに適用されていることを確認します。
アクション
detailまたはextensive出力レベルでshow interfacesコマンドを実行します。
at-1/1/1.0の入力にフィルターが適用されていることを確認します。user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,so-2/2/2.2の出力にフィルターが適用されていることを確認します。user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,