Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイスグループでのステートレスファイアウォールフィルターの設定

ファイアウォールフィルターは、ネットワークを保護し、ネットワーク管理を簡素化するために不可欠です。Junos OSでは、ステートレスファイアウォールフィルターを設定して、システムを通過するデータパケットの通過を制御し、必要に応じてパケットを操作できます。ステートレス ファイアウォール フィルターをインターフェイス グループに適用すると、インターフェイス グループ内の各インターフェイスを通過するパケットをフィルタリングするのに役立ちます。この例では、特定のインターフェイスグループに対してタグ付けされたパケットに一致するように、標準のステートレスファイアウォールフィルターを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ルーティング インスタンスに属するインターフェイスを介して物理的または論理的に接続されている 2 台のジュニパーネットワークスのルーターまたはスイッチ

  • Junos OS リリース 7.4 以降

概要

ステートレスファイアウォールフィルターをインターフェイスグループに適用して、インターフェイスグループ内のすべてのインターフェイスに適用することができます。これにより、さまざまなインターフェイス上のパケットフィルタリングを同時に管理することができます。

この例では、2 つのルーターまたはスイッチ インターフェイスがインターフェイス グループに属するように設定します。また、ステートレス ファイアウォール フィルターも 3 つの条件で構成します。条件 term1では、フィルターは、そのインターフェイスグループで受信済みとしてタグ付けされたパケットと一致します ICMPプロトコルタグを含む。フィルターは、条件に一致するパケットをカウントし、ログに記録し、拒否します。条件 term2では、フィルターはICMPプロトコルタグを含むパケットに一致します。フィルターは、条件に一致するすべてのパケットをカウントし、ログに記録し、受け入れます。条件 term3 では、フィルターはすべてのトランジットパケットをカウントします。

ファイアウォールフィルターをルーティングインスタンスに適用することで、インターフェイスグループ内のすべてのインターフェイスにフィルタリングメカニズムを同時に適用できます。そのためには、インターフェイス グループ内のすべてのインターフェイスが 1 つのルーティング インスタンスに属している必要があります。

注:

ファイアウォールフィルターをループバックインターフェイスに適用すると、インターフェイスはルーティングエンジン宛てのすべてのパケットをフィルタリングします。

図 1: インターフェイスグループでのステートレスファイアウォールフィルターの設定インターフェイスグループでのステートレスファイアウォールフィルターの設定

CLIクイック設定には、 図 1内のすべてのデバイスの設定が表示されます。「ステップバイステップの手順」セクションでは、デバイスR1の手順について説明します。

設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

デバイスR0

デバイスR1

インターフェイスグループでのステートレスファイアウォールフィルターの設定と適用

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザー・ガイド設定モードでのCLIエディターの使用を参照してください。

インターフェイスグループでステートレスファイアウォールフィルター filter_if_group を設定するには:

  1. ステートレス ファイアウォール フィルター filter_if_groupを作成します。

  2. インターフェイスを設定し、2つのインターフェイスをインターフェイスグループ 1に割り当てます。

  3. 条件 term1 を、インターフェイスグループ1 および ICMP プロトコルで受信したパケット と一致するように設定します。

  4. 条件 term1 を設定して、一致するすべてのパケットをカウント、ログ記録、拒否します。

  5. パケットをICMPプロトコルと照合するように条件 term2 を設定します。

  6. 条件 term2 を設定して、一致するすべてのパケットをカウントし、ログに記録し、受け入れます。

  7. すべてのトランジットパケットをカウントするように条件 term3 を設定します。

  8. ファイアウォールフィルターをルーティングインスタンスに適用することで、ルーター(またはスイッチ)のインターフェイスグループに適用します。

  9. デバイスの設定が完了したら、受験者の設定をコミットします。

結果

設定モードから、 show interfacesshow firewall、および show forwarding-options コマンドを発行して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

インターフェイスの設定の確認

目的

インターフェイスが正しく設定されていることを確認します。

アクション

インターフェイスの状態を表示するには、 show interfaces terse 運用モード コマンドを使用します。

デバイスR0

デバイスR1

意味

デバイス R0 および R1 のすべてのインターフェイスは、物理的に接続され、稼働しています。デバイス R1 で 1 インターフェイス グループは、ge-0/0/0.0 と ge-0/0/2.0 の 2 つのインターフェイスで構成されています。

ステートレス ファイアウォール フィルター構成の検証

目的

ファイアウォールフィルターの一致条件が正しく設定されていることを確認します。

アクション

  • ファイアウォール フィルター カウンターを表示するには、 show firewall filter filter_if_group 動作モード コマンドを入力します。

  • ファイアウォール フィルターで評価されたパケットのパケット ヘッダーのローカル ログを表示するには、 show firewall log 運用モード コマンドを入力します。

  • デバイス R1 のインターフェイス グループ 1 でファイアウォール フィルターがアクティブであることを確認するには、デバイス R0 の CLI で ping <address> operational mode コマンドを使用します。

  • インターフェイスグループ 1にないインターフェイスにファイアウォールフィルターが適用されないようにするには、デバイスR0のCLIで ping <address> operational modeコマンドを使用します。

意味

ステートレス ファイアウォール フィルターは、インターフェイス グループ 1 のすべてのインターフェイスに適用されます。ステートレス ファイアウォール フィルターの term1 一致条件という用語は、インターフェイス グループ 1 のインターフェイスで送信元 ICMP プロトコルを使用して送受信されたパケットをカウント、ログ、および拒否します。一致条件 term2 用語は、ICMPプロトコルでタグ付けされたパケットと一致し、それらのパケットをカウント、ログ、受け入れます。条件 term3 一致条件は、すべてのトランジットパケットをカウントします。