Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイスグループでのステートレスファイアウォールフィルターの構成

ネットワークのセキュリティーを強化し、ネットワーク管理を簡素化するには、ファイアウォールフィルターが不可欠です。Junos OS では、ステートレスファイアウォールフィルターを構成して、システムを通過するデータパケットの転送を制御し、必要に応じてパケットを操作できます。ステートレスファイアウォールフィルターをインターフェイスグループに適用すると、インターフェイスグループ内の各インターフェイスを通してパケットはにフィルターをかけることができます。この例では、特定のインターフェイスグループにタグ付けされたパケットに一致するように標準のステートレスファイアウォールフィルターを構成する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • ルーティングインスタンスに属するインターフェイスを介して物理的または論理的に接続されている2つのジュニパーネットワークスルーターまたはスイッチ

  • Junos OS リリース7.4 以降

概要

ステートレスファイアウォールフィルターをインターフェイスグループに適用して、インターフェイスグループ内のすべてのインターフェイスに適用することができます。これにより、さまざまなインターフェイス上のパケットフィルタリングを同時に管理できます。

この例では、インターフェイスグループに属する2つのルーターまたはスイッチインターフェイスを構成します。さらに、3つの用語を使用してステートレスファイアウォールフィルターを構成します。このフィルター term1は、そのインターフェイスグループで受信したとしてタグ付けされ、ICMP プロトコルタグを含むパケットを照合します。このフィルターは、条件に一致するパケットをカウント、ログ、拒否します。このフィルター term2は、ICMP プロトコルタグを含むパケットと一致します。このフィルターは、条件に一致するすべてのパケットをカウントしてログを記録し、受け付けます。term3つまり、フィルターは通過したパケットをすべてカウントします。

ファイアウォールフィルターをルーティングインスタンスに適用することで、インターフェイスグループ内のすべてのインターフェイスにも同時にフィルタリングメカニズムを適用できます。このためには、インターフェイスグループ内のすべてのインターフェイスが単一のルーティングインスタンスに属している必要があります。

注:

ファイアウォールフィルターをループバックインターフェイスに適用すると、インターフェイスはルーティングエンジン宛てのすべてのパケットをフィルタリングします。

図 1: インターフェイスグループでのステートレスファイアウォールフィルターの構成インターフェイスグループでのステートレスファイアウォールフィルターの構成

CLI クイック構成に図 1は、のすべてのデバイスの設定が表示されます。このセクションでは、デバイス R1 の手順について順を追って説明します。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

デバイス R0

デバイス R1

インターフェイスグループでステートレスファイアウォールフィルターを構成して適用します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 設定 モード の CLI 編集者 CLI 」を 参照してください

インターフェイスグループでステートレスファイアfilter_if_groupウォールフィルターを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター filter_if_groupを作成します。

  2. インターフェイスを構成し、interface group 1に2つのインターフェイスを割り当てます。

  3. インターフェイス グループで term1 受信したパケットと ICMP プロトコルを使用して 1 、パケットを一致するように用語を設定します。

  4. 条件term1を設定して、一致するすべてのパケットのカウント、記録、および拒否を行います。

  5. ICMP プロトコルterm2を使用してパケットを照合するための条件を構成します。

  6. 条件term2を設定して、一致するすべてのパケットをカウントし、ログに記録し、受け入れるようにします。

  7. すべてのterm3通過パケットをカウントする条件を構成します。

  8. ファイアウォール フィルタをルーティング インスタンスに適用して、ルーター(またはスイッチ)インターフェース グループに適用します。

  9. デバイスの設定が完了したら、受験者の設定を確定します。

結果

設定モードから、、、およびshow interfacesshow firewallshow forwarding-optionsコマンドを発行して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

構成が正常に機能していることを確認します。

インターフェイスの構成の確認

目的

インターフェイスが適切に構成されていることを確認します。

アクション

インターフェイスの状態を表示するには、 show interfaces terse運用モードコマンドを使用します。

デバイス R0

デバイス R1

デバイス R0 および R1 のすべてのインターフェースは、物理的に接続され、稼働しています。デバイス R1 の1インターフェイスグループは、2つのインターフェイス、つまり、ge 0/0/0.0 と、ge 0/0/2.0 から構成されます。

ステートレスファイアウォールのフィルター構成の検証

目的

ファイアウォールフィルタマッチング条件が適切に設定されていることを確認します。

アクション

  • ファイアウォールフィルタカウンターを表示するにはshow firewall filter filter_if_group 、運用モードコマンドを入力します。

  • ファイアウォールフィルターによって評価されるパケットのパケットヘッダーのローカルログを表示show firewall logするには、運用モードコマンドを入力します。

  • デバイス R1 の interface group 1でファイアウォールフィルターがアクティブになっていることを確認ping <address>するには、デバイス R0 の CLI で動作モードコマンドを使用します。

  • インターフェイスグループ1内にないインターフェイスにファイアウォールフィルターが適用されないようにするには、デバイスping <address> R0 の CLI で動作モードコマンドを使用します。

ステートレスファイアウォールフィルターは、インターフェイスグループ1内のすべてのインターフェイスに適用されます。ステートレスterm1ファイアウォールフィルターの term match 条件は、インターフェイスグループ1内のインターフェースに受信または送信されているパケット、および発信元 ICMP プロトコルを使用しています。Term term2マッチング条件は、ICMP プロトコルでタグ付けされたパケットと一致し、これらのパケットのカウント、ログ、および受け付けを行います。用語term3の照合条件によって、通過パケットのすべてがカウントされます。