例:サービスフィルターの設定と適用
この例では、サービス フィルターを設定および適用する方法を示します。
要件
この例では、以下のハードウェア コンポーネントのいずれかで論理インターフェイス xe-0/1/0.0
を使用します。
M シリーズまたは T シリーズ ルーターの適応可能サービス(AS)PIC
M シリーズまたは T シリーズ ルーター上のマルチサービス(MS)PIC
MXシリーズルーター上のマルチサービス(MS)DPC
EX シリーズ スイッチ
開始する前に、以下を確認してください。
サポートされているルーター(またはスイッチ)とPICまたはDPCをインストールし、ルーター(またはスイッチ)の初期設定を実行している。
トポロジーに基本イーサネットを設定し、トラフィックがトポロジー内を流れていること、およびIPv4トラフィックが論理インターフェイス
xe-0/1/0.0
を通過していることを確認。サービス入出力ルールと、サービスインターフェイスでのサービスのデフォルト設定を使用して、サービスセット
vrf_svcs
を構成しました。
サービス セットの設定のガイドラインについては、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。
概要
この例では、IPv4 トラフィック用に 3 種類のサービス フィルターを作成します。1 つの入力サービス フィルター、1 つのポスト サービス入力フィルター、および 1 つの出力サービス フィルター。同じサービス セットに異なるサービス フィルターを適用できます。関連項目:サービス インターフェイスに適用されるサービス セットの設定
トポロジー
論理インターフェイス xe-0/1/0.0
の入力トラフィックに入力サービスフィルタと事後サービス入力フィルタを適用し、同じ論理インターフェイスの出力トラフィックに出力サービスフィルタを適用します。
入力サービス処理で受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス
xe-0/1/0.0
では、サービス フィルターin_filter_presvc
を使用して、サービス セットvrf_svcs
に関連付けられたサービスによる処理のためにトラフィックが受け入れられる前に、IPv4 入力トラフィックをフィルタリングします。in_filter_presvc
サービス フィルターは、ICMP ポート 179 から送信されたパケットをカウントし、これらのパケットをサービス セットvrf_svcs
に関連付けられている入力サービスに送信し、他のすべてのパケットを破棄します。入力サービス処理完了後の IPv4 トラフィックのフィルタリング:論理インターフェイス
xe-0/1/0.0
では、サービス フィルタin_filter_postsvc
を使用して、入力サービス セットin_filter_presvc
の実行後にサービス インターフェイスに戻るトラフィックをフィルタリングします。in_filter_postsvc
サービス フィルターは、ICMP ポート 179 から送信されたパケットをカウントし、それらを破棄します。出力サービス処理に受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス
xe-0/1/0.0
では、サービス フィルターout_filter_presvc
を使用して、サービス セットvrf_svcs
に関連付けられたサービスによるトラフィックの処理が許可される前に、IPv4 出力トラフィックをフィルタリングします。out_filter_presvc
サービス フィルターは、TCP ポート 179 宛てのパケットをカウントし、サービス セットvrf_svcs
に関連付けられている出力サービスにパケットを送信します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit]
階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
3 つのサービス フィルターの設定
ステップバイステップでの手順
3 つのサービス フィルターを設定するには、次の手順に従います。
入力サービスフィルターを設定します。
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
ポストサービス入力フィルターを設定します。
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
出力サービスフィルターを設定します。
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
結果
show firewall
設定モードコマンドを入力して、入出力サービスフィルタとポストサービス入力フィルタの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall family inet { service-filter in_filter_presvc { term t1 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts; service; } } } service-filter in_filter_postsvc { term t2 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts_rtn; skip; } } } service-filter out_filter_presvc { term t3 { from { protocol icmp; destination-port bgp; } then { count svc_out_pkts; service; } } } }
3 つのサービス フィルターの適用
ステップバイステップでの手順
3 つのサービス フィルターを適用するには:
入力インターフェイス
xe-0/1/0.0
で IPv4 プロトコルにアクセスします。[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
入力サービスフィルターと事後サービス入力フィルターを適用します。
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
結果
show interfaces
設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。
[edit] user@host# show interfaces xe-0/1/0 { unit 0 { family inet { service { input { service-set vrf_svcs service-filter in_filter_presvc; post-service-filter in_filter_postsvc; } output { service-set vrf_svcs service-filter out_filter_presvc; } } } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
検証
設定が正常に機能していることを確認します。
- インバウンドトラフィックが入力サービスの前にフィルタリングされていることの確認
- 入力サービス処理後のインバウンドトラフィックのフィルタリングの確認
- 出力サービス処理の前にアウトバウンドトラフィックがフィルタリングされていることの確認
インバウンドトラフィックが入力サービスの前にフィルタリングされていることの確認
目的
TCP ポート 179 から送信されたインバウンド・パケットが、サービス・セット・vrf_svcs
に関連付けられた入力サービスによる処理のために送信されることを確認します。
アクション
サービスセットvrf_svcs
に関連付けられた入力サービスによる処理のために送信されたパケット数を表示します。
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
入力サービス処理後のインバウンドトラフィックのフィルタリングの確認
目的
TCP ポート 179 から送信されたインバウンド・パケットが、サービス・セット・vrf_svcs
に関連付けられた入力サービスによる処理から戻されることを確認します。
アクション
サービスセットvrf_svcs
に関連付けられた入力サービスによる処理から返されたパケットの数を表示します。
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn