Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:サービスフィルターの設定と適用

この例では、サービス フィルターを設定および適用する方法を示します。

要件

この例では、以下のハードウェア コンポーネントのいずれかで論理インターフェイス xe-0/1/0.0 を使用します。

  • M シリーズまたは T シリーズ ルーターの適応可能サービス(AS)PIC

  • M シリーズまたは T シリーズ ルーター上のマルチサービス(MS)PIC

  • MXシリーズルーター上のマルチサービス(MS)DPC

  • EX シリーズ スイッチ

開始する前に、以下を確認してください。

  • サポートされているルーター(またはスイッチ)とPICまたはDPCをインストールし、ルーター(またはスイッチ)の初期設定を実行している。

  • トポロジーに基本イーサネットを設定し、トラフィックがトポロジー内を流れていること、およびIPv4トラフィックが論理インターフェイス xe-0/1/0.0を通過していることを確認。

  • サービス入出力ルールと、サービスインターフェイスでのサービスのデフォルト設定を使用して、サービスセット vrf_svcs を構成しました。

サービス セットの設定のガイドラインについては、 サービス インターフェイスに適用されるサービス セットの設定を参照してください。

概要

この例では、IPv4 トラフィック用に 3 種類のサービス フィルターを作成します。1 つの入力サービス フィルター、1 つのポスト サービス入力フィルター、および 1 つの出力サービス フィルター。同じサービス セットに異なるサービス フィルターを適用できます。関連項目:サービス インターフェイスに適用されるサービス セットの設定

トポロジー

論理インターフェイス xe-0/1/0.0の入力トラフィックに入力サービスフィルタと事後サービス入力フィルタを適用し、同じ論理インターフェイスの出力トラフィックに出力サービスフィルタを適用します。

  • 入力サービス処理で受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス xe-0/1/0.0 では、サービス フィルター in_filter_presvc を使用して、サービス セット vrf_svcsに関連付けられたサービスによる処理のためにトラフィックが受け入れられる前に、IPv4 入力トラフィックをフィルタリングします。in_filter_presvc サービス フィルターは、ICMP ポート 179 から送信されたパケットをカウントし、これらのパケットをサービス セット vrf_svcsに関連付けられている入力サービスに送信し、他のすべてのパケットを破棄します。

  • 入力サービス処理完了後の IPv4 トラフィックのフィルタリング:論理インターフェイス xe-0/1/0.0 では、サービス フィルタ in_filter_postsvc を使用して、入力サービス セット in_filter_presvc の実行後にサービス インターフェイスに戻るトラフィックをフィルタリングします。in_filter_postsvc サービス フィルターは、ICMP ポート 179 から送信されたパケットをカウントし、それらを破棄します。

  • 出力サービス処理に受け入れられる前に IPv4 トラフィックをフィルタリングする - 論理インターフェイス xe-0/1/0.0 では、サービス フィルター out_filter_presvc を使用して、サービス セット vrf_svcsに関連付けられたサービスによるトラフィックの処理が許可される前に、IPv4 出力トラフィックをフィルタリングします。out_filter_presvc サービス フィルターは、TCP ポート 179 宛てのパケットをカウントし、サービス セット vrf_svcsに関連付けられている出力サービスにパケットを送信します。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

3 つのサービス フィルターの設定

ステップバイステップでの手順

3 つのサービス フィルターを設定するには、次の手順に従います。

  1. 入力サービスフィルターを設定します。

  2. ポストサービス入力フィルターを設定します。

  3. 出力サービスフィルターを設定します。

結果

show firewall設定モードコマンドを入力して、入出力サービスフィルタとポストサービス入力フィルタの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

3 つのサービス フィルターの適用

ステップバイステップでの手順

3 つのサービス フィルターを適用するには:

  1. 入力インターフェイス xe-0/1/0.0で IPv4 プロトコルにアクセスします。

  2. 入力サービスフィルターと事後サービス入力フィルターを適用します。

結果

show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認します。

インバウンドトラフィックが入力サービスの前にフィルタリングされていることの確認

目的

TCP ポート 179 から送信されたインバウンド・パケットが、サービス・セット・vrf_svcsに関連付けられた入力サービスによる処理のために送信されることを確認します。

アクション

サービスセットvrf_svcsに関連付けられた入力サービスによる処理のために送信されたパケット数を表示します。

入力サービス処理後のインバウンドトラフィックのフィルタリングの確認

目的

TCP ポート 179 から送信されたインバウンド・パケットが、サービス・セット・vrf_svcsに関連付けられた入力サービスによる処理から戻されることを確認します。

アクション

サービスセットvrf_svcsに関連付けられた入力サービスによる処理から返されたパケットの数を表示します。

出力サービス処理の前にアウトバウンドトラフィックがフィルタリングされていることの確認

目的

ICMP ポート 179 に送信されたアウトバウンド パケットが、サービス セット vrf_svcsに関連付けられた出力サービスによる処理のために送信されることを確認します。

アクション

サービスセットvrf_svcsに関連付けられた出力サービスによる処理のために送信されたパケット数を表示します。