Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:サービスフィルターの設定と適用

この例では、サービスフィルターを設定して適用する方法について説明します。

要件

この例では、次xe-0/1/0.0のハードウェアコンポーネントの論理インターフェイスを使用しています。

  • スイッチ ルーター上AS適応型サービス(M Series)PIC T Series

  • マルチサービス(MS)PIC(マルチサービスM SeriesまたはT Seriesルーター)

  • マルチサービス(MS)DPC上のMX シリーズパス

  • EX シリーズスイッチ

開始する前に、以下のことを確認してください。

  • サポートされているルーター (またはスイッチ) と PICs または Dpc を取り付け、初期ルーター (またはスイッチ) 構成を実施。

  • トポロジで基本イーサネットを設定し、トラフィックがトポロジに流れていることと、IPv4 トラフィックが論理インターフェイスxe-0/1/0.0を通してフローしていることを確認。

  • サービスの入力およびvrf_svcs出力ルールと、service interface でのサービスのデフォルト設定を使用して、サービスセットを設定しました。

サービスセットの設定に関するガイドラインについては、サービスインターフェイスに適用するように設定する方法について説明します。

概要

この例では、IPv4 トラフィックに対して3種類のサービスフィルターを作成します。1つの入力サービスフィルター、1つのポストサービス入力フィルター、1つの出力サービスフィルターです。異なるサービス フィルターを同じサービス セットに適用できます。詳細については、以下を参照してください。サービスインターフェイスに適用されるようにサービスセットを構成する

Topology

入力サービスフィルターと postservice 入力フィルターを使用して論理インターフェイスxe-0/1/0.0で入力トラフィックを行い、出力サービスフィルターを同じ論理インターフェイスの出力トラフィックに適用します。

  • IPv4 トラフィックを入力サービス処理で受け入れる前にフィルタリングする — 論理インターフェイスでは、サービス セットに関連付けられたサービスによるトラフィック処理でトラフィックを受け入れる前に、サービス フィルタを使用して xe-0/1/0.0in_filter_presvc IPv4 入力トラフィックをフィルタリングします。 vrf_svcs サービス フィルターは、ICMP ポート 179 から送信されたパケットをカウントし、これらのパケットをサービス セットに関連付けられた入力サービスに転送して、他のすべてのパケット in_filter_presvcvrf_svcs を破棄します。

  • IPv4 トラフィックが入力サービス処理を完了した後にフィルタリングする — 論理インターフェイスでは、入力サービス セットの実行後にサービス インターフェイスに戻るトラフィックをフィルタするために、サービス フィルタを使用します。 xe-0/1/0.0in_filter_postsvcin_filter_presvc サービス in_filter_postsvc フィルターは、ICMP ポート 179 から送信されたパケットをカウントしてから、破棄します。

  • IPv4 トラフィックを出力サービス処理で受け入れる前にフィルタリングする — 論理インターフェイスでは、サービス セットに関連付けられたサービスによるトラフィック処理でトラフィックを受け入れる前に、サービス フィルタを使用して xe-0/1/0.0out_filter_presvc IPv4 出力トラフィックをフィルタリングします。 vrf_svcs サービス フィルターは、TCP ポート 179 宛のパケットをカウントし、パケットをサービス セットに関連付けられた出力サービス out_filter_presvc に転送します vrf_svcs

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでのCLIエディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

3つのサービスフィルターの構成

順を追った手順

3つのサービスフィルターを設定するには、以下のようにします。

  1. 入力サービスフィルターを構成します。

  2. 事後サービス入力フィルターを構成します。

  3. 出力サービスフィルターを構成します。

結果

入出力サービスフィルターとポストサービス入力フィルターの設定を確認するには、 show firewall設定モードコマンドを入力します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。

3つのサービスフィルタを適用する

順を追った手順

3つのサービスフィルタを適用するには、以下のようにします。

  1. 入力インターフェイスxe-0/1/0.0の IPv4 プロトコルにアクセスします。

  2. 入力サービスフィルターとポストサービス入力フィルターを適用します。

結果

show interfaces構成モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認します。

入力サービスの前に受信トラフィックがフィルタリングされていることを確認する

目的

TCP ポート 179 から送信されたインバウンド パケットは、サービスセットに関連付けられた入力サービスによって処理のために送信されます vrf_svcs

アクション

サービスセットvrf_svcsに関連付けられた入力サービスによって処理のために送信されたパケット数を表示します。

入力サービス処理後に受信トラフィックがフィルタリングされていることを確認します。

目的

TCP ポート 179 から送信されたインバウンド パケットが、サービス セットに関連付けられた入力サービスによって処理から返されるのを検証します vrf_svcs

アクション

サービスセットvrf_svcsに関連付けられた入力サービスによって処理から返されるパケット数を表示します。

出力サービス処理の前に送信トラフィックがフィルタリングされたことを確認する

目的

ICMP ポート 179 に送信されたアウトバウンド パケットが、サービスセットに関連付けられた出力サービスによって処理のために送信することを検証します vrf_svcs

アクション

サービスセットvrf_svcsに関連付けられた出力サービスによる処理のために送信されたパケット数を表示します。