例:単純なフィルターの構成と適用
この例では、単純なフィルターを構成する方法を示します。
要件
この例では、次のいずれかのハードウェア コンポーネントを使用します。
M120、M320、またはTシリーズルーターにインストールされた1つのギガビットイーサネットインテリジェントキューイング(IQ2)PIC
MXシリーズルーターまたはEXシリーズスイッチにインストールされた1台の拡張キューイング高密度ポートコンセントレータ(EQ DPC)
開始する前に、以下を確認してください。
サポートされているルーター(またはスイッチ)とPICまたはDPCをインストールし、ルーター(またはスイッチ)の初期設定を実行している。
トポロジーに基本イーサネットを設定し、トラフィックがトポロジーに流れていること、およびイングレスIPv4トラフィックが論理インターフェース に流れていることを確認。
ge-0/0/1.0
概要
この単純なフィルタは、送信元アドレス を持つ TCP トラフィックの損失優先度を低に設定し、送信元アドレスが 172.16.4.0/8 の範囲にある HTTP(Web)トラフィックの損失優先度を高に設定し、宛先アドレス を持つすべてのトラフィックの損失優先度を低に設定します。172.16.1.1172.16.6.6
トポロジー
シンプル フィルターは、インターフェイス の入力フィルターとして適用されます(着信パケットは、キューに入れられた出力パケットではなく、宛先アドレスをチェックします)。6.6.6.6ge-0/0/1.0
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
シンプルファイアウォールフィルターの設定
ステップバイステップでの手順
シンプル フィルターを構成するには:
単純なフィルター を作成します。
sf_classify_1[edit] user@host# edit firewall family inet simple-filter sf_classify_1
送信元 IP アドレスに基づいて TCP トラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
送信元 IP アドレスに基づいて HTTP トラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
宛先 IP アドレスに基づいて、他のトラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
結果
設定モードコマンドを入力して 、シンプルフィルターの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
論理インターフェイス入力へのシンプルフィルターの適用
ステップバイステップでの手順
論理インターフェイス入力にシンプルフィルターを適用するには:
シンプル フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
論理インターフェースの入力にシンプルフィルターを適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
結果
設定モード コマンドを入力して、 インターフェイスの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
デバイスの設定が完了したら、受験者の設定をコミットします。
検証
設定が正常に機能していることを確認します。
転送クラス マップと名前のキュー番号へのマッピングの表示
目的
転送クラス名とキュー番号のマッピングを表示します。
アクション
動作モード コマンドを入力します。show class-of-service forwarding-class
[edit] user@host> show class-of-service forwarding-class
コマンド出力の詳細については、CLIエクスプローラーの「」を参照してください。show class-of-service forwarding-classhttps://www.juniper.net/documentation/content-applications/cli-explorer/junos/
インターフェイスのCoSキューカウンターの表示
目的
インターフェイスのサービスクラス(CoS)キューカウンターが、論理インターフェイスに適用されたシンプルフィルターを反映していることを確認します。
アクション
シンプルフィルターを適用する物理インターフェース用のコマンドを入力し、または出力レベルを指定します。show interfacesdetailextensive
[edit] user@host> show interfaces ge-0/0/1 detail
セクションの 、 の下に、 セクションには、各転送クラスのイングレス キュー カウンターが表示されます。Physical interfaceIngress queuesQueue counters
コマンド出力の詳細については、 CLI エクスプローラの「」を参照してください。show interfaces https://www.juniper.net/documentation/content-applications/cli-explorer/junos/
物理インターフェイスのCoSキューカウンターの詳細の表示
目的
物理インターフェイスのCoSキューカウンターの詳細が、論理インターフェイスに適用されたシンプルフィルターを反映していることを確認します。
アクション
シンプルフィルターを適用する物理インターフェース用の コマンドを入力し、 オプションを指定します。show interfaces queueingress
[edit] user@host> show interfaces queue ge-0/0/1 ingress
コマンド出力の詳細については、CLIエクスプローラーの「」を参照してください。show interfaces queuehttps://www.juniper.net/documentation/content-applications/cli-explorer/junos/