例:受け入れたパケットをカウントしてサンプリングするフィルターの設定
この例では、受け入れられたパケットをカウントしてサンプリングするように、標準のステートレス ファイアウォール フィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
開始する前に、[edit forwarding-options]階層レベルでsamplingステートメントを含めて、トラフィックサンプリングを設定します。
概要
この例では、標準のステートレス ファイアウォール フィルターを使用して、論理インターフェイスで受信したすべてのパケットをカウントし、サンプリングします。
ファイアウォールログとカウントの入力フィルターがあるインターフェイスでリバースパスフォワーディング(RPF)を有効にすると、拒否されたパケットはカウントされますが、入力ファイアウォールフィルターはRPFによって拒否されたパケットをログに記録しません。拒否されたパケットをログに記録するには、RPFチェック失敗フィルターを使用します。
MPC3またはMPC4を搭載したMXシリーズルーターで、ファイアウォールフィルターがTWAMP(Two-Way Active Measurement Protocol)パケットをカウントするように設定されている場合、すべてのTWAMPパケットのカウントが2倍になります。また、TWAMPサーバーがMPC3またはMPC4でホストされている場合、RTT(ラウンドトリップタイム)がわずかに増加する可能性があります。この警告は、MPC1またはMPC2カードを搭載したルーターには適用されません。
QFX5130およびQFX5700、パケットがカウンターアクションを持つ複数のファイアウォールフィルターにヒットした場合、優先度が最も高いグループカウンターのみがインクリメントされます。例えば、パケットが IPACL(ポート ACL)フィルターと IRACL(ルーテッド ACL)フィルターにヒットし、どちらもカウンター アクションがあるとします。優先順位に応じて、IRACLはIPACLよりも優先順位が高くなります。したがって、IRACLカウンターのみインクリメントされます。IRACLにヒットがない場合、IPACLカウンターはインクリメントされます。
以下は、ユーザーが設定したACLの優先度の順(高いものから低いものへ)です。
-
ループバック
-
IRACL
-
IPACL
-
IVACL
設定
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルのCLIにコマンドを貼り付けます。
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
ステートレスファイアウォールフィルターを設定する
ステップバイステップの手順
ステートレスファイアウォールフィルター samを設定するには:
ステートレスファイアウォールフィルター
samを作成します。[edit] user@host# edit firewall family inet filter sam
すべてのパケットをカウントしてサンプリングするように条件を設定します。
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
ステートレスファイアウォールフィルターを論理インターフェイスに適用する
ステップバイステップの手順
ステートレスファイアウォールフィルターを論理インターフェイスに適用するには:
ステートレスファイアウォールフィルターを適用する論理インターフェイスを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレスファイアウォールフィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
注:Junos OSは、ルーターまたはスイッチから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティングエンジンからパケット転送エンジンに送信されたパケットは、サンプリングされません。
受験者の設定を確認してコミットする
ステップバイステップの手順
受験者の設定を確認してコミットするには:
show firewall設定モードコマンドを入力して、ステートレスファイアウォールフィルターの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この例の指示を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }show interfacesconfiguration mode コマンドを入力して、インターフェイスの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この例の指示を繰り返して設定を修正します。[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認します。
パケット カウンターの表示
目的
ファイアウォールフィルターがパケットを評価していることを確認します。
アクション
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
ファイアウォールフィルターログ出力の表示
目的
ファイアウォールフィルターによって評価されたすべてのパケットのパケットヘッダー情報を表示します。
アクション
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
意味
この出力ファイルには、以下のフィールドが含まれています。
Time—パケットが受信された時間(デフォルトには表示されません)。Filter—[edit firewall]階層レベルでfilterステートメントで設定されたフィルターの名前。ハイフン(-)または省略形のpfeは、パケットがパケット転送エンジンによって処理されたことを示します。スペース(ハイフンなし)は、パケットがルーティングエンジンによって処理されたことを示します。A—フィルターアクション:A—同意する(または次の用語)D—破棄R—拒否
Interface—フィルターが設定されているインターフェイス。注:thenステートメントでは常にアクションを明示的に設定することを強くお勧めします。Pro—パケットのプロトコル名または番号。Source address—パケット内の送信元 IP アドレス。Destination address—パケット内の宛先IPアドレス。
サンプリング出力の表示
目的
サンプリング出力に適切なデータが含まれていることを確認します。
アクション
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0