Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:受信パケットのカウントとサンプリングのためのフィルタの設定

この例では、標準のステートレスファイアウォールフィルターを設定して、受け付けられるパケットをカウントし、サンプリングする方法を示します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

開始する前に、 sampling[edit forwarding-options]階層レベルにステートメントを含めることによってトラフィックのサンプリングを構成します。

概要

この例では、標準的なステートレスファイアウォールフィルターを使用して、論理インターフェイスで受信したすべてのパケットをカウントし、サンプリングします。

注:

ファイアウォールのログとカウントの入力フィルターを持つインターフェイス上で逆引きパスフォワーディング (RPF) を有効にすると、拒否されたパケットはカウントしますが、入力ファイアウォールフィルターは、RPF が拒否したパケットのログを記録しません。拒否されたパケットをログに記録するには、RPF check fail フィルターを使用します。

警告:

MPC3 または MPC4 を使用する MX シリーズルーターでは、ファイアウォールフィルターが2方向アクティブ測定プロトコル (TWAMP) パケットをカウントするように設定されている場合、その数はすべての TWAMP パケットに対して2倍になります。TWAMP サーバーが MPC3 または MPC4 上でホストされている場合は、ラウンドトリップ時間 (RTT) がわずかに増加することもあります。この警告は、MPC1 または MPC2 カードを使用しているルーターには適用されません。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ステートレスファイアウォールフィルターを構成します。

順を追った手順

ステートレスファイアウォールフィルター samを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター samを作成します。

  2. すべてのパケットをカウントしてサンプリングする条件を設定します。

ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

順を追った手順

ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。

  1. ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。

  2. 論理インタフェースのインタフェースアドレスを設定します。

  3. ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

    注:

    パケット Junos OS、ルーターまたはスイッチから送信されたパケットをサンプリングしません。フィルターを構成し、インターフェイスの出力側に適用した場合、そのインターフェイスを通過する通過パケットのみがサンプリングされます。ルーティングエンジンからパケット転送エンジンに送信されたパケットはサンプリングされません。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認します。

パケットカウンターの表示

目的

ファイアウォールフィルターがパケットを評価していることを確認します。

アクション

ファイアウォールフィルタログ出力の表示

目的

ファイアウォールフィルターによって評価されるすべてのパケットのパケットヘッダー情報を表示します。

アクション

この出力ファイルには、以下のフィールドが含まれています。

  • Time—パケットを受信した時間(デフォルトでは表示されません)。

  • Filter— 階層レベルで ステートメントを使用して設定 filter されたフィルタの [edit firewall] 名前。ハイフン (-) または略語pfeは、パケットがパケット転送エンジンによって処理されたことを示します。スペース (ハイフンなし) は、パケットがルーティングエンジンによって処理されたことを示します。

  • A—フィルター アクション:

    • A—受け入れる(または次の期間)

    • D—破棄

    • R—拒否する

  • Interface—フィルターが設定されているインターフェイス。

    注:

    thenステートメントのアクションは、常に明示的に設定することを強くお勧めします。

  • Pro—パケットのプロトコル名または番号。

  • Source address—パケットの送信元 IP アドレス。

  • Destination address—パケット内の宛先 IP アドレス。

サンプリング出力の表示

目的

サンプリング出力に適切なデータが含まれていることを確認します。

アクション