例:受け入れられたパケットをカウントしてサンプルするフィルターの設定
この例では、標準のステートレス ファイアウォール フィルターを構成して、受け入れたパケットのカウントとサンプルを行う方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
開始する前に、 階層レベルで ステートメントを含めて、トラフィックサンプリングを設定します。sampling
[edit forwarding-options]
概要
この例では、標準のステートレス ファイアウォール フィルターを使用して、論理インターフェイスで受信したすべてのパケットをカウントおよびサンプリングします。
ファイアウォール ログおよびカウントの入力フィルターを使用してインターフェイスでリバース パス フォワーディング(RPF)を有効にすると、入力ファイアウォール フィルターは、拒否されたパケットはカウントされますが、RPF によって拒否されたパケットはログに記録しません。拒否されたパケットをログに記録するには、RPF チェック失敗フィルターを使用します。
MPC3またはMPC4を搭載したMXシリーズルーターでは、ファイアウォールフィルターがTWAMP(Two-Way Active Measurement Protocol)パケットをカウントするように設定されている場合、すべてのTWAMPパケットのカウントが2倍になります。また、TWAMPサーバーがMPC3またはMPC4でホストされている場合は、ラウンドトリップタイム(RTT)がわずかに増加する可能性があります。この警告は、MPC1 または MPC2 カードを搭載したルーターには適用されません。
QFX5130とQFX5700では、パケットがカウンターアクションのある複数のファイアウォールフィルターにヒットすると、プライオリティが最も高いグループカウンターのみが増加します。例えば、パケットが IPACL(ポート ACL)フィルターと IRACL(ルーテッド ACL)フィルターにヒットし、どちらもカウンター アクションがあったとします。優先順位によると、IRACL は IPACL よりも高い優先順位を持っています。したがって、IRACL カウンターのみがインクリメントされます。IRACLにヒットがない場合は、IPACLカウンターが増加します。
以下は、ユーザー設定ACLの優先度順(高いものから低いものへ)です。
-
ループバック
-
イラクル
-
IPACL
-
イヴァクル
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
ステートレス ファイアウォール フィルターを構成する
ステップバイステップでの手順
ステートレス ファイアウォール フィルター を設定するには:sam
ステートレスファイアウォールフィルター を作成します。
sam
[edit] user@host# edit firewall family inet filter sam
条件を設定して、すべてのパケットをカウントし、サンプリングします。
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
ステートレス ファイアウォール フィルターの論理インターフェイスへの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
注:Junos OSは、ルーターやスイッチから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプル化されません。
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。
show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }
設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }
デバイスの設定が完了したら、受験者の設定をコミットします。
[edit] user@host# commit
検証
設定が正常に機能していることを確認します。
パケット カウンタの表示
目的
ファイアウォール フィルターがパケットを評価していることを確認します。
アクション
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
ファイアウォールフィルターログ出力の表示
目的
ファイアウォール フィルターで評価されたすべてのパケットのパケット ヘッダー情報を表示します。
アクション
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
意味
この出力ファイルには、以下のフィールドが含まれています。
Time
- パケットを受信した時間(デフォルトでは表示されていません)。- 階層レベルで ステートメントを使用して設定されたフィルターの名前。
Filter
filter
[edit firewall]
ハイフン(-)または略語 は、パケットがパケット転送エンジンによって処理されたことを示します。pfe
スペース(ハイフンなし)は、パケットがルーティング エンジンによって処理されたことを示します。A
—フィルター操作:A
- 受諾 (または次の用語)D
- 破棄R
- 拒否
Interface
- フィルターが設定されているインターフェイス。注:ステートメントで は常にアクションを明示的に設定することを強くお勧めします。
then
Pro
- パケットのプロトコル名またはプロトコル番号。Source address
- パケット内の送信元 IP アドレス。Destination address
- パケット内の宛先 IP アドレス。
サンプリング出力の表示
目的
サンプリング出力に適切なデータが含まれていることを確認します。
アクション
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam # Apr 7 15:48:50 Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP addr addr port port len num frag flags Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0 Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0 Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0