Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:受け入れられたパケットをカウントしてサンプルするフィルターの設定

この例では、標準のステートレス ファイアウォール フィルターを構成して、受け入れたパケットのカウントとサンプルを行う方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

開始する前に、 階層レベルで ステートメントを含めて、トラフィックサンプリングを設定します。sampling[edit forwarding-options]

概要

この例では、標準のステートレス ファイアウォール フィルターを使用して、論理インターフェイスで受信したすべてのパケットをカウントおよびサンプリングします。

注:

ファイアウォール ログおよびカウントの入力フィルターを使用してインターフェイスでリバース パス フォワーディング(RPF)を有効にすると、入力ファイアウォール フィルターは、拒否されたパケットはカウントされますが、RPF によって拒否されたパケットはログに記録しません。拒否されたパケットをログに記録するには、RPF チェック失敗フィルターを使用します。

警告:

MPC3またはMPC4を搭載したMXシリーズルーターでは、ファイアウォールフィルターがTWAMP(Two-Way Active Measurement Protocol)パケットをカウントするように設定されている場合、すべてのTWAMPパケットのカウントが2倍になります。また、TWAMPサーバーがMPC3またはMPC4でホストされている場合は、ラウンドトリップタイム(RTT)がわずかに増加する可能性があります。この警告は、MPC1 または MPC2 カードを搭載したルーターには適用されません。

注:

QFX5130とQFX5700では、パケットがカウンターアクションのある複数のファイアウォールフィルターにヒットすると、プライオリティが最も高いグループカウンターのみが増加します。例えば、パケットが IPACL(ポート ACL)フィルターと IRACL(ルーテッド ACL)フィルターにヒットし、どちらもカウンター アクションがあったとします。優先順位によると、IRACL は IPACL よりも高い優先順位を持っています。したがって、IRACL カウンターのみがインクリメントされます。IRACLにヒットがない場合は、IPACLカウンターが増加します。

以下は、ユーザー設定ACLの優先度順(高いものから低いものへ)です。

  • ループバック

  • イラクル

  • IPACL

  • イヴァクル

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

ステートレス ファイアウォール フィルター を設定するには:sam

  1. ステートレスファイアウォールフィルター を作成します。sam

  2. 条件を設定して、すべてのパケットをカウントし、サンプリングします。

ステートレス ファイアウォール フィルターの論理インターフェイスへの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

    注:

    Junos OSは、ルーターやスイッチから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプル化されません。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. 設定モード コマンドを入力して 、ステートレス ファイアウォール フィルターの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. 設定モード コマンドを入力して、 インターフェイスの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認します。

パケット カウンタの表示

目的

ファイアウォール フィルターがパケットを評価していることを確認します。

アクション

ファイアウォールフィルターログ出力の表示

目的

ファイアウォール フィルターで評価されたすべてのパケットのパケット ヘッダー情報を表示します。

アクション

意味

この出力ファイルには、以下のフィールドが含まれています。

  • Time- パケットを受信した時間(デフォルトでは表示されていません)。

  • - 階層レベルで ステートメントを使用して設定されたフィルターの名前。Filterfilter[edit firewall] ハイフン(-)または略語 は、パケットがパケット転送エンジンによって処理されたことを示します。pfe スペース(ハイフンなし)は、パケットがルーティング エンジンによって処理されたことを示します。

  • A—フィルター操作:

    • A- 受諾 (または次の用語)

    • D- 破棄

    • R- 拒否

  • Interface- フィルターが設定されているインターフェイス。

    注:

    ステートメントで は常にアクションを明示的に設定することを強くお勧めします。then

  • Pro- パケットのプロトコル名またはプロトコル番号。

  • Source address- パケット内の送信元 IP アドレス。

  • Destination address- パケット内の宛先 IP アドレス。

サンプリング出力の表示

目的

サンプリング出力に適切なデータが含まれていることを確認します。

アクション