例:受け入れたパケットをカウントしてサンプリングするフィルターの設定
この例では、受け入れられたパケットをカウントしてサンプリングする標準ステートレスファイアウォールフィルターを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
開始する前に、 階層レベルで ステートメントを sampling 含めてトラフィックサンプリングを [edit forwarding-options] 設定します。
概要
この例では、標準のステートレスファイアウォールフィルターを使用して、論理インターフェイスで受信したすべてのパケットをカウントし、サンプリングします。
ファイアウォールログとカウント用の入力フィルターを持つインターフェイスでリバースパスフォワーディング(RPF)を有効にすると、拒否されたパケットはカウントされますが、入力ファイアウォールフィルターはRPFによって拒否されたパケットを記録しません。拒否されたパケットをログに記録するには、RPF チェック失敗フィルターを使用します。
MPC3またはMPC4を搭載したMXシリーズルーターでは、ファイアウォールフィルターがTWAMP(Two-Way Active Measurement Protocol)パケットをカウントするように設定されている場合、すべてのTWAMPパケットのカウントは2倍になります。また、TWAMP サーバーが MPC3 または MPC4 でホストされている場合、往復時間(RTT)が小さく増加する可能性があります。この警告は、MPC1またはMPC2カードを搭載したルーターには適用されません。
設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 を参照してください 設定モードでのCLIエディターの使用。
この例を設定するには、以下のタスクを実行します。
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを [edit] 貼り付けます。
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
ステートレス ファイアウォール フィルターの設定
手順
ステートレスファイアウォールフィルター samを設定するには:
ステートレス ファイアウォール フィルターを作成します
sam。[edit] user@host# edit firewall family inet filter sam
条件を設定して、すべてのパケットをカウントしてサンプリングします。
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
ステートレスファイアウォールフィルターを論理インターフェイスに適用する
手順
ステートレスファイアウォールフィルターを論理インターフェイスに適用するには:
ステートレス ファイアウォール フィルターを適用する論理インターフェイスを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
注:Junos OSは、ルーターまたはスイッチから発信されたパケットをサンプリングしません。フィルターを設定してインターフェイスの出力側に適用すると、そのインターフェイスを通過するトランジットパケットのみがサンプリングされます。ルーティング エンジンからパケット転送エンジンに送信されるパケットはサンプリングされません。
受験者の構成を確認してコミットする
手順
受験者の設定を確認してコミットするには、次の手順に同意します。
設定モードコマンドを入力して、ステートレスファイアウォールフィルターの設定を
show firewall確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }設定モードコマンドを入力して、インターフェイスの設定を
show interfaces確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }デバイスの設定が完了したら、候補の設定をコミットします。
[edit] user@host# commit
検証
設定が正しく機能していることを確認します。
パケット カウンターの表示
目的
ファイアウォールフィルターがパケットを評価していることを確認します。
対処
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
ファイアウォール フィルター ログ出力の表示
目的
ファイアウォール フィルターによって評価されたすべてのパケットのパケット ヘッダー情報を表示します。
対処
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
意味
この出力ファイルには、以下のフィールドが含まれています。
Time— パケットを受信した時間(デフォルトでは表示されていません)。Filter- 階層レベルで ステートメントでfilter設定されたフィルターの[edit firewall]名前。ハイフン(-)または省略形pfeは、パケットがパケット転送エンジンによって処理されたことを示しています。スペース(ハイフンなし)は、パケットがルーティングエンジンによって処理されたことを示しています。A—フィルターアクション:A—受け入れる(または次の条件)D-破棄R拒否
Interface— フィルターが設定されているインターフェイス。注:ステートメントでは
then常にアクションを明示的に設定することを強くお勧めします。Pro—パケットのプロトコル名または番号。Source addressパケット内の送信元IPアドレス。Destination addressパケット内の宛先 IP アドレス。
サンプリング出力の表示
目的
サンプリング出力に適切なデータが含まれていることを確認します。
対処
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0