例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
この例では、インターフェイスから出る IPv6パケットを受け入れるようにファイアウォールフィルターを設定する方法を示しています。inet6
要件
このトピックでは、Junos OSリリース19.1R1で導入されたEX4300およびQFX5100でサポートされている機能について説明します。この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、インターフェイスのエグレス方向 で IPv6 送信元と宛先パケットを受け入れる典型的なファイアウォール フィルターを作成します。inet6
ただし、エグレス方向でのフィルタリングをサポートするには、まず または オプションのいずれかを使用して を設定する必要があります。set system packet-forwarding-options eracl-ip6-match
srcip6-and-destip6
srcip6-only
また、設定をコミットした後、パケット転送エンジン(PFE)を再起動する必要があります。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
IPv6 アドレス フィルタリングのシステムを有効にします。
ステップバイステップでの手順
エグレスインターフェイスで IPv6フィルタリング用のファイアウォールフィルターを設定するには:inet6
IPv6 送信元、または IPv6 送信元と宛先 IP アドレスで照合するためのパケット転送オプションを有効にします。この例では、送信元と宛先の両方の IP アドレスの照合を有効にします。
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
IPv6 ファイアウォールフィルターに使用するインターフェイスにすでにバインドされている既存のファイアウォールフィルターを確認し、必要に応じて削除します。
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
上記の変更をコミットし、PFEを停止して再起動し、IPv6フィルターのPFEを受け入れ てクリアします。
packet-forwarding-options
EX4300の場合、以下を使用します。
user@host# commit user@host# run request restart pfe-manager
EX4300バーチャル シャーシの場合、以下を使用します。
user@host# commit user@host# run request system reboot all-members
QFX5100の場合は、システムを再起動します。
user@host# commit user@host# run request system reboot
という名前の IPv6 ファイアウォール フィルターを作成します。tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
必要なフィルターアクションをここで設定し、設定した範囲内でIPv6の送信元または宛先アドレスを持つパケットを照合します。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
一致したパケットがカウントされ、PFEのバッファに記録され、受け入れられることを指定します。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
ファイアウォールフィルターをエグレスインターフェイスに適用します
ステップバイステップでの手順
ファイアウォールフィルターをエグレスinet6インターフェイスに適用するには、次のように入力します。
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
受験者の設定を確認してコミットする
ステップバイステップでの手順
候補の設定を確認してコミットするには、次の手順に従います。
設定モードコマンドを入力して、ファイアウォールフィルターの設定 を確認します。
show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }
設定モード コマンドを入力して、 インターフェイスの設定を確認します。
show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }
デバイスの設定が完了したら、候補の設定をコミットします。
[edit] user@host# commit