例:インターフェイス セットで受信したパケットのフィルタリング
この例では、特定のインターフェイス セット用にタグ付けされたパケットに一致するように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ルーターまたはスイッチのループバックインターフェイスの入力にステートレスファイアウォールフィルターを適用します。ファイアウォールフィルターには、特定のインターフェイスセット用にタグ付けされたパケットに一致する用語が含まれています。
トポロジー
ファイアウォールフィルター を作成して、以下のインターフェイスで受信したプロトコル非依存型トラフィックにレート制限を適用します:L2_filter
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
このトピックのインターフェイスの種類は単なる例です。インターフェイスタイプ は、EXシリーズスイッチではサポートされていません。fe-
まず、 で 受信したプロトコル非依存トラフィックの場合、ファイアウォール フィルター条件 はポリサー を適用します。fe-0/0/0.0t1p1
他のファストイーサネットインターフェイスで受信したプロトコル非依存トラフィックの場合、ファイアウォールフィルター条件 はポリサー を適用します。t2p2 すべてのファスト イーサネット インターフェイスで構成されるインターフェイス セットを定義するには、 階層レベルで ステートメントを記述し ます 。interface-set interface-set-name interface-name[edit firewall] 指定したインターフェイスセットにパケットが到着するインターフェイスに基づいてパケット一致条件を定義するには、ファイアウォールフィルター一致条件を使用する 条件を設定します。interface-set
最後に、その他のプロトコルに依存しないトラフィックの場合、ファイアウォールフィルター条件 はポリサー を適用します。t3p3
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスの設定
- パケットが到着するインターフェイスに基づいてプロトコル非依存のトラフィックをレート制限するステートレスファイアウォールフィルターの設定
- ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルターの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスの設定
ステップバイステップでの手順
ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスを設定するには:
入力トラフィックがファイアウォールフィルターの最初の条件と一致する論理インターフェイスを設定します。
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
入力トラフィックがファイアウォールフィルターの第2条件と一致する論理インターフェイスを設定します。
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
設定モード コマンドを入力して、ルーター(またはスイッチ)トランジット インターフェイスの設定 を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
パケットが到着するインターフェイスに基づいてプロトコル非依存のトラフィックをレート制限するステートレスファイアウォールフィルターの設定
ステップバイステップでの手順
ポリサー(、 、および )を使用して、パケットが到着したインターフェイスに基づいてプロトコル非依存トラフィックのレートを制限する標準ステートレスファイアウォールを設定するには:L2_filterp1p2p3
ファイアウォールステートメントを設定します。
[edit] user@host# edit firewall
ポリサー を設定して、bps の トラフィックレートまたはバイトのバーストサイズ を超えるトラフィックを破棄します。
p15m10m[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
ポリサー を設定して、 bps の トラフィックレートまたはバイトのバーストサイズ を超えるトラフィックを破棄します。
p240m100m[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
ポリサー を設定して、bps の トラフィックレートまたはバイトのバーストサイズ を超えるトラフィックを破棄します。
p3600m1g[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
ルーター上のすべてのファストイーサネットインターフェイスのグループとなるようにインターフェイスセット を定義します。
ifset[edit firewall] user@host# set interface-set ifset fe-*
ステートレスファイアウォールフィルター を作成します。
L2_filter[edit firewall] user@host# edit family any filter L2_filter
インターフェイスで受信したIPv4、IPv6、またはMPLSパケットに一致するようにフィルター条件を設定し、ポリサーを使用してそのトラフィックをレート制限します。
t1fe-0/0/0.0p1[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
interface-set で受信したパケットに一致するようにフィルター条件を設定し、ポリサーを使用してそのトラフィックのレートを制限します。
t2ifsetp2[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
ポリサーを使用して他のすべてのトラフィックのレートを制限するようにフィルター条件を構成します。
t3p3[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
設定モードコマンドを入力して 、ステートレスファイアウォールフィルターと、ファイアウォールフィルターアクションとして参照されているポリサーの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルターの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターをルーティング エンジン入力インターフェイスに適用するには:
ステートレス ファイアウォール フィルターをルーティング エンジン インターフェイスの入力方向に適用します。
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
コマンドを再入力して、ルーティングエンジン入力 インターフェイスへのファイアウォールフィルターの適用を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
検証
設定が正常に機能していることを確認するには、 動作モードコマンドを使用して、 ファイアウォールフィルターと3つのカウンターに関するトラフィック統計を監視します。show firewall filter L2_filter