Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイス セットで受信したパケットのフィルタリング

この例では、特定のインターフェイス セットにタグ付けされたパケットを照合するように、標準のステートレス ファイアウォール フィルタを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、ルーターまたはスイッチ ループバック インターフェイスの入力にステートレス ファイアウォール フィルタを適用します。ファイアウォール フィルターには、特定のインターフェイス セットにタグ付けされたパケットと一致する条件が含まれています。

トポロジ

ファイアウォール フィルタ L2_filter を作成して、次のインターフェイスで受信したプロトコル非依存トラフィックにレート制限を適用します。

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

注:

このトピックのインターフェイス タイプは単なる例です。fe-インターフェイス タイプは EX シリーズ スイッチではサポートされていません。

まず、受信したプロトコルに依存しないトラフィックに対 fe-0/0/0.0して、ファイアウォール フィルタ条件 t1 がポリサー p1を適用します。

他のファスト イーサネット インターフェイスで受信したプロトコル非依存トラフィックに対して、ファイアウォール フィルタ条件 t2 はポリサー p2を適用します。すべてのファスト イーサネット インターフェイスで構成されるインターフェイス セットを定義するには、ステートメントを interface-set interface-set-name interface-name 階層レベルに [edit firewall] 含めます。パケットが指定されたインターフェイス セットに到着するインターフェイスに基づいてパケット照合条件を定義するには、ファイアウォール フィルタの一致条件を使用する条件を interface-set 設定します。

最後に、他のプロトコル非依存トラフィックに対して、ファイアウォール フィルタ条件 t3 はポリサー p3を適用します。

設定

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、 を参照してください 設定モードでのCLIエディターの使用

この例を設定するには、次のタスクを実行します。

CLI クイック設定

この例を迅速に設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、コマンドを階層レベルで [edit] CLI に貼り付けます。

ステートレス ファイアウォール フィルタ条件がレート制限アクションを実行するインターフェイスの設定

手順

ステートレス ファイアウォール フィルタ条件がレート制限アクションを実行するインターフェイスを設定するには、次の手順にしたがってください。

  1. 入力トラフィックがファイアウォール フィルタの最初の項と一致する論理インターフェイスを設定します。

  2. 入力トラフィックがファイアウォール フィルタの 2 番目の条件と一致する論理インターフェイスを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

結果

設定モード コマンドを入力して、ルーター(またはスイッチ)トランジット インターフェイスの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。

パケットが到着するインターフェイスに基づいてプロトコル非依存トラフィックをレート制限するステートレス ファイアウォール フィルタの設定

手順

ポリサー(p1、、、)p3を使用してパケットp2が到着するインターフェイスに基づいてプロトコル非依存トラフィックをレート制限する標準ステートレス ファイアウォールL2_filterを設定するには、次の手順にしたがっています。

  1. ファイアウォール ステートメントを設定します。

  2. bps のトラフィック レート5mまたはバースト サイズ10mを超えるトラフィックを破棄するようにポリサーp1を設定します。

  3. bps のトラフィック レート40mまたはバースト サイズ100mを超えるトラフィックを破棄するようにポリサーp2を設定します。

  4. bps のトラフィック レート600mまたはバースト サイズ1gを超えるトラフィックを破棄するようにポリサーp3を設定します。

  5. ルーター上のすべてのファスト イーサネット インターフェイスのグループに設定 ifset されたインターフェイスを定義します。

  6. ステートレス ファイアウォール フィルターを作成します L2_filter

  7. インターフェイスfe-0/0/0.0で受信した IPv4、IPv6、または MPLS パケットに一致するようにフィルタ条件t1を設定し、ポリサーp1を使用してトラフィックをレート制限します。

  8. インターフェイスセットifsetで受信したパケットを照合するフィルタ条件t2を設定し、ポリサーp2を使用してトラフィックをレート制限します。

  9. ポリサーp3を使用して他のすべてのトラフィックをレート制限するフィルタ条件 t3を設定します。

  10. デバイスの設定が完了したら、設定をコミットします。

結果

設定モード コマンドを入力して、ステートレス ファイアウォール フィルタの設定と、ファイアウォール フィルタ アクションとして参照されるポリサーを show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。

ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルタの適用

手順

ルーティング エンジン入力インターフェイスにステートレス ファイアウォール フィルタを適用するには、次の手順にしたがってください。

  1. 入力方向のルーティング エンジン インターフェイスにステートレス ファイアウォール フィルタを適用します。

  2. デバイスの設定が完了したら、設定をコミットします。

結果

もう一度コマンドを入力して、ファイアウォール フィルタのルーティング エンジン入力インターフェイスへのアプリケーションを show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。

検証

設定が正しく機能していることを確認するには、動作モード コマンドを show firewall filter L2_filter 使用して、ファイアウォール フィルタと 3 つのカウンターに関するトラフィック統計情報を監視します。