Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイス セットで受信したパケットのフィルタリング

この例では、特定のインターフェイス セット用にタグ付けされたパケットに一致するように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ルーターまたはスイッチのループバックインターフェイスの入力にステートレスファイアウォールフィルターを適用します。ファイアウォールフィルターには、特定のインターフェイスセット用にタグ付けされたパケットに一致する用語が含まれています。

トポロジー

ファイアウォールフィルター L2_filter を作成して、以下のインターフェイスで受信したプロトコル非依存型トラフィックにレート制限を適用します。

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

注:

このトピックのインターフェイスの種類は単なる例です。fe-インターフェイスタイプは、EXシリーズスイッチではサポートされていません。

まず、 fe-0/0/0.0 で受信したプロトコル非依存型トラフィックの場合、ファイアウォール フィルターの条件 t1 はポリサー p1を適用します。

他の ファストイーサネットインターフェイスで受信したプロトコル非依存トラフィックの場合、ファイアウォールフィルターの条件 t2 ポリサー p2が適用されます。すべてのファスト イーサネット インターフェイスで構成されるインターフェイス セットを定義するには、[edit firewall]階層レベルで interface-set interface-set-name interface-name ステートメントを記述します。指定したインターフェイスセットにパケットが到着するインターフェイス に基づいてパケット一致条件を定義するに は、 interface-set ファイアウォールフィルター一致条件を使用する条件を設定します。

最後に、その他のプロトコル非依存型トラフィックの場合、ファイアウォール フィルターの条件 t3 はポリサー p3を適用します。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスの設定

ステップバイステップでの手順

ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスを設定するには:

  1. 入力トラフィックがファイアウォールフィルターの最初の条件と一致する論理インターフェイスを設定します。

  2. 入力トラフィックがファイアウォールフィルターの第2条件と一致する論理インターフェイスを設定します。

  3. デバイスの設定が完了したら、設定をコミットします。

結果

show interfaces 設定モード コマンドを入力して、ルーター(またはスイッチ)トランジット インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

パケットが到着するインターフェイスに基づいてプロトコル非依存のトラフィックをレート制限するステートレスファイアウォールフィルターの設定

ステップバイステップでの手順

ポリサー(p1p2、およびp3)を使用して、パケットが到着したインターフェイスに基づいてプロトコル非依存型トラフィックのレートを制限する、標準のステートレスファイアウォールL2_filterを設定するには:

  1. ファイアウォールステートメントを設定します。

  2. 5m bps のトラフィック レートまたは 10m バイトのバースト サイズを超えるトラフィックを破棄するようにポリサー p1 を設定し ます。

  3. 40m bps のトラフィック レートまたは 100m バイトのバースト サイズを超えるトラフィックを破棄するようにポリサー p2 を設定し ます。

  4. 600m bps のトラフィック レートまたは 1g バイトのバースト サイズを超えるトラフィックを破棄するようにポリサー p3 を設定し ます。

  5. ルーター上のすべてのファスト イーサネット インターフェイスのグループとなるようにインターフェイス セット ifset を定義します。

  6. ステートレス ファイアウォール フィルター L2_filterを作成します。

  7. インターフェイスfe-0/0/0.0で受信したIPv4、IPv6、またはMPLSパケットと一致するようにフィルター条件t1を設定し、ポリサーp1を使用してそのトラフィックのレート制限を行います。

  8. interface-set ifsetで受信したパケットに一致するようにフィルター条件t2を設定し、ポリサーp2を使用してそのトラフィックをレート制限します。

  9. filter term t3 を設定して、ポリサー p3 を使用して他のすべてのトラフィックのレートを制限します。

  10. デバイスの設定が完了したら、設定をコミットします。

結果

show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターとファイアウォール フィルター アクションとして参照されているポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルターの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターをルーティング エンジン入力インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターをルーティング エンジン インターフェイスの入力方向に適用します。

  2. デバイスの設定が完了したら、設定をコミットします。

結果

show interfacesコマンドを再度入力して、ルーティングエンジン入力インターフェイスへのファイアウォールフィルターの適用を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認するには、 show firewall filter L2_filter operational mode コマンドを使用して、ファイアウォール フィルターと 3 つのカウンターに関するトラフィック統計を監視します。