例:インターフェイス セットで受信したパケットのフィルタリング
この例では、特定のインターフェイス セット用にタグ付けされたパケットに一致するように、標準のステートレス ファイアウォール フィルターを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ルーターまたはスイッチのループバックインターフェイスの入力にステートレスファイアウォールフィルターを適用します。ファイアウォールフィルターには、特定のインターフェイスセット用にタグ付けされたパケットに一致する用語が含まれています。
トポロジー
ファイアウォールフィルター L2_filter を作成して、以下のインターフェイスで受信したプロトコル非依存型トラフィックにレート制限を適用します。
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
このトピックのインターフェイスの種類は単なる例です。fe-インターフェイスタイプは、EXシリーズスイッチではサポートされていません。
まず、 fe-0/0/0.0 で受信したプロトコル非依存型トラフィックの場合、ファイアウォール フィルターの条件 t1 はポリサー p1を適用します。
他の ファストイーサネットインターフェイスで受信したプロトコル非依存トラフィックの場合、ファイアウォールフィルターの条件 t2 ポリサー p2が適用されます。すべてのファスト イーサネット インターフェイスで構成されるインターフェイス セットを定義するには、[edit firewall]階層レベルで interface-set interface-set-name interface-name ステートメントを記述します。指定したインターフェイスセットにパケットが到着するインターフェイス に基づいてパケット一致条件を定義するに は、 interface-set ファイアウォールフィルター一致条件を使用する条件を設定します。
最後に、その他のプロトコル非依存型トラフィックの場合、ファイアウォール フィルターの条件 t3 はポリサー p3を適用します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスの設定
- パケットが到着するインターフェイスに基づいてプロトコル非依存のトラフィックをレート制限するステートレスファイアウォールフィルターの設定
- ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルターの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスの設定
ステップバイステップでの手順
ステートレス ファイアウォール フィルター条件がレート制限アクションを実行するインターフェイスを設定するには:
入力トラフィックがファイアウォールフィルターの最初の条件と一致する論理インターフェイスを設定します。
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
入力トラフィックがファイアウォールフィルターの第2条件と一致する論理インターフェイスを設定します。
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
show interfaces 設定モード コマンドを入力して、ルーター(またはスイッチ)トランジット インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
パケットが到着するインターフェイスに基づいてプロトコル非依存のトラフィックをレート制限するステートレスファイアウォールフィルターの設定
ステップバイステップでの手順
ポリサー(p1、p2、およびp3)を使用して、パケットが到着したインターフェイスに基づいてプロトコル非依存型トラフィックのレートを制限する、標準のステートレスファイアウォールL2_filterを設定するには:
ファイアウォールステートメントを設定します。
[edit] user@host# edit firewall
5mbps のトラフィック レートまたは10mバイトのバースト サイズを超えるトラフィックを破棄するようにポリサーp1を設定し ます。[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
40mbps のトラフィック レートまたは100mバイトのバースト サイズを超えるトラフィックを破棄するようにポリサーp2を設定し ます。[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
600mbps のトラフィック レートまたは1gバイトのバースト サイズを超えるトラフィックを破棄するようにポリサーp3を設定し ます。[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
ルーター上のすべてのファスト イーサネット インターフェイスのグループとなるようにインターフェイス セット
ifsetを定義します。[edit firewall] user@host# set interface-set ifset fe-*
ステートレス ファイアウォール フィルター
L2_filterを作成します。[edit firewall] user@host# edit family any filter L2_filter
インターフェイス
fe-0/0/0.0で受信したIPv4、IPv6、またはMPLSパケットと一致するようにフィルター条件t1を設定し、ポリサーp1を使用してそのトラフィックのレート制限を行います。[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
interface-set
ifsetで受信したパケットに一致するようにフィルター条件t2を設定し、ポリサーp2を使用してそのトラフィックをレート制限します。[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
filter term
t3を設定して、ポリサーp3を使用して他のすべてのトラフィックのレートを制限します。[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターとファイアウォール フィルター アクションとして参照されているポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
ルーティング エンジン入力インターフェイスへのステートレス ファイアウォール フィルターの適用
ステップバイステップでの手順
ステートレス ファイアウォール フィルターをルーティング エンジン入力インターフェイスに適用するには:
ステートレス ファイアウォール フィルターをルーティング エンジン インターフェイスの入力方向に適用します。
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
結果
show interfacesコマンドを再度入力して、ルーティングエンジン入力インターフェイスへのファイアウォールフィルターの適用を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
検証
設定が正常に機能していることを確認するには、 show firewall filter L2_filter operational mode コマンドを使用して、ファイアウォール フィルターと 3 つのカウンターに関するトラフィック統計を監視します。