Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:フラグメントを処理するためのステートレスファイアウォールフィルターの構成

この例では、パケットフラグメントを処理するステートレスファイアウォールフィルターを作成する方法について説明します。

要件

ステートレスファイアウォールフィルターを設定する前に、デバイス初期化以外に特別な設定は不要です。

概要

この例では、10.2.1.0/24 から送信さfragment-REれたフラグメント化されたパケットを受信し、BGP ポートに配信するためのステートレスファイアウォールフィルターを作成します。この例には、次のファイアウォールフィルタ条件が含まれています。

  • not-from-prefix-term-- 10.2.1.0/24 からではないパケットを破棄して、ファイアウォール フィルター内の後続の語が 10.2.1.0/24 からのパケットに対してのみ一致するようにします。

  • small-offset-term:小規模(1~5)の相殺されたパケットを破棄して、ファイアウォール フィルターの後続の条件をパケット内のすべてのヘッダーと一致するようにします。さらに、この条件によって、ファイアウォール施設のシステムログ出力先にレコードが追加されます。

  • not-fragmented-term—プロトコルを指定する宛先ポートを使用して、未フラグの TCP パケットBGPします。MF フラグが設定されていない場合、パケットはフラグメントされていないと見なされ、フラグメント オフセットは 0 と等しくなります。

  • first-fragment-term:フラグメント化された TCP パケットの最初のフラグメントを、宛先ポートと、パケット プロトコルを指定するBGPします。

  • fragment-term— によって破棄されないすべてのフラグメントを受け入れる small-offset-term 。(パケット フラグメント 6~8191)。ただし、最初のフラグメントが受け入れられるパケットの一部であるフラグメントだけがfirst-fragment-term 、宛先デバイスによって再構築されます。

パケットフラグメントオフセットには、1 ~ 8191 を使用できます。

注:

このinsertコマンドを使用して、ファイアウォールフィルタ内で条件を移動することができます。詳細については、 ガイド の「挿入をJunos OS CLIしてください

Topology

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、「 ソフトウェア ユーザー ガイド 設定 モード の CLI 編集者」Junos OS CLIを参照してください

ステートレスファイアウォールフィルターを構成するには、次のようにします。

  1. ステートレスファイアウォールフィルターを定義します。

  2. フィルターの最初の条件を設定します。

  3. フィルターの2番目の項を定義します。

  4. 用語の照合条件を定義します。

  5. この用語に対するアクションを定義します。

  6. フィルターの3番目の項を定義します。

  7. 用語の照合条件を定義します。

  8. この用語に対するアクションを定義します。

  9. フィルタの4つ目の用語を定義します。

  10. 用語の照合条件を定義します。

  11. この用語に対するアクションを定義します。

  12. フィルターの最後の用語を定義します。

  13. 用語の照合条件を定義します。

  14. この用語に対するアクションを定義します。

結果

設定を確認するにはshow firewall 、構成モードからコマンドを入力します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

ステートレスファイアウォールフィルタ構成の表示

目的

ファイアウォールフィルターの構成を確認します。フィルター条件のフローを分析するには、設定全体を表示します。

アクション

設定モードからshow firewallコマンドを入力します。

この出力にファイアウォールフィルターの目的の構成が表示されていることを確認します。さらに、パケットをテストする順序に記載されていることを確認します。insert CLI コマンドを使用して、ファイアウォールフィルタ内で条件を移動することができます。

フラグメントを処理するファイアウォールフィルターの確認

目的

ファイアウォールフィルタ条件のアクションが実行されていることを確認します。

アクション

条件に一致するパケットをデバイスに送信します。

小さなフラグメント オフセットを持つ 10.2.1.0/24 からのパケットが、ファイアウォール ファシリティのデバイスのシステム ロギング宛先に記録されている必要があります。