Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定

この例では、パケットフラグメントを処理するステートレスファイアウォールフィルターを作成する方法を示しています。

要件

ステートレス ファイアウォール フィルターを構成する前に、デバイス初期化以外の特別な構成を行う必要はありません。

概要

この例では、10.2.1.0/24 から発信され、BGP ポート宛てのフラグメント化されたパケットを受け入れる と呼ばれる ステートレス ファイアウォール フィルターを作成します。fragment-RE この例には、次のファイアウォール フィルター条件が含まれています。

  • not-from-prefix-term-–ファイアウォール フィルターの後続の条件が 10.2.1.0/24 からのパケットとのみ照合されるように、10.2.1.0/24 以外のパケットを破棄します。

  • small-offset-term- 小さい(1–5)オフセットパケットを破棄して、ファイアウォールフィルターの後続の条件がパケット内のすべてのヘッダーと一致できるようにします。さらに、この用語は、ファイアウォール設備のシステム ロギング宛先にレコードを追加します。

  • not-fragmented-term- BGP プロトコルを指定する宛先ポートを持つフラグメント化されていない TCP パケットを受け入れます。MF フラグが設定されておらず、フラグメント オフセットが 0 の場合、パケットはフラグメント化されていないと見なされます。

  • first-fragment-term- BGP プロトコルを指定する宛先ポートを持つフラグメント化された TCP パケットの最初のフラグメントを受け入れます。

  • - によって 破棄されなかったすべてのフラグメントを受け入れます。(パケットフラグメント 6–8191)。fragment-termsmall-offset-term ただし、 が 受け入れた最初のフラグメントを含むパケットの一部であるフラグメントのみが、宛先デバイスによって再構築されます。first-fragment-term

パケットフラグメントのオフセットは、1〜8191です。

注:

コマンドを使用して、ファイアウォールフィルター 内で用語を移動できます。insert 詳しくは、『Junos OS CLIユーザーガイド』の「挿入」を参照してください。inserthttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

トポロジー

設定

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

手順

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。手順については、 Junos OS CLIユーザーガイドのを参照してください。設定モードでのCLIエディターの使用https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

ステートレス ファイアウォール フィルターを構成するには:

  1. ステートレス ファイアウォール フィルターを定義します。

  2. フィルターの最初の条件を設定します。

  3. フィルターの 2 番目の項を定義します。

  4. 項の一致条件を定義します。

  5. 用語のアクションを定義します。

  6. フィルターの 3 番目の項を定義します。

  7. 項の一致条件を定義します。

  8. 用語のアクションを定義します。

  9. フィルターの 4 番目の項を定義します。

  10. 項の一致条件を定義します。

  11. 用語のアクションを定義します。

  12. フィルターの最後の項を定義します。

  13. 項の一致条件を定義します。

  14. 用語のアクションを定義します。

結果

設定モードから show firewall コマンドを入力し、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

ステートレス ファイアウォール フィルター構成の表示

目的

ファイアウォールフィルターの設定を確認します。設定全体を表示することで、フィルター項目のフローを分析できます。

アクション

設定モードからshow firewallコマンドを入力します。

意味

出力がファイアウォールフィルターの意図した設定を示していることを確認します。さらに、パケットをテストする順序で条件がリストされていることを確認します。ファイアウォールフィルター内で用語を移動する には、CLI コマンドを使用します。insert

フラグメントを処理するファイアウォールフィルターの検証

目的

ファイアウォールフィルター条件のアクションが実行されていることを確認します。

アクション

条件に一致するパケットをデバイスに送信します。

意味

フラグメント オフセットが小さい 10.2.1.0/24 からのパケットが、ファイアウォール設備向けのデバイスのシステム ロギング宛先に記録されていることを確認します。