予想されるトラフィックを許可するフィルターの設定
ファイアウォールフィルターを明示的に設定して、DHCPトラフィックなどの予想されるトラフィックの通過を許可する必要があります。そうしないと、フィルターがインターフェイスに適用されるときに、予想されるトラフィックが拒否されます。この要件は、クラシック更新フィルターと高速更新フィルターの両方に適用されます。
次の例は、DHCP トラフィックの受け入れに使用できる高速更新フィルターを示しています。実際に使用するフィルターは、ネットワークで予想されるトラフィックによって異なります。
この例では、用語 allow-dhcp は、すべての送信元アドレスからのすべての DHCP トラフィックを受け入れます。この用語には、フィルターが最初に適用されたときにのみ用語が適用されるように指定する only-at-create オプションも含まれています。 sub-allow-dhcp という用語には、すべての加入者固有のDHCPトラフィックを許可するJunos OS定義済み変数 $junos-subscriber-ip-addressが含まれます。
match-order ステートメントの設定では、高速更新フィルタの一致順序の設定で推奨されているように、条件を最も固有なものから最も限定的でないものまでリストします。このフィルターはイングレス DHCP トラフィックを許可するように設計されているため、source-address条件が最初に表示されます。
firewall {
family inet {
fast-update-filter psf1 {
interface-specific;
match-order [ source-address destination-address protocol destination-port ];
term allow-dhcp {
only-at-create;
from {
source-address 0.0.0.0/32;
destination-address 255.255.255.255/32;
destination-port 67;
protocol udp;
}
then accept;
}
term sub-allow-dhcp {
from {
source-address $junos-subscriber-ip-address;
destination-address 192.168.1.2/32;
destination-port 67;
protocol udp;
}
then accept;
}
}
}
}