このページの内容
例:ファイアウォールフィルターをバイパスする
この例では、 service-filter-hit 一致/アクションの組み合わせを使用して複数のフィルターを設定する方法を説明し、以下のセクションで構成されています。
始める前に
service-filter-hit一致/アクションの組み合わせを使用する場合は、次の点に留意してください。
フィルターを適用する順序が重要です。インターフェイスのフィルター優先度値を指定することで、フィルターが処理される順序を確保できます。動的フィルター処理の詳細と
precedenceステートメントの使用方法については、動的フィルター処理順序の定義を参照してください。
フィルターバイパスの概要
パケットは、チェーン内の各フィルターを通過する必要があります。ただし、さまざまなタイプのパケット(音声、ビデオ、データパケットなど)を処理するフィルターチェーンを作成する場合は、[edit firewall family family-name filter filter-name term term-name]階層レベルでservice-filter-hit一致/アクションの組み合わせを使用することで、フィルタープロセスを合理化し、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスできます。
図1 は、特定のデータタイプの処理のみが必要な3つのフィルター(音声、ビデオ、およびデータ)のチェーンを通る論理処理フローを示しています。この設定例は、イングレス フィルター フローを示しています。チェーン内の後続のイングレスフィルターは、 service-filter-hit アクションが設定されているかどうかを検出できますが、エグレスフィルターは設定できません。egressフィルターをバイパスするには、それらのフィルターで service-filter-hit 一致/アクションの組み合わせも設定する必要があります。
フィルターバイパスの設定
CLIクイックコンフィグレーション
この例を簡単に設定するには:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
音声フィルターの設定
ステップバイステップの手順
図1の論理フローの音声フィルターを設定するには:
フィルターを設定して、保証された転送クラスを適用し、特定のアドレスとポート範囲(音声トラフィックが予想される)からのトラフィックに対する
service-filter-hitアクションを設定します。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からのパケットトラフィックを通過(受け入れ)します。
[edit] set firewall filter voice term default then accept
ビデオフィルターの設定
ステップバイステップの手順
図1の論理フローにビデオフィルターを設定するには:
service-filter-hitアクションによってタグ付けされた着信パケットを通過(受け入れ)するようにフィルターを設定します。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
フィルターを設定してビデオポリサーを適用し、特定のアドレス(ビデオトラフィックが予想されるアドレス)からのトラフィックに対する
service-filter-hitアクションを設定します。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からのパケットトラフィックを通過(受け入れ)します。
[edit] set firewall filter video term default then accept
データフィルターの設定
ステップバイステップの手順
図1の論理フローのデータフィルターを設定するには、次のようにします。
service-filter-hitアクションによってタグ付けされた受信パケットを通過(受け入れ)するようにフィルターを設定します。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
データポリサーを適用するようにフィルターを設定し、特定のアドレス(ビデオトラフィックが予想されるアドレス)からのトラフィックに対する
service-filter-hitアクションを設定します。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
結果
設定の結果の表示:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}