例:単純なフィルターの構成と適用
この例では、単純なフィルターを構成する方法を示します。
要件
この例では、次のいずれかのハードウェア コンポーネントを使用します。
M120、M320、またはTシリーズルーターにインストールされた1つのギガビットイーサネットインテリジェントキューイング(IQ2)PIC
MXシリーズルーターまたはEXシリーズスイッチにインストールされた1台の拡張キューイング高密度ポートコンセントレータ(EQ DPC)
開始する前に、以下を確認してください。
サポートされているルーター(またはスイッチ)とPICまたはDPCをインストールし、ルーター(またはスイッチ)の初期設定を実行している。
トポロジーに基本イーサネットを設定し、トラフィックがトポロジーに流れていること、およびイングレスIPv4トラフィックが論理インターフェース
ge-0/0/1.0に流れていることを確認。
概要
この単純なフィルターは、送信元アドレス 172.16.1.1 の TCP トラフィックの損失優先度を低に設定し、送信元アドレスが 172.16.4.0/8 の範囲の HTTP (Web) トラフィックの損失優先度を高に設定し、宛先アドレス 172.16.6.6 のすべてのトラフィックの損失優先度を低に設定します。
トポロジー
シンプル フィルターは、インターフェイス ge-0/0/1.0 の入力フィルターとして適用されます(到着パケットは、キューに入れられた出力パケットではなく、宛先アドレス 6.6.6.6をチェックします)。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
シンプルファイアウォールフィルターの設定
ステップバイステップでの手順
シンプル フィルターを構成するには:
単純なフィルター
sf_classify_1を作成します。[edit] user@host# edit firewall family inet simple-filter sf_classify_1
送信元 IP アドレスに基づいて TCP トラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
送信元 IP アドレスに基づいて HTTP トラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
宛先 IP アドレスに基づいて、他のトラフィックの分類を構成します。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
結果
show firewall 設定モード コマンドを入力して、シンプル フィルタの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
論理インターフェイス入力へのシンプルフィルターの適用
ステップバイステップでの手順
論理インターフェイス入力にシンプルフィルターを適用するには:
シンプル フィルターを適用する論理インターフェイスを構成します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インターフェイスのインターフェイスアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
論理インターフェースの入力にシンプルフィルターを適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
結果
show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
デバイスの設定が完了したら、受験者の設定をコミットします。
検証
設定が正常に機能していることを確認します。
転送クラス マップと名前のキュー番号へのマッピングの表示
目的
転送クラス名とキュー番号のマッピングを表示します。
アクション
show class-of-service forwarding-class 動作モード コマンドを入力します。
[edit] user@host> show class-of-service forwarding-class
コマンド出力については、 CLI エクスプローラーの「show class-of-service forwarding-class」を参照してください。
インターフェイスのCoSキューカウンターの表示
目的
インターフェイスのサービスクラス(CoS)キューカウンターが、論理インターフェイスに適用されたシンプルフィルターを反映していることを確認します。
アクション
シンプル フィルターを適用する物理インターフェイスの show interfaces コマンドを入力し、出力レベル detail または extensive を指定します。
[edit] user@host> show interfaces ge-0/0/1 detail
Physical interfaceセクションの[Ingress queues]の下の[Queue counters]セクションには、各転送クラスのイングレスキューカウンターが表示されます。
コマンド出力の詳細については、CLIエクスプローラーの「show interfaces 」を参照してください。
物理インターフェイスのCoSキューカウンターの詳細の表示
目的
物理インターフェイスのCoSキューカウンターの詳細が、論理インターフェイスに適用されたシンプルフィルターを反映していることを確認します。
アクション
シンプル フィルターが適用されている物理インターフェイスの show interfaces queue コマンドを入力し、[ ingress ] オプションを指定します。
[edit] user@host> show interfaces queue ge-0/0/1 ingress
コマンド出力については、 CLI エクスプローラーの「show interfaces queue」を参照してください。