このページで
例:ファイアウォール フィルターのバイパス
この例では、一致/アクションの組み合わせを使用して複数のフィルターを設定する service-filter-hit
方法を説明し、以下のセクションを含みます。
始める前に
一致/アクションの組み合わせを使用する service-filter-hit
場合は、次の事項に留意してください。
フィルターが適用される順序は重要です。インターフェイスのフィルター優先度値を指定することで、フィルターが処理される順序を確認できます。 動的フィルター処理の定義 と ステートメントの使用方法の詳細については、動的フィルター処理順序の定義を
precedence
参照してください。
フィルターバイパスの概要
パケットは、チェーン内の各フィルターを通過する必要があります。ただし、さまざまなタイプのパケット(音声、映像、データ パケットなど)を処理するフィルター チェーンを作成した場合、階層レベルで [edit firewall family family-name filter filter-name term term-name]
一致/アクションの組み合わせを使用service-filter-hit
することで、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスすることができます。
図 1 は、特定のデータ タイプに対してのみ処理が必要な 3 つのフィルタ(音声、映像、データ)のチェーンを介した論理処理フローを示しています。この設定例では、イングレスフィルターフローを示しています。チェーン内の後続のイングレスフィルターは、アクションが設定されているかどうかを service-filter-hit
検出できますが、エグレスフィルターは検出しません。エグレスフィルターをバイパスするには、これらのフィルターで一致/アクションの service-filter-hit
組み合わせも設定する必要があります。
![Logical Flow Example for Filter Bypass Processing](/documentation/us/en/software/junos/subscriber-mgmt-services/images/g017470.gif)
フィルターバイパスの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
音声フィルターの設定
手順
図 1 の論理フローの音声フィルターを設定するには、
フィルターを設定して、保証された転送クラスを適用し、特定の
service-filter-hit
アドレスとポート範囲(予想される音声トラフィック)からのトラフィックに対してアクションを設定します。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からパケットトラフィックを渡す(受け入れる)ことです。
[edit] set firewall filter voice term default then accept
ビデオフィルターの設定
手順
論理フローの video フィルターを設定するには、 図 1 を参照してください。
アクションによってタグ付けされた受信パケットを渡す(受け入れる)フィルターを設定します
service-filter-hit
。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
フィルターを設定してビデオ ポリサーを適用し、特定の
service-filter-hit
アドレス(動画トラフィックが予想されるトラフィック)からのトラフィックに対するアクションを設定します。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からパケットトラフィックを渡す(受け入れる)ことです。
[edit] set firewall filter video term default then accept
データ フィルターの設定
手順
図 1 の論理フローのデータ フィルターを設定するには、
アクションによってタグ付けされた受信パケットを渡す(受け入れる)フィルターを設定します
service-filter-hit
。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
データ ポリサーを適用するフィルターを構成し、特定の
service-filter-hit
アドレス(動画トラフィックが予想されるトラフィック)からのトラフィックに対するアクションを設定します。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
結果
設定の結果を表示します。
[edit firewall] user@host# show filter voice { term T1 { from { address { 203.0.113.11/32; } source-port 5004-5005; } then { forwarding-class assured-forwarding; service-filter-hit; accept; } } term default { then accept; } } filter video { term T1 { from { service-filter-hit; } then accept; } term T2 { from { source-address { 203.0.113.100/32; } } then { policer video_policer; service-filter-hit; accept; } } term default { then accept; } } filter data { term T1 { from { service-filter-hit; } then accept; } term T2 { then { policer data_policer; service-filter-hit; accept; } } }