このページで
例:ファイアウォール フィルターのバイパス
この例では、一致/アクションの組み合わせを使用して複数のフィルターを設定する service-filter-hit 方法を説明し、以下のセクションを含みます。
始める前に
一致/アクションの組み合わせを使用する service-filter-hit 場合は、次の事項に留意してください。
フィルターが適用される順序は重要です。インターフェイスのフィルター優先度値を指定することで、フィルターが処理される順序を確認できます。 動的フィルター処理の定義 と ステートメントの使用方法の詳細については、動的フィルター処理順序の定義を
precedence参照してください。
フィルターバイパスの概要
パケットは、チェーン内の各フィルターを通過する必要があります。ただし、さまざまなタイプのパケット(音声、映像、データ パケットなど)を処理するフィルター チェーンを作成した場合、階層レベルで [edit firewall family family-name filter filter-name term term-name] 一致/アクションの組み合わせを使用service-filter-hitすることで、チェーン内の各フィルターのパケット処理量を減らし、不要なフィルターを効果的にバイパスすることができます。
図 1 は、特定のデータ タイプに対してのみ処理が必要な 3 つのフィルタ(音声、映像、データ)のチェーンを介した論理処理フローを示しています。この設定例では、イングレスフィルターフローを示しています。チェーン内の後続のイングレスフィルターは、アクションが設定されているかどうかを service-filter-hit 検出できますが、エグレスフィルターは検出しません。エグレスフィルターをバイパスするには、これらのフィルターで一致/アクションの service-filter-hit 組み合わせも設定する必要があります。
の論理フローの例
フィルターバイパスの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
音声フィルターの設定
手順
図 1 の論理フローの音声フィルターを設定するには、
フィルターを設定して、保証された転送クラスを適用し、特定の
service-filter-hitアドレスとポート範囲(予想される音声トラフィック)からのトラフィックに対してアクションを設定します。[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からパケットトラフィックを渡す(受け入れる)ことです。
[edit] set firewall filter voice term default then accept
ビデオフィルターの設定
手順
論理フローの video フィルターを設定するには、 図 1 を参照してください。
アクションによってタグ付けされた受信パケットを渡す(受け入れる)フィルターを設定します
service-filter-hit。[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
フィルターを設定してビデオ ポリサーを適用し、特定の
service-filter-hitアドレス(動画トラフィックが予想されるトラフィック)からのトラフィックに対するアクションを設定します。[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
フィルターのデフォルトアクションを設定して、他のアドレスまたはポート範囲からパケットトラフィックを渡す(受け入れる)ことです。
[edit] set firewall filter video term default then accept
データ フィルターの設定
手順
図 1 の論理フローのデータ フィルターを設定するには、
アクションによってタグ付けされた受信パケットを渡す(受け入れる)フィルターを設定します
service-filter-hit。[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
データ ポリサーを適用するフィルターを構成し、特定の
service-filter-hitアドレス(動画トラフィックが予想されるトラフィック)からのトラフィックに対するアクションを設定します。[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
結果
設定の結果を表示します。
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}