Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

EXシリーズスイッチ用ファイアウォールフィルターの概要

ファイアウォールフィルターは、送信元アドレスから宛先アドレスにジュニパーネットワークスEXシリーズイーサネットスイッチ上のインターフェイスを通過するパケットを許可、拒否、または転送するかどうかを定義するルールを提供します。ファイアウォールフィルターを設定して、トラフィックがファイアウォールフィルターが適用されているポート、VLAN、またはレイヤー3(ルーティング)インターフェイスに出入りする前に、トラフィックを許可、拒否、または転送するかどうかを決定します。ファイアウォールフィルターを適用するには、まずフィルターを設定してから、ポート、VLAN、またはレイヤー3インターフェイスに適用する必要があります。

ファイアウォールフィルターは、ネットワークインターフェイス、集合型イーサネットインターフェイス(LAG(リンクアグリゲーショングループ)とも呼ばれます)、ループバックインターフェイス、管理インターフェイス、仮想管理イーサネットインターフェイス(VME)、RVI(ルーテッドVLANインターフェイス)に適用できます。これらのインターフェイスでファイアウォール フィルターをサポートするEXシリーズ スイッチの詳細については、 EXシリーズ スイッチ ソフトウェア機能の概要を参照してください。https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.html

イングレスファイアウォールフィルターは、ネットワークに入るパケットに適用されるフィルターです。エグレスファイアウォールフィルターは、ネットワークから出るパケットに適用されるフィルターです。ファイアウォールフィルターを設定して、パケットをフィルタリング、サービスクラス(CoS)マーキング(類似したタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度レベルを持つクラスとして扱う)、トラフィックポリシング(インターフェイス上で送受信されるトラフィックの最大レートを制御する)の対象にすることができます。

注:

ネットワーク ポート、レイヤー 2 およびレイヤー 3、または IRB インターフェイスのポリサーは、ホスト宛てのトラフィックをポリシングしません。しかし、DDoS攻撃を防ぎたい場合は、ルーティングエンジンを保護するファイアウォールフィルターをlo0上に作成できます。

ファイアウォールフィルタータイプ

EXシリーズスイッチでは、以下のファイアウォールフィルタータイプがサポートされています。

  • ポート(レイヤー 2)ファイアウォール フィルター:ポート ファイアウォール フィルターは、レイヤー 2 スイッチ ポートに適用されます。物理ポートのイングレス方向とエグレス方向の両方で、ポートファイアウォールフィルターを適用できます。

  • VLANファイアウォールフィルター:VLANファイアウォールフィルターは、VLANに入るパケット、VLAN内でブリッジされるパケット、またはVLANを離れるパケットのアクセス制御を提供します。VLANのイングレス方向とエグレス方向の両方にVLANファイアウォールフィルターを適用できます。VLANファイアウォールフィルターは、VLANとの間で転送されるすべてのパケットに適用されます。

  • ルーター(レイヤー 3)ファイアウォール フィルター—レイヤー 3(ルーティング)インターフェイスと RVI(ルーテッド VLAN インターフェイス)のイングレス方向とエグレス方向の両方にルーター ファイアウォール フィルターを適用できます。ループバックインターフェイス()でイングレス方向にルーターファイアウォールフィルターを適用することもできます。lo0 ループバック インターフェイスに設定されたファイアウォール フィルターは、さらなる処理のためにルーティング エンジン CPU に送信されるパケットにのみ適用されます。

ポート、VLAN、またはルーターのファイアウォールフィルターは、これらのスイッチのIPv4トラフィックとIPv6トラフィック の両方 に適用できます。

  • EX2200スイッチ

  • EX3300スイッチ

  • EX3200スイッチ

  • EX4200スイッチ

  • EX4300スイッチ

  • EX4400スイッチ

  • EX4500スイッチ

  • EX4550スイッチ

  • EX6200スイッチ

  • EX8200スイッチ

さまざまなスイッチでサポートされているファイアウォールフィルターの詳細については、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート

ファイアウォールフィルターのコンポーネント

ファイアウォールフィルターでは、最初にファミリーアドレスタイプ(、 、または )を定義し、次にフィルタリング基準(一致条件のある用語として指定)と一致が発生した場合に実行するアクション(アクションまたはアクション修飾子として指定)を指定する1つ以上の用語を定義します。ethernet-switchinginetinet6

EX シリーズスイッチのファイアウォールフィルターごとに許可される条件の最大数は次のとおりです。

  • EX2200 スイッチの 512

  • EX3300 スイッチの 1436

    注:

    EX3300 スイッチでは、大量の条件(1000 語以上のオーダー)を持つフィルターを同じコミット操作で追加および削除すると、すべてのフィルターがインストールされるわけではありません。1 つのコミット操作でフィルターを追加し、別のコミット操作でフィルターを削除する必要があります。

  • EX3200 および EX4200 スイッチの 7,042 - ファイアウォール フィルターの TCAM(Ternary Content Addressable Memory)の動的割り当てによって割り当てられます。

  • EX4300 スイッチでは、ポート、VLAN、およびレイヤー 3 インターフェイス上で設定されたファイアウォールファイラーのイングレストラフィックとエグレストラフィックで、以下の最大条件数がサポートされています。

    • イングレストラフィックの場合:

      • ポートに設定されたファイアウォールフィルターの条件 3500

      • VLAN に設定されたファイアウォールフィルターの条件 3500

      • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 7000

      • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 3500

    • EX4300-MPデバイスの場合、イングレスサポートは上記と同じですが、次の例外があります。

      • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 3072

    • エグレストラフィックの場合:

      • ポートに設定されたファイアウォールフィルターの条件 512

      • VLAN に設定されたファイアウォールフィルターの条件 256

      • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 512

      • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 512

    注:

    最大条件数を設定できるのは、スイッチで 1 種類のファイアウォールフィルター(ポート、VLAN、またはルーター(レイヤー 3)ファイアウォールフィルター)を設定している場合、およびスイッチ内のどのインターフェイスでもストーム制御が有効になっていない場合のみです。

  • EX4400スイッチの場合、ポート、VLAN、およびレイヤー3インターフェイスに設定されたファイアウォールフィルターのイングレストラフィックとエグレストラフィックで、次の最大条件数がサポートされています。

    • イングレストラフィックの場合:

      • ポートに設定されたファイアウォールフィルターの条件 2048。

      • VLAN に設定されたファイアウォールフィルターの条件 2048。

      • レイヤー 3 インターフェイスに設定されたファイアウォールフィルターの条件 2048。

    • エグレストラフィックの場合:

      • ポートに設定されたファイアウォールフィルターの条件 1024。

      • VLAN に設定されたファイアウォールフィルターの条件 512 です。

      • レイヤー 3 インターフェイスに設定されたファイアウォールフィルターの条件 1024。

  • EX4500 および EX4550 スイッチの場合は 1200

  • EX6200スイッチの1400

  • EX8200 スイッチでは32,768

注:

EX8200スイッチの共有スペースTCAMのオンデマンドでの動的割り当ては、空き領域ブロックをファイアウォールフィルターに割り当てることで実現されます。ファイアウォールフィルターは、2つの異なるプールに分類されます。ポートフィルターとVLANフィルターは一緒にプールされ(このプールのメモリしきい値は22K)、ルーターファイアウォールフィルターは別々にプールされます(このプールのしきい値は32Kです)。割り当ては、フィルタープールタイプに基づいて行われます。空き領域ブロックは、同じフィルター プール タイプに属するファイアウォール フィルター間でのみ共有できます。TCAM しきい値を超えてファイアウォール フィルターを設定しようとすると、エラー メッセージが生成されます。

各用語は、次のコンポーネントで構成されています。

  • 一致条件:パケットに含める必要のある値またはフィールドを指定します。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、伝送制御プロトコル(TCP)またはユーザー データグラム プロトコル(UDP)送信元ポート フィールド、IP プロトコル フィールド、ICMP(インターネット制御メッセージ プロトコル)パケット タイプ、TCP フラグ、インターフェイスなど、さまざまな一致条件を定義できます。

  • アクション:パケットが一致条件に一致した場合の処理を指定します。可能なアクションは、パケットを受け入れるか破棄するか、特定の仮想ルーティングインターフェイスにパケットを送信することです。さらに、パケットをカウントして、統計情報を収集できます。条件に対してアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れることです。

  • アクション修飾子:パケットが一致条件に一致した場合のスイッチの 1 つ以上のアクションを指定します。カウント、ミラー、レート制限、パケットの分類などのアクション修飾子を指定できます。

ファイアウォールフィルターの処理

ファイアウォールフィルター設定内の用語の順序は重要です。パケットは、ファイアウォール フィルター設定に記載されている順序で各条件に対してテストされます。ファイアウォールフィルターがパケットを処理する方法については、 ファイアウォールフィルターの評価方法についてを参照してください。ファイアウォールフィルターの評価方法の理解

関連項目