Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:EXシリーズスイッチのポート、VLAN、およびルータートラフィック用のファイアウォールフィルターの設定

この例では、スイッチ上のポート、ネットワーク上のVLAN、スイッチ上のLayer 3インターフェイスを出入りするトラフィックを制御するために、ファイアウォールフィルターを構成して適用する方法を示します。ファイアウォールフィルターは、パケットフローの特定の処理ポイントでパケットの転送または拒否を決定するルールを定義します。

要件

この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:

  • EXシリーズスイッチ向けJunos OSリリース9.0またはそれ以降

  • ジュニパーネットワークスEX3200-48Tスイッチ2台:1つはアクセススイッチとして使用し、もう1つは分散型スイッチとして使用します。

  • ジュニパーネットワークスEX-UM-4SFPアップリンクモジュール1台

  • ジュニパーネットワークスJ-シリーズルーター1台

この例でファイアウォールフィルターを構成して適用する前に、必ず以下を確認してください。

概要

この構成例では、ファイアウォールフィルターを構成して適用し、パケットの内容を評価して、すべての voice-vlanemployee-vlan、および guest-vlan トラフィックを処理するEXシリーズスイッチを送信元および宛先とするパケットをいつ破棄、転送、分類、カウント、および分析するかを決定するルールを提供する方法を示します。表 1 は、この例でEXシリーズスイッチ用に構成されたファイアウォールフィルターを示します。

表 1: 構成コンポーネント:ファイアウォールフィルター
コンポーネント 目的/説明

ポートファイアウォールフィルター、ingress-port-voip-class-limit-tcp-icmp

このファイアウォールフィルターは、2つの役割を果たします。

  • 電話のMACアドレスと一致する送信元MACアドレスを持つパケットに、優先キューイングを割り当てます。転送クラス expedited-forwarding は、すべての voice-vlan トラフィックに対し低損失、低遅延、低ジッター、確実な帯域、およびエンドツーエンドサービスを提供します。

  • employee-vlan のポートに入るパケットのレート制限を実行します。TCPおよびICMPパケットのトラフィックレートは1 Mbpsに制限され、バーストサイズは最大30,000バイトとなります。

このファイアウォールフィルターは、アクセススイッチ上のポートインターフェイスに適用されます。

VLANファイアウォールフィルター、ingress-vlan-rogue-block

不正なデバイスがHTTPセッションを使用して、VoIPコール用のコール登録、アドミッション、およびコールステータスを管理するゲートキーバーデバイスを模倣することを防止します。TCPまたはUDPポートのみが使用され、ゲートキーパーのみがHTTPを使用します。つまり、TCPポート上のすべての voice-vlan トラフィックは、ゲートキーパーデバイスを送信先とすることになります。このファイアウォールフィルターは、VLAN上の任意の2台の電話間での通信、およびゲートキーパーデバイスとVLAN電話間での通信を含めた、voice-vlan 上でのすべての電話に適用されます。

このファイアウォールフィルターは、アクセス スイッチ上のVLANインターフェイスに適用されます。

VLANファイアウォールフィルター、egress-vlan-watch-employee

企業サブネット宛ての employee-vlan トラフィックを受け入れますが、このトラフィックの監視は行いません。ウェブを宛先とする従業員トラフィックは、カウントおよび分析されます。

このファイアウォールフィルターは、アクセススイッチ上のvlanインターフェイスに適用されます。

VLANファイアウォールフィルター、ingress-vlan-limit-guest

ゲスト(非従業員)が、employee-vlan 上の従業員または従業員ホストと会話することを防ぎます。また、ゲストが guest-vlan 上でピアツーピアアプリケーションを使用することを防ぎますが、ゲストによるウェブへのアクセスは許可します。

このファイアウォールフィルターは、アクセス スイッチ上のVLANインターフェイスに適用されます。

ルーターのファイアウォールフィルター、egress-router-corp-class

employee-vlan トラフィックを優先し、企業サブネット宛ての従業員トラフィックに最高の転送クラス優先度を与えます。

このファイアウォールフィルターは、分散型スイッチ上のルーティングポート(レイヤー3 ップリンクモジュール)に適用されます。

図 1 は、スイッチ上のポート、VLAN、およびレイヤー3のルーティングファイアウォールフィルターのアプリケーションを示しています。

図 1: ポート、VLAN、およびレイヤー3ルーティングファイアウォールフィルターのアプリケーションポート、VLAN、およびレイヤー3ルーティングファイアウォールフィルターのアプリケーション

ネットワークトポロジー

この構成例のトポロジーは、アクセスレイヤーに1台のEX-3200-48Tスイッチ、分散型レイヤーに1台のEX-3200-48Tで構成されています。分散型スイッチのアップリンクモジュールは、J-シリーズルーターへのレイヤー3接続をサポートするように構成されています。

EXシリーズスイッチは、VLANメンバーシップをサポートするように構成されています。表 2 は、VLAN用のVLAN構成コンポーネントを示しています。

表 2: 構成コンポーネント:VLAN

VLAN名

VLAN ID

VLANサブネットと使用可能なIPアドレス

VLANの説明

voice-vlan

10

192.0.2.0/28 192.0.2.1192.0.2.14

192.0.2.15 は、サブネットのブロードキャストアドレスです

従業員VoIPトラフィックに使用する音声VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17192.0.2.30 192.0.2.31 は、サブネットのブロードキャストアドレスです

VLANスタンドアロンPC、VoIP電話のハブを介してネットワークに接続されたPC、無線アクセスポイント、およびプリンター。このVLANには、音声VLANが完全に含まれています。2つのVLAN((voice-vlan および employee-vlan)は、電話に接続するポート上に構成する必要があります。

guest-vlan

30

192.0.2.32/28 192.0.2.33192.0.2.46 192.0.2.47 は、サブネットのブロードキャストアドレスです

ゲストのデータデバイス(PC)のVLAN。このシナリオは、ロビーや会議室などの訪問者に開放しているエリアを企業が設けており、訪問者は自分のPCをウェブや自社のVPNに接続するためにプラグインできるハブがあることを想定しています。

camera-vlan

40

192.0.2.48/28 192.0.2.49192.0.2.62 192.0.2.63 は、サブネットのブロードキャストアドレスです

企業のセキュリティカメラ用のVLAN。

EXシリーズスイッチのポートは、パワーオーバーイーサネット(PoE)をサポートしており、ポートに接続されているVoIP電話にネットワーク接続と電力の両方を提供します。表 3 は、VLANに割り当てられたスイッチポートとスイッチポートに接続されたデバイスのIPとMACアドレスを示しています:

表 3: 構成コンポーネント:48ポートAll-PoEスイッチのスイッチポート

スイッチとポート番号

VLANメンバーシップ

IPとMACアドレス

ポートデバイス

ge-0/0/0, ge-0/0/1

voice-vlanemployee-vlan

IPアドレス:192.0.2.1192.0.2.2

MACアドレス:00.00.5E.00.53.0100.00.5E.00.53.02

それぞれが1台のPCに接続された2台のVoIP電話。

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17192.0.2.18

プリンター、ワイヤレスアクセスポイント

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34192.0.2.35

訪問者がPCをつなげることができる2つのハブ。ロビーや会議室など、訪問者に開放されている場所に設置されたハブ

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49192.0.2.50

2台のセキュリティ カメラ

ge-0/0/9

voice-vlan

IPアドレス: 192.0.2.14

MACアドレス:00.05.5E.00.53.0E

ゲートキーパーデバイス。ゲートキーパーは、VoIP電話の通話登録、アドミッション、および通話ステータスを管理します。

ge-0/1/0

IPアドレス: 192.0.2.65

ルーターへのレイヤー3接続。これはスイッチのアップリンクモジュール上のポートです

音声トラフィックを優先し、TCPとICMPトラフィックのレートを制限するイングレスポートファイアウォールフィルターを構成する

ポート、VLAN、およびルーターインターフェイスのファイアウォールフィルターの構成と適用を行うには、次のタスクを実行します:

手順

CLIクイック構成

音声トラフィックを優先し、employee-vlan サブネット宛てのパケットのレートを制限するポートファイアウォールフィルターを素早く構成して適用するには、以下のコマンドをコピーして、スイッチ端末ウィンドウにペーストします:

ステップバイステップでの手順

音声トラフィックを優先し、employee-vlan サブネット宛てのパケットのレートを制限するポートファイアウォールフィルターを構成して適用するには:

  1. ポリサー tcp-connection-policer および icmp-connection-policer を定義します:

  2. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmp を定義します:

  3. 条件 voip-high を定義します:

  4. 条件 network-control を定義します:

  5. TCPトラフィックのレートへの制限を構成する条件 tcp-connection を定義します:

  6. ICMPトラフィックのレートへの制限を構成する条件 icmp-connection を定義します:

  7. ファイアウォールフィルターで他のどの条件にも一致しないすべてのパケットに暗示的に一致させるため、一致条件なしの条件 best-effort を定義します:

  8. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmp を、employee-vlan 用のポートインターフェイスへの入力フィルターとして適用します:

  9. 異なるスケジューラ向けに必要なパラメーターを構成します。

    注:

    スケジューラのパラメーターを構成する場合、ネットワークトラフィックパターンと一致する数値を定義します。

  10. スケジューラマップでスケジューラに転送クラスを割り当てます:

  11. 送信インターフェイスにスケジューラマップを関連付けます:

結果

設定の結果の表示:

VLANイングレスファイアウォールフィルターを構成して、不正デバイスによるVoIPトラフィックの妨害を阻止する

ポート、VLAN、およびルーターインターフェイスのファイアウォールフィルターの構成と適用を行うには、次のタスクを実行します:

手順

CLIクイック構成

voice-vlan のVLANファイアウォール フィルターを素早く構成し、VoIPトラフィックを管理するゲートキーパーデバイスを模倣して、HTTPセッションを使用する不正デバイスを阻止するには、以下のコマンドをコピーして、スイッチの端末ウィンドウにペーストします。

ステップバイステップでの手順

voice-vlan 上でVLANファイアウォールフィルターを構成および適用して、VoIPトラフィックを管理するゲートキーパーデバイスを模倣してHTTPセッションを使用する不正デバイスを阻止するには:

  1. ファイアウォールフィルター ingress-vlan-rogue-block を定義して、許可および制限したいトラフィックのフィルター条件を指定します:

  2. 条件 to-gatekeeper を定義して、ゲートキーパーの宛先IPアドレスと一致するパケットを受け入れます:

  3. 条件from-gatekeeperを定義して、ゲートキーパーの送信元IPアドレスと一致するパケットを受け入れるようにします:

  4. 条件 not-gatekeeper を定義して、TCPポート上のすべての voice-vlan トラフィックがゲートキーパーデバイスに向けられるようにします:

  5. VoIP電話のVLANインターフェイスに入力フィルターとして、ingress-vlan-rogue-block ファイアウォールフィルターを適用します:

結果

設定の結果の表示:

従業員VLAN上のエグレストラフィックをカウント、監視、および分析するVLANファイアウォールフィルターを構成する

ポート、VLAN、およびルーターインターフェイスのファイアウォールフィルターの構成と適用を行うには、次のタスクを実行します:

手順

CLIクイック構成

VLANインターフェイスにファイアウォールフィルターを構成および適用し、employee-vlan エグレストラフィックをフィルタリングします。企業サブネット宛ての従業員トラフィックは許容されますが、監視はおこないません。ウェブを宛先とする従業員トラフィックは、カウントおよび分析されます。

VLANファイアウォールフィルターを素早く構成して適用するには、以下のコマンドをコピーして、スイッチの端末ウィンドウにペーストします:

ステップバイステップでの手順

ウェブを宛先とする employee-vlan トラフィックをカウントして分析するには、エグレスポートファイアウォールフィルターを構成および適用します:

  1. ファイアウォールフィルター egress-vlan-watch-employee を定義します:

  2. 条件employee-to-corpを定義することで、企業サブネットを宛先とするすべてのemployee-vlanトラフィックを受け入れますが、監視はおこないません:

  3. 条件 employee-to-web を定義することで、ウェブを宛先とするすべての employee-vlan トラフィックのカウントと監視を行います:

    注:

    変更された手順については、「例:EXシリーズスイッチでの従業員のリソース使用をローカル監視するためのポートミラーリングを構成するに、 employee-monitor アナライザの構成に関する情報が掲載されています。

  4. VoIP電話のポートインターフェイスへの出力フィルターとしてファイアウォールフィルター egress-vlan-watch-employee を適用します:

結果

設定の結果の表示:

VLANファイアウォールフィルターを構成して、ゲストVLAN上でゲストから従業員へのトラフィックおよびピアツーピアアプリケーションを制限する

ポート、VLAN、およびルーターインターフェイスのファイアウォールフィルターの構成と適用を行うには、次のタスクを実行します:

手順

CLIクイック構成

次の例では、最初のフィルター条件では、ゲストが他のゲストと話をすることは許可されますが、employee-vlan の従業員と話をすることは許可されません。2つ目のフィルター条件では、ゲストがウェブにアクセスすることは許可しますが、guest-vlan上のピアツーピアアプリケーションは使用できないようにします。

ゲストから従業員へのトラフィックを制限するために、VLANファイアウォールフィルターを素早く構成し、ゲストが employee-vlan 上の従業員または従業員ホストと話したり、または、guest-vlan 上のピアツーピアアプリケーションの使用を試みたりすることをブロックするには、以下のコマンドをコピーして、スイッチの端末ウィンドウにペーストします:

ステップバイステップでの手順

guest-vlan 上でのゲストから従業員へのトラフィック、およびピアツーピアアプリケーションを制限するために、VLANファイアウォールフィルターを構成および適用します:

  1. ファイアウォールフィルター ingress-vlan-limit-guest を定義します:

  2. 条件 guest-to-guest を定義することで、guest-vlan 上のゲストが他のゲストと通信することは許可されますが、employee-vlan の従業員との通信は許可されません:

  3. 条件 no-guest-employee-no-peer-to-peer を定義することで、guest-vlan 上のゲストにウェブへのアクセスが許可されますが、guest-vlan 上のピアツーピアの使用は許可されません。

    注:

    destination-mac-address は、デフォルトのゲートウェイであり、VLAN内のあらゆるホストに対するネクストホップルーターとなります。

  4. ファイアウォールフィルター ingress-vlan-limit-guest を、guest-vlan 用のインターフェイスの入力フィルターとして適用します。

結果

設定の結果の表示:

企業サブネットを宛先とするエグレストラフィックに優先度を付与するルーターファイアウォールフィルターを構成する

ポート、VLAN、およびルーターインターフェイスのファイアウォールフィルターの構成と適用を行うには、次のタスクを実行します:

手順

CLIクイック構成

ルーティングポート(レイヤー3アップリンクモジュール)にファイアウォールフィルターを素早く構成して、employee-vlan トラフィックをフィルタリングし、企業サブネットを宛先とするトラフィックに最高の転送クラス優先度を付与するには、以下のコマンドをコピーして、スイッチの端末ウィンドウにペーストします:

ステップバイステップでの手順

ルーティングポート(レイヤー3アップリンクモジュール)にファイアウォールフィルターを構成して適用し、企業サブネットを宛先とする employee-vlan トラフィックに最高の優先度を付与します。

  1. ファイアウォールフィルター egress-router-corp-class を定義します:

  2. 条件 corp-expedite を定義します:

  3. 条件 not-to-corp を定義します:

  4. レイヤー3のルーターへの接続を提供するスイッチのアップリンクモジュール上で、ポートへの出力フィルターとしてファイアウォールフィルター egress-router-corp-class を適用します:

結果

設定の結果の表示:

検証

ファイアウォールフィルターが正常に動作していることを確認するには、以下のタスクを実行します:

ファイアウォールフィルターとポリサーの動作を検証する

目的

スイッチ上で構成されたファイアウォールフィルターとポリサーの動作状態を検証します。

対処

以下の動作モードコマンドを使用します。

意味

show firewall コマンドは、スイッチ上で構成されたファイアウォールフィルター、ポリサー、およびカウンターの名前を表示します。出力フィールドには、構成されたすべてのカウンターのバイト数とパケット数、およびすべてのポリサーのパケット数が表示されます。

スケーラーとスケジューラーマップの動作確認

目的

スイッチ上でスケーラーとスケジューラーマップが動作していることを確認します。

対処

以下の動作モードコマンドを使用します。

意味

構成されたスケジューラーとスケジューラーマップに関する統計を表示します。

関連項目