Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

EX シリーズスイッチのファイアウォールフィルタマッチ条件、アクション、アクション修飾子

 

EX シリーズスイッチのファイアウォールフィルタを定義する場合は、フィルタ条件を定義します (つい条件の照合) を使用して、 対応(さらには、 アクション修飾子) を使用して、パケットがフィルタリング条件に一致した場合に実行されるスイッチを選択できます。ファイアウォールフィルターを定義して、IPv4、IPv6、または非 IP トラフィックを監視することができます。

このトピックでは、ファイアウォールフィルタで定義できるさまざまな条件、アクション、アクション修飾子について詳しく説明します。さまざまな EX シリーズスイッチでの照合条件のサポートについて詳しくは、Platform Support for Firewall Filter Match Conditions, Actions, and Action Modifiers on EX Series Switches参照してください。

ファイアウォールフィルタの要素

ファイアウォールフィルタ構成には、条件、照合条件、アクション、およびアクション修飾子が含まれています。表 1ファイアウォールフィルタ構成の各要素について説明します。

表 1: ファイアウォールフィルタ設定の構成要素

要素名

説明

条件

パケットのフィルタリング基準を定義します。ファイアウォールフィルターの各用語は、照合条件とアクションで構成されています。ファイアウォールフィルターには、1つまたは複数の用語を定義できます。複数の用語を定義する場合は、各用語に固有の名前を付ける必要があります。

条件の照合

文字列で構成されています ( match ステートメント) として、照合条件を定義します。Match 条件とは、パケットに含まれる必要がある値またはフィールドです。1つの用語に対して、単一の対戦条件または複数の一致条件を定義できます。また、一致条件を定義しないように選択することもできます。条件に一致するものがない場合は、すべてのパケットがデフォルトで照合されます。

アクション

パケットがマッチ条件で指定されたすべての基準に一致した場合にスイッチが実行するアクションを指定します。

アクション修飾子

パケットが特定の条件に一致したときに、スイッチが取る1つ以上のアクションを指定します。

スイッチでサポートされている照合条件

監視するトラフィックのタイプに応じて、ファイアウォールフィルタを構成して、IPv4、IPv6、または非 IP トラフィックを監視できます。ファイアウォールフィルターを構成して特定タイプのトラフィックを監視する場合は、そのタイプのトラフィックに対してサポートされるマッチング条件を指定していることを確認します。特定のタイプのトラフィックとスイッチでサポートされる照合条件の詳細については、「Platform Support for Firewall Filter Match Conditions, Actions, and Action Modifiers on EX Series Switches」を参照してください。

表 2EX シリーズスイッチ上のファイアウォールフィルターでサポートされているすべての match 条件について説明します。

表 2: EX シリーズスイッチでサポートされるファイアウォールフィルタマッチング条件

条件の照合

説明

destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

ip-destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

ip6-destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

宛先-mac アドレス mac アドレス

パケットの宛先メディアアクセス制御 (MAC) アドレスです。

宛先の MAC アドレスとプレフィックスを使用して定義できます。 destination-mac-address 00:01:02:03:04:05/24。プリフィックスが指定されていない場合は、デフォルト値の48が使用されます。

destination-port 桁数

TCP または UDP 宛先ポートフィールド。通常、この照合条件protocolは or を使用して指定します。 ip プロトコルポートでどのプロトコルが使用されているかを判断する条件を照合します。で numberでは、次のいずれかの同義語を指定できます (ポート番号も表示されます)。

afs (1483)bgp (179)biff (512)ブート pc (68)ブート ps (67)cmd (514)cvspserver (2401)dhcp (67)ドメイン (53)eklogin (2105)ekshell (2106)exec (512)フィンガー (79)ftp (21)ftp データ (20)http (80)https (443)ident (113)imap (143)kerberos 秒 (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)ログイン (513)mobileip-エージェント (434)mobilip-フル (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)プリンター (515)レーダー acct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)トーク (517)telnet (23)tftp (69)定刻 (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 宛先プレフィックスリストフィールド

プレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。この照合条件は、 [edit policy-options]階層レベルで定義します。

dot1q-tag number

イーサネットヘッダーの [タグ] フィールドです。タグ値の範囲は、1 ~ 4095 です。dot1q-tag照合条件とその vlanmatch 条件は相互に排他的です。

user-vlan-id number

イーサネットヘッダーの [タグ] フィールドです。タグ値の範囲は、1 ~ 4095 です。user-vlan-id照合条件とlearn-vlan-id対戦条件は相互に排他的です。

dot1q-user-priority 桁数

タグ付きイーサネットパケットのユーザー優先度フィールド。ユーザー優先値は 0 ~ 7 の範囲で指定できます。

numberでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

  • 背景 (1)—背景

  • ベストエフォート (0)—ベストエフォート

  • 制御型ロード (4)—負荷の制御

  • 優れた負荷 (3)—優れた負荷

  • ネットワーク制御 (7)—ネットワーク制御予約トラフィック

  • 標準 (2)—標準またはスペア

  • video (5)—動画

  • 音声 (6)—音声

user-vlan-1p-priority 桁数

タグ付きイーサネットパケットのユーザー優先度フィールド。ユーザー優先値は 0 ~ 7 の範囲で指定できます。

numberでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

  • 背景 (1)—背景

  • ベストエフォート (0)—ベストエフォート

  • 制御型ロード (4)—負荷の制御

  • 優れた負荷 (3)—優れた負荷

  • ネットワーク制御 (7)—ネットワーク制御予約トラフィック

  • 標準 (2)—標準またはスペア

  • video (5)—動画

  • 音声 (6)—音声

dscp 桁数

差別化サービスコードポイント (DSCP) を指定します。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

numberでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

  • ef (46)RFC 2598で定義されているように 優先転送 PHB

  • af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    この4つのクラスは、各クラスで3つのドロップ precedences を持つことで、 RFC 2597の12個のコードポイントに定義されています。 保証転送 PHB グループ

ether タイプ value

パケットのイーサネットタイプフィールドです。このは、イーサネットフレームでどのプロトコルがトランスポートされているかを示します。で valueでは、次のいずれかのテキストシノニムを指定できます。

  • aarp—EtherType value AARP (0x80F3)

  • 確保—EtherType 値 AppleTalk (0x809B)

  • プロ—EtherType 値 ARP (0x0806)

  • ipv4—EtherType 値 IPv4 (0x0800)

  • ipv6—EtherType 値 IPv6 (0x08DD)

  • mpls マルチキャスト—EtherType 値 MPLS マルチキャスト (0x884 8)

  • mpls ユニキャスト—EtherType 値 MPLS ユニキャスト (0x884 7)

  • oam—EtherType 値 OAM (0x88A8)

  • ppp—EtherType 値 PPP (0x880B)

  • pppoe-discovery—EtherType value PPPoE 検出ステージ (0x8863)

  • pppoe セッション—EtherType value PPPoE セッションステージ (0x8864)

  • sna—EtherType value SNA (0x80D5)

注: 以下の照合条件はサポートされていません。 ether タイプに設定され ipv6:

  • dscp

  • fragment-flags

  • is-fragment

  • precedence または ip-precedence

  • protocol または ip-protocol

fragment-flags fragment-flags

IP フラグメント化フラグ (記号または16進形式で指定) 以下のいずれかのオプションを指定できます。

  • フラグメント化(0x4000)

  • 複数のフラグメント(0x2000)

  • (0x8000)

icmp-code 桁数

ICMP コードフィールドです。この値またはオプションは、より具体的な情報を提供します。 icmp-type。値’が意味するのは、関連付けられている icmp-typeを指定する必要があり icmp-typeとともに icmp-code。で 桁数では、次のいずれかの同義語を指定できます (フィールド値も表示されます)。オプションは、関連づけられている ICMP タイプ別にグループ化されています。

  • パラメーターの問題ip ヘッダー-不良 (0)必須-オプション-ありません (1)

  • リダイレクト「ホスト用」にリダイレクトします (1)リダイレクト-ネットワーク (0)「tos and host (3)」にリダイレクトします。「tos and-net (2)」にリダイレクトします。

  • 時間超過ttl-eq-ゼロ

    再構築 (1)
    ttl-eq-輸送時 (0)

  • ませ通信禁止のフィルタリング (13)宛先ホストで禁止されている (10)宛先ホスト-不明 (7)宛先ネットワークで禁止されている (9)宛先ネットワーク-不明 (6)フラグメンテーション-必要 (4)ホスト優先度違反 (14)ホストに到達不可 (1)ホストに到達不能-TOS (12)ネットワークに到達不可 (0)ネットワーク到達不能-TOS (11)ポートに到達不可 (3)優先度-期限 (15)プロトコルに到達しない (2)ソースホスト分離 (8)ソースルート-失敗 (5)

icmp-type 桁数

ICMP パケットタイプフィールド。通常、このマッチ条件は、 protocol or ip-protocol条件とともに指定して、ポートで使用されるプロトコルを決定します。で 桁数では、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

エコー応答 (0)エコー要求 (8)info-応答 (16)info-要求 (15)

マスク要求 (17)マスク応答 (18)パラメーター-問題 (12)

リダイレクト (5)ルーター広告 (9)ルーター-要請 (10)発信元抑制 (4)

時間超過 (11)タイムスタンプ (13)タイムスタンプ-応答 (14)到達不能 (3)

インターフェース interface-name

パケットを受信するインターフェース。ワイルドカード文字を指定できます (*) としてインターフェイス名の一部として構成されています。

注: こちらの インターフェースEX8200 バーチャルシャーシの送信トラフィックに対しては、match 条件がサポートされていません。

ip-options

IP ヘッダーのオプションフィールドの存在

ip バージョン バージョン match_condition (s)

ポートおよび VLAN ファイアウォールフィルター用 IP プロトコルのバージョンです。の価値 バージョンすることができ ipv4または ipv6

match_condition (s)では、以下のいずれかまたは複数の条件を指定できます。

  • destination-addressip-destination-address、またはip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedence または ip-precedence

  • protocol または ip-protocol

  • source-address または ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

パケットが後続フラグメントの場合、このマッチ条件は断片化されたパケットの最初のフラグメントと一致しません。2つの用語を使用して、先頭と末尾のフラグメントの両方を照合します。

注: EX2300、EX3400、EX4300 の各スイッチの制限により、このマッチ条件は、「family イーサネットスイッチング」に適用されたときに断片化されたパケットの最後のフラグメントとは一致しません。”

l2-encap タイプの/非スナップ

論理リンク制御 (SNAP) イーサネットカプセル化タイプのパケットに対応します。

次のヘッダー バイト

IPv6 ヘッダーの直後に続くヘッダーのタイプを識別する8ビットプロトコルフィールド。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

ah (51)dstops (60)egp (8)esp (50)フラグメント (44)gre (47)ホップバイホップ (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no next header (59)ospf (89)pim (103)ルーティング (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length バイト

受信パケットの長さ (バイト単位)。

パケットヘッダーを含む IP パケットのみが長さで、レイヤー2カプセル化オーバーヘッドは含まれていません。

precedence precedence

IP の優先度で precedenceでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

重要な ecp (5)フラッシュ (3)フラッシュ-上書き (4)イミディエイト (2)インターネットコントロール (6)net control (7)優先度 (1)ルーチン (0)

ip-precedence precedence

IP の優先度で precedenceでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

重要な ecp (5)フラッシュ (3)フラッシュ-上書き (4)イミディエイト (2)インターネットコントロール (6)net control (7)優先度 (1)ルーチン (0)

protocol list of protocol

IPv4 プロトコル値。で プロトコルでは、次のいずれかのテキストシノニムを指定できます。

egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4)

ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

IPv4 プロトコル値。で プロトコルでは、次のいずれかのテキストシノニムを指定できます。

egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4)

ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip アドレス

パケットを送信する送信元ノードのアドレスである IP 送信元アドレスフィールド。IPv6 では、送信元アドレスフィールドの長さは128ビットです。フィルタ記述構文は、 RFC 2373に記載されている IPv6 アドレスのテキスト表現をサポートしています。 IP バージョン6アドレス指定アーキテクチャ

ip-source-address (ip-address | ip6-address)

パケットを送信する送信元ノードのアドレスである IP 送信元アドレスフィールド。IPv4 アドレス (ip-address) または IPv6 アドレス (ip6-address) のいずれかを指定できます。IPv6 では、ip 送信元アドレスフィールドの長さは128ビットです。フィルタ記述構文は、 RFC 2373に記載されている IPv6 アドレスのテキスト表現をサポートしています。 IP バージョン6アドレス指定アーキテクチャ

ソース-mac アドレス mac アドレス

ソース MAC アドレス。

ソース MAC アドレスとプレフィックスを定義できます。 source-mac-address 00:01:02:03:04:05/24。プリフィックスが指定されていない場合は、デフォルト値の48が使用されます。

source-port 桁数

TCP または UDP source-port]. 通常は、このマッチングを or とともにprotocol指定します。 ip プロトコルポートでどのプロトコルが使用されているかを判断する条件を照合します。で 桁数では、以下に示すいずれかのテキストシノニムを指定できます。 destination-port

source-prefix-list prefix-list

IP 送信元プレフィックスリストフィールド。

プレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。この照合条件は、 [edit policy-options]階層レベルで定義します。

tcp-established

確立された TCP 接続の TCP パケット。この条件は、接続の最初のパケット以外のパケットと一致します。 tcp-establishedは、ビット名の同義語です "(ack |rst) "

tcp-establishedプロトコルが TCP であるかどうかを暗黙でチェックすることはありません。そのためには、 次ヘッダー tcp条件を照合します。

tcp フラグ (flagstcp 初期)

1つ以上の TCP フラグ:

  • ビット名—フィンパケットrst通知インターチェンジ至急

  • 論理通信事業者—&(論理積)、 |(論理 OR)、 !否定

  • 数値—0x01 ~ 0x20

  • テキストシノニム—tcp-initial

複数のフラグを指定するには、論理演算子を使用します。

tcp-initial

接続の最初の TCP パケットと一致します。 tcp-initialは、ビット名の同義語です "(syn &! ack)"

tcp-initialプロトコルが TCP であるかどうかを暗黙でチェックすることはありません。そのためには、 protocol tcpまたは ip プロトコル tcp条件を照合します。

トラフィッククラス 桁数

パケットの DSCP コードポイントを指定します。

消滅 value

一致させる TTL タイプ。この値の範囲は、1 ~ 255 です。

vlan (vlan-name | vlan-id)

パケットに関連付けられている VLAN。で vlan-id、VLAN ID または VLAN 範囲のいずれかを指定できます。こちらの vlanマッチング条件とその dot1q-tagmatch 条件は相互に排他的です。

learn-vlan-id (vlan-name | vlan-id)

パケットに関連付けられている VLAN。で vlan-id、VLAN ID または VLAN 範囲のいずれかを指定できます。こちらの vlanマッチング条件とその ユーザー-vlan idmatch 条件は相互に排他的です。

ファイアウォールフィルターのアクション

パケットが一致条件で定義されたフィルタリング基準に一致した場合に、スイッチが実行するアクションを定義できます。表 3ファイアウォールフィルタ構成でサポートされるアクションについて説明します。

表 3: ファイアウォールフィルターのアクション

アクション

説明

同意

パケットを受信します。

捨て

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。

受け入れ メッセージタイプ

パケットを破棄し、ICMPv4 メッセージを送信する (type 3) 宛先に到達不可。拒否されたパケットをログに記録するには、 syslogアクション修飾子。

以下のいずれかのメッセージコードを指定できます。 管理が禁止されている (デフォルト) と、不適切なホストの tos、ホストからの障害、ホストからの非認識、ネットワーク非認識、アクセス不可、またはネットワークに対応していない、ポート到達不能、優先カット、優先度違反、プロトコル到達不能、発信元ホスト分離、発信元ルート-失敗、 tcp リセット

を指定した場合 tcp リセット、パケットが TCP パケットである場合、TCP リセットが返されます。それ以外の場合は、何も返されません。

メッセージタイプが指定されていない場合、ICMP 通知 宛先に到達不可デフォルトのメッセージとともに送信されます。 通信管理フィルタリング

ルーティングインスタンス ルーティングインスタンス名

一致したパケットを仮想ルーティングインスタンスに転送します。

注: EX4200 スイッチは、ファイアウォールフィルターベースのデフォルトルーティングインスタンスへのリダイレクトをサポートしていません。

vlan vlan 名

一致したパケットを特定の VLAN に転送します。Vlan の範囲ではなく vlan 名または vlan ID を指定していることを確認してください。 vlanアクションでサポートされない vlan 範囲ボタン.

注: Dot1q トンネリングが有効になっている VLAN が定義されている場合、その特定の VLAN はアクションとしてサポートされていません ( vlan vlan 名アクション)、入口 VLAN ファイアウォールフィルタを使用します。

ファイアウォールフィルターのアクション修飾子

表 3説明されているアクションに加え、パケットが一致条件で定義したフィルタリング基準を満たしている場合は、スイッチ用のファイアウォールフィルタ構成にアクションモディファイアを定義できます。表 4ファイアウォールフィルタ構成でサポートされているアクションモディファイアについて説明します。

表 4: ファイアウォールフィルターのアクション修飾子

アクション修飾子

説明

解析 analyzer-name

指定された宛先ポートまたは VLAN へのミラーポートトラフィックを、プロトコルアナライザアプリケーションに接続します。ミラーリングによって、あるスイッチポートで検出されたすべてのパケットを、別のスイッチポートのネットワーク監視接続にコピーします。Analyzer 名は、で[edit ethernet-switching-options analyzer]構成する必要があります。

注: 解析は、管理インターフェイスに対してサポートされているアクション修飾子ではありません。

注: EX4500 スイッチでは、1つのアナライザーのみを構成して、ファイアウォールフィルタに含めることができます。複数のアナライザーを構成した場合、そのようなアナライザーの1つをファイアウォールフィルターに含めることはできません。

dscp number

一致したパケットの DSCP 値を、この action 修飾子で指定された DSCP 値に変更します。 桁数差別化サービスコードポイント (DSCP) を指定します。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

numberでは、次のいずれかの同義語を指定できます (フィールド値も表示されます)。

  • ef (46)RFC 2598で定義されているように 優先転送 PHB

  • af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    この4つのクラスは、各クラスで3つのドロップ precedences を持つことで、 RFC 2597の12個のコードポイントに定義されています。 保証転送 PHB グループ

計数 カウンター名

このフィルター、条件、またはポリサーを通過するパケット数をカウントします。ポリサーでは、スイッチ上のインターフェイスに入力するトラフィックにレート制限を指定できます。

注: EX4300 スイッチでは、TCAM (3) のコンテンツアドレス指定メモリの条件と同じ数のカウンターとポリサーを構成できます。

forwarding-class クラス

次のいずれかの転送クラスでパケットを分類します。

  • 保証した転送

  • ベストエフォート型

  • 優先転送

  • ネットワーク制御

インターフェース interface-name

スイッチのルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するにはshow firewall log 、CLI でコマンドを発行します。

注: ない場合は または syslogアクション修飾子はとともに構成されています。 vlanアクションまたは インターフェースアクションの修飾子が付いていると、イベントがログに記録されない可能性があります。しかし、リダイレクトインターフェイス機能は期待どおりに動作します。

損失-優先度 (高 | 低)

パケット損失の優先度 (PLP) を設定します。

ポリサー ポリサー名

トラフィックにレート制限を適用します。

ポート、VLAN、およびルーター上で受信したトラフィックに対してのみ、ファイアウォールフィルターでポリサーを指定できます。

注: EX8200 スイッチでは、ポリサーのカウンターはサポートされていません。

注: EX4300 スイッチでは、TCAM の条件数と同じ数のカウンターとポリサーを構成できます。

port-mirror

[edit forwarding-options analyzer]階層内で定義されたインターフェイスにパケットをミラーリングします。

port-mirror-instance instance-name

[edit forwarding-options analyzer]階層に定義されたインスタンスにパケットをミラーリングします。

syslog

このパケットのアラートをログに記録します。ログをサーバーに送信してストレージと分析を実行するように指定できます。

注: ない場合は または syslogアクション修飾子はとともに構成されています。 vlanアクションまたは インターフェースアクションの修飾子が付いていると、イベントがログに記録されない可能性があります。しかし、リダイレクトインターフェイス機能は期待どおりに動作します。

3色のポリサー

3色のポリサーを適用します。