スイッチ上でのループバックファイアウォールフィルターの照合条件とアクションのサポート
EX シリーズイーサネットスイッチでは、ループバックインターフェイスは、スイッチのルーティングエンジンに入ってくるすべての制御トラフィックのゲートウェイとして使用されます。この制御トラフィックを監視する場合は、ループバックインターフェイス (lo0) 上でファイアウォールフィルターを設定する必要があります。ループバックファイアウォールフィルターは、さらに処理するためにルーティングエンジン CPU に送信されるパケットにのみ適用されます。そのため、ループバックインターフェイス上の入口の方向にのみファイアウォールフィルターを適用できます。
ファイアウォールフィルターの各条件は、照合条件とアクションで構成されます。Match 条件とは、パケットに含まれる必要がある値またはフィールドです。複数、単一、または一致しない条件を定義できます。条件に一致条件が指定されていない場合は、すべてのパケットがデフォルトで照合されます。照合条件を定義する文字列は、 match 文と呼ばれます。このアクションは、パケットが特定の条件に一致すると見なされた場合にスイッチが取るアクションです。アクションモディファイアはオプションで、パケットが特定の条件を満たす場合に、そのスイッチによって実行される1つ以上のアクションを指定します。
次の表は、スイッチ上のループバックインターフェイスで構成されたファイアウォールフィルタでサポートされている条件、アクション、アクション修飾子を示しています。
ネットワークインターフェイスで構成されたファイアウォールフィルターでサポートされる match 条件、アクション、アクションモディファイアの詳細については、Platform Support for Firewall Filter Match Conditions, Actions, and Action Modifiers on EX Series Switches」を参照してください。
表 1: ループバックインターフェイスでのファイアウォールフィルターの条件を満たす IPv4 および—IPv6 トラフィックのサポート (スイッチ当たり)
条件の照合 | EX2200 | EX3200, | EX3300 | EX4500 | EX6200 | EX8200 |
|---|---|---|---|---|---|---|
IPv4 トラフィックの条件を満たす: | ||||||
destination-address | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
destination-port | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
destination-prefix-list | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
dscp | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
icmp-code | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
icmp-type | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
インターフェース | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
is-fragment | ✓ | ✓ | ✓ | ✓ | – | – |
packet-length | – | – | – | – | – | ✓ |
precedence | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
protocol | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
source-address | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
source-port | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
source-prefix-list | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
IPv6 トラフィックの条件を満たす: | ||||||
ip6-destination-address | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
destination-port | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
destination-prefix-list | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
icmp-code | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
icmp-type | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
インターフェース | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
次のヘッダー | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
packet-length | – | – | – | – | – | ✓ |
source-address | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
source-port | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
source-prefix-list | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
tcp-established | ✓ | ✓ | ✓ | ✓ | ✓ | – |
tcp-flags | ✓ | ✓ | ✓ | ✓ | ✓ | – |
tcp-initial | ✓ | ✓ | ✓ | ✓ | ✓ | – |
トラフィッククラス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
表 2: スイッチ当たりの IPv4 および IPv6 トラフィック—のサポートのためのループバックインターフェイスでのファイアウォールフィルターのアクション
アクション | EX2200 | EX3200, | EX3300 | EX4500 | EX6200 | EX8200 |
|---|---|---|---|---|---|---|
IPv4 トラフィックのアクション: | ||||||
同意 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
捨て | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
IPv6 トラフィックのアクション: | ||||||
同意 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
捨て | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
表 3: ループバックインターフェイスでのファイアウォールフィルターのアクション修飾子 (スイッチ当たり—の IPv4 および IPv6 トラフィックのサポート)
アクション | EX2200 | EX3200, | EX3300 | EX4500 | EX6200 | EX8200 |
|---|---|---|---|---|---|---|
IPv4 トラフィックのアクション修飾子: | ||||||
計数 | – | ✓ | – | ✓ | ✓ | – |
forwarding-class | ✓ | ✓ | ✓ | ✓ | – | ✓ |
損失-優先度 | ✓ | ✓ | ✓ | ✓ | – | ✓ |
IPv6 トラフィック用のアクション修飾子: | ||||||
計数 | – | ✓ | – | ✓ | – | – |
forwarding-class | ✓ | ✓ | ✓ | ✓ | – | ✓ |
損失-優先度 | ✓ | ✓ | ✓ | ✓ | – | ✓ |
EX8200 スイッチでは、IPv4 トラフィック用にdiscardループバックインターフェイスに暗黙的または明示的なアクションが設定されている場合、次ホップ解決パケットが受け入れられ、スイッチを通過できるようになります。ただし、IPv6 トラフィックの場合は、近傍検索の IPv6 解決パケットがスイッチを通過するようにルールを明示的に構成する必要があります。