Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ファイアウォールフィルターの設定

次のセクションの手順に従って、スイッチにファイアウォールフィルターを設定および適用します。

ファイアウォールフィルターの設定

ファイアウォールフィルターを設定するには:

  1. ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも1つの一致条件(例えば、特定の送信元アドレスを含むパケットの一致)を設定します。

    • レイヤー 2 トラフィック(ポートまたは VLAN)をフィルタリングするには、ファミリーアドレスタイプ を指定します。ethernet-switching

    • レイヤー 3(ルーティング)トラフィックをフィルタリングするには、ファミリーアドレスタイプ(IPv4 の場合)または(IPv6 の場合)を指定します。inetinet6

    • レイヤー2回線インターフェイスのトラフィックをフィルタリングするには、ファミリーアドレスタイプ を指定します。ccc

    フィルター名と用語名には、文字、数字、ハイフン(-)を含めることができ、最大 64 文字まで使用可能です。各フィルター名は一意である必要があります。フィルターには 1 つ以上の用語を含めることができ、各用語名はフィルター内で一意である必要があります。

  2. 追加の一致条件を設定します。たとえば、以下のように表示されます。

    この設定では、送信元ポート 80 を含むレイヤー 2 パケットでフィルターが一致します。

    この設定では、インターフェイス ge-0/0/6.0 を含む VLAN でフィルターが一致します。

    1 つのfromステートメントで 1 つ以上の一致条件を指定できます。一致するためには、パケットが条件のすべての条件に一致する必要があります。ステートメントは オプションですが、用語に含める場合は空にすることはできません。from そのfromステートメントを省略すると、すべてのパケットが一致したと見なされます。

  3. ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを確認できるようにするには、 オプションを設定します 。interface-specific
  4. 各ファイアウォールフィルター条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションとアクション修飾子を指定できます。

    • フィルターアクションを指定するには、たとえば、フィルター条件の条件に一致するパケットを破棄するには、以下のようにします。

      1つの用語に指定できるアクションは1つだけです(、 、 、または)。acceptdiscardfloodrejectrouting-instancevlan

    • フィルターアクションを指定するには、たとえば、QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210のMACアドレスに一致するパケットをフラッディングするには、次のようにします。

      宛先MACアドレスを一致条件として使用することで、以下のBPDUをフラッディングまたは破棄するようにイングレスポートベースのファイアウォールフィルター を設定できます。

      プロトコル

      宛先メディアアクセス制御(DMAC)アドレス

      ファイアウォール アクション

      Link Aggregation Control Protocol(LACP)

      01:80:c2:00:00:02

      フラッディング/破棄/カウント

      Link Layer Discovery Protocol(LLDP)

      01:80:c2:00:00:00E

      フラッディング/破棄/カウント

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      フラッディング/破棄/カウント

      Spanning Tree Protocol(STP)

      01:80:c2:00:00:00

      洪水/廃棄/国

      VSTP(VLAN Spanning Tree Protocol)

      01:00:0C:CC:CC:CD

      フラッディング/破棄/カウント

      Cisco Discovery Protocol(CDP)/VLAN Trunk Protocol(VTP)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント
      注:

      • CDP/VTP、ISIS L1/L2 プロトコルは、デフォルトの動的フィルターを使用してフラッディングします。したがって、これらのプロトコルに対して追加のフィルターを構成する必要はありません。

      • イングレスポートベースのファイアウォールフィルターはポートレベルで適用されるため、サービスプロバイダスタイルの設定では、物理インターフェイス1つに適用できるフィルター は1つだけです。

      • ネイティブ VLAN は、トランク ポートで受信したタグなしBPDUを確実にフラッディングするように設定する必要があります。ネイティブVLANが設定されていない場合、タグなしBPDUはローカルFPCのすべてのインターフェイスにフラッディングされます。

      • IGMPスヌーピングまたはマルチキャストリスナーディスカバリ(MLD)スヌーピングが有効になっている場合、フラッド機能は動作しません。

      • フラッドアクション付きのファイアウォールフィルターがインターフェイスに適用され、後でインターフェイスがダウンした場合、そのインターフェイスで受信したBPDUは、一致条件を満たしていればフラッディングされます。

    • アクション修飾子を指定するには、たとえば、転送クラスへのパケットをカウントして分類するには、以下のようにします。

      ステートメントでは 、以下のアクション修飾子のいずれかを指定できます。then

      • - ポートトラフィックを指定されたアナライザにミラーリングします 。このアナライザは、 レベルで設定する必要があります。analyzer analyzer-name[ethernet-switching-options]

      • count counter-nameーこのフィルター条件を通過したパケットの数をカウントします。

        注:

        各フィルター条件で指定された条件に一致するパケットの数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。

        注:

        QFX3500スイッチとQFX3600スイッチでは、巡回冗長検査(CRC)エラーにより入力方向にドロップされたパケットをフィルターが自動的にカウントします。

      • forwarding-class class- パケットを転送クラスに割り当てます。

      • log- ルーティングエンジンにパケットヘッダー情報を記録します。

      • loss-priority priority- パケットをドロップする優先度を設定します。

      • policer policer-name- トラフィックにレート制限を適用します。

      • flood- パケットをフラッディングします。

      • syslog- このパケットのアラートをログに記録します。

    ステートメントを 省略した場合、またはアクションを指定しない場合、 ステートメントのすべての条件 に一致するパケットが受け入れられます。thenfrom ただし、必ず ステートメントで アクションを設定するようにしてください。then 含めることができるアクションステートメントは 1 つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、fromステートメント内のすべての条件が一致する必要があります。

    注:

    ループバックインターフェイスに適用されるファイアウォールフィルターに適用可能なアクションは、.implicit discardlo0

拡張エグレスファイアウォールフィルター(QFX5110およびQFX5220 スイッチ)の設定

ハードウェアの制限により、QFX5110 およびQFX5220スイッチ は最大1000個のエグレスファイアウォールフィルター(eRACL)しかサポートできません。スイッチを拡張モードで設定することで、この数を2000まで増やすことができます。このモードでは、スイッチはイングレスTCAMスペース(IFP)を使用して、より高いスケールを実現します。

エグレスフィルターを設定するには、ファミリーアドレスタイプ(IPv4の場合)または(IPv6の場合)、フィルター名、および条件名を指定します。inetinet6 スイッチに適用可能なスケーリングオプションを含め、一致条件と、一致が発生した場合に実行するアクションを指定します。次に、インターフェイスの出力方向にフィルターを適用します。

スケーリングオプションを設定、変更、または削除した後、設定をコミットし、パケット転送エンジン(PFE)を再起動する必要があります。

QFX5110上のエグレスフィルターの数を増やすには、設定に オプションを含め ます。egress-to-ingress このオプションは、任意の条件の下に追加できます。以下は、 の 構成例です。

QFX5220のエグレスフィルターの数を増やすには、 ステートメントの下に オプションを含めます。eracl-scaleegress-profile 以下は、 の 構成例です。

注:

オプションは グローバル モードで設定されます。eracl-scale 有効にすると、既存のエグレスフィルターがスケーリングモードで自動的に再インストールされます。

スケーリング モードを有効にすると、次の制限が適用されます。

  • フィルターは、エグレス方向(VLANから出るトラフィック)にのみ適用できます。

  • および プロトコルファミリーのみがサポートされています。inetinet6

  • 一般的なルーティングカプセル化(GRE)インターフェイスはサポートされていません。

  • エグレスファイアウォールフィルターのスケーリングオプションのみを使用してください。

  • 同じ一致条件のフィルターを、異なるエグレスVLANまたはレイヤー3インターフェイスに適用することはできません。サポートされているアクションは、 のみです。acceptdiscardcount

  • 一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターは、すべての着信VLANのトラフィックをカウントします。

ポートへのファイアウォールフィルターの適用

ファイアウォールフィルターをポートに適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。名前は、ポートにフィルターを適用するために使用するものです。
  2. フィルターをインターフェイスに適用し、ユニット番号、ファミリーアドレスタイプ()、フィルターの方向(ポートに入るパケットの場合)、フィルター名を指定します。ethernet-switching
    注:

    イングレス方向のポートに適用できるフィルターは 1 つだけです。

VLANへのファイアウォールフィルターの適用

注:

VLANファイアウォールフィルターは、EVPN-VXLAN環境のQFX5100、QFX5100バーチャルシャーシ、QFX5110、およびQFX5120スイッチではサポートされていません。

VLAN にファイアウォールフィルターを適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。この名前は、VLAN にフィルターを適用するために使用する名前です。
  2. ファイアウォールフィルターを適用して、VLAN に出入りするパケットをフィルタリングします。

    • VLAN に入るパケットに一致するフィルターを適用するには:

    • ファイアウォールフィルターを適用して、VLANから出るパケットを照合するには:

    注:

    特定の方向(イングレスまたはエグレス)のVLANに適用できるフィルターは1つだけです。

ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用

ファイアウォールフィルターは、IPv4およびIPv6インターフェイス、RVI(Routed VLAN Interface) (IRB(Integrated Routing and Bridging)インターフェイスとも呼ばれる)、ループバックインターフェイスに適用できます。これらはすべて、レイヤー 3 ルーテッド インターフェイスと見なされます。

注:

(QFX5100 およびQFX5110スイッチ)EVPN-VXLAN環境では、IRBインターフェイスを使用して、スイッチへのレイヤー3接続を提供できます。IRBインターフェイスを設定するには、 例: EVPN-VXLAN 環境で IRB インターフェイスを設定し、データ センターのホストにレイヤー 3 接続を提供する。その後、次の手順に従って IRB インターフェイスにファイアウォール フィルターを適用できます(イングレス方向のみがサポートされます)。サポートされている一致条件の一覧については、 ファイアウォールフィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。ファイアウォールフィルターの一致条件とアクション(EX4400、EX4600、EX4650、QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、QFX5700)
注:

特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、VLAN ID が一致する任意のレイヤー 3 インターフェイスでそのフィルタが実行されます。これは、該当するVLANタグを持つすべてのレイヤー3インターフェイスでフィルターが一致するからです。

ファイアウォールフィルターをレイヤー3インターフェイスに適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。この名前は、フィルターをインターフェイスに適用するために使用します。
  2. ファイアウォールフィルターを適用します。

    • インターフェイスに入るパケットをフィルタリングするには:

    • インターフェイスから出るパケットをフィルタリングするには:

      ファミリーアドレスタイプは、( IPv4 の場合)または( IPv6 の場合)のいずれかです。inetinet6

    注:

    特定の方向(イングレスまたはエグレス)のインターフェイスに適用できるフィルターは1つだけです。

ファイアウォールフィルターをレイヤー2 CCC(QFX10000スイッチ)に適用する

QFX10000スイッチ上のレイヤー2回線クロスコネクト(CCC)トラフィックに、カウントおよびポリサーアクションによるファイアウォールフィルターを適用できます。これにより、階層レベルで設定された ポリサー アクティビティをカウントして監視できます。[edit firewall family ccc]

この例では、 はポリサー アクションです。count

この例では、 はポリサー アクションです。discard

関連項目