アクセス コントロール リスト(ファイアウォール フィルター)
概要 このトピックでは、クラウドネイティブルーターのレイヤー2アクセス制御リスト(ファイアウォールフィルター)について説明します。
アクセス コントロール リスト(ファイアウォール フィルター)
Juniper Cloud-Native Routerリリース22.2以降、ファイアウォールフィルター機能が制限されています。フィルターは、クラウドネイティブルーターコントローラ内のJunos OS CLI、NETCONF、またはクラウドネイティブルーターAPIを使用して設定できます。Juniper Cloud-Native Routerリリース23.2以降、cRPD導入時にノードアノテーションとカスタム構成テンプレートを使用してファイアウォールフィルターを設定することもできます。詳細については、導入ガイドを参照してください。
導入時に、システムはファイアウォールフィルターを定義して適用し、トラフィックがルーターインターフェイス間を直接通過するのをブロックします。さらに多くのフィルターを動的に定義して適用できます。ファイアウォールフィルターを使用して、次のことを行います。
-
ブリッジ ファミリー トラフィックのファイアウォール フィルターを定義します。
-
送信元 MAC アドレス、送信先 MAC アドレス、または EtherType の 1 つ以上のフィールドに基づいてフィルタを定義します。
-
各フィルター内で複数の用語を定義します。
-
フィルターに一致するトラフィックを破棄します。
-
ブリッジ ドメインにフィルターを適用します。
設定例
以下に、クラウドネイティブルーターを導入した場合のファイアウォールフィルター設定の例を示します。
root@jcnr01> show configuration firewall
firewall {
family {
bridge {
filter example {
term t1 {
from {
destination-mac-address 10:10:10:10:10:11;
source-mac-address 10:10:10:10:10:10;
ether-type arp;
}
then {
discard;
}
}
}
}
}
}
ファイアウォールフィルターで設定できる唯一の then アクションは、破棄アクションです。
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1、ファイアウォールフィルターをブリッジドメインに適用する必要があります。次に、ファイアウォールフィルターの設定をコミットして、有効にする必要があります。
フィルタに一致したパケットの数(VLANごと)を確認するには、cRPD CLIで コマンドを発行 show firewall filter filter1 します。例えば:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
前の例では、ブリッジ ドメイン bd3001にフィルターを適用しました。フィルターは、まだどのパケットにも一致していません。
トラブルシューティング
次の表に、クラウドネイティブルーターにファイアウォールルールまたはACLを実装するときに直面する可能性のある問題の一部を示します。これらのコマンドのほとんどは、ホスト サーバーで実行します。
| 問題の | 考えられる原因と解決コマンド | |
|---|---|---|
| ファイアウォールフィルターまたはACLが機能しない | vRouter への gRPC 接続(ポート 50052)がダウンしています。gRPC 接続を確認します。 | netstat -antp|grep 50052 |
プロセスが実行され ui-pubd ていません。が実行されているかどうかを確認します ui-pubd 。 |
ps aux|grep ui-pubd |
|
| ファイアウォールフィルターまたは ACL show コマンドが機能しない | vRouter への gRPC 接続(ポート 50052)がダウンしています。gRPC 接続を確認します。 | netstat -antp|grep 50052 |
| ファイアウォール サービスが実行されていません。 | ps aux|grep firewall |
|
show log filter.logこのコマンドは、JCNRコントローラ(cRPD)CLI で実行する必要があります。 |