アクセス コントロール リスト(ファイアウォール フィルター)
概要 このトピックでは、Cloud-Native Routerのレイヤー2アクセスコントロールリスト(ファイアウォールフィルター)について説明します。
アクセス コントロール リスト(ファイアウォール フィルター)
Juniper Cloud-Native Routerリリース22.2以降、制限付きファイアウォールフィルター機能が含まれています。フィルターは、クラウドネイティブルーターコントローラー内のJunos OS CLI、NETCONF、またはクラウドネイティブルーターAPIを使用して設定できます。Juniper Cloud-Native Router Release 23.2以降では、JCNR導入時にノードアノテーションとカスタム設定テンプレートを使用してファイアウォールフィルターを設定することもできます。詳細については、導入ガイドを参照してください。
導入時に、システムはファイアウォールフィルターを定義して適用し、トラフィックがルーターインターフェイス間を直接通過するのをブロックします。より多くのフィルターを動的に定義して適用できます。ファイアウォールフィルターは、次の目的で使用します。
-
ブリッジ ファミリー トラフィックのファイアウォール フィルターを定義します。
-
送信元MACアドレス、宛先MACアドレス、またはEtherTypeの1つ以上のフィールドに基づいてフィルタを定義します。
-
各フィルター内で複数の条件を定義します。
-
フィルターに一致するトラフィックを破棄します。
-
ブリッジ ドメインにフィルターを適用します。
設定例
以下に、Cloud-Native Router導入時のファイアウォールフィルター設定例を示します。
root@jcnr01> show configuration firewall firewall { family { bridge { filter example { term t1 { from { destination-mac-address 10:10:10:10:10:11; source-mac-address 10:10:10:10:10:10; ether-type arp; } then { discard; } } } } } }
discard
アクションです。
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1
設定コマンドを使用して、ファイアウォールフィルターをブリッジドメインに適用する必要があります。次に、ファイアウォールフィルターを有効にするために、設定をコミットする必要があります。
フィルターに一致したパケット数(VLANごと)を確認するには、コントローラのCLIで show firewall filter filter1
コマンドを発行します。例えば:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
前の例では、フィルターをブリッジ ドメイン bd3001
に適用しました。フィルターはまだどのパケットとも一致していません。
トラブルシューティング
次の表に、クラウドネイティブ・ルーターにファイアウォール・ルールまたはACLを実装する際に直面する可能性のある問題の一部を示します。これらのコマンドのほとんどは、ホスト・サーバー上で実行します。
問題の | 考えられる原因と解決 | コマンド |
---|---|---|
ファイアウォールフィルターまたはACLが機能しない | vRouterへのgRPC接続(ポート50052)がダウンしています。gRPC 接続を確認します。 | netstat -antp|grep 50052 |
ui-pubd プロセスが実行されていません。ui-pubd が実行されているかどうかを確認します。 |
ps aux|grep ui-pubd |
|
ファイアウォールフィルターまたはACLのshowコマンドが機能しない | vRouterへのgRPC接続(ポート50052)がダウンしています。gRPC 接続を確認します。 | netstat -antp|grep 50052 |
ファイアウォール サービスが実行されていません。 | ps aux|grep firewall |
|
show log filter.logこのコマンドは、JCNR-controller (cRPD) CLIで実行する必要があります。 |