Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクセス コントロール リスト(ファイアウォール フィルター)

概要 このトピックでは、Cloud-Native Routerのレイヤー2アクセスコントロールリスト(ファイアウォールフィルター)について説明します。

アクセス コントロール リスト(ファイアウォール フィルター)

Juniper Cloud-Native Routerリリース22.2以降、制限付きファイアウォールフィルター機能が含まれています。フィルターは、クラウドネイティブルーターコントローラー内のJunos OS CLI、NETCONF、またはクラウドネイティブルーターAPIを使用して設定できます。Juniper Cloud-Native Router Release 23.2以降では、JCNR導入時にノードアノテーションとカスタム設定テンプレートを使用してファイアウォールフィルターを設定することもできます。詳細については、導入ガイドを参照してください。

導入時に、システムはファイアウォールフィルターを定義して適用し、トラフィックがルーターインターフェイス間を直接通過するのをブロックします。より多くのフィルターを動的に定義して適用できます。ファイアウォールフィルターは、次の目的で使用します。

  • ブリッジ ファミリー トラフィックのファイアウォール フィルターを定義します。

  • 送信元MACアドレス、宛先MACアドレス、またはEtherTypeの1つ以上のフィールドに基づいてフィルタを定義します。

  • 各フィルター内で複数の条件を定義します。

  • フィルターに一致するトラフィックを破棄します。

  • ブリッジ ドメインにフィルターを適用します。

設定例

以下に、Cloud-Native Router導入時のファイアウォールフィルター設定例を示します。

手記:1 つのファイアウォールフィルターに最大 16 の条件を設定できます。ファイアウォールフィルターで設定できる唯一の then アクションは、 discard アクションです。
設定後、 set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1設定コマンドを使用して、ファイアウォールフィルターをブリッジドメインに適用する必要があります。次に、ファイアウォールフィルターを有効にするために、設定をコミットする必要があります。

フィルターに一致したパケット数(VLANごと)を確認するには、コントローラのCLIで show firewall filter filter1 コマンドを発行します。例えば:

前の例では、フィルターをブリッジ ドメイン bd3001に適用しました。フィルターはまだどのパケットとも一致していません。

トラブルシューティング

次の表に、クラウドネイティブ・ルーターにファイアウォール・ルールまたはACLを実装する際に直面する可能性のある問題の一部を示します。これらのコマンドのほとんどは、ホスト・サーバー上で実行します。

表1:L2ファイアウォールフィルターまたはACLのトラブルシューティング
問題の 考えられる原因と解決 コマンド
ファイアウォールフィルターまたはACLが機能しない vRouterへのgRPC接続(ポート50052)がダウンしています。gRPC 接続を確認します。
netstat -antp|grep 50052
ui-pubdプロセスが実行されていません。ui-pubdが実行されているかどうかを確認します。
ps aux|grep ui-pubd
ファイアウォールフィルターまたはACLのshowコマンドが機能しない vRouterへのgRPC接続(ポート50052)がダウンしています。gRPC 接続を確認します。
netstat -antp|grep 50052
ファイアウォール サービスが実行されていません。
ps aux|grep firewall
show log filter.log
このコマンドは、JCNR-controller (cRPD) CLIで実行する必要があります。