Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ステートレス ファイアウォール フィルター アプリケーション ポイント

ファイアウォールフィルターを定義したら、それをアプリケーションポイントに適用する必要があります。これらのアプリケーション ポイントには、論理インターフェイス、物理インターフェイス、ルーティング インターフェイス、およびルーティング インスタンスが含まれます。

ほとんどの場合、ファイアウォールフィルターを 入力 フィルターまたは 出力 フィルターとして、あるいはその両方を同時に適用できます。入力フィルターは、指定されたインターフェースで受信されたパケットに対してアクションを実行し、出力フィルターは、指定されたインターフェースを介して送信されるパケットに対してアクションを実行します。

通常、複数の条件を持つ1つのフィルターを、単一の 論理インターフェイス、着信トラフィック、アウトバウンドトラフィック、またはその両方に適用します。ただし、複数のファイアウォールフィルターを(単一または複数の条件で)連結して、インターフェイスに適用したい場合があります。入力リストを使用して、インターフェイス上の着信トラフィックに複数のファイアウォールフィルターを適用します。出力リストを使用して、インターフェイス上のアウトバウンドトラフィックに複数のファイアウォールフィルターを適用します。入力リストまたは出力リストには、最大 16 個のフィルターを含めることができます。

設定できるフィルターとカウンターの数に制限はありませんが、実用的な考慮事項がいくつかあります。カウンターの数が多いほど必要な項が多くなり、条件の数が多いとコミット操作の処理に時間がかかることがあります。ただし、4000を超える用語とカウンターを持つフィルターは正常に実装されています。

表 1 は、ファイアウォールフィルターを適用できる各ポイントについて説明しています。表には、アプリケーション ポイントごとに、その時点でサポートされるファイアウォール フィルターの種類、フィルターを適用できるルーター(またはスイッチ)階層レベル、およびプラットフォーム固有の制限が示されています。

表 1: ステートレス ファイアウォール フィルターの構成とアプリケーションの概要

フィルター タイプ

適用ポイント

制限事項

ステートレス ファイアウォール フィルター

[edit firewall]階層レベルに filter filter-name  ステートメント を 含めて構成します。

filter filter-name;
注:

family ステートメントを含めない場合、ファイアウォールフィルターはデフォルトで IPv4 トラフィックを処理します。

論理インターフェイス

input filter-name または output filter-name ステートメントを含めて、[edit interfaces interface-name unit unit-number family inet] 階層レベルで適用します。

filter {
    input filter-name;
    output filter-name;
}
注:

暗黙的な inet プロトコル ファミリーで構成されたフィルターは、入力フィルター リストまたは出力フィルター リストに含めることはできません。

注:

T4000タイプ5 FPCでは、レイヤー2アプリケーションポイント(つまり、論理インターフェイスレベル)でアタッチされたフィルターは、DSCP、DSCP V6、 inet-precedencempls-expなどのレイヤー3分類子によって設定されたパケットの転送クラスと一致できません。

以下のルーターでサポートされています。

  • T シリーズルーター

  • M320ルーター

  • 拡張CFEB(CFEB-e)を搭載したM7iルーター

  • 拡張CFEB-eを搭載したM10iルーター

また、MXシリーズルーターの以下のモジュラーポートコンセントレータ(MPC)でもサポートされています。

  • 10ギガビットイーサネットMPC

  • 60ギガビットイーサネットキューイングMPC

  • 60ギガビットイーサネット拡張キューイングMPC

  • 100ギガビットイーサネットMPC

  • EXシリーズスイッチでもサポートされています

ステートレス ファイアウォール フィルター

以下のステートメントを含めて、 [edit firewall family family-name] 階層レベルで を設定します。

filter filter-name;

family-nameは、以下のプロトコルファミリーのいずれかにすることができます:

  • any

  • bridge

  • ethernet-switching

  • ccc

  • inet

  • inet6

  • mpls

  • vpls

論理インターフェイス上のプロトコルファミリー

inputinput-listoutput、または output-list ステートメントを含めて、[edit interfaces interface-name unit unit-number family family-name]階層レベルで適用します。

filter {
    input filter-name;
    input-list [ filter-names ];
    output filter-name;
    output-list [ filter-names ];
}

プロトコルファミリー bridge は、MX シリーズルーターでのみサポートされています。

ステートレス ファイアウォール フィルター

ルーティングエンジンループバックインターフェイス

  

サービスフィルター

以下のステートメントを含めて、 [edit firewall family (inet | inet6)] 階層レベルで を設定します。

service-filter service-filter-name;

論理インターフェイス上のファミリーinetまたはinet6

service-set ステートメントを使用して、サービス フィルタを入力または出力フィルタとしてサービス セットに適用することにより、[edit interfaces interface-name unit unit-number family (inet | inet6)]階層レベルで適用します。 

service {
    input {
        service-set service-set-name service-filter filter-name;
        
    }
    output {
        service-set service-set-name service-filter filter-name;
        
    }
}

以下のステートメントを含めて、 [edit services] 階層レベルでサービスセットを設定します。

 service-set service-set-name;

アダプティブサービス(AS)およびマルチサービス(MS)PICでのみサポートされます。

ポストサービスフィルター

以下のステートメントを含めて、 [edit firewall family (inet | inet6)] 階層レベルで を設定します。

service-filter service-filter-name;

論理インターフェイス上のファミリーinetまたはinet6

サービスフィルターを入力フィルターとして適用する post-service-filter ステートメントを含めて、[edit interfaces interface-name unit unit-number family (inet | inet6)]階層レベルで適用します。

service {
    input {
        post-service-filter filter-name;
    }
}

ポストサービスフィルタは、サービス処理後にサービスインターフェイスに戻るトラフィックに適用されます。フィルタは、サービス セットが設定され、選択されている場合にのみ適用されます。

シンプルなフィルター

以下のステートメントを含めて、 [edit firewall family inet] 階層レベルで を設定します。

simple-filter filter-name

論理インターフェイス上のファミリーinet

以下のステートメントを含めて、 [edit interfaces interface-name unit unit-number family inet] 階層レベルで適用します。

simple-filter simple-filter-name;

単純なフィルターは、入力フィルターとしてのみ適用できます。

次のプラットフォームでのみサポートされています。

  • M120、M320、およびT Series ルーター上のギガビット イーサネット インテリジェント キューイング(IQ2)PIC。

  • MXシリーズルーター(およびEXシリーズスイッチ)での拡張キューイング高密度ポートコンセントレータ(EQ DPC)。

リバースパケットフォワーディング(RPF)チェックフィルター

以下のステートメントを含めることで、 [edit firewall family (inet | inet6)] 階層レベルで構成されます。

filter filter-name;

論理インターフェイス上のファミリーinetまたはinet6

以下のステートメントを含めて、 [edit interfaces interface-name unit unit-number family (inet | inet6)] 階層レベルで適用します。

rpf-check fail-filter filter-name

ステートレス ファイアウォール フィルターを RPF チェック フィルターとして適用します。

 rpf-check {
    fail-filter filter-name;
    mode loose;
}

MXシリーズルーターおよびEXシリーズスイッチでのみサポートされています。