Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子

EX シリーズスイッチのファイアウォールフィルターを定義するときは、パケットのフィルタリング基準(termsmatch conditions付き)と、パケットがフィルタリング基準に一致した場合にスイッチが取る action (およびオプションで action modifier)を定義します。ファイアウォールフィルターを定義して、IPv4、IPv6、または非IPトラフィックを監視できます。

このトピックでは、ファイアウォールフィルターで定義できるさまざまな一致条件、アクション、およびアクション修飾子について詳しく説明します。さまざまなEXシリーズスイッチでの一致条件のサポートについては 、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。

ファイアウォールフィルターエレメント

ファイアウォールフィルターの設定には、条件、一致条件、アクション、およびオプションでアクション修飾子が含まれます。 表 1 では、ファイアウォールフィルター設定の各要素について説明します。

表 1: ファイアウォールフィルター設定の要素

要素名

説明

用語

パケットのフィルタリング基準を定義します。ファイアウォールフィルターの各項は、一致条件とアクションで構成されています。ファイアウォールフィルターでは、単一の用語または複数の用語を定義できます。複数の用語を定義する場合は、各用語に一意の名前を付ける必要があります。

一致条件

一致条件を定義する文字列 ( match statement) で構成されます。一致条件とは、パケットに含める必要のある値またはフィールドです。1つの項に対して、単一の一致条件または複数の一致条件を定義できます。一致条件を定義しないことを選択することもできます。条件に一致条件が指定されていない場合、すべてのパケットがデフォルトで一致します。

アクション

パケットが一致条件で指定されたすべての基準に一致する場合にスイッチが実行するアクションを指定します。

アクション修飾子

パケットが特定の条件の一致条件に一致した場合にスイッチが実行する 1 つ以上のアクションを指定します。

スイッチでサポートされる一致条件

監視するトラフィックのタイプに基づいて、IPv4、IPv6、または非IPトラフィックを監視するようにファイアウォールフィルターを設定できます。特定のタイプのトラフィックを監視するようにファイアウォールフィルターを設定する場合、そのタイプのトラフィックでサポートされている一致条件を必ず指定してください。特定のタイプのトラフィックでサポートされている一致条件と、それらがサポートされているスイッチについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。

表 2 は、EX シリーズスイッチのファイアウォールフィルターでサポートされているすべての一致条件を説明します。

表 2: EXシリーズスイッチでサポートされているファイアウォールフィルター一致条件

一致条件

説明

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

ip-destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

ip6-destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

destination-mac-address mac-address

パケットの宛先MAC(メディアアクセス制御)アドレス

destination-mac-address 00:01:02:03:04:05/24 などのプレフィックスを使用して宛先 MAC アドレスを定義できます。プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。

destination-port number

TCPまたはUDP宛先ポートフィールド。通常、この一致条件を protocol または ip-protocol 一致条件と組み合わせて指定して、ポートで使用されるプロトコルを決定します。numberには、以下のテキスト同義語(ポート番号も記載されています)のいずれかを指定できます。

afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。

頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 [edit policy-options] 階層レベルで定義します。

dot1q-tag number

イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。dot1q-tag一致条件とvlan一致条件は互いに排他的です。

user-vlan-id number

イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。user-vlan-id一致条件とlearn-vlan-id一致条件は互いに排他的です。

dot1q-user-priority number

タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。

numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

  • background (1)—バックグラウンド

  • best-effort (0)—ベストエフォート

  • controlled-load (4)—制御された負荷

  • excellent-load (3)—優れた負荷

  • network-control (7)- ネットワーク制御の予約済みトラフィック

  • standard (2)- 標準またはスペア

  • video (5)—ビデオ

  • voice (6)—音声

user-vlan-1p-priority number

タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。

numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

  • background (1)—バックグラウンド

  • best-effort (0)—ベストエフォート

  • controlled-load (4)—制御された負荷

  • excellent-load (3)—優れた負荷

  • network-control (7)- ネットワーク制御の予約済みトラフィック

  • standard (2)- 標準またはスペア

  • video (5)—ビデオ

  • voice (6)—音声

dscp number

DSCP(差別化されたサービスコードポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

  • ef (46)RFC 2598, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先順位があり、 RFC 2597保証転送 PHB グループ の 12 のコード ポイントに対して定義されています。

ether-type value

パケットのイーサネット タイプ フィールドです。この値は、イーサネットフレームで転送されるプロトコルを指定します。value には、以下のテキスト同義語のいずれかを指定できます。

  • aarp- イーサタイプ値 AARP(0x80F3)

  • appletalk- EtherType 値 AppleTalk (0x809B)

  • arp- イーサタイプ値ARP(0x0806)

  • ipv4- イーサタイプ値 IPv4(0x0800)

  • ipv6- イーサタイプ値 IPv6(0x08DD)

  • mpls multicast- イーサタイプ値 MPLS マルチキャスト(0x8848)

  • mpls unicast- EtherType値MPLSユニキャスト(0x8847)

  • oam- EtherType値OAM(0x88A8)

  • ppp- EtherType 値 PPP(0x880B)

  • pppoe-discovery- EtherType値PPPoEディスカバリーステージ(0x8863)

  • pppoe-session- EtherType値PPPoEセッションステージ(0x8864)

  • sna- イーサタイプ値 SNA(0x80D5)

注:

ether-typeipv6に設定されている場合、以下の一致条件はサポートされません。

  • dscp

  • fragment-flags

  • is-fragment

  • precedenceまたは ip-precedence

  • protocolまたは ip-protocol

fragment-flags fragment-flags

記号形式または 16 進形式で指定される IP フラグメンテーション フラグ。次のいずれかのオプションを指定できます。

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

GBP-DST-Tag ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション
gbp-src-tag ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

icmp-code number

ICMP コード フィールドです。この値またはオプションは、 icmp-typeよりも具体的な情報を提供します。値の意味は関連付けられたicmp-typeによって異なるため、icmp-code と共に icmp-type を指定する必要があります。numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。オプションは、それらが関連するICMPタイプによってグループ化されます。

  • parameter-problemip-header-bad (0)required-option-missing (1)

  • redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • unreachablecommunication-prohibited-by-filtering (13), destination-host-prohibited (10), destination-host-unknown (7), destination-network-prohibited (9), destination-network-unknown (6), fragmentation-needed (4), host-precedence-violation (14), host-unreachable (1), host-unreachable-for-TOS (12), network-unreachable (0), network-unreachable-for-TOS (11), port-unreachable (3), precedence-cutoff-in-effect (15), protocol-unreachable (2), source-host-isolated (8), source-route-failed (5)

icmp-type number

ICMP パケット タイプ フィールドです。通常、この一致条件を protocol または ip-protocol 一致条件と組み合わせて指定して、ポートで使用されているプロトコルを決定します。numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

echo-reply (0)echo-request (8)info-reply (16)info-request (15)mask-request (17)mask-reply (18)parameter-problem (12)redirect (5)router-advertisement (9)router-solicit (10)source-quench (4)time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

パケットを受信するインターフェイス。インターフェイス名の一部としてワイルドカード文字(*)を指定できます。

注:

interface一致条件は、EX8200オンラインシャーシ上のエグレストラフィックではサポートされていません。

ip-options

IP ヘッダー内のオプション フィールドの存在。

ip-version version match_condition(s)

ポートおよびVLANファイアウォールフィルターのIPプロトコルのバージョン。version の値は、ipv4または ipv6 にすることができます。

match_condition(s)では、以下の一致条件を1つ以上指定できます。

  • destination-addressip-destination-address、または ip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedenceまたは ip-precedence

  • protocolまたは ip-protocol

  • source-addressまたは ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

パケットが後続のフラグメントである場合、この一致条件はフラグメント パケットの最初のフラグメントと一致しません。最初のフラグメントと最後のフラグメントの両方を一致させるには、2つの用語を使用します。

注:

EX2300、EX3400、およびEX4300スイッチの制限により、この一致条件を「ファミリーイーサネットスイッチング」に適用した場合、フラグメントパケットの最後のフラグメントと一致しません。

l2-encap-type llc-non-snap

非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。

next-header bytes

IPv6 ヘッダーの直後のヘッダーの種類を識別する 8 ビット プロトコル フィールド。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

受信したパケットの長さ(バイト単位)。

長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。

precedence precedence

IP 優先順位。precedenceでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

ip-precedence precedence

IP 優先順位。precedenceでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

protocol list of protocol

IPv4プロトコル値。protocols には、以下のテキスト同義語のいずれかを指定できます。

egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4)ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

IPv4プロトコル値。protocols には、以下のテキスト同義語のいずれかを指定できます。

egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4)ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip-address

IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv6 の場合、送信元アドレス フィールドの長さは 128 ビットです。フィルター記述構文は、 RFC 2373IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。

ip-source-address (ip-address | ip6-address)

IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv4アドレス(ip-address)またはIPv6アドレス(ip6-address)のいずれかを指定できます。IPv6の場合、IP送信元アドレスフィールドの長さは128ビットです。フィルター記述構文は、 RFC 2373IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。

source-mac-address mac-address

送信元MACアドレス。

source-mac-address 00:01:02:03:04:05/24などのプレフィックスを使用して送信元MACアドレスを定義できます。プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。

source-port number

TCP または UDP source-port フィールドです。通常、この一致を protocol または ip-protocol 一致条件と組み合わせて指定して、ポートで使用されているプロトコルを決定します。numberについては、[destination-port] の下に記載されているテキスト シノニムの 1 つを指定できます。

source-prefix-list prefix-list

IP 送信元プレフィックス リスト フィールドです。

頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 [edit policy-options] 階層レベルで定義します。

tcp-established

確立された TCP 接続の TCP パケット。この条件は、接続の最初のパケット以外のパケットに一致します。 tcp-established はビット名 "(ack | rst)"同義語です。

tcp-established プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、 next-header tcp 一致条件を指定します。

tcp-flags (flags tcp-initial)

1 つ以上の TCP フラグ:

  • bit-name - finsynrstpushackurgent

  • 論理演算子—& (論理AND)、 | (論理OR)、 ! (否定)

  • 数値—0x01から0x20

  • テキスト同義語—tcp-initial

複数のフラグを指定するには、論理演算子を使用します。

tcp-initial

接続の最初の TCP パケットに一致します。 tcp-initial はビット名 "(syn&!ack)"同義語です。

tcp-initial プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、 protocol tcp または ip-protocol tcp 一致条件を指定します。

traffic-class number

パケットの DSCP コード ポイントを指定します。

ttl value

一致する TTL タイプ。値の範囲は 1 から 255 です。

vlan (vlan-name | vlan-id)

パケットに関連付けられている VLAN。vlan-idの場合は、VLAN ID または VLAN 範囲のいずれかを指定できます。vlan一致条件とdot1q-tag一致条件は互いに排他的です。

learn-vlan-id (vlan-name | vlan-id)

パケットに関連付けられている VLAN。vlan-idの場合は、VLAN ID または VLAN 範囲のいずれかを指定できます。vlan一致条件とuser-vlan-id一致条件は互いに排他的です。

ファイアウォールフィルターのアクション

パケットが一致条件で定義されたフィルタリング基準に一致した場合にスイッチが実行するアクションを定義できます。 表 3 では、ファイアウォールフィルター設定でサポートされるアクションについて説明します。

表 3: ファイアウォールフィルターのアクション

アクション

説明

accept

パケットを受け取ります。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、ICMPv4 メッセージ(タイプ 3) destination unreachableを送信します。syslog アクション修飾子を設定すると、拒否されたパケットをログに記録できます。

以下のいずれかのメッセージ・コードを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset.

tcp-reset を指定した場合、パケットが TCP パケットであれば TCP リセットが返されます。それ以外の場合、何も返されません。

メッセージタイプを指定しない場合、ICMP 通知 destination unreachable はデフォルトのメッセージ communication administratively filteredで送信されます。

routing-instance routing-instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。

注:

EX4200スイッチは、デフォルトのルーティングインスタンスへのファイアウォールフィルターベースのリダイレクトをサポートしていません。

vlan vlan-name

一致したパケットを特定のVLANに転送します。vlan アクションは vlan-range オプションをサポートしていないため、VLAN 範囲ではなく、VLAN 名または VLAN ID を指定してください。

注:

dot1q トンネリングが有効になっている VLAN を定義している場合、その特定の VLAN はイングレス VLAN ファイアウォール フィルターのアクション( vlan vlan-name アクションを使用)としてサポートされません。

ファイアウォールフィルターのアクション修飾子

表 3で説明したアクションに加えて、パケットが 一致条件で定義されたフィルタリング基準に一致する場合、スイッチのファイアウォールフィルター設定でアクション修飾子を定義できます。表 4では、ファイアウォールフィルター設定でサポートされるアクション修飾子について説明します。

表 4: ファイアウォールフィルターのアクション修飾子

アクション修飾子

説明

analyzer analyzer-name

プロトコルアナライザーアプリケーションに接続されている指定された宛先ポートまたは VLAN にポートトラフィックをミラーリングします。ミラーリングは、あるスイッチポートで見られるすべてのパケットを別のスイッチポートのネットワーク監視接続にコピーします。アナライザ名は [ [edit ethernet-switching-options analyzer]] で設定する必要があります。

注:

analyzer は、管理インターフェイスでサポートされるアクション修飾子ではありません。

注:

EX4500スイッチでは、アナライザを1つだけ設定してファイアウォールフィルターに含めることができます。複数のアナライザを設定する場合、ファイアウォールフィルターにそれらのアナライザのいずれも含めることはできません。

dscp number

一致したパケットの DSCP 値を、このアクション修飾子で指定された DSCP 値に変更します。 number は、DSCP(差別化されたサービス・コード・ポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。

  • ef (46)RFC 2598, An Expeded Forwarding PHBで定義されています。

  • af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先順位があり、 RFC 2597保証転送 PHB グループ の 12 のコード ポイントに対して定義されています。

count counter-name

このフィルター、ターム、またはポリサーを通過したパケットの数をカウントします。ポリサーは、スイッチのインターフェイスに入るトラフィックのレート制限を指定することができます。

注:

EX4300 スイッチでは、TCAM(Ternary Content Addressable Memory)内の用語の数と同じ数のカウンターとポリサーを設定できます。

forwarding-class class

パケットを以下のフォワーディングクラスのいずれかに分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(EX4400およびEX4650のみ) グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

interface interface-name

スイッチングルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、CLI で show firewall log コマンドを発行します。

注:

log または syslog アクション修飾子がvlanアクション修飾子またはinterfaceアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。ただし、リダイレクトインターフェイス機能は期待どおりに機能します。

loss-priority (high | low)

PLP(パケット損失の優先度)を設定します。

policer policer-name

トラフィックにレート制限を適用します。

ファイアウォールフィルターのポリサーは、ポート、VLAN、およびルーターのイングレストラフィックに対してのみ指定できます。

注:

ポリサーのカウンターは、EX8200スイッチではサポートされていません。

注:

EX4300 スイッチでは、TCAM の用語数と同じ数のカウンターとポリサーを設定できます。

port-mirror

[edit forwarding-options analyzer]階層で定義されたインターフェイスにパケットをミラーリングします。

port-mirror-instance instance-name

[edit forwarding-options analyzer]階層で定義されたインスタンスにパケットをミラーリングします。

syslog

このパケットのアラートをログに記録します。保存と分析のためにログをサーバーに送信するように指定できます。

注:

log または syslog アクション修飾子がvlanアクション修飾子またはinterfaceアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。ただし、リダイレクトインターフェイス機能は期待どおりに機能します。

three-color-policer

3 カラー ポリサーを適用します。