EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
EX シリーズスイッチのファイアウォールフィルターを定義するときは、パケットのフィルタリング基準(terms、 match conditions付き)と、パケットがフィルタリング基準に一致した場合にスイッチが取る action (およびオプションで action modifier)を定義します。ファイアウォールフィルターを定義して、IPv4、IPv6、または非IPトラフィックを監視できます。
このトピックでは、ファイアウォールフィルターで定義できるさまざまな一致条件、アクション、およびアクション修飾子について詳しく説明します。さまざまなEXシリーズスイッチでの一致条件のサポートについては 、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。
ファイアウォールフィルターエレメント
ファイアウォールフィルターの設定には、条件、一致条件、アクション、およびオプションでアクション修飾子が含まれます。 表 1 では、ファイアウォールフィルター設定の各要素について説明します。
要素名 |
説明 |
---|---|
用語 |
パケットのフィルタリング基準を定義します。ファイアウォールフィルターの各項は、一致条件とアクションで構成されています。ファイアウォールフィルターでは、単一の用語または複数の用語を定義できます。複数の用語を定義する場合は、各用語に一意の名前を付ける必要があります。 |
一致条件 |
一致条件を定義する文字列 ( match statement) で構成されます。一致条件とは、パケットに含める必要のある値またはフィールドです。1つの項に対して、単一の一致条件または複数の一致条件を定義できます。一致条件を定義しないことを選択することもできます。条件に一致条件が指定されていない場合、すべてのパケットがデフォルトで一致します。 |
アクション |
パケットが一致条件で指定されたすべての基準に一致する場合にスイッチが実行するアクションを指定します。 |
アクション修飾子 |
パケットが特定の条件の一致条件に一致した場合にスイッチが実行する 1 つ以上のアクションを指定します。 |
スイッチでサポートされる一致条件
監視するトラフィックのタイプに基づいて、IPv4、IPv6、または非IPトラフィックを監視するようにファイアウォールフィルターを設定できます。特定のタイプのトラフィックを監視するようにファイアウォールフィルターを設定する場合、そのタイプのトラフィックでサポートされている一致条件を必ず指定してください。特定のタイプのトラフィックでサポートされている一致条件と、それらがサポートされているスイッチについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。
表 2 は、EX シリーズスイッチのファイアウォールフィルターでサポートされているすべての一致条件を説明します。
一致条件 |
説明 |
---|---|
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
destination-mac-address mac-address |
パケットの宛先MAC(メディアアクセス制御)アドレス destination-mac-address 00:01:02:03:04:05/24 などのプレフィックスを使用して宛先 MAC アドレスを定義できます。プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。 |
destination-port number |
TCPまたはUDP宛先ポートフィールド。通常、この一致条件を afs (1483)、 bgp (179)、 biff (512)、 bootpc (68)、 bootps (67)、 cmd (514)、 cvspserver (2401)、 dhcp (67)、 domain (53)、 eklogin (2105)、 ekshell (2106)、 exec (512)、 finger (79)、 ftp (21)、 ftp-data (20)、 http (80)、 https (443)、 ident (113)、 imap (143)、 kerberos-sec (88)、 klogin (543)、 kpasswd (761)、 krb-prop (754)、 krbupdate (760)、 kshell (544)、 ldap (389)、 login (513)、 mobileip-agent (434)、 mobilip-mn (435)、 msdp (639)、 netbios-dgm (138)、 netbios-ns (137)、 netbios-ssn (139)、 nfsd (2049)、 nntp (119)、 ntalk (518)、 ntp (123)、 pop3 (110)、 pptp (1723)、 printer (515)、 radacct (1813)、 radius (1812)、 rip (520)、 rkinit (2108)、 smtp (25)、 snmp (161)、 snmptrap (162)、 snpp (444)、 socks (1080)、 ssh (22)、 sunrpc (111)、 syslog (514)、 tacacs-ds (65)、 talk (517)、 telnet (23)、 tftp (69)、 timed (525)、 who (513)、 xdmcp (177)、 zephyr-clt (2103)、 zephyr-hm (2104) |
destination-prefix-list prefix-list |
IP 宛先プレフィックス リスト フィールドです。 頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 |
|
イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。 |
|
イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。 |
dot1q-user-priority number |
タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。 numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。
|
user-vlan-1p-priority number |
タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。 numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。
|
dscp number |
DSCP(差別化されたサービスコードポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。 DSCPは、16進法、2進法、または10進法で指定できます。 numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。 |
ether-type value |
パケットのイーサネット タイプ フィールドです。この値は、イーサネットフレームで転送されるプロトコルを指定します。value には、以下のテキスト同義語のいずれかを指定できます。
注:
ether-typeが ipv6に設定されている場合、以下の一致条件はサポートされません。
|
fragment-flags fragment-flags |
記号形式または 16 進形式で指定される IP フラグメンテーション フラグ。次のいずれかのオプションを指定できます。
|
GBP-DST-Tag | ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
gbp-src-tag | ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
icmp-code number |
ICMP コード フィールドです。この値またはオプションは、 icmp-typeよりも具体的な情報を提供します。値の意味は関連付けられたicmp-typeによって異なるため、icmp-code と共に icmp-type を指定する必要があります。numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。オプションは、それらが関連するICMPタイプによってグループ化されます。
|
icmp-type number |
ICMP パケット タイプ フィールドです。通常、この一致条件を echo-reply (0)、 echo-request (8)、 info-reply (16)、 info-request (15)、mask-request (17)、 mask-reply (18)、 parameter-problem (12)、 redirect (5)、 router-advertisement (9)、 router-solicit (10)、 source-quench (4)、 time-exceeded (11)、 timestamp (13)、 timestamp-reply (14)、 unreachable (3) |
interface interface-name |
パケットを受信するインターフェイス。インターフェイス名の一部としてワイルドカード文字(*)を指定できます。 注:
interface一致条件は、EX8200オンラインシャーシ上のエグレストラフィックではサポートされていません。 |
ip-options |
IP ヘッダー内のオプション フィールドの存在。 |
ip-version version match_condition(s) |
ポートおよびVLANファイアウォールフィルターのIPプロトコルのバージョン。version の値は、ipv4または ipv6 にすることができます。 match_condition(s)では、以下の一致条件を1つ以上指定できます。
|
is-fragment |
パケットが後続のフラグメントである場合、この一致条件はフラグメント パケットの最初のフラグメントと一致しません。最初のフラグメントと最後のフラグメントの両方を一致させるには、2つの用語を使用します。 注:
EX2300、EX3400、およびEX4300スイッチの制限により、この一致条件を「ファミリーイーサネットスイッチング」に適用した場合、フラグメントパケットの最後のフラグメントと一致しません。 |
l2-encap-type llc-non-snap |
非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。 |
next-header bytes |
IPv6 ヘッダーの直後のヘッダーの種類を識別する 8 ビット プロトコル フィールド。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 ah (51)、 dstops (60)、 egp (8)、 esp (50)、 fragment (44)、 gre (47)、 hop-by-hop (0)、 icmp (1)、 icmp6 (1)、 igmp (2)、 ipip (4)、 ipv6 (41)、 no-next-header (59)、 ospf (89)、 pim (103)、 routing (43)、 rsvp (46)、 sctp (132)、 tcp (6)、 udp (17)、 vrrp (112) |
packet-length bytes |
受信したパケットの長さ(バイト単位)。 長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。 |
|
IP 優先順位。precedenceでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。 critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0) |
|
IP 優先順位。precedenceでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。 critical-ecp (5)、 flash (3)、 flash-override (4)、 immediate (2)、 internet-control (6)、 net-control (7)、 priority (1)、 routine (0) |
|
IPv4プロトコル値。protocols には、以下のテキスト同義語のいずれかを指定できます。 egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 ipip (4)、 ospf (89)、 pim (103)、 rsvp (46)、 tcp (6)、 udp (17) |
|
IPv4プロトコル値。protocols には、以下のテキスト同義語のいずれかを指定できます。 egp (8)、 esp (50)、 gre (47)、 icmp (1)、 igmp (2)、 ipip (4)、 ospf (89)、 pim (103)、 rsvp (46)、 tcp (6)、 udp (17) |
source-address ip-address |
IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv6 の場合、送信元アドレス フィールドの長さは 128 ビットです。フィルター記述構文は、 RFC 2373「 IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。 |
|
IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv4アドレス( |
source-mac-address mac-address |
送信元MACアドレス。 source-mac-address 00:01:02:03:04:05/24などのプレフィックスを使用して送信元MACアドレスを定義できます。プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。 |
source-port number |
TCP または UDP source-port フィールドです。通常、この一致を |
source-prefix-list prefix-list |
IP 送信元プレフィックス リスト フィールドです。 頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 |
tcp-established |
確立された TCP 接続の TCP パケット。この条件は、接続の最初のパケット以外のパケットに一致します。 tcp-established はビット名 "(ack | rst)"同義語です。 tcp-established プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、 next-header tcp 一致条件を指定します。 |
tcp-flags (flags tcp-initial) |
1 つ以上の TCP フラグ:
複数のフラグを指定するには、論理演算子を使用します。 |
tcp-initial |
接続の最初の TCP パケットに一致します。 tcp-initial はビット名 "(syn&!ack)"同義語です。 tcp-initial プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、 |
traffic-class number |
パケットの DSCP コード ポイントを指定します。 |
ttl value |
一致する TTL タイプ。値の範囲は 1 から 255 です。 |
|
パケットに関連付けられている VLAN。vlan-idの場合は、VLAN ID または VLAN 範囲のいずれかを指定できます。vlan一致条件とdot1q-tag一致条件は互いに排他的です。 |
|
パケットに関連付けられている VLAN。vlan-idの場合は、VLAN ID または VLAN 範囲のいずれかを指定できます。vlan一致条件とuser-vlan-id一致条件は互いに排他的です。 |
ファイアウォールフィルターのアクション
パケットが一致条件で定義されたフィルタリング基準に一致した場合にスイッチが実行するアクションを定義できます。 表 3 では、ファイアウォールフィルター設定でサポートされるアクションについて説明します。
アクション |
説明 |
---|---|
accept |
パケットを受け取ります。 |
discard |
インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。 |
reject message-type |
パケットを破棄し、ICMPv4 メッセージ(タイプ 3) destination unreachableを送信します。syslog アクション修飾子を設定すると、拒否されたパケットをログに記録できます。 以下のいずれかのメッセージ・コードを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. tcp-reset を指定した場合、パケットが TCP パケットであれば TCP リセットが返されます。それ以外の場合、何も返されません。 メッセージタイプを指定しない場合、ICMP 通知 destination unreachable はデフォルトのメッセージ communication administratively filteredで送信されます。 |
routing-instance routing-instance-name |
一致したパケットを仮想ルーティング インスタンスに転送します。 注:
EX4200スイッチは、デフォルトのルーティングインスタンスへのファイアウォールフィルターベースのリダイレクトをサポートしていません。 |
vlan vlan-name |
一致したパケットを特定のVLANに転送します。vlan アクションは vlan-range オプションをサポートしていないため、VLAN 範囲ではなく、VLAN 名または VLAN ID を指定してください。 注:
dot1q トンネリングが有効になっている VLAN を定義している場合、その特定の VLAN はイングレス VLAN ファイアウォール フィルターのアクション( vlan vlan-name アクションを使用)としてサポートされません。 |
ファイアウォールフィルターのアクション修飾子
表 3で説明したアクションに加えて、パケットが 一致条件で定義されたフィルタリング基準に一致する場合、スイッチのファイアウォールフィルター設定でアクション修飾子を定義できます。表 4では、ファイアウォールフィルター設定でサポートされるアクション修飾子について説明します。
アクション修飾子 |
説明 |
---|---|
analyzer analyzer-name |
プロトコルアナライザーアプリケーションに接続されている指定された宛先ポートまたは VLAN にポートトラフィックをミラーリングします。ミラーリングは、あるスイッチポートで見られるすべてのパケットを別のスイッチポートのネットワーク監視接続にコピーします。アナライザ名は [ 注:
analyzer は、管理インターフェイスでサポートされるアクション修飾子ではありません。 注:
EX4500スイッチでは、アナライザを1つだけ設定してファイアウォールフィルターに含めることができます。複数のアナライザを設定する場合、ファイアウォールフィルターにそれらのアナライザのいずれも含めることはできません。 |
|
一致したパケットの DSCP 値を、このアクション修飾子で指定された DSCP 値に変更します。 number は、DSCP(差別化されたサービス・コード・ポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。 DSCPは、16進法、2進法、または10進法で指定できます。 numberでは、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定することができます。 |
count counter-name |
このフィルター、ターム、またはポリサーを通過したパケットの数をカウントします。ポリサーは、スイッチのインターフェイスに入るトラフィックのレート制限を指定することができます。 注:
EX4300 スイッチでは、TCAM(Ternary Content Addressable Memory)内の用語の数と同じ数のカウンターとポリサーを設定できます。 |
forwarding-class class |
パケットを以下のフォワーディングクラスのいずれかに分類します。
|
gbp-src-tag(EX4400およびEX4650のみ) | グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
interface interface-name |
スイッチングルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。 |
log |
パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、CLI で 注:
log または syslog アクション修飾子がvlanアクション修飾子またはinterfaceアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。ただし、リダイレクトインターフェイス機能は期待どおりに機能します。 |
loss-priority (high | low) |
PLP(パケット損失の優先度)を設定します。 |
policer policer-name |
トラフィックにレート制限を適用します。 ファイアウォールフィルターのポリサーは、ポート、VLAN、およびルーターのイングレストラフィックに対してのみ指定できます。 注:
ポリサーのカウンターは、EX8200スイッチではサポートされていません。 注:
EX4300 スイッチでは、TCAM の用語数と同じ数のカウンターとポリサーを設定できます。 |
|
|
|
|
syslog |
このパケットのアラートをログに記録します。保存と分析のためにログをサーバーに送信するように指定できます。 注:
log または syslog アクション修飾子がvlanアクション修飾子またはinterfaceアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。ただし、リダイレクトインターフェイス機能は期待どおりに機能します。 |
three-color-policer |
3 カラー ポリサーを適用します。 |