EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
EX シリーズスイッチのファイアウォールフィルターを定義する場合、パケットのフィルタリング基準(、 と )、およびパケットがフィルタリング基準に一致した場合にスイッチがとるフィルタリング基準(およびオプションで)を定義します。termsmatch conditionsactionaction modifier ファイアウォールフィルターを定義して、IPv4、IPv6、または非IPトラフィックを監視できます。
このトピックでは、ファイアウォールフィルターで定義できるさまざまな一致条件、アクション、およびアクション修飾子について詳しく説明します。さまざまなEXシリーズスイッチでの一致条件のサポートについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
ファイアウォールフィルターエレメント
ファイアウォールフィルターの設定には、条件、一致条件、アクション、およびオプションでアクション修飾子が含まれます。 は、ファイアウォール フィルター構成の各要素について説明します。表 1
エレメント名 |
説明 |
---|---|
用語 |
パケットのフィルタリング基準を定義します。ファイアウォールフィルターの各項は、一致条件とアクションで構成されています。ファイアウォールフィルターでは、単一の用語または複数の用語を定義できます。複数の用語を定義する場合は、各用語に一意の名前を付ける必要があります。 |
一致条件 |
一致条件を定義する文字列 (と呼ばれる ) で構成されます。match statement 一致条件とは、パケットに含める必要のある値またはフィールドです。1つの項に対して、単一の一致条件または複数の一致条件を定義できます。一致条件を定義しないことを選択することもできます。条件に一致条件が指定されていない場合、すべてのパケットがデフォルトで一致します。 |
アクション |
パケットが一致条件で指定されたすべての基準に一致する場合にスイッチが実行するアクションを指定します。 |
アクション修飾子 |
パケットが特定の条件の一致条件に一致した場合にスイッチが実行する 1 つ以上のアクションを指定します。 |
スイッチでサポートされる一致条件
監視するトラフィックのタイプに基づいて、IPv4、IPv6、または非IPトラフィックを監視するようにファイアウォールフィルターを設定できます。特定のタイプのトラフィックを監視するようにファイアウォールフィルターを設定する場合、そのタイプのトラフィックでサポートされている一致条件を必ず指定してください。特定のタイプのトラフィックでサポートされている一致条件と、それらがサポートされているスイッチについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
表 2 は、EX シリーズスイッチのファイアウォールフィルターでサポートされているすべての一致条件を説明します。
一致条件 |
説明 |
---|---|
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
|
最終宛先ノードのアドレスであるIP宛先アドレス フィールド。 |
destination-mac-address mac-address |
パケットの宛先MAC(メディアアクセス制御)アドレス 宛先MACアドレスは、 などのプレフィックスを使用して定義できます。destination-mac-address 00:01:02:03:04:05/24 プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。 |
destination-port number |
TCPまたはUDP宛先ポートフィールド。通常、この一致条件を または 一致条件と組み合わせて指定して、ポートで使用されるプロトコルを決定します。 、 、 、 、 、 afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104) |
destination-prefix-list prefix-list |
IP 宛先プレフィックス リスト フィールドです。 頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 階層レベルで定義します。 |
|
イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。一致条件と 一致条件は互いに排他的です。 |
|
イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。一致条件と 一致条件は互いに排他的です。 |
dot1q-user-priority number |
タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。 には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number
|
user-vlan-1p-priority number |
タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。 には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number
|
dscp number |
DSCP(差別化されたサービスコードポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。 DSCPは、16進法、2進法、または10進法で指定できます。 には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number
|
ether-type value |
パケットのイーサネット タイプ フィールドです。この値は、イーサネットフレームで転送されるプロトコルを指定します。には 、以下のテキスト同義語のいずれかを指定できます。value
注:
が に設定されている場合、以下の一致条件はサポートされません。ether-typeipv6
|
fragment-flags fragment-flags |
記号形式または 16 進形式で指定される IP フラグメンテーション フラグ。次のいずれかのオプションを指定できます。
|
GBP-DST-Tag | ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
gbp-src-tag | ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
icmp-code number |
ICMP コード フィールドです。この値またはオプションは、 よりも 具体的な情報を提供します。icmp-type 値の意味は、関連付けられている に依存するため、 と一緒 に を指定する必要があります。icmp-typeicmp-typeicmp-code には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number オプションは、それらが関連するICMPタイプによってグループ化されます。
|
icmp-type number |
ICMP パケット タイプ フィールドです。通常、この一致条件を または 一致条件と組み合わせて指定して、ポートで使用されているプロトコルを決定します。 、 、 、 、 echo-reply (0)echo-request (8)info-reply (16)info-request (15)、 、 、 mask-request (17)mask-reply (18)parameter-problem (12) 、 、 、 、 redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) 、 、 、 time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3) |
interface interface-name |
パケットを受信するインターフェイス。インターフェイス名の一部としてワイルドカード文字()を指定できます。* 注:
一致条件は、EX8200バーチャルシャーシのエグレストラフィックではサポートされていません。interface |
ip-options |
IP ヘッダー内のオプション フィールドの存在。 |
ip-version version match_condition(s) |
ポートおよびVLANファイアウォールフィルターのIPプロトコルのバージョン。の値は または にすることができます。versionipv4ipv6 には 、以下の一致条件を 1 つ以上指定できます。match_condition(s)
|
is-fragment |
パケットが後続のフラグメントである場合、この一致条件はフラグメント パケットの最初のフラグメントと一致しません。最初のフラグメントと最後のフラグメントの両方を一致させるには、2つの用語を使用します。 注:
EX2300、EX3400、およびEX4300スイッチの制限により、この一致条件を「ファミリーイーサネットスイッチング」に適用した場合、フラグメントパケットの最後のフラグメントと一致しません。 |
l2-encap-type llc-non-snap |
非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。 |
next-header bytes |
IPv6 ヘッダーの直後のヘッダーの種類を識別する 8 ビット プロトコル フィールド。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。 、 、 、 、 、 ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112) |
packet-length bytes |
受信したパケットの長さ(バイト単位)。 長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。 |
|
IP 優先順位。には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。precedence 、 、 、 、 、 、 、 、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0) |
|
IP 優先順位。には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。precedence 、 、 、 、 、 、 、 、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0) |
|
IPv4プロトコル値。には 、以下のテキスト同義語のいずれかを指定できます。protocols 、 、 、 、 、 、 、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、 、 、 、 ospf (89)pim (103)rsvp (46)tcp (6)udp (17) |
|
IPv4プロトコル値。には 、以下のテキスト同義語のいずれかを指定できます。protocols 、 、 、 、 、 、 、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、 、 、 、 ospf (89)pim (103)rsvp (46)tcp (6)udp (17) |
source-address ip-address |
IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv6 の場合、送信元アドレス フィールドの長さは 128 ビットです。フィルター記述構文は、 RFC 2373「 IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。http://www.ietf.org/rfc/rfc2373.txt |
|
IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv4アドレス()またはIPv6アドレス()のいずれかを指定できます。 |
source-mac-address mac-address |
送信元MACアドレス。 などのプレフィックスを使用して送信元 MACアドレスを定義できます。source-mac-address 00:01:02:03:04:05/24 プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。 |
source-port number |
TCP または UDP フィールドです。source-port 通常、 または 一致条件と合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。 |
source-prefix-list prefix-list |
IP 送信元プレフィックス リスト フィールドです。 頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 階層レベルで定義します。 |
tcp-established |
確立された TCP 接続の TCP パケット。この条件は、接続の最初のパケット以外のパケットに一致します。 はビット名の 同義語です。tcp-established"(ack | rst)" tcp-established プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、一致条件を指定します 。next-header tcp |
tcp-flags (flags tcp-initial) |
1 つ以上の TCP フラグ:
複数のフラグを指定するには、論理演算子を使用します。 |
tcp-initial |
接続の最初の TCP パケットに一致します。 はビット名の 同義語です。tcp-initial"(syn&!ack)" tcp-initial プロトコルが TCPかどうかを暗示的にチェックしません。そのためには、 または 一致条件を指定します。 |
traffic-class number |
パケットの DSCP コード ポイントを指定します。 |
ttl value |
一致する TTL タイプ。値の範囲は 1 から 255 です。 |
|
パケットに関連付けられている VLAN。には 、VLAN IDまたはVLAN範囲のいずれかを指定できます。vlan-id 一致条件と 一致条件は互いに排他的です。vlandot1q-tag |
|
パケットに関連付けられている VLAN。には 、VLAN IDまたはVLAN範囲のいずれかを指定できます。vlan-id 一致条件と 一致条件は互いに排他的です。vlanuser-vlan-id |
ファイアウォールフィルターのアクション
パケットが一致条件で定義されたフィルタリング基準に一致した場合にスイッチが実行するアクションを定義できます。 ファイアウォールフィルター設定でサポートされるアクションについて説明します。表 3
アクション |
説明 |
---|---|
accept |
パケットを受け取ります。 |
discard |
インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。 |
reject message-type |
パケットを破棄し、ICMPv4 メッセージ(タイプ 3) を送信します。destination unreachable アクション修飾子を設定する と、拒否されたパケットをログに記録できます。syslog 以下のいずれかのメッセージ・コードを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-resetです。 を指定し た場合、パケットが TCP パケットであれば TCP リセットが返されます。tcp-reset それ以外の場合、何も返されません。 メッセージ タイプを指定しない場合、ICMP 通知 はデフォルト メッセージ とともに送信されます。destination unreachablecommunication administratively filtered |
routing-instance routing-instance-name |
一致したパケットを仮想ルーティング インスタンスに転送します。 注:
EX4200スイッチは、デフォルトのルーティングインスタンスへのファイアウォールフィルターベースのリダイレクトをサポートしていません。 |
vlan vlan-name |
一致したパケットを特定のVLANに転送します。アクションは オプションをサポートしていない ため、VLAN 範囲ではなく、必ず VLAN 名または VLAN ID を指定してください。vlanvlan-range 注:
dot1q トンネリングが有効になっている VLAN を定義している場合、その特定の VLAN はイングレス VLAN ファイアウォール フィルターのアクション(アクションを使用 )としてサポートされません。vlan vlan-name |
ファイアウォールフィルターのアクション修飾子
で説明したアクションに加えて、パケットが 一致条件で定義されたフィルタリング基準に一致する場合、スイッチのファイアウォールフィルター設定でアクション修飾子を定義できます。は、ファイアウォールフィルター設定でサポートされるアクション修飾子について説明します。 表 3表 4
アクション修飾子 |
説明 |
---|---|
analyzer analyzer-name |
プロトコルアナライザーアプリケーションに接続されている指定された宛先ポートまたは VLAN にポートトラフィックをミラーリングします。ミラーリングは、あるスイッチポートで見られるすべてのパケットを別のスイッチポートのネットワーク監視接続にコピーします。アナライザ名は、 で 設定する必要があります。 注:
analyzer は、管理インターフェイスでサポートされるアクション修飾子ではありません。 注:
EX4500スイッチでは、アナライザを1つだけ設定してファイアウォールフィルターに含めることができます。複数のアナライザを設定する場合、ファイアウォールフィルターにそれらのアナライザのいずれも含めることはできません。 |
|
一致したパケットの DSCP 値を、このアクション修飾子で指定された DSCP 値に変更します。 DSCP(差別化されたサービスコードポイント)を指定します。number DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。 DSCPは、16進法、2進法、または10進法で指定できます。 には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number
|
count counter-name |
このフィルター、ターム、またはポリサーを通過したパケットの数をカウントします。ポリサーは、スイッチのインターフェイスに入るトラフィックのレート制限を指定することができます。 注:
EX4300 スイッチでは、TCAM(Ternary Content Addressable Memory)内の用語の数と同じ数のカウンターとポリサーを設定できます。 |
forwarding-class class |
パケットを以下のフォワーディングクラスのいずれかに分類します。
|
gbp-src-tag(EX4400およびEX4650のみ) | グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション |
interface interface-name |
スイッチングルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。 |
log |
パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、CLI で コマンドを発行 します。 注:
または アクション修飾子がアクション修飾子またはアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。logsyslogvlaninterface ただし、リダイレクトインターフェイス機能は期待どおりに機能します。 |
loss-priority (high | low) |
PLP(パケット損失の優先度)を設定します。 |
policer policer-name |
トラフィックにレート制限を適用します。 ファイアウォールフィルターのポリサーは、ポート、VLAN、およびルーターのイングレストラフィックに対してのみ指定できます。 注:
ポリサーのカウンターは、EX8200スイッチではサポートされていません。 注:
EX4300 スイッチでは、TCAM の用語数と同じ数のカウンターとポリサーを設定できます。 |
|
階層で定義されたインターフェイスにパケットをミラーリングします 。 |
|
階層で定義されたインスタンスにパケットをミラーリングします 。 |
syslog |
このパケットのアラートをログに記録します。保存と分析のためにログをサーバーに送信するように指定できます。 注:
または アクション修飾子がアクション修飾子またはアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。logsyslogvlaninterface ただし、リダイレクトインターフェイス機能は期待どおりに機能します。 |
three-color-policer |
3 カラー ポリサーを適用します。 |