Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX シリーズ スイッチのファイアウォール フィルターの概要

ファイアウォール フィルターは、ジュニパーネットワークス EX シリーズ イーサネット スイッチ上のインターフェイスを送信元アドレスから宛先アドレスに転送するパケットを許可、拒否、転送するかどうかを定義するルールを提供します。ファイアウォール フィルターは、ファイアウォール フィルターが適用されるポート、VLAN、レイヤー 3(ルーテッド)インターフェイスに出入りする前に、 トラフィック を許可、拒否、転送するかどうかを決定するように設定します。ファイアウォール フィルターを適用するには、まずフィルターを設定してから、ポート、VLAN、またはレイヤー 3 インターフェイスに適用する必要があります。

ファイアウォール フィルターは、ネットワーク インターフェイス、アグリゲート イーサネット インターフェイス(LAG(リンク アグリゲーション グループ)とも呼ばれる)、ループバック インターフェイス、管理インターフェイス、VME(仮想管理イーサネット インターフェイス)、RVI(Routed VLAN Interfaces)に適用できます。これらのインターフェイスでファイアウォール フィルタをサポートする EX シリーズ スイッチの詳細については、 EX シリーズ スイッチ ソフトウェア機能の概要を参照してください。

イングレス ファイアウォール フィルターは、ネットワークに入るパケットに適用されるフィルターです。エグレス ファイアウォール フィルターは、ネットワークから出るパケットに適用されるフィルターです。ファイアウォール フィルターは、パケットをフィルタリング、CoS(サービス クラス)マーキング(類似のタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度を持つクラスとして扱う)、およびトラフィック ポリシング(インターフェイス上で送受信されるトラフィックの最大レートを制御)に従って設定できます。

ファイアウォール フィルター タイプ

EX シリーズ スイッチでは、次のファイアウォール フィルター タイプがサポートされています。

  • ポート(レイヤー 2)ファイアウォール フィルター— ポート ファイアウォール フィルターは、レイヤー 2 スイッチ ポートに適用されます。ポート ファイアウォール フィルターは、物理ポートのイングレス方向とエグレス方向の両方に適用できます。

  • VLAN ファイアウォール フィルター—VLAN ファイアウォール フィルターは、VLAN に入るパケット、VLAN 内でブリッジ接続されるパケット、または VLAN を残すパケットに対するアクセス コントロールを提供します。VLAN では、受信方向と送信方向の両方に VLAN ファイアウォール フィルターを適用できます。VLAN ファイアウォール フィルターは、VLAN に転送されるすべてのパケットまたは VLAN から転送されるすべてのパケットに適用されます。

  • ルーター(レイヤー 3)ファイアウォール フィルタ:レイヤー 3(ルーテッド)インターフェイスと RVI(Routed VLAN Interfaces)のイングレス方向とエグレス方向の両方にルーター ファイアウォール フィルタを適用できます。ループバック インターフェイス(lo0)のイングレス方向にルーター ファイアウォール フィルタを適用することもできます。ループバック インターフェイスに設定されたファイアウォール フィルターは、さらに処理するためにルーティング エンジン CPU に送信されるパケットにのみ適用されます。

これらのスイッチの IPv4 および IPv6 トラフィックの 両方 に、ポート、VLAN、ルーター ファイアウォール フィルターを適用できます。

  • EX2200スイッチ

  • EX3300スイッチ

  • EX3200スイッチ

  • EX4200スイッチ

  • EX4300スイッチ

  • EX4500スイッチ

  • EX4550スイッチ

  • EX6200スイッチ

  • EX8200スイッチ

異なるスイッチでサポートされるファイアウォール フィルターの詳細については、「 EX シリーズ スイッチのファイアウォール フィルターの一致条件、アクション、アクション修飾子のプラットフォームサポート」を参照してください。

ファイアウォール フィルター コンポーネント

ファイアウォール フィルタでは、最初にファミリー アドレス タイプ(ethernet-switching、またはinet6)を定義し、inet一致条件を持つ条件として指定するフィルタリング基準とアクション(アクションまたはアクション修飾子として指定)を指定する 1 つ以上の条件を定義します。

EX シリーズ スイッチのファイアウォール フィルターごとに許可される最大条件数は次のとおりです。

  • EX2200 スイッチ用 512

  • EX3300 スイッチ用 1436

    注:

    EX3300 スイッチで、同じコミット操作で多数の条件(1000 以上の順序で)を追加および削除した場合、すべてのフィルターがインストールされるわけではありません。1 つのコミット操作でフィルターを追加し、別のコミット操作でフィルターを削除する必要があります。

  • EX3200 および EX4200 スイッチの場合は 7,042。ファイアウォール フィルター用に TCAM(三元コンテンツ アドレッシング メモリ)を動的に割り当てることで割り当てられます。

  • EX4300 スイッチでは、ポート、VLAN、レイヤー 3 インターフェイス上に設定されたファイアウォール ファイラーに対して、受信/送信トラフィックで次の最大条件がサポートされます。

    • イングレス トラフィックの場合:

      • ポートに設定されたファイアウォール フィルターの 3,500 語

      • VLAN に設定されたファイアウォール フィルターの 3,500 語

      • IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 7,000 語

      • IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 3,500 語

    • EX4300-MP デバイスの場合、イングレスのサポートは上記と同じですが、以下の例外があります。

      • IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 3072 語

    • エグレス トラフィックの場合:

      • ポートに設定されたファイアウォール フィルターの 512 語

      • VLAN 上に設定されたファイアウォール フィルターの 256 条件

      • IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語

      • IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語

    注:

    最大条件数は、スイッチで 1 種類のファイアウォール フィルタ(ポート、VLAN、またはルーター(レイヤー 3)ファイアウォール フィルタ)を設定する場合、およびスイッチ内の任意のインターフェイスでストーム制御が有効でない場合にのみ設定できます。

  • EX4500 および EX4550 スイッチ用 1200

  • EX6200 スイッチ用 1400

  • EX8200 スイッチ用 32,768

注:

EX8200スイッチにおける共有スペースTCAMのオンデマンド動的割り当ては、ファイアウォールフィルターにフリースペースブロックを割り当てることによって達成されます。ファイアウォール フィルターは、2 つの異なるプールに分類されます。ポートフィルターとVLANフィルターは一緒にプールされます(このプールのメモリしきい値は22Kです)、ルーターファイアウォールフィルターは個別にプールされます(このプールのしきい値は32Kです)。割り当ては、フィルター プールの種類に基づいて行われます。空き領域ブロックは、同じフィルター プール タイプに属するファイアウォール フィルター間でのみ共有できます。ファイアウォール フィルターを TCAM しきい値を超えて設定しようとすると、エラー メッセージが生成されます。

各用語は、次のコンポーネントで構成されています。

  • 照合条件 — パケットに含む必要がある値またはフィールドを指定します。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、TCP(伝送制御プロトコル)または UDP(ユーザー データグラム プロトコル)送信元ポート フィールド、IP プロトコル フィールド、ICMP(Internet Control Message Protocol)パケット タイプ、TCP フラグ、インターフェイスなど、さまざまな照合条件を定義できます。

  • アクション — パケットが照合条件に一致した場合の対処方法を指定します。可能なアクションは、パケットを受け入れるか破棄するか、パケットを特定の仮想ルーティング インターフェイスに送信することです。さらに、パケットをカウントして統計情報を収集できます。条件にアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れます。

  • アクション修飾子 — パケットが一致条件に一致する場合に、スイッチに対して 1 つ以上のアクションを指定します。カウント、ミラー、レート制限、パケットの分類などのアクション修飾子を指定できます。

ファイアウォール フィルター処理

ファイアウォール フィルタ設定内の条件の順序は重要です。パケットは、各条件に対して、条件がファイアウォール フィルタ設定にリストされている順序でテストされます。ファイアウォール フィルターがパケットを処理する方法の詳細については、「 ファイアウォール フィルターの評価方法について」を参照してください。