EX シリーズ スイッチのファイアウォール フィルターの概要

ファイアウォール フィルター タイプ

EXシリーズスイッチでは、以下のファイアウォールフィルタータイプがサポートされています。

• ポート(レイヤー2)ファイアウォールフィルター-ポートファイアウォールフィルターは、レイヤー2スイッチポートに適用されます。ポートファイアウォールフィルターは、物理ポートのイングレス方向とエグレス方向の両方に適用できます。

• VLANファイアウォールフィルター-VLANファイアウォールフィルターは、VLANに入るパケット、VLAN内でブリッジされるパケット、またはVLANを離れるパケットのアクセス制御を提供します。VLAN ファイアウォール フィルターは、VLAN 上のイングレス方向とエグレス方向の両方に適用できます。VLANファイアウォールフィルターは、VLANに転送またはVLANから転送されるすべてのパケットに適用されます。

• ルーター(レイヤー3)ファイアウォールフィルター-ルーターファイアウォールフィルターは、レイヤー3(ルーテッド)インターフェイスとRVI(ルーテッドVLANインターフェイス)のイングレス方向とエグレス方向の両方に適用できます。ループバックインターフェイス(lo0)のイングレス方向にルーターファイアウォールフィルターを適用することもできます。ループバックインターフェイスに設定されたファイアウォールフィルターは、さらに処理するためにルーティングエンジンCPUに送信されるパケットにのみ適用されます。

これらのスイッチ上の IPv4 および IPv6 トラフィックの 両方 に、ポート、VLAN、またはルーター ファイアウォール フィルターを適用できます。

• EX2200スイッチ

• EX3300スイッチ

• EX3200スイッチ

• EX4200スイッチ

• EX4300スイッチ

• EX4500スイッチ

• EX4550スイッチ

• EX6200スイッチ

• EX8200スイッチ

異なるスイッチでサポートされるファイアウォールフィルターの情報については、 EXシリーズスイッチでファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。

ファイアウォール フィルター コンポーネント

ファイアウォールフィルターでは、まずファミリーアドレスタイプ(、 、またはinet6)を定義し、inetフィルタリング基準(ethernet-switching一致条件で条件として指定)と一致した場合に実行するアクション(アクションまたはアクション修飾子として指定)を指定する1つ以上の用語を定義します。

EX シリーズ スイッチのファイアウォール フィルターごとに許可される条件の最大数は次のとおりです。

• EX2200 スイッチの 512

• EX3300 スイッチの 1436

  注:

  EX3300 スイッチでは、同じコミット操作で多数の条件(1000 以上の順序で)でフィルターを追加および削除した場合、すべてのフィルターがインストールされているわけではありません。1 つのコミット操作でフィルターを追加し、別のコミット操作でフィルターを削除する必要があります。

• 7,042(EX3200 および EX4200 スイッチ)は、ファイアウォール フィルター用の TCAM(三元コンテンツ アドレッシング可能メモリ)の動的割り当てによって割り当てられます。

• EX4300スイッチでは、ポート、VLAN、およびレイヤー3インターフェイスに設定されたファイアウォールファイラーのイングレスおよびエグレストラフィックに対して、以下の最大条件がサポートされています。

  • イングレストラフィックの場合:

    • ポートに設定されたファイアウォールフィルターの条件 3,500

    • VLAN に設定されたファイアウォール フィルターの条件 3,500

    • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 7,000

    • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 3500

  • EX4300-MPデバイスでは、イングレスサポートは上記と同じですが、以下の例外があります。

    • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 3072

  • エグレストラフィックの場合:

    • ポートに設定されたファイアウォールフィルターの条件 512

    • VLAN に設定されたファイアウォール フィルターの条件 256

    • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォール フィルターの条件 512

    • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォール フィルターの条件 512

  注:

  最大条件数を設定できるのは、スイッチで1種類のファイアウォールフィルター(ポート、VLAN、またはルーター(レイヤー3)ファイアウォールフィルター)を設定した場合、およびスイッチ内の任意のインターフェイスでストーム制御が有効になっていない場合のみです。

• EX4500 および EX4550 スイッチ用 1200

• EX6200スイッチの1400

• EX8200スイッチの場合32,768

注:

EX8200スイッチの共有スペースTCAMのオンデマンド動的割り当ては、ファイアウォールフィルターにフリースペースブロックを割り当てることで実現します。ファイアウォールフィルターは、2つの異なるプールに分類されます。ポートフィルターとVLANフィルターは共にプールされ(このプールのメモリしきい値は22K)、ルーターファイアウォールフィルターは個別にプールされます(このプールのしきい値は32K)。割り当ては、フィルター プール タイプに基づいて行われます。空き領域ブロックは、同じフィルター プール タイプに属するファイアウォール フィルター間でのみ共有できます。TCAM しきい値を超えてファイアウォール フィルターを構成しようとすると、エラー メッセージが生成されます。

各項は、以下のコンポーネントで構成されています。

• 一致条件 — パケットに含めなければならない値またはフィールドを指定します。IP 送信元アドレス フィールド、IP 宛先アドレス フィールド、TCP(伝送制御プロトコル)または UDP(ユーザー データグラム プロトコル)送信元ポート フィールド、IP プロトコル フィールド、ICMP(Internet Control Message Protocol)パケット タイプ、TCP フラグ、インターフェイスなど、さまざまな一致条件を定義できます。

• アクション — パケットが一致条件に一致した場合の対処方法を指定します。可能なアクションは、パケットを受け入れるか破棄するか、特定の仮想ルーティングインターフェイスにパケットを送信することです。さらに、パケットをカウントして統計情報を収集できます。条件に対してアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れます。

• アクション修飾子 —パケットが一致条件に一致する場合、スイッチに対して 1 つ以上のアクションを指定します。カウント、ミラー、レート制限、パケットの分類などのアクション修飾子を指定できます。

ファイアウォール フィルター処理

ファイアウォール フィルター設定内の条件の順序は重要です。パケットは、ファイアウォールフィルター設定に条件がリストされている順序で、各条件に対してテストされます。ファイアウォールフィルターがパケットを処理する方法については、 ファイアウォールフィルターの評価方法についてを参照してください。