Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX シリーズスイッチのファイアウォールフィルターの概要

ファイアウォールフィルターには、ジュニパーネットワークスの EX シリーズイーサネットスイッチ上でのインターフェイスを送信元アドレスから宛先アドレスにはするパケットを許可するか、拒否するか、転送するかを定義するルールが用意されています。ファイアウォール フィルターを設定して、ファイアウォール フィルターが適用されたポート、VLAN、またはレイヤー 3(ルート)インターフェイスに入る前、または出て行く前にトラフィックを許可、拒否、転送するかどうかを決定します。ファイアウォールフィルターを適用するには、まずフィルターを設定してから、ポート、VLAN、レイヤー3インターフェイスに適用する必要があります。

ファイアウォールフィルターをネットワークインターフェイス、集合イーサネットインターフェイス (lag (リンクアグリゲーショングループ)、ループバックインターフェイス、管理インターフェイス、バーチャル管理イーサネットインターフェイス (VMEs)、およびルーティングされた VLAN インターフェイス (Rvi) に適用できます。).これらのインターフェイスでファイアウォールフィルターをサポートする EX シリーズスイッチの詳細については、 Ex シリーズスイッチソフトウェア機能の概要を参照してください。

入口ファイアウォールフィルターは、ネットワークに入るパケットに適用されるフィルタです。送信ファイアウォールフィルターは、ネットワークから抜けているパケットに適用されるフィルタです。ファイアウォールフィルターを、フィルタリング、サービスクラス (CoS) マーキング (類似するタイプのトラフィックをグループ化して、それぞれのタイプのトラフィックをクラスとして独自のサービス優先度を使用する)、およびトラフィックのポリシー適用 (制御インターフェイスで送信または受信されるトラフィックの最大速度)。

ファイアウォールフィルタタイプ

EX シリーズスイッチでは、以下のファイアウォールフィルタタイプがサポートされています。

  • ポート(レイヤー 2)ファイアウォール フィルター — ポート ファイアウォール フィルターがレイヤー 2 スイッチ ポートに適用されます。ポートファイアウォールフィルターを適用するには、物理ポート上で入口/出口方向のどちらかを使用します。

  • VLAN ファイアウォール フィルター:VLAN ファイアウォール フィルターは、VLAN に入るパケット、VLAN 内でブリッジされる、または VLAN を離れるパケットに対するアクセス コントロールを提供します。Vlan の受信/送信方向の両方で、VLAN ファイアウォールフィルターを適用できます。Vlan に転送または転送されたパケットには、VLAN ファイアウォールフィルターが適用されます。

  • ルーター(レイヤー 3)ファイアウォール フィルター —レイヤー 3(ルーディング)インターフェイスと RVLAN(Routed VLAN Interface)のイングレス方向とエグレス方向の両方にルーター ファイアウォール フィルターを適用できます。ルーター ファイアウォール フィルタは、ループバック インターフェイス( )のイングレス方向に lo0 適用することもできます。ループバックインターフェイス上で設定されたファイアウォールフィルタは、さらに処理を行うためにルーティングエンジン CPU に送信されるパケットにのみ適用します。

ポート、VLAN、またはルーターのファイアウォールフィルターは、以下のスイッチ上で IPv4 と IPv6 の両方のトラフィックに適用できます。

  • EX2200 スイッチ

  • EX3300 スイッチ

  • EX3200 スイッチ

  • EX4200 スイッチ

  • EX4300 スイッチ

  • EX4500 スイッチ

  • EX4550 スイッチ

  • EX6200 スイッチ

  • EX8200 スイッチ

さまざまなスイッチでサポートされるファイアウォールフィルターの詳細については、プラットフォームサポートの「EX シリーズスイッチでのファイアウォールフィルタマッチング条件、アクション、アクション修飾子」を参照してください。

ファイアウォールフィルタコンポーネント

ファイアウォール フィルタでは、まずファミリー アドレス タイプ ( 、 ) を定義し、フィルタリング基準(一致条件を持つ条件として指定)を指定する 1 つ以上の語を定義し、一致した場合にアクション(アクションまたはアクションの大きな変更として指定)を実行します。 ethernet-switchinginetinet6

EX シリーズスイッチのファイアウォールフィルター1つあたりの最大許容条件は、以下のとおりです。

  • EX2200 スイッチの512

  • EX3300 スイッチの1436

    注:

    EX3300 スイッチでは、すべてのフィルターがインストールされているわけではありませんが、同じコミット操作で多数の条件 (1000 以上) を使用してフィルターを追加したり削除したりすると、そのために必要なのはありません。1回のコミット操作でフィルターを追加し、個別のコミット操作でフィルターを削除する必要があります。

  • EX3200 および EX4200 スイッチの 7,042。ファイアウォール フィルターに Ternary Content Addressable Memory(TCAM)を動的に割り当てによって割り当てられる。

  • EX4300 スイッチでは、ポート、VLAN、レイヤー3インターフェイス上に設定されたファイアウォールファイラーで、受信/送信トラフィックに対して次の最大数の条件がサポートされます。

    • 受信トラフィック用:

      • ポートに構成されたファイアウォールフィルタの用語3500条件

      • VLAN で構成されたファイアウォールフィルタの用語3500条件

      • IPv4 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の7000用語

      • IPv6 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の3500用語

    • 送信トラフィック用:

      • ポートに構成されたファイアウォールフィルタの用語512条件

      • VLAN で構成されたファイアウォールフィルタの用語256条件

      • IPv4 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の512用語

      • IPv6 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の512用語

    注:

    条件の最大数は、スイッチ上で1種類のファイアウォールフィルター (ポート、VLAN、ルーター (レイヤー 3) ファイアウォールフィルター) を構成する場合、またはスイッチのインターフェイスでストーム制御が有効になっていない場合にのみ設定できます。

  • 1200 EX4500 および EX4550 スイッチ用

  • EX6200 スイッチの1400

  • EX8200 スイッチの32768

注:

EX8200 スイッチでの共有スペースのオンデマンド動的割り当ては、ファイアウォールフィルターに空きスペースブロックを割り当てることによって実現されます。ファイアウォールフィルターは、2つの異なるプールに分類されます。ポートと VLAN フィルターは一緒にプールされます (このプールのメモリしきい値は22K です)。ルーターファイアウォールフィルターは別にプールされます (このプールのしきい値は32K です)。割り当てはフィルタプールタイプに基づいて行われます。空きスペースブロックは、同じフィルタプールタイプに属するファイアウォールフィルターの中でのみ共有できます。TCAM しきい値を超えるファイアウォールフィルターを設定しようとすると、エラーメッセージが生成されます。

各条件は、以下のコンポーネントで構成されています。

  • 一致条件 — パケットに含まれる必要がある値またはフィールドを指定します。IP 送信元アドレスフィールド、IP 宛先アドレスフィールド、伝送制御プロトコル (TCP) またはユーザーデータグラムプロトコル (UDP) 送信元ポートフィールド、IP プロトコルフィールド、インターネット制御メッセージプロトコル (ICMP) など、さまざまな条件を定義できます。パケットタイプ、TCP フラグ、インターフェイス

  • アクション — パケットが一致条件と一致した場合の処理を指定します。考えられるアクションは、パケットを受け入れるか破棄するか、または特定の仮想ルーティングインターフェイスにパケットを送信することです。さらに、パケットをカウントして統計情報を収集することもできます。条件に対してアクションが指定されていない場合、デフォルトのアクションはパケットを受け入れることを意味します。

  • アクションの取り扱い — パケットが一致条件に一致する場合、スイッチに対して 1 つ以上のアクションを指定します。カウント、ミラー、レート制限、分類などのアクションの修飾子を指定できます。

ファイアウォールフィルターの処理

ファイアウォールフィルタ構成内の条件の順序は重要です。パケットは、ファイアウォールフィルタの構成に記載されている条件に従って、それぞれの条件に基づいてテストされます。ファイアウォールフィルターがパケットを処理する方法の詳細については、「ファイアウォールフィルターの評価方法を理解する」を参照してください。