ファイアウォール フィルターの計画について
ファイアウォール フィルターを作成してインターフェイスに適用する前に、ファイアウォール フィルターの実行対象と、その一致条件とアクションを使用して目標を達成する方法を決定します。条件に合わせてパケットがどのように一致するか、ファイアウォール フィルタのデフォルトおよび設定済みのアクション、ファイアウォール フィルタの適切な配置を理解する必要があります。
ポート、VLAN、ルーター インターフェイスごとに、方向ごとに複数のファイアウォール フィルタを設定および適用することはできません。以下の制限は、さまざまなスイッチ モデルでフィルターごとに許可されるファイアウォール フィルタ条件の数に適用されます。
EX3300スイッチでは、フィルタ当たりの条件数は1436を超えることはできません。
EX3200およびEX4200スイッチでは、フィルタ当たりの条件数は7042を超えることはできません。
EX2300 スイッチでは、ポート、VLAN、レイヤー 3 インターフェイスで設定されたファイアウォール フィルターに対して、受信およびエグレス トラフィックに対して以下の最大数の条件がサポートされます。
イングレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 256 条件
VLAN 上に設定されたファイアウォール フィルターの 256 条件
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 256 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 256 語
エグレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 512 語
VLAN に設定されたファイアウォール フィルターの 128 の条件
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
EX3400 スイッチでは、ポート、VLAN、レイヤー 3 インターフェイスで設定されたファイアウォール フィルターに対して、受信/送信トラフィックに対して以下の最大数の条件がサポートされます。
イングレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 512 語
VLAN 上に設定されたファイアウォール フィルターの 512 語
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
エグレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 512 語
VLAN 上に設定されたファイアウォール フィルターの 256 条件
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 1024 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 1024 語
EX4300 スイッチでは、ポート、VLAN、レイヤー 3 インターフェイス上に設定されたファイアウォール ファイラーに対して、受信/送信トラフィックで次の最大条件がサポートされます。
イングレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 3,500 語
VLAN に設定されたファイアウォール フィルターの 3,500 語
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 7,000 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 3,500 語
注:EX4300 スイッチ上のイングレス トラフィックに対する TCAM(三元コンテンツ アドレッシング メモリ)の制限は、256 エントリです。
エグレス トラフィックの場合:
ポートに設定されたファイアウォール フィルターの 512 語
VLAN 上に設定されたファイアウォール フィルターの 256 条件
IPv4 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
IPv6 トラフィック用のレイヤー 3 インターフェイス上に設定されたファイアウォール フィルターの 512 語
注:最大条件数は、スイッチで 1 種類のファイアウォール フィルタ(ポート、VLAN、またはルーター(レイヤー 3)ファイアウォール フィルタ)を設定する場合、およびスイッチ内の任意のインターフェイスでストーム制御が有効でない場合にのみ設定できます。
EX4500 および EX4550 スイッチでは、フィルター当たりの条件数は 1200 を超えることはできません。
EX6200スイッチでは、フィルタ当たりの条件数は1400を超えることはできません。
EX8200スイッチでは、フィルタ当たりの条件数は32,768を超えることはできません。
さらに、多数の条件ではコミット中の処理時間が長くなり、ファイアウォール フィルターのテストやトラブルシューティングが難しくなる可能性があるため、各ファイアウォール フィルターに含める条件(ルール)の数は控えめにしてください。同様に、多数のスイッチおよびルーター インターフェイスにファイアウォール フィルターを適用すると、フィルターのルールのテストとトラブルシューティングが困難になる可能性があります。
ファイアウォール フィルターを構成して適用する前に、ファイアウォール フィルターごとに次の質問に回答してください。
ファイアウォール フィルターの目的は何ですか?
たとえば、ファイアウォール フィルターを使用して、送信元と宛先の MAC アドレス、特定のプロトコル、特定のデータ レートへのトラフィックを制限したり、サービス拒否(DoS)攻撃を防いだりできます。
適切な照合条件は何ですか?
一致するパケットに含める必要があるパケット ヘッダー フィールドを決定します。使用可能なフィールドは次のとおりです。
レイヤー 2 ヘッダー フィールド - 送信元と宛先の MAC アドレス、dot1q タグ、イーサネット タイプ、VLAN
レイヤー 3 ヘッダー フィールド - 送信元と宛先の IP アドレス、プロトコル、IP オプション(IP 優先度、IP フラグメント化フラグ、TTL タイプ)
TCP ヘッダー フィールド — 送信元と宛先のポートとフラグ
ICMP ヘッダー フィールド — パケット タイプとコード
パケットを受信したポート、VLAN、ルーター インターフェイスを決定します。
一致が発生した場合に実行する適切なアクションは何ですか?
一致が発生した場合に実行できるアクションは、ルーティング インスタンスに対して受け入れ、破棄、転送されます。
追加で必要となるアクション修飾子は何ですか?
パケットが一致条件に一致する場合に追加のアクションが必要かどうかを判断します。たとえば、パケットをカウント、分析、またはポリサーするアクション修飾子を指定できます。
どのインターフェイスでファイアウォール フィルターを適用する必要がありますか?
次の基本的なガイドラインから始めます。
ポートに入るすべてのパケットをフィルタリングに公開する必要がある場合は、ポート ファイアウォール フィルターを使用します。
ブリッジされるすべてのパケットにフィルタリングが必要な場合は、VLAN ファイアウォール フィルターを使用します。
ルーティングされるすべてのパケットにフィルタリングが必要な場合は、ルーター ファイアウォール フィルターを使用します。
ファイアウォール フィルタを適用するインターフェイスを選択する前に、その配置が他のインターフェイスへのトラフィック フローに与える影響を理解します。一般に、送信元と宛先の IP アドレス、IP プロトコル、またはプロトコル情報(ICMP メッセージ タイプ、TCP および UDP ポート番号など)を送信元デバイスに最も近いフィルタするファイアウォール フィルタを適用します。ただし、通常は、宛先デバイスに最も近い送信元 IP アドレスのみにフィルターを適用するファイアウォール フィルターを適用します。ソース デバイスの近くに適用されすぎると、送信元 IP アドレスのみをフィルターするファイアウォール フィルターによって、そのソース デバイスがネットワーク上で利用可能な他のサービスにアクセスできなくなる可能性があります。
注:エグレス ファイアウォール フィルターは、ルーティング エンジンからローカルで生成された制御パケットのフローには影響しません。
ファイアウォール フィルターはどの方向に適用すべきでしょうか?
スイッチのポートにファイアウォール フィルターを適用して、ポートに入るパケットをフィルターできます。ファイアウォール フィルターを VLAN、レイヤー 3(ルーテッド)インターフェイスに適用して、VLAN またはルーテッド インターフェイスに出入りするパケットをフィルタリングできます。通常、インターフェイスに入るトラフィックに対して、インターフェイスから出るトラフィックに対して設定する場合とは異なるアクションセットを設定します。