ファイアウォールフィルター(OCXシリーズ)の概要
ファイアウォールフィルターは、インターフェイスを通過するパケットを受け入れるか破棄するかを定義するルールを提供します。パケットが受諾されると、class-of-service(CoS)マーキング(類似したタイプのトラフィックをグループ化し、各タイプのトラフィックを独自のサービス優先度レベルを持つクラスとして扱う)やトラフィックポリシング(送受信されるトラフィックの最大レートを制御する)など、パケットに対して実行する追加のアクションを設定できます。ファイアウォールフィルターを設定して、パケットがレイヤー3(ルーティング)インターフェイスに出入りする前に、パケットを受け入れるか破棄するかを決定します。
イングレス ファイアウォールフィルターは、interfaceに入るパケットに適用され、エグレスファイアウォールフィルターは、インターフェイスから出るパケットに適用されます。
ファイアウォールフィルターは、ACL( アクセスコントロールリスト )と呼ばれることもあります。
フィルターを適用できる場所
IPv4またはIPv6レイヤー3(ルーティング)インターフェイスのイングレス方向とエグレス方向の両方にルーターファイアウォールフィルターを適用でき ループバックインターフェイスは、スイッチ自体に送信されたトラフィックまたはスイッチによって生成されたトラフィックをフィルタリングします。
不要なトラフィックからスイッチを保護するために、入力方向のループバックインターフェイスにフィルターを適用します。また、出力方向のループバックインターフェイスにフィルターを適用して、スイッチ自体から発信されるパケットの転送クラスとDSCPビット値を設定することもできます。この機能により、CPUが生成するパケットの分類を非常に細かく制御できます。例えば、異なるルーティング プロトコルによって生成されたトラフィックに異なる DSCP 値と転送クラスを割り当てて、それらのプロトコルのトラフィックを他のデバイスで差別化された方法で処理できるようにすることができます。
QFX5220スイッチでは、入力方向のループバックインターフェイスにのみフィルターを適用できます。
イングレスフィルターとエグレスフィルターを同じインターフェイスに適用した場合、イングレスフィルターが最初に処理されます。
ファイアウォールフィルターを適用するには:
ファイアウォールフィルターを設定します。
ファイアウォールフィルターをレイヤー3インターフェイスに適用し、方向を指定します。
input
方向を指定すると、トラフィックはイングレスでフィルタリングされます。output
方向を指定すると、トラフィックはエグレスでフィルタリングされます。
特定の方向のレイヤー 3 インターフェイスに適用できるファイアウォールフィルターは 1 つだけです。たとえば、特定の family inet
インターフェイスに対して、入力に 1 つのフィルターを適用し、出力に 1 つのフィルターを適用できます。
OCX スイッチは、表 1 で示されている接続ポイントのタイプごとに、ファイアウォール フィルター条件の最大数をサポートします。
フィルター タイプ | フィルターの最大数 |
イングレス |
1536 |
出口 |
1024 |
ファイアウォールフィルターのコンポーネント
ファイアウォールフィルターでは、最初にファミリーアドレスタイプ(IPv4の場合はinet
、IPv6の場合は inet6
)を定義してから、フィルタリング基準と一致が発生した場合に実行するアクションを指定する1つ以上の用語を定義します。
各用語は、次のコンポーネントで構成されています。
一致条件:一致とみなされるパケットに含まれる必要のある値を指定します。
アクション:パケットが一致条件に一致した場合の処理を指定します。フィルターは、一致するパケットを受け入れる、破棄する、または拒否してから、カウント、分類、ポリシングなどの追加のアクションを実行できます。条件にアクションが指定されていない場合、デフォルトでは一致するパケットを受け入れます。
ファイアウォールフィルターの処理
フィルターに複数の用語がある場合は、用語の順序が重要です。パケットが最初の項に一致する場合、スイッチはその項で定義されたアクションを実行し、他の項は評価されません。パケットと最初の条件が一致しない場合、スイッチはパケットを次の条件と比較します。パケットと 2 番目の条件の間に一致がない場合、システムは一致が見つかるまでフィルター内の連続する各項とパケットを比較し続けます。パケットがフィルタ内のどの条件にも一致しない場合、スイッチはデフォルトでパケットを廃棄します。