Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルタ Match 条件とアクション (QFX10000 スイッチ)

ファイアウォールフィルターの各条件は、照合条件アクションで構成されます。一致条件とは、パケットが一致するために必要なフィールドと値です。Match ステートメントでは、1つまたは複数の一致条件を定義できます。また、match ステートメントを含めることはできません。この場合は、すべてのパケットが照合されます。

パケットがフィルターに一致すると、スイッチはその条件で指定されたアクションを実行します。さらに、パケットのカウント、ミラー化、レート制限、および分類を行うアクション修飾子を指定することもできます。この用語に一致条件が指定されていない場合、デフォルトではスイッチがパケットを受け入れます。

このトピックでは、QFX10000 スイッチ上でファイアウォールフィルターに定義できる、さまざまな条件、アクション、アクション修飾子について説明します。他の QFX スイッチの類似情報については、 を参照 ファイアウォール フィルターの一致条件およびアクション(QFX および EX シリーズ スイッチ) してください。

  • 表 1ファイアウォールフィルタを設定するときに指定できる照合条件について説明します。数字範囲とビットフィールドの照合条件の中には、テキストシノニムを指定できるものもあります。条件に一致するすべてのシノニムのリストを表示するには? 、ステートメント内の適切な場所に入力します。

  • 表 2では、条件に指定できるアクションが示されています。

  • 表 3パケットのカウント、ミラー化、レート制限、および分類に使用できるアクション修飾子を示します。

表 1: サポートされている Match 条件 (QFX10000 スイッチ)

条件の照合

説明

方向とインターフェイス

destination-address ip-address

最終宛先ノードのアドレスである IP 宛先アドレスフィールド。

受信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

destination-mac-address mac-address

パケットの宛先メディアアクセス制御 (MAC) アドレスです。

受信ポートと Vlan

送信ポートと Vlan

destination-port value

TCP または UDP 宛先ポートフィールド。通常は、 protocol match ステートメントと組み合わせてこのマッチングを指定します。以下の既知のポートについては、テキストシノニムを指定できます (ポート番号も表示されます)。

afs (1483), bgp (179), biff (512), bootpc (68), bootps (67),

cmd (514), cvspserver (2401),

dhcp (67), domain (53),

eklogin (2105), ekshell (2106), exec (512),

finger (79), ftp (21), ftp-data (20),

http (80), https (443),

ident (113), imap (143),

kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544),

ldap (389), login (513),

mobileip-agent (434), mobilip-mn (435), msdp (639),

netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123),

pop3 (110), pptp (1723), printer (515),

radacct (1813),radius (1812), rip (520), rkinit (2108),

smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514),

tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525),

who (513)

xdmcp (177)

zephyr-clt (2103)zephyr-hm (2104)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス。

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

destination-prefix-list prefix-list

IP 宛先プレフィックスリストフィールドプレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス。

dscp value

差別化サービスコードポイント (DSCP)。DiffServ プロトコルは、IP ヘッダーにサービスタイプ (ToS) バイトを使用します。このバイトの最上位6ビットは DSCP を形成します。

DSCP は16進数、バイナリ、または10進数の形式で指定できます。

数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

  • be—ベスト 労力(デフォルト)

  • ef (46)—RFC 3246An Expedited Forwarding PHB で定義されています

  • af11 (10), af12 (12), af13 (14);

    af21 (18), af22 (20), af23 (22);

    af31 (26), af32 (28), af33 (30);

    af41 (34), af42 (36), af43 (38)

    この 4 つのクラスは、各クラスで 3 つのドロップ の優先順位が、合計 12 のコード ポイントで 、RFC 2597、Assured Forwarding PHBで定義されています。

  • cs0, cs1, cs2, cs3, cs4, cs5, cs6, cs7, cs5

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信ポート、Vlan、IPv4 (inet) インターフェイス

ether-type value

パケットのイーサネットタイプフィールドです。EtherType 値は、イーサネットフレームでどのプロトコルがトランスポートされているかを示します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

  • aarp (0x80F3)—EtherType 値 AARP

  • appletalk (0x809B)—EtherType value AppleTalk

  • arp (0x0806)—EtherType 値 ARP

  • fcoe (0x8906)—EtherType 値FCoE

  • fip (0x8914)—EtherType 値の FIP

  • ipv4 (0x0800)—EtherType 値 IPv4

  • ipv6 (0x08DD)—EtherType 値 IPv6

  • mpls-multicast (0x8848)—EtherType 値MPLSマルチキャスト

  • mpls-unicast (0x8847)—EtherType 値MPLSユニキャスト

  • oam (0x88A8)—EtherType 値 OAM

  • ppp (0x880B)—EtherType値PPP

  • pppoe-discovery (0x8863)—EtherType 値 PPPoE 検出ステージ

  • pppoe-session (0x8864)—EtherType 値 PPPoE セッション ステージ

  • sna (0x80D5)—EtherType 値の

受信ポートと Vlan

送信ポートと Vlan

forwarding-class class

次のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスでパケットを分類します。

  • best-effort

  • fcoe

  • network-control

  • no-loss

送信 IPv4 (inet) および IPv6 (inet6) インターフェイスです。

fragment-flags value

IP フラグメント化フラグ。数値の代わりに、次のいずれかの類義語を指定できます (16 進数値も表示されます)。

  • is-fragment

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

入口ポート、Vlan、IPv4 (inet) インターフェイス

hop-limit value

指定されたホップ制限またはホップ制限のセットに一致します。0 ~ 255 の1つの値または値の範囲を指定します。

Inet6 (受信/送信 IPv6) インターフェイス

icmp-code value

ICMP コードフィールドです。値の意味は関連付けらicmp-typeれているため、のicmp-typeicmp-code値とともに値を指定する必要があります。数値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。キーワードは、関連づけられている ICMP タイプによってグループ化されます。

  • IPv4: パラメーター問題— ip-header-bad (0)required-option-missing (1)

  • IPv6: パラメーター問題— ip6-header-bad (0)unrecognized-next-header (1)unrecognized-option (2)

  • redirectredirect-for-network (0)redirect-for-host (1) 、 、 redirect-for-tos-and-net (2)redirect-for-tos-and-host (3)

  • time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • IPv4:到達不能— network-unreachable (0)host-unreachable (1)protocol-unreachable (2)port-unreachable (3)fragmentation-needed (4)source-route-failed (5)destination-network-unknown (6)destination-host-unknown (7)source-host-isolated (8)destination-network-prohibited (9)destination-host-prohibited (10)network-unreachable-for-TOS (11)host-unreachable-for-TOS (12)communication-prohibited-by-filtering (13)host-precedence-violation (14)precedence-cutoff-in-effect (15)

  • IPv6: 到達不能— address-unreachable (3)administratively-prohibited (1)no-route-to-destination (0)port-unreachable (4)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス

icmp-type value

ICMP メッセージタイプフィールド。通常は、このマッチングをprotocol match ステートメントと組み合わせて指定し、ポートで使用されるプロトコルを決定します。数値の代わりに、次のいずれかの類義語を指定できます (フィールド値も表示されます)。

IPv4: echo-reply (0), destination unreachable (3), source-quench (4), redirect (5), echo-request (8), IPv4 (inet)-advertisement (9), IPv4 (inet)-solicit (10), time-exceeded (11), parameter-problem (12), timestamp (13), timestamp-reply (14), info-request (15), info-reply (16), mask-request (17),mask-reply (18)

IPv6: destination-unreachable (1), packet-too-big (2), time-exceeded (3), parameter-problem (4), echo-request (128), echo-reply (129), membership-query (130), membership-report (131), membership-termination (132), router-solicit (133), router-advertisement (134), neighbor-solicit (135), neighbor-advertisement (136), redirect (137), router-renumbering (138), node-information-request (139),node-information-reply (140)

「」 icmp-code variableも参照してください。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス。

interface interface-name

パケットが受信されるインターフェース (論理ユニットを含む)。インターフェイス名または論理ユニットの*一部としてワイルドカード文字 () を含めることができます。

注:

パケットを送信するインターフェイスは、照合条件として使用できません。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

ip-destination-address address

パケットの最終宛先ノードアドレスである IPv4 アドレスです。

入口ポート、送信ポート、Vlan

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

ip-options

IP anyヘッダーの options フィールドで指定されている場合は、一致するものを作成することを指定します。

入口ポート、Vlan、IPv4 (inet) インターフェイス

ip-precedence ip-precedence-field

IP 優先度フィールド。数値フィールド値の代わりに、以下のいずれかのテキストシノニムを指定できます (フィールド値も表示されます)。critical-ecp(0xa0)、 flash (0x60)、 flash-override (0x80)、 immediate (0x40)、 internet-control (0xc0)、 net-control (0xe0)、 priority (0x20)、またroutineは (0x00)。

受信ポートと Vlan

送信ポートと Vlan

ip-protocol number

IP プロトコルフィールドです。

受信ポートと Vlan

送信ポートと Vlan

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

ip-source-address address

パケットを送信する送信元ノードの IPv4 アドレス。

受信ポートと Vlan

送信ポートと Vlan

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

ip-version address

パケットの IP バージョン。レイヤー2ポートまたは VLAN インターフェイスで受信するトラフィックにおいて、IPv4 または IPv6 ヘッダーフィールドを照合するには、この条件を使用します。

受信ポートと Vlan

送信ポートと Vlan

is-fragment

この条件を使用すると、IP ヘッダーで More fragment フラグが有効になっている場合、またはフラグメントオフセットが0でない場合にマッチングが行われます。

入口ポート、Vlan、IPv4 (inet) インターフェイス

送信 IPv4 (inet) インターフェイスです。

learn-1p-priority number

範囲0-7内の指定された IEEE 802.1 p VLAN 優先ビットに一致します。

受信ポートと Vlan

送信ポートと Vlan

learn-vlan-id number

通常の VLAN の ID または外部 (サービス) VLAN の ID (Q イン Q Vlan 用) と一致させます。フィルタメモリを最も効率的に使用して、可能なフィルター数を最大化するにはuser-id 、内部 (お客様) の VLAN ID に対応する場合に加えて、この条件を使用します。許容される値は1-4095 です。

受信ポートと Vlan

送信ポートと Vlan

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

loss-priority (low | medium-low | medium-high | high)

パケット損失の優先度 (PLP) を設定します。

注:

loss-priorityアクション修飾子は、 policerアクションと組み合わせてサポートされていません。

送信 IPv4 (inet) および IPv6 (inet6) インターフェイスです。

next-header value

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6 (58), igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

入口 IPv6 (inet6) インターフェイス

送信 IPv6 (inet6) インターフェイスです。

packet-length number

パケット長 (バイト単位)。0 ~ 65535 の数値を入力する必要があります。

入口ポート、Vlan、IPv4 (inet)、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

precedence value

IP ヘッダー内のサービスタイプ (ToS) バイトの IP 優先ビット。(このバイトは DiffServ DSCP にも使用できます)。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

  • routine (0)

  • priority (1)

  • immediate (2)

  • flash (3)

  • flash-override (4)

  • critical-ecp (5)

  • internet-control (6)

  • net-control (7)

受信 IPv4 (inet) インターフェイスです。

送信 IPv4 (inet) インターフェイスです。

protocol type

IPv4 または IPv6 プロトコルの値。数値の代わりに、次のいずれかのテキストシノニムを指定できます (数値も表示されます)。

hop-by-hop (0),icmp (1), icmp6, igmp (2), ipip (4), tcp (6), egp (8), udp (17), ipv6 (41), routing (43), fragment (44),rsvp (46), gre (47), esp (50), ah (51), icmp6 (58), no-next-header (59), dstopts (60), ospf (89), pim (103), vrrp (112),sctp (132)

受信 IPv4 (inet) インターフェイスです。

送信 IPv4 (inet) インターフェイスです。

source-address ip-address

パケットを送信したノードのアドレスである IP 送信元アドレスフィールド。

受信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

送信 IPv4 (inet) インターフェイスと IPv6 (inet6) インターフェイスです。

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

source-mac-address mac-address

パケットの送信元メディアアクセス制御 (MAC) アドレスです。

受信ポートと Vlan

送信ポートと Vlan

source-port value

TCP または UDP 送信元ポート。通常は、 protocol match ステートメントと組み合わせてこのマッチングを指定します。数値フィールドの代わりに、[] destination-portにリストされているいずれかのテキストシノニムを指定できます。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス。

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

source-prefix-list prefix-list

IP 送信元プレフィックスリスト。プレフィックスリストエイリアスで IP アドレスプレフィックスのリストを定義して、頻繁に使用することができます。このリストを[edit policy-options]階層レベルで定義します。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信ポート、Vlan、IPv4 (inet) インターフェイス、および IPv6 (inet6) インターフェイス。

tcp-established

確立された TCP 接続のパケットを照合します。この条件は、TCP 接続の設定に使用されるパケット以外のパケットを一致します。つまり、3 ウェイ ハンドシェイク パケットは一致しません。

指定tcp-establishedした場合、スイッチは、プロトコルが TCP であるかどうかを暗黙的には検証しません。また、 protocol tcp照合条件を指定する必要があります。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

tcp-flags value

1つ以上の TCP フラグ:

  • ack (0x10)

  • fin (0x01)

  • push (0x08)

  • rst (0x04)

  • syn (0x02)

  • urgent (0x20)

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

tcp-initial

接続の最初の TCP パケットと一致します。TCP フラグSYNが設定されていても、tcp フラグACKを設定していない場合に、一致が発生します。

指定tcp-initialした場合、スイッチは、プロトコルが TCP であるかどうかを暗黙的には検証しません。また、 protocol tcp照合条件を指定する必要があります。

入口ポート、Vlan、IPv4 (inet) インターフェイス、IPv6 (inet6) インターフェイス。

送信 IPv4 (inet) インターフェイスです。

traffic-class value

パケットのサービスクラス (CoS) の優先度を指定する8ビットのフィールド。トラフィッククラスフィールドは、DiffServ コードポイント (DSCP) 値を指定するために使用されます。このフィールドは、以前は IPv4 でサービスタイプ (ToS) フィールドとして使用されていましたが、このフィールドの意味 (DSCP など) は IPv4 のセマンティクスと同じになっています。

以下のいずれかの類義語を指定できます (フィールドの値も表示されます)。

af11 (10), af12 (12), af13 (14), af21 (18), af22 (20), af23 (22), af31 (26), af32 (28), af33 (30), af41 (34), af42 (36), af43 (38), cs0 (0), cs1 (8), cs2 (16), cs3 (24), cs4 (32), cs5 (40), cs6 (48), cs7 (56),ef (46)

入口 IPv6 (inet6) インターフェイス

送信 IPv6 (inet6) インターフェイスです。

ttl value

IP time-to-live (TTL) フィールドを10進数で入力します。値は1-255 にすることができます。

受信 IPv4 (inet) インターフェイスです。

送信 IPv4 (inet) インターフェイスです。

EVPN/VXLAN ファブリック用の入口 IRB interface (該当する場合)

user-vlan-id number

Q イン Q VLAN の内部 (顧客) VLAN の ID と一致させます。フィルタメモリを最も効率的に使用して、使用可能なフィルター数を最大化learn-vlan-idするには、との組み合わせで外部 (サービス) VLAN ID と一致させます。許容される値は1-4095 です。

受信ポートと Vlan

送信ポートと Vlan

thenを使用して、パケットがfrom文内のすべての条件に一致した場合に発生するアクションを定義します。表 2では、条件に指定できるアクションが示されています。( then文が含まれていない場合、システムはフィルターに一致するパケットを受け入れます)。

表 2: 対応

アクション

説明

accept

パケットを受信します。これは、条件に一致するパケットのデフォルトのアクションです。

discard

インターネット制御メッセージプロトコル (ICMP) メッセージを送信せずに、パケットをサイレントで破棄します。

reject message-type

パケットを破棄し、「宛先に到達できない」ICMPv4 メッセージを送信します(タイプ 3)。拒否されたsyslogパケットを記録するには、アクション修飾子を設定します。

以下のいずれかのメッセージタイプを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed,またtcp-resetはです。

指定tcp-resetした場合、パケットが tcp パケットである場合、システムによって tcp リセットが送信されます。それ以外の場合は何も送信されません。

メッセージ タイプを指定しない場合、ICMP 通知「宛先に到達できない」がデフォルト メッセージ「通信を管理上フィルタリング」して送信されます。

注:

このrejectアクションは、受信インターフェイスでのみサポートされています。

routing-instance instance-name

一致したパケットを仮想ルーティングインスタンスに転送します。(サポートされているインスタンスvirtual-routerタイプは、です)。パケットはデフォルトのインスタンスに転送できます。

vlan VLAN-name

一致したパケットを特定の VLAN に転送します。

注:

このvlanアクションは、受信インターフェイスでのみサポートされています。

注:

このアクションは、OCX シリーズスイッチではサポートされていません。

また、に表 3リストされているアクション修飾子を指定して、パケットのカウント、ミラー化、レート制限、および分類を行うこともできます。

表 3: アクション修飾子

アクション修飾子

説明

count counter-name

条件に一致するパケット数をカウントします。

forwarding-class class

次のデフォルト転送クラスのいずれか、またはユーザー定義の転送クラスでパケットを分類します。

  • best-effort

  • fcoe

  • mcast

  • network-control

  • no-loss

注:

転送クラスを構成するには、損失の優先度も設定する必要があります。

log

パケットのヘッダー情報をパケットのルーティング エンジン。この情報を表示するにはshow firewall log 、運用モードコマンドを入力します。

注:

アクションlog修飾子は、受信インターフェイスでのみサポートされています。

loss-priority (low | medium-low | medium-high | high)

パケット損失の優先度 (PLP) を設定します。

注:

アクションloss-priority修飾子は、受信インターフェイスでのみサポートされています。

注:

loss-priorityアクション修飾子は、 policerアクションと組み合わせてサポートされていません。

policer policer-name

パケットをポリサーに送信します (レート制限を適用することを目的としています)。

受信および送信ポート、VLAN、IPv4 (inet)、IPv6 (inet6) ファイアウォールフィルターのために、ポリサーを指定できます。

注:

policerアクション修飾子は、 loss-priorityアクションと組み合わせてサポートされていません。

port-mirror

(ELS プラットフォーム)[edit forwarding-options port-mirroring]階層レベルで、ポートミラーリングインスタンスで構成された出力インターフェイスへのミラートラフィック (コピーパケット)

受信および送信ポート、VLAN、IPv4 (inet)、IPv6 (inet6) ファイアウォールフィルターのポートミラーリングを指定できます。

port-mirror-instance port-mirror-instance-name

(ELS プラットフォーム)[edit forwarding-options port-mirroring]階層レベルで設定されたポートミラーリングインスタンスにトラフィックをミラーリングします。

受信および送信ポート、VLAN、IPv4 (inet)、IPv6 (inet6) ファイアウォールフィルターのポートミラーリングを指定できます。

注:

syslog

このパケットのアラートをログに記録します。

注:

アクションsyslog修飾子は、受信インターフェイスでのみサポートされています。

three-color-policer three-color-policer-name

3色のポリサーにパケットを送信します (レート制限を適用することを目的としています)。

受信および送信ポート、VLAN、IPv4 (inet)、IPv6 (inet6) の各フィルターに3色のポリサーを指定できます。

注:

policerアクション修飾子は、 loss-priorityアクションと組み合わせてサポートされていません。