Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターがパケットフローを制御する方法の理解

スイッチは、データパケットとローカルパケットのフローを制御できるファイアウォールフィルターをサポートしています。データパケット は、送信元から宛先に転送されるときにスイッチを通過します。ローカルパケット は、ルーティングエンジンを送信先とする、またはルーティングエンジンによって送信されます(スイッチを通過しません)。ローカル パケットには通常、ルーティング プロトコル データ、Telnet や SSH などの IP サービス用のデータ、または ICMP(インターネット制御メッセージ プロトコル)などの管理プロトコル用のデータが含まれています。

ファイアウォールフィルターは、次のようにスイッチに出入りするパケットフローに影響を与えます。

  • イングレスファイアウォールフィルターは、スイッチインターフェイスで受信するデータパケットのフローに影響を与えます。スイッチがデータ パケットを受信すると、イングレス インターフェイスを含むシステムのパケット転送エンジンは、レイヤー 2 またはレイヤー 3 転送テーブルで宛先への最適ルートを調べて、パケットの転送先を決定します。データパケットはエグレスインターフェイスに転送されます。ローカル宛先のパケットは、ルーティング エンジンに転送されます。

  • エグレスファイアウォールフィルターは、スイッチを通過するデータパケットに影響を与えますが、ルーティングエンジンが送信するパケットには影響しません。これらのフィルターは、エグレスインターフェイスを含むシステムのパケット転送エンジンによって適用されます。

注:

QFX10002-60Cなど、PTXコードベースを使用する一部のQFXプラットフォームでは、REベースの送信トラフィックのファイアウォールフィルター検査がサポートされています。

図 1 は、スイッチを通過するパケットのフローを制御するための、イングレスおよびエグレスファイアウォールフィルターのアプリケーションを示しています。

  1. スイッチ インターフェイスで受信され、ルーティング エンジン宛てのローカル宛先パケットに適用されるイングレス ファイアウォール フィルター

  2. スイッチ インターフェイスで受信され、スイッチを通過するデータ パケットに適用されるイングレス ファイアウォール フィルター。

  3. スイッチを通過するデータパケットに適用されるエグレスファイアウォールフィルター。

図 1: パケットフローを制御するためのファイアウォールフィルタの適用パケットフローを制御するためのファイアウォールフィルタの適用