Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EX シリーズスイッチでのポート、VLAN、およびルータートラフィックのファイアウォールフィルターの構成

この例では、ファイアウォール フィルターを設定および適用して、スイッチ上のポートに入るトラフィック、ネットワーク上の VLAN、スイッチ上のレイヤー 3 インターフェイスを制御する方法を示しています。ファイアウォールフィルターは、パケットフロー内の特定の処理ポイントでパケットを転送または拒否するかどうかを決定するルールを定義します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

  • EX シリーズスイッチのリリース9.0 以降を Junos OS します。

  • ジュニパーネットワークス EX3200-48T スイッチ2台: 1つはアクセススイッチとして使用し、もう一方はディストリビューションスイッチとして使用されます。

  • 1つのジュニパーネットワークス EX-4SFP アップリンクモジュール

  • 1つのジュニパーネットワークス J シリーズルーター

この例でファイアウォールフィルターを構成して適用する前に、以下のものがあることを確認してください。

概要

この構成例では、ファイアウォールフィルターを構成して適用する方法を示し、パケットの内容を評価し、すべてvoice-vlanemployee-vlanguest-vlanトラフィックを処理する EX シリーズスイッチに送信または配信されるパケットをいつ廃棄、転送、分類、カウント、分析するかを決定する方法について説明します。表 1は、この例で EX シリーズスイッチに設定されているファイアウォールフィルターを示しています。

表 1: 構成コンポーネント: ファイアウォールフィルター
コンポーネント 目的/説明

ポートファイアウォールフィルター、 ingress-port-voip-class-limit-tcp-icmp

このファイアウォールフィルターは、次の2つの機能を実行します。

  • 電話 MAC アドレスと一致する送信元 MAC アドレスを使用して、優先キューイングをパケットに割り当てます。転送クラスexpedited-forwardingは、すべてvoice-vlanのトラフィックの低損失、低遅延、低ジッター、確実な帯域幅、エンドツーエンドのサービスを提供します。

  • ポートに入るパケットのレート制限を実行employee-vlanします。TCP および ICMP パケットのトラフィックレートは、1 Mbps までに制限され、最大3万バイトのバーストサイズが可能です。

このファイアウォールフィルターは、アクセススイッチ上のポートインターフェイスに適用されます。

VLAN ファイアウォールフィルター、 ingress-vlan-rogue-block

不正デバイスが HTTP セッションを使用して、VoIP 通話の通話登録、受付、通話ステータスを管理するゲートキーパーデバイスを模倣できないようにします。TCP または UDP ポートのみを使用する必要があります。ゲートキーパーのみが HTTP を使用しています。つまり、TCP ポートvoice-vlan上のすべてのトラフィックにはゲートキーパーデバイスを宛先にする必要があります。このファイアウォールフィルターは、VLAN 上voice-vlanの任意の2つの電話間の通信、ゲートキーパーデバイスと vlan 電話間のすべての通信など、すべての電話に適用されます。

このファイアウォールフィルタは、アクセススイッチ上の VLAN インターフェイスに適用されます。

VLAN ファイアウォールフィルター、 egress-vlan-watch-employee

コーポレートemployee-vlanサブネット宛てのトラフィックを受け付けますが、このトラフィックを監視しません。Web への従業員トラフィックはカウントおよび分析されます。

このファイアウォールフィルタは、アクセススイッチ上の vlan インターフェイスに適用されます。

VLAN ファイアウォールフィルター、 ingress-vlan-limit-guest

従業員以外のゲストが、上で従業員や従業員のホストとemployee-vlan通信できないようにします。またguest-vlan、ゲストはピアツーピアアプリケーションを使用できなくなりますが、ゲストは Web にアクセスできます。

このファイアウォールフィルタは、アクセススイッチ上の VLAN インターフェイスに適用されます。

ルーターファイアウォールフィルター、 egress-router-corp-class

トラフィックemployee-vlanの優先順位を付け、企業のサブネットへの従業員トラフィックに対して、転送クラスに対する最高の優先順位を提供します。

このファイアウォールフィルターは、ディストリビューションスイッチ上のルーティングポート (レイヤー3アップリンクモジュール) に適用されます。

図 1は、ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターをスイッチに適用したものを示しています。

図 1: ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターの適用ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターの適用

ネットワークトポロジー

この構成例のトポロジは、1つの EX-3200-48-48T スイッチと、1つの EX-3200-48T スイッチをディストリビューションレイヤーに備えたもので構成されています。ディストリビューション スイッチのアップリンク モジュールは、J シリーズ ルーターへのレイヤー 3 接続をサポートするように設定されています。

EX シリーズスイッチは、VLAN メンバーシップをサポートするように設定されています。表 2は、VLAN の vlan 構成コンポーネントを示しています。

表 2: 構成コンポーネント: VLAN

VLAN 名

VLAN ID

VLAN サブネットと利用可能な IP アドレス

VLAN の説明

voice-vlan

10

192.0.2.0/28 192.0.2.1から 192.0.2.14

192.0.2.15 はサブネットのブロードキャスト アドレスです。

従業員の VoIP トラフィックに使用されるボイス VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17 から 192.0.2.30 192.0.2.31 は サブネットのブロードキャスト アドレスです

ネットワークに接続されている Pc は、VoIP 電話、無線アクセスポイント、およびプリンターのハブを介して、VLAN のスタンドアロン Pc です。この VLAN には、音声 VLAN が完全に含まれています。2個(voice-vlanemployee-vlanvlan と) は、電話機に接続するポートで設定する必要があります。

guest-vlan

30

192.0.2.32/28 192.0.2.33 から 192.0.2.46 192.0.2.47 は サブネットのブロードキャスト アドレスです

ゲストのデータ デバイス(PC)の VLAN このシナリオでは、企業がロビーまたは会議室のどちらかで訪問者にアクセスできるエリアに、訪問者が自分の PC を接続して Web や会社の VPN に接続できるハブを持つエリアを想定しています。

camera-vlan

40

192.0.2.48/28 192.0.2.49 から 192.0.2.62 192.0.2.63 は サブネットのブロードキャスト アドレスです

企業のセキュリティカメラ用の VLAN

EX シリーズスイッチのポートは、Power over Ethernet (PoE) をサポートしており、ネットワーク接続と電源の両方を提供して、VoIP 電話がポートに接続することを可能にします。表 3は、vlan に割り当てられているスイッチポートと、スイッチポートに接続されているデバイスの IP および MAC アドレスを示しています。

表 3: 構成コンポーネント: 48ポートの全 PoE スイッチでポートをスイッチ

スイッチとポート番号

VLAN メンバーシップ

IP および MAC アドレス

ポートデバイス

ge-0/0/0, ge-0/0/1

voice-vlanemployee-vlan

IP アドレス:192.0.2.1 から 192.0.2.2

MAC アドレス:00.00.5E.00.53.0100.00.5E.00.53.02

2つの VoIP 電話が1台の PC に接続されています。

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 から 192.0.2.18

プリンター、無線アクセスポイント

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 から 192.0.2.35

2台のハブで、訪問者が Pc に接続できます。ロビーや会議室など、訪問者がアクセスする領域にハブが配置されている

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 から 192.0.2.50

2つのセキュリティカメラ

ge-0/0/9

voice-vlan

IP アドレス: 192.0.2.14

MAC アドレス:00.05.5E.00.53.0E

Gatekeeper デバイスです。ゲートキーパーは、VoIP 電話の通話登録、受付、およびコール状態を管理します。

ge-0/1/0

IP アドレス: 192.0.2.65

ルーターへのレイヤー 3 接続、これはスイッチのアップリンク モジュールのポートで

受信ポートファイアウォールフィルターを構成してボイストラフィックとレート制限 TCP および ICMP トラフィックを優先度を設定する

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

手順

CLI クイック構成

ボイストラフィックとemployee-vlanサブネットを宛先とするレート制限パケットに優先度を設定するには、ポートファイアウォールフィルターを迅速に構成して適用するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

次のように、ポートファイアウォールフィルターを構成および適用して、 employee-vlan音声トラフィックとサブネットに送信されるレート制限パケットの優先度を設定します。

  1. ポリサー tcp-connection-policerと次のicmp-connection-policerものを定義します。

  2. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmpを定義します。

  3. 条件voip-highを定義します。

  4. 条件network-controlを定義します。

  5. TCP トラフィックのtcp-connectionレート制限を構成する条件を定義します。

  6. ICMP トラフィックのicmp-connectionレート制限を構成する条件を定義します。

  7. ファイアウォールフィルター best-effort内の他の条件に一致しなかったすべてのパケットに対して暗黙のマッチが行われないように、match 条件なしで用語を定義します。

  8. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmpを入力フィルターとして、次のようemployee-vlanなポートインターフェイスに適用します。

  9. さまざまなスケジューラに必要なパラメーターを構成します。

    注:

    スケジューラのパラメーターを設定する場合は、ネットワークトラフィックパターンに合わせて番号を定義します。

  10. スケジューラマップを使用して、転送クラスをスケジューラに割り当てます。

  11. スケジューラマップとアウトゴーイングインターフェイスを関連付けます。

結果

構成の結果を表示するには、以下のようにします。

不正デバイスによる VoIP トラフィックの中断を防止するための VLAN 入口ファイアウォールフィルターの構成

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

手順

CLI クイック構成

不正なデバイスによる HTTP セッションのvoice-vlan使用を許可して、VoIP トラフィックを管理する gatekeeper デバイスの模倣を防止するために、VLAN ファイアウォールを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

不正デバイスが HTTP を使用して VoIP voice-vlanトラフィックを管理するゲートキーパーデバイスを模倣できないようにするために、VLAN ファイアウォールを構成して適用するには、以下のようにします。

  1. ファイアウォールフィルター ingress-vlan-rogue-blockを定義して、許可または制限するトラフィックにフィルターの一致を指定します。

  2. ゲートキーパーのto-gatekeeper宛先 IP アドレスに一致するパケットを受け入れる条件を定義します。

  3. ゲートキーパーのfrom-gatekeeper送信元 IP アドレスに一致するパケットを受け入れる条件を定義します。

  4. TCP ポート上not-gatekeeperのすべてvoice-vlanのトラフィックが gatekeeper デバイスに送信されるようにするための条件を定義します。

  5. ファイアウォールフィルター ingress-vlan-rogue-blockを入力フィルターとして、次のように、VoIP 電話用の VLAN インターフェイスに適用します。

結果

構成の結果を表示するには、以下のようにします。

VLAN ファイアウォールフィルターを構成して、従業員 VLAN 上の送信トラフィックのカウント、監視、分析を行います。

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

手順

CLI クイック構成

送信トラフィックをフィルタリングemployee-vlanするために、ファイアウォールフィルタが構成され、VLAN インターフェイスに適用されます。企業のサブネットに向けた従業員トラフィックは受け入れられますが、監視はされません。Web への従業員トラフィックはカウントおよび分析されます。

VLAN ファイアウォールフィルターを迅速に構成して適用するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

送信ポートファイアウォールフィルターを構成して適用し、Web employee-vlanに送信されるトラフィックのカウントと分析を行うには、以下のようにします。

  1. ファイアウォールフィルター egress-vlan-watch-employeeを定義します。

  2. 企業のサブemployee-to-corpネットを宛先とするすべてemployee-vlanのトラフィックを許可し、監視しないようにするには、以下の条件を定義します。

  3. Web に配信employee-to-webされるすべてemployee-vlanのトラフィックをカウントし、監視するための条件を定義します。

    注:

    をご覧ください。、employee-monitor EX シリーズスイッチでの従業員リソースの使用状況をローカルで監視するためのポートミラーリングの構成 analyzer の設定に関する情報を参照できます。

  4. 次のようにegress-vlan-watch-employee 、ファイアウォールフィルターを出力フィルタとして、VoIP 電話用のポートインタフェースに適用します。

結果

構成の結果を表示するには、以下のようにします。

VLAN ファイアウォールを構成して、ゲスト VLAN のゲストツー従業員のトラフィックとピアツーピアアプリケーションを制限します。

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

手順

CLI クイック構成

次の例では、最初のフィルタ条件によって、ゲストは他のゲストとemployee-vlan話すことはできますが、従業員を含むことはできません。2つ目のフィルタ用語は、ゲスト Web アクセスを許可しますが、でguest-vlanピアツーピアアプリケーションを使用することはできません。

VLAN ファイアウォールフィルターをすばやく構成して、ゲストツー従業員のトラフィックを制限し、ピアツーピアアプリケーションを使用しemployee-vlanているときに従業員や従業員のホストとのguest-vlan会話をブロックするには、以下のコマンドをコピーしてスイッチ端末のウィンドウに貼り付けます。

順を追った手順

次のguest-vlanような場合、VLAN ファイアウォールフィルターを構成および適用して、ゲスト対従業員のトラフィックとピアツーピアアプリケーションを制限することができます。

  1. ファイアウォールフィルター ingress-vlan-limit-guestを定義します。

  2. のゲストがguest-to-guest他のゲストと通信guest-vlanすることを許可するという条件を定義employee-vlanします。従業員以外は、以下のことを行います。

  3. Web アクセスをno-guest-employee-no-peer-to-peer許可するという条件を定義しますが、 guest-vlanでピアツーピアアプリケーションを使用できないようにします。 guest-vlan

    注:

    destination-mac-addressデフォルトゲートウェイは、VLAN 内のすべてのホストに次ホップのルーターとして使用されます。

  4. ファイアウォールフィルター ingress-vlan-limit-guestを入力フィルターとして、次のguest-vlan ようなインターフェイスに適用します。

結果

構成の結果を表示するには、以下のようにします。

ルーターファイアウォールフィルターを構成して、送信されたトラフィックが企業のサブネットを宛先とすることを優先する

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

手順

CLI クイック構成

ルーティングポート (レイヤー3アップリンクモジュール) のファイアウォールフィルタを迅速に設定しemployee-vlanてトラフィックをフィルタリングし、企業サブネットへのトラフィックに転送クラスの優先順位を上げるには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

ファイアウォールフィルタを構成し、ルーティングされたポート (レイヤー3アップリンクモジュール) に適用しemployee-vlanて、企業のサブネットに向かうトラフィックに最高の優先度を与えるには、次のようにします。

  1. ファイアウォールフィルター egress-router-corp-classを定義します。

  2. 条件corp-expediteを定義します。

  3. 条件not-to-corpを定義します。

  4. スイッチのアップリンク モジュールのポートにファイアウォール フィルタを出力フィルターとして適用します。これは、ルーターへのレイヤー egress-router-corp-class 3 接続を提供します。

結果

構成の結果を表示するには、以下のようにします。

検証

ファイアウォールフィルターが正常に機能していることを確認するには、以下のタスクを実行します。

ファイアウォールフィルターとポリサーが動作していることを確認します。

目的

スイッチに設定されているファイアウォールフィルターとポリサーの動作状態を検証します。

アクション

運用モードのコマンドを使用します。

このshow firewallコマンドは、スイッチ上で構成されているファイアウォールフィルター、ポリサー、カウンターの名前を表示します。出力フィールドには、すべての構成済みカウンターのバイト数およびパケット数と、すべてのポリサーのパケットカウントが表示されます。

スケジューラとスケジューラマップが機能していることを確認する

目的

スイッチでスケジューラとスケジューラマップが機能していることを確認します。

アクション

運用モードのコマンドを使用します。

構成済みのスケジューラおよびスケジューラマップに関する統計を表示します。