例:EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定する
EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定して、スイッチ上の管理インターフェイス上のイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。SSH や Telnet などのユーティリティを使用してネットワーク経由で管理インターフェイスに接続し、SNMP などの管理プロトコルを使用してスイッチから統計データを収集することができます。
この例では、EXシリーズスイッチから出るSSHパケットをフィルタリングするために、管理インターフェイスにファイアウォールフィルターを設定する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズ スイッチと 1 つの管理 PC
EXシリーズスイッチ向けJunos OSリリース10.4以降
概要とトポロジー
トポロジー
この例では、管理 PC がスイッチの管理インターフェイスとの SSH 接続を確立して、スイッチをリモートで管理します。管理インターフェイスに設定されている IP アドレスは 10.204.33.103/20 です。ファイアウォールフィルターは、管理インターフェイスで設定され、管理インターフェイス上の送信元SSHポートから出るパケットの数をカウントします。管理 PC が管理インターフェイスとの SSH セッションを確立すると、管理インターフェイスは SSH パケットを管理 PC に返し、セッションが確立されたことを確認します。これらの SSH パケットは、管理 PC に転送される前に、ファイアウォール フィルターで指定された一致条件に基づいてフィルタリングされます。これらのパケットは管理インターフェイスの送信元 SSH ポートから生成されるため、管理インターフェイスに指定された一致条件を満たします。一致した SSH パケットの数は、管理インターフェイスを通過したパケットの数を示します。システム管理者は、この情報を使用して管理トラフィックを監視し、必要に応じて任意のアクションを実行できます。
図 1 は、管理 PC がスイッチとの SSH 接続を確立するこの例のトポロジーを示しています。
設定
管理インターフェイスでファイアウォールフィルターを設定するには、以下のタスクを実行します:
CLIクイック構成
管理インターフェイスでファイアウォールフィルターをすばやく作成および構成し、管理インターフェイスから出るSSHパケットをフィルタリングするには、次のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
ステップバイステップでの手順
管理インターフェイスでファイアウォールフィルターを構成して、SSH パケットをフィルタリングするには:
送信元ポートからの SSH パケットに一致するファイアウォール フィルターを設定します。
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
これらのステートメントは、管理インターフェイス上の送信元 SSH インターフェイスから出る SSH パケットの数をカウントするカウンター を設定します。c1
管理インターフェイスのファイアウォールフィルターを設定します。
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
注:VME インターフェイスのファイアウォール フィルターを設定することもできます。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ファイアウォールフィルターが管理インターフェイスに設定されていることを確認する
目的
スイッチの管理インターフェイスでファイアウォールフィルターが有効になっていることを確認します。
アクション
ファイアウォールフィルターが管理インターフェイスに適用されていることを確認します。
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }
ファイアウォール フィルターに関連付けられているカウンター値を確認します。
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
管理 PC から、スイッチとのセキュア シェル セッションを確立します。
[user@management-pc ~]$ ssh user@10.204.33.103
管理 PC によるセキュア シェル セッション要求に応答して、スイッチから SSH パケットが生成された後、カウンタ値を確認します。
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
意味
出力は、ファイアウォールフィルターが管理インターフェイスに適用されたことを示し、カウンター値は、スイッチから23個のSSHパケットが生成されたことを示しています。