ファイアウォールフィルターの設定(CLI手順)
EXシリーズスイッチにファイアウォールフィルターを設定し、スイッチ上のポートに入るトラフィックや、ネットワークおよびレイヤー 3(ルーティングされた)インタフェースのVLANに出入りするトラフィックを制御します。ファイアウォールフィルターを設定するには、フィルターを設定してから、ポート、VLAN、またはレイヤー3インターフェイスに適用する必要があります。
ファイアウォールフィルターの設定
ポート、VLAN、またはレイヤー3インターフェイスにファイアウォールフィルターを適用する前に、ファイアウォールフィルターのファミリータイプ、ファイアウォールフィルター名、一致条件など、必要な詳細を使用してファイアウォールフィルターを設定する必要があります。ファイアウォールフィルター設定の一致条件には、一致条件の基準を定義する複数の条件を含めることができます。各条件に対して、パケットが条件の条件に一致した場合に実行するアクションを指定する必要があります。さまざまな一致条件やアクションについては、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子を参照してください。
ファイアウォールフィルターを設定するには:
IPv4 または IPv6 トラフィック専用の条件の設定
IPv4 トラフィック専用のファイアウォールフィルター設定で条件を設定するには、次のようにします。
IPv6 トラフィック専用のファイアウォールフィルター設定で条件を設定するには、次のようにします。
次のいずれかのタスクを実行します。
設定内の条件で
ether-type ipv6
を定義します。設定内の条件で
ip-version ipv6
を定義します。設定内の条件で
ether-type ipv6
とip-version ipv4
の両方を定義します。注:デフォルトでは、条件に
ether-type ipv6
またはip-version ipv6
のいずれも含まれていない設定がIPv4トラフィックに適用されます。
条件内の他の一致条件がIPv6トラフィックに対して有効であることを確認してください。
条件に一致条件ether-type ipv6
またはip-version ipv6
のいずれかが含まれ、他の IPv6 一致条件が指定されていない場合、すべての IPv6 トラフィックが一致します。
IPv4 と IPv6 の両方のトラフィックにファイアウォールフィルターを設定するには、IPv4 トラフィック用と IPv6 トラフィック用の 2 つの条件を別々に含める必要があります。
スイッチのポートにファイアウォールフィルターを適用
スイッチのポートにファイアウォールフィルターを適用して、スイッチのイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。
ファイアウォールフィルターをポートに適用して、イングレストラフィックまたはエグレストラフィックをフィルタリングするには、次のようにします。
管理インターフェイスへのファイアウォールフィルターの適用については、スイッチの管理インターフェイスにファイアウォールフィルターを適用を参照してください。
スイッチの管理インターフェイスにファイアウォールフィルターを適用
管理インターフェイスにファイアウォールフィルターを設定し、適用することで、スイッチのインターフェイスに出入りするトラフィックを制御することができます。SSH や Telnet などのユーティリティを使用してネットワーク経由で管理インターフェイスに接続し、SNMP などの管理プロトコルを使用してスイッチから統計データを収集することができます。他のタイプのインターフェイスでファイアウォールフィルターを設定するのと同様に、EX シリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を使用して、管理インターフェイスでファイアウォールフィルターを設定できますが、以下のアクション修飾子を除きます:
loss-priority
forwarding-class
EX シリーズスイッチ上の管理イーサネットインターフェイスにファイアウォールフィルターを適用できます。EX4200 スイッチ上の仮想管理イーサネット(VME)インターフェイスにファイアウォールフィルターを適用することもできます。管理イーサネットインターフェイスと VME インターフェイスの詳細については、スイッチのインターフェイスの概要を参照してください。
管理インターフェイスにファイアウォールフィルターを適用して、イングレストラフィックまたはエグレストラフィックをフィルタリングするには、次のようにします。
ネットワーク上のVLANへのファイアウォールフィルターの適用
ネットワーク上の VLAN にファイアウォールフィルターを適用して、ネットワーク上のイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。VLAN にファイアウォールフィルターを適用するには、VLAN 名と ID を指定して、VLAN にファイアウォールフィルターを適用します。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。
VLAN にファイアウォールフィルターを適用するには:
ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用
ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用して、スイッチ上のイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。
スイッチ上のレイヤー 3 インターフェイスにファイアウォールフィルターを適用するには: