Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの設定(CLI手順)

EXシリーズスイッチにファイアウォールフィルターを設定し、スイッチ上のポートに入るトラフィックや、ネットワークおよびレイヤー 3(ルーティングされた)インタフェースのVLANに出入りするトラフィックを制御します。ファイアウォールフィルターを設定するには、フィルターを設定してから、ポート、VLAN、またはレイヤー3インターフェイスに適用する必要があります。

ファイアウォールフィルターの設定

ポート、VLAN、またはレイヤー3インターフェイスにファイアウォールフィルターを適用する前に、ファイアウォールフィルターのファミリータイプ、ファイアウォールフィルター名、一致条件など、必要な詳細を使用してファイアウォールフィルターを設定する必要があります。ファイアウォールフィルター設定の一致条件には、一致条件の基準を定義する複数の条件を含めることができます。各条件に対して、パケットが条件の条件に一致した場合に実行するアクションを指定する必要があります。さまざまな一致条件やアクションについては、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子を参照してください。

ファイアウォールフィルターを設定するには:

  1. ファイアウォールフィルターのファミリーアドレスタイプを設定します。
    • ポートまたは VLAN に適用されるファイアウォールフィルターの場合、ファミリーアドレスタイプethernet-switchingを指定して、レイヤー 2(イーサネット)パケットとレイヤー 3(IP)パケットをフィルタリングします。次に例を示します

    • レイヤー 3(ルーティング)インターフェースに適用されるファイアウォールフィルターの場合:

      • IPv4 パケットをフィルタリングするには、ファミリーアドレスタイプを指定します。inet次に例を示します。

      • IPv6 パケットをフィルタリングするには、ファミリーアドレスタイプを指定します。inet6次に例を示します。

      注:

      IPv4とIPv6の両方のトラフィックに対して、ファイアウォールフィルターを同じレイヤー3インターフェイス上に設定できます。

  2. フィルター名を指定します。

    フィルター名には、文字、数字、およびハイフン(-)を含めることができ、最大64文字を含めることができます。各フィルター名は一意である必要があります。

  3. 複数のインターフェイスにファイアウォールフィルターを適用し、各インターフェイスに固有の個々のファイアウォールカウンターに名前を付けたい場合は、interface-specificオプションを設定してください。
  4. 条件名を指定します。

    条件名には、文字、数字、およびハイフン(-)を含めることができ、最大64文字を含めることができます。

    ファイアウォールフィルターには、1 つ以上の条件を含めることができます。各条件名は、フィルター内で一意である必要があります。

    注:

    EX シリーズスイッチのファイアウォールフィルターごとに許可される条件の最大数は次のとおりです。

    • EX2200 スイッチの 512

    • EX3300 スイッチの 1436

      注:

      EX3300 スイッチでは、大量の条件(1000 語以上のオーダー)を持つフィルターを同じコミット操作で追加および削除すると、すべてのフィルターがインストールされるわけではありません。1 つのコミット操作でフィルターを追加し、別のコミット操作でフィルターを削除する必要があります。

    • EX3200 および EX4200 スイッチの 7,168

    • EX4300 スイッチでは、ポート、VLAN、およびレイヤー 3 インターフェイス上で設定されたファイアウォールファイラーのイングレストラフィックとエグレストラフィックでサポートされる条件の数は次のとおりです。

      • イングレストラフィックの場合:

        • ポートに設定されたファイアウォールフィルターの条件 3,500

        • VLAN に設定されたファイアウォールフィルターの条件 3,500

        • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 7,000

        • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 3500

      • エグレストラフィックの場合:

        • ポートに設定されたファイアウォールフィルターの条件 512

        • VLAN に設定されたファイアウォールフィルターの条件 256

        • レイヤー 3 インターフェイスに設定された IPv4 トラフィックのファイアウォールフィルターの条件 512

        • レイヤー 3 インターフェイスに設定された IPv6 トラフィックのファイアウォールフィルターの条件 512

      注:

      これらの最大条件数を設定できるのは、スイッチで 1 種類のファイアウォールフィルター(ポート、VLAN、またはルーター(レイヤー 3)ファイアウォールフィルター)を設定している場合、およびスイッチのすべてのインタフェイスでストーム制御が有効になっていない場合のみです。

    • EX4500 および EX4550 スイッチでは1,200

    • EX6200スイッチでは1,400

    • EX8200 スイッチでは32,768

    これらの制限を超えるファイアウォールフィルターを設定しようとすると、設定をコミットする際にスイッチがエラーメッセージを返します。

  5. ファイアウォールフィルターの条件ごとに、含めたい一致条件を指定します。以下の例では、与えられた IP アドレスとポートからのパケットを一致させる方法を示しています。

    1 つのfromステートメントで 1 つ以上の一致条件を指定できます。一致するためには、パケットが条件のすべての条件に一致する必要があります。

    このステートfromメントは任意ですが、条件に含まれる場合、そのステートfromメントを空にすることはできません。そのfromステートメントを省略すると、すべてのパケットが一致したと見なされます。

  6. ファイアウォールフィルターの条件ごとに、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。

    アクションおよび/またはアクション修飾子を指定できます。

    • フィルターアクションを指定するには、たとえば、フィルター条件の条件に一致するパケットを破棄するには、以下のようにします。

      フィルター条件ごとに指定できるアクションは 1 つだけです。

    • アクション修飾子を指定するには、たとえば、転送クラスのパケットをカウントして分類するには、以下のようにします。

      thenステートメントでは、以下のアクション修飾子を指定することができます。

      • analyzer analyzer-nameープロトコルアナライザーアプリケーションに接続されている指定された宛先ポートまたは VLAN にポートトラフィックをミラーリングします。analyzerは、ethernet-switchingファミリーアドレスタイプで設定する必要があります。トラフィックを分析するためのポートミラーリングの設定(CLI手順)を参照してください。

      • count counter-nameーこのフィルター条件を通過したパケットの数をカウントします。

        注:

        各フィルター条件で指定された条件に一致するパケットの数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。

      • forwarding-class classーパケットを転送クラスに分類します。

      • loss-priority priorityーパケットをドロップする際の優先順位を設定します。

      • policer policer-nameートラフィックにレート制限を適用します。

      • interface interface-name—スイッチングルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。

      • logーパケットのヘッダー情報をルーティングエンジンに記録します。

    thenステートメントを省略した場合、またはアクションを指定しない場合、fromステートメントのすべての条件に一致するパケットが受け入れられます。ただし、thenステートメントでは常にアクションおよび/またはアクション修飾子を明示的に設定する必要があります。含めることができるアクションは 1 つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、fromステートメント内のすべての条件が一致する必要があります。

    注:

    暗黙の廃棄は、ループバックインターフェイスに適用されるファイアウォールフィルターにも適用できますlo0

    ジュニパーネットワークス EX8200 イーサネットスイッチでは、IPv4 トラフィックのループバックインターフェイスに暗黙的または明示的なdiscardアクションが設定されている場合、ネクストホップ解決パケットが受け入れられ、スイッチの通過が許可されます。ただし、IPv6 トラフィックの場合、ネクストホップ IPv6 解決パケットがスイッチの通過を許可するルールを明示的に設定する必要があります。

IPv4 または IPv6 トラフィック専用の条件の設定

IPv4 トラフィック専用のファイアウォールフィルター設定で条件を設定するには、次のようにします。

  1. 設定の条件にether-type ipv6ip-version ipv6も指定されていないことを確認します。デフォルトでは、条件にether-type ipv6またはip-version ipv6のいずれも含まれていない設定がIPv4トラフィックに適用されます。
  2. (オプション)以下のいずれかのタスクを実行します。
    • 設定内の条件でether-type ipv4を定義します。

    • 設定内の条件でip-version ipv4を定義します。

    • 設定内の条件でether-type ipv4ip-version ipv4の両方を定義します。

    • 設定の条件にether-type ipv6ip-version ipv6も指定されていないことを確認します。デフォルトでは、条件にether-type ipv6またはip-version ipv6のいずれかが含まれていない設定は、ether-type ipv6またはip-version ipv6が含まれていない場合に IPv4 トラフィックに適用されます。

  3. 条件内の他の一致条件が IPv4 トラフィックに対して有効であることを確認してください。

IPv6 トラフィック専用のファイアウォールフィルター設定で条件を設定するには、次のようにします。

  1. 次のいずれかのタスクを実行します。

    • 設定内の条件でether-type ipv6を定義します。

    • 設定内の条件でip-version ipv6を定義します。

    • 設定内の条件でether-type ipv6ip-version ipv4の両方を定義します。

      注:

      デフォルトでは、条件にether-type ipv6またはip-version ipv6のいずれも含まれていない設定がIPv4トラフィックに適用されます。

  2. 条件内の他の一致条件がIPv6トラフィックに対して有効であることを確認してください。

注:

条件に一致条件ether-type ipv6またはip-version ipv6のいずれかが含まれ、他の IPv6 一致条件が指定されていない場合、すべての IPv6 トラフィックが一致します。

注:

IPv4 と IPv6 の両方のトラフィックにファイアウォールフィルターを設定するには、IPv4 トラフィック用と IPv6 トラフィック用の 2 つの条件を別々に含める必要があります。

スイッチのポートにファイアウォールフィルターを適用

スイッチのポートにファイアウォールフィルターを適用して、スイッチのイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。

ファイアウォールフィルターをポートに適用して、イングレストラフィックまたはエグレストラフィックをフィルタリングするには、次のようにします。

注:

管理インターフェイスへのファイアウォールフィルターの適用については、スイッチの管理インターフェイスにファイアウォールフィルターを適用を参照してください。

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスに意味のある説明を提供します。
    注:

    説明の提供はオプションです。

  2. インターフェイスのユニット番号とファミリーアドレスタイプを指定します。

    ポートに適用されるファイアウォールフィルターでは、ファミリーアドレスタイプはethernet-switchingである必要があります。

  3. ファイアウォールフィルターを適用して、あるポートに入るパケットをフィルタリングするには:

    ファイアウォールフィルターを適用して、あるポートから出るパケットをフィルタリングするには:

    注:

    ポートごと、方向ごとに適用できるファイアウォールフィルターは1つだけです。

スイッチの管理インターフェイスにファイアウォールフィルターを適用

管理インターフェイスにファイアウォールフィルターを設定し、適用することで、スイッチのインターフェイスに出入りするトラフィックを制御することができます。SSH や Telnet などのユーティリティを使用してネットワーク経由で管理インターフェイスに接続し、SNMP などの管理プロトコルを使用してスイッチから統計データを収集することができます。他のタイプのインターフェイスでファイアウォールフィルターを設定するのと同様に、EX シリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を使用して、管理インターフェイスでファイアウォールフィルターを設定できますが、以下のアクション修飾子を除きます:

  • loss-priority

  • forwarding-class

EX シリーズスイッチ上の管理イーサネットインターフェイスにファイアウォールフィルターを適用できます。EX4200 スイッチ上の仮想管理イーサネット(VME)インターフェイスにファイアウォールフィルターを適用することもできます。管理イーサネットインターフェイスと VME インターフェイスの詳細については、スイッチのインターフェイスの概要を参照してください。

管理インターフェイスにファイアウォールフィルターを適用して、イングレストラフィックまたはエグレストラフィックをフィルタリングするには、次のようにします。

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスに意味のある説明を提供します。
    注:

    説明の提供はオプションです。

  2. 管理インターフェイスのユニット番号とファミリーアドレスタイプを指定します。
    注:

    管理インターフェイスに適用されるファイアウォールフィルターの場合、ファミリーアドレスタイプはinetまたはinet6のいずれかになります。

  3. ファイアウォールフィルターを適用して、管理インターフェイスに入るパケットをフィルタリングするには:

    ファイアウォールフィルターを適用して、管理インターフェイスから出るパケットをフィルタリングするには:

    注:

    管理インターフェイスごと、方向ごとに適用できるファイアウォールフィルターは 1 つだけです。

ネットワーク上のVLANへのファイアウォールフィルターの適用

ネットワーク上の VLAN にファイアウォールフィルターを適用して、ネットワーク上のイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。VLAN にファイアウォールフィルターを適用するには、VLAN 名と ID を指定して、VLAN にファイアウォールフィルターを適用します。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。

VLAN にファイアウォールフィルターを適用するには:

  1. VLAN 名と VLAN IDを指定し、ファイアウォールフィルターとそのフィルターが適用される VLAN の意味のある説明を提供します。
    注:

    説明の提供はオプションです。

  2. ファイアウォールフィルターを適用して、VLAN に出入りするパケットをフィルタリングします。
    • ファイアウォールフィルターを適用して、VLAN に入るパケットをフィルタリングするには:

      (EX4300スイッチ上)ファイアウォールフィルターを適用して、VLANに入るパケットをフィルタリングするには:

    • ファイアウォールフィルターを適用して、VLANから出るパケットをフィルタリングするには:

      (EX4300 スイッチ上)ファイアウォールフィルターを適用して、VLAN から出るパケットをフィルタリングするには:

    注:

    VLANごと、方向ごとに適用できるファイアウォールフィルターは1つだけです。

ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用

ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用して、スイッチ上のイングレストラフィックまたはエグレストラフィックをフィルタリングすることができます。ファイアウォールフィルターを設定する場合、EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子で指定されている任意の一致条件、アクション、およびアクション修飾子を指定できます。一致条件で指定されたアクションは、イングレストラフィックまたはエグレストラフィックで一致したパケットに対するアクションを示します。

スイッチ上のレイヤー 3 インターフェイスにファイアウォールフィルターを適用するには:

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスに意味のある説明を提供します。
    注:

    説明の提供はオプションです。

  2. インターフェイスのユニット番号、ファミリーアドレスタイプ、およびアドレスを指定します。

    レイヤー 3 インターフェイスに適用されるファイアウォールフィルターの場合、ファミリーアドレスタイプはinet(IPv4 トラフィック用)またはinet6(IPv6 トラフィック用)である必要があります。

  3. ファイアウォールフィルターを適用して、レイヤー3(ルーティング)インターフェイスに出入りするパケットをフィルタリングすることができます。
    • ファイアウォールフィルターを適用して、レイヤー3インターフェイスに入るパケットをフィルタリングするには:

    • ファイアウォールフィルターを適用して、レイヤー3インターフェイスから出るパケットをフィルタリングするには:

    注:

    特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、VLAN ID が一致する任意のレイヤー 3 インターフェイスでそのフィルタが実行されます。これは、該当するVLANタグを持つすべてのレイヤー3インターフェイスでフィルターが一致するからです。

    注:

    レイヤー3インターフェイスごと、方向ごとに適用できるファイアウォールフィルターは 1 つだけです。