Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの構成 (CLI 手順)

EX シリーズ スイッチでファイアウォール フィルターを設定し、ネットワークおよびレイヤー 3(ルート)インターフェイス上の VLAN に入り込む、または VLAN から出たトラフィックを制御します。ファイアウォール フィルタを設定するには、フィルターを設定してから、それをポート、VLAN、またはレイヤー 3 インターフェイスに適用する必要があります。

ファイアウォールフィルターの構成

ファイアウォールフィルターをポート、VLAN、レイヤー3インターフェイスに適用する前に、ファイアウォールフィルター、ファイアウォールフィルタ名、照合条件に対応するファミリのタイプなど、必要な詳細を使用してファイアウォールフィルターを構成する必要があります。ファイアウォールフィルタ構成の照合条件には、一致条件の基準を定義する複数の条件を含めることができます。各用語について、パケットが条件に一致した場合に実行されるアクションを指定する必要があります。さまざまな対戦条件とアクションの詳細については、ファイアウォールフィルタ Match 条件、アクション、EX シリーズスイッチのアクション修飾子を参照してください。

ファイアウォールフィルターを構成するには、次のようにします。

  1. ファイアウォールフィルター用のファミリアドレスタイプを設定します。
    • ポートまたは VLAN に適用されるファイアウォール フィルタでは、たとえば以下に示すレイヤー 2(イーサネット)パケットとレイヤー 3(IP)パケットをフィルタリングするファミリー アドレス タイプを ethernet-switching 指定します。

    • レイヤー 3 (ルーティング) インターフェイスに適用されるファイアウォールフィルターには、次のようなものがあります。

      • IPv4 パケットをフィルタリングするには、次に示すファミリー アドレス タイプ inet を指定します。

      • IPv6 パケットをフィルタリングするには、次に示すファミリー アドレス タイプ inet6 を指定します。

      注:

      IPv4 と IPv6 の両方のトラフィックに対して、ファイアウォールフィルターを同じレイヤー3インターフェイスに設定できます。

  2. フィルタ名を指定します。

    フィルター名には、文字、数字、およびハイフン (-) を使用でき、最大64文字を使用できます。各フィルター名は一意にする必要があります。

  3. ファイアウォール フィルタを複数のインターフェイスに適用し、各インターフェイスに固有の個々のファイアウォール カウンターに名前を付けするには、オプションを設定 interface-specific します。
  4. 用語の名前を指定します。

    名前には、文字、数字、およびハイフン (-) を含めることができ、最大64文字を使用できます。

    ファイアウォールフィルターには、1つまたは複数の条件を含めることができます。各用語名は、フィルター内で一意にする必要があります。

    注:

    EX シリーズスイッチのファイアウォールフィルター1つあたりの最大許容条件は、以下のとおりです。

    • EX2200 スイッチの512

    • EX3300 スイッチの1436

      注:

      EX3300 スイッチでは、すべてのフィルターがインストールされているわけではありませんが、同じコミット操作で多数の条件 (1000 以上) を使用してフィルターを追加したり削除したりすると、そのために必要なのはありません。1回のコミット操作でフィルターを追加し、個別のコミット操作でフィルターを削除する必要があります。

    • EX3200 および EX4200 スイッチの7168

    • EX4300 スイッチでは、ポート、VLAN、レイヤー3インターフェイス上に設定されたファイアウォールファイラーで、受信/送信トラフィックに対してサポートされる条件の数を以下に示します。

      • 受信トラフィック用:

        • ポートに構成されたファイアウォールフィルタの用語3500条件

        • VLAN で構成されたファイアウォールフィルタの用語3500条件

        • IPv4 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の7000用語

        • IPv6 トラフィック用レイヤー3インターフェイス上で構成されたファイアウォールファイラー用の3500用語

      • 送信トラフィック用:

        • ポートに構成されたファイアウォールフィルタの用語512条件

        • VLAN で構成されたファイアウォールフィルタの用語256条件

        • IPv4 トラフィック用レイヤー3インターフェイスに構成されたファイアウォールフィルター用の512用語

        • IPv6 トラフィック用レイヤー3インターフェイス上で構成されたファイアウォールファイラー用の512用語

      注:

      スイッチ上で1種類のファイアウォールフィルター (ポート、VLAN、ルーター (レイヤー 3) ファイアウォールフィルター) を構成する場合、またはスイッチ内のすべてのインターフェイスでストーム制御が有効になっていない場合にのみ、この最大数の条件を設定できます。

    • 1200 EX4500 および EX4550 スイッチ用

    • EX6200 スイッチの1400

    • EX8200 スイッチの32768

    この制限を超えるファイアウォールフィルターを構成しようとすると、構成をコミットしたときにエラーメッセージが表示されます。

  5. ファイアウォール フィルタ条件ごとに、含める一致条件を指定します。次の例は、指定された IP アドレスとポートからのパケットを一致する方法を示しています。

    1つのfromステートメントの中で検索条件を指定できます。一致と見なされるためには、パケットは条件に合致していることが必要です。

    fromステートメントはオプションですが、条件に含まれている場合from 、そのステートメントを空にすることはできません。fromステートメントを省略すると、すべてのパケットが一致したと見なされます。

  6. 各ファイアウォール フィルタ条件について、パケットが条件内のすべての条件と一致する場合にとるアクションを指定します。

    アクションまたはアクション修飾子を指定できます。

    • フィルタの条件に一致するパケットを破棄するなど、フィルタアクションを指定するには、次のようにします。

      フィルタ項目ごとに複数のアクションを指定することはできません。

    • 転送クラスでパケットをカウントして分類するアクションの修飾子を指定するには、以下のようにします。

      then文では、以下のアクション修飾子を指定できます。

      • analyzer analyzer-name:プロトコル アナライザ アプリケーションに接続されている指定された宛先ポートまたは VLAN にポート トラフィックをミラーリングします。ファミリー analyzer アドレス タイプの下で ethernet-switching 設定する必要があります。「ポートミラーリングを構成してトラフィックを分析する (CLI 手順)」を参照してください。

      • count counter-name—このフィルター条件を通過するパケット数をカウントします。

        注:

        各フィルター条件に指定された条件に一致するパケット数を監視できるように、ファイアウォールフィルターの用語ごとにカウンターを構成することをお勧めします。

      • forwarding-class class—転送クラスのパケットを分類します。

      • loss-priority priority—パケットをドロップする優先度を設定します。

      • policer policer-name:トラフィックにレート制限を適用します。

      • interface interface-name—スイッチング ルックアップを迂回して、指定されたインターフェイスにトラフィックを転送します。

      • log—パケットのヘッダー情報をデバイスにルーティング エンジン。

    thenステートメントを省略した場合、またはアクションを指定しなかった場合は、 fromステートメント内のすべての条件に一致するパケットが受け付けられます。ただし、 then文の中でアクションやアクションの修飾子を常に明示的に設定する必要があります。1つのアクションを含めることはできませんが、アクション修飾子を任意に組み合わせて使用できます。アクションまたはアクション修飾子を有効にするには、 fromステートメント内のすべての条件が一致している必要があります。

    注:

    暗黙の破棄は、 lo0ループバックインターフェイスに適用されるファイアウォールフィルターにも適用できます。

    オン ジュニパーネットワークス EX8200 イーサネット スイッチ、IPv4 トラフィックのループバック インターフェイスで明示的または明示的なアクションが設定されている場合、ネクスト ホップ解決パケットが受け入れれ、スイッチを通過するように許可 discard されます。ただし、IPv6 トラフィックの場合は、次ホップ IPv6 解決パケットがスイッチを通過することを許可するルールを明示的に設定する必要があります。

IPv4 または IPv6 トラフィック専用の用語の構成

IPv4 トラフィック専用のファイアウォールフィルタ構成で条件を設定するには、次のようにします。

  1. 構成内のether-type ipv6条件ip-version ipv6でも指定されていないことを確認します。デフォルトではether-type ipv6ip-version ipv6 、どちらも含まれていない構成は IPv4 トラフィックに適用されます。
  2. ナ以下のいずれかのタスクを実行します。
    • コンフィギュレーションether-type ipv4で用語を定義します。

    • コンフィギュレーションip-version ipv4で用語を定義します。

    • 構成のether-type ipv4ip-version ipv4で and を定義します。

    • 設定内の条件にどちらもまた指定されていないか検証します。デフォルトでは ether-type ipv6 、IPv4 トラフィックが含まれている場合、またはその期間に含らない設定が ip-version ipv6ether-type ipv6ip-version ipv6 IPv4 ether-type ipv6 トラフィックに適用されます。 ip-version ipv6

  3. IPv4 トラフィックに有効なその他の照合条件があることを確認します。

IPv6 トラフィック専用のファイアウォールフィルタ設定で条件を構成するには、次のようにします。

  1. 以下のいずれかのタスクを実行します。

    • コンフィギュレーションether-type ipv6で用語を定義します。

    • コンフィギュレーションip-version ipv6で用語を定義します。

    • 構成のether-type ipv6ip-version ipv4で and を定義します。

      注:

      デフォルトではether-type ipv6ip-version ipv6 、どちらも含まれていない構成は IPv4 トラフィックに適用されます。

  2. IPv6 トラフィックに有効な、その他の照合条件があることを確認します。

注:

条件のいずれかが該当する場合、 ether-type ipv6またip-version ipv6はその他の ipv6 照合条件が指定されていない場合は、すべての ipv6 トラフィックが照合されます。

注:

IPv4 と IPv6 の両方のトラフィックに対してファイアウォールフィルターを構成するには、IPv4 トラフィック用と IPv6 トラフィック用の2つの独立した用語を含める必要があります。

スイッチのポートへのファイアウォールフィルタの適用

スイッチ上のポートにファイアウォールフィルターを適用して、入口または出口のトラフィックをフィルタリングできます。ファイアウォールフィルターを構成する際には、ファイアウォールフィルタマッチング条件、アクション、EX シリーズスイッチのアクション修飾子に指定された条件、アクション、アクションの各修飾子を指定できます。対戦条件で指定されたアクションは、受信または送信トラフィックで一致したパケットのアクションを示します。

ポートにファイアウォールフィルターを適用し、入口または出口のトラフィックをフィルタリングするには、次のようにします。

注:

ファイアウォールフィルタを管理インターフェースに適用する方法については、次を参照してください。スイッチ上の管理インターフェイスへのファイアウォールフィルタの適用

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスの説明を入力します。
    注:

    説明の提供は必須ではありません。

  2. インターフェイスのユニット番号とファミリーアドレスタイプを指定します。

    ポートに適用されるファイアウォール フィルタの場合、ファミリー アドレス タイプは ethernet-switching .

  3. ポートに入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    ポートを抜けているパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    注:

    1つのポートの各方向に対して、複数のファイアウォールフィルターを適用することはできません。

スイッチ上の管理インターフェイスへのファイアウォールフィルタの適用

ファイアウォールフィルターを構成して管理インターフェイスに適用することで、スイッチ上のインターフェイスに出入りするトラフィックを制御できます。SSH や Telnet などのユーティリティを使用して、ネットワーク経由で管理インターフェイスに接続し、SNMP などの管理プロトコルを使用してスイッチから統計データを収集できます。他のタイプのインターフェイスでファイアウォールフィルターを構成する場合と同様に、管理インターフェイス上にファイアウォールフィルターを構成できます。ファイアウォールフィルタマッチング条件、アクション、アクションに指定された条件、アクション、アクション修飾子を使用します。以下のアクション修飾子を除く EX シリーズスイッチの修飾子:

  • loss-priority

  • forwarding-class

ファイアウォールフィルターは、任意の EX シリーズスイッチ上の管理イーサネットインターフェイスに適用できます。また、EX4200 スイッチの仮想管理イーサネット (VME) インターフェイスにファイアウォールフィルターを適用することもできます。管理イーサネットインターフェイスと VME インターフェイスの詳細については、スイッチのインターフェイスの概要を参照してください。

管理インターフェイスにファイアウォールフィルタを適用して、入口または出口のトラフィックをフィルタリングするには、以下のようにします。

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスの説明を入力します。
    注:

    説明の提供は必須ではありません。

  2. 管理インターフェイスのユニット番号とファミリーアドレスタイプを指定します。
    注:

    管理インターフェイスに適用されるファイアウォール フィルタでは、ファミリー アドレス タイプは または のいずれか inet です inet6

  3. 管理インターフェイスに入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    管理インターフェイスを抜けているパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    注:

    管理インターフェイスごとに1つの方向につき、複数のファイアウォールフィルターを適用することはできません。

ネットワーク上の VLAN へのファイアウォールフィルタの適用

ネットワーク上の VLAN にファイアウォールフィルターを適用して、ネットワーク上の入口/出口トラフィックをフィルタリングすることができます。Vlan にファイアウォールフィルターを適用するには、vlan 名と ID を指定してから、ファイアウォールフィルターを VLAN に適用します。ファイアウォールフィルターを構成する際には、ファイアウォールフィルタマッチング条件、アクション、EX シリーズスイッチのアクション修飾子に指定された条件、アクション、アクションの各修飾子を指定できます。対戦条件で指定されたアクションは、受信または送信トラフィックで一致したパケットのアクションを示します。

ファイアウォールフィルタを VLAN に適用するには、次のようにします。

  1. VLAN 名と VLAN ID を指定し、ファイアウォールフィルタと、フィルタが適用される VLAN について、わかりやすい説明を入力します。
    注:

    説明の提供は必須ではありません。

  2. VLAN に出入りするパケットをフィルタリングするには、ファイアウォールフィルタを適用します。
    • VLAN に入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

      (EX4300 スイッチ上)VLAN に入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    • VLAN から抜けているパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

      (EX4300 スイッチ上)VLAN から抜けているパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    注:

    各方向に1つの VLAN につき、複数のファイアウォールフィルターを適用することはできません。

レイヤー 3 (ルーティング) インターフェイスへのファイアウォールフィルタの適用

レイヤー 3 (ルーティング) インターフェイスにファイアウォールフィルターを適用して、入口/出口トラフィックをスイッチ上でフィルタリングすることができます。ファイアウォールフィルターを構成する際には、ファイアウォールフィルタマッチング条件、アクション、EX シリーズスイッチのアクション修飾子に指定された条件、アクション、アクションの各修飾子を指定できます。対戦条件で指定されたアクションは、受信または送信トラフィックで一致したパケットのアクションを示します。

ファイアウォールフィルタをスイッチ上のレイヤー3インターフェースに適用するには、次のようにします。

  1. インターフェイス名を指定し、ファイアウォールフィルターとそのフィルターが適用されるインターフェイスの説明を入力します。
    注:

    説明の提供は必須ではありません。

  2. インターフェイスのユニット番号、ファミリーアドレスタイプ、およびアドレスを指定します。

    レイヤー 3 インターフェイスに適用されるファイアウォール フィルターの場合、ファミリー アドレス タイプは(IPv4 トラフィックの場合)または(IPv6 トラフィックの場合) inetinet6 にする必要があります。

  3. ファイアウォール フィルタを適用して、レイヤー 3(ルート)インターフェイスで受信または終了するパケットをフィルタリングできます。
    • レイヤー3インターフェイスに入るパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    • レイヤー3インターフェイスを抜けているパケットをフィルタリングするためのファイアウォールフィルタを適用するには、次のようにします。

    注:

    特定の VLAN に関連付けられた IRB インターフェイスにフィルタを適用すると、一致する VLAN ID を持つレイヤー 3 インターフェイス上でフィルタが実行されます。これは、フィルターが対応する VLAN タグとすべてのレイヤー 3 インターフェイスで一致しているためです。

    注:

    レイヤー3インターフェイスごとに、1方向に複数のファイアウォールフィルターを適用することはできません。