ファイアウォール フィルターの設定
以下のセクションの手順に従って、スイッチにファイアウォール フィルターを設定して適用します。
ファイアウォール フィルタの設定
ファイアウォール フィルタを設定するには、次の手順に応えます。
拡張エグレス ファイアウォール フィルターの設定(QFX5110 および QFX5220 スイッチ)
ハードウェアの制限により、QFX5110 と QFX5220 は最大 1,000 個のエグレス ファイアウォール フィルター(eRACL)のみをサポートできます。スイッチを拡張モードで設定すると、この数を 2000 に増やすことができます。このモードでは、スイッチはイングレス TCAM スペース(IFP)を使用して、より高い拡張性を実現します。
エグレス フィルタを設定するには、ファミリー アドレス タイプ(inet
IPv4 の場合)または(inet6
IPv6 の場合)、フィルタ名、用語名を指定します。スイッチに適用できるスケーリング オプションを含め、一致条件と一致が発生した場合に実行するアクションを指定します。次に、インターフェイスの出力方向にフィルタを適用します。
スケーリング オプションを構成、変更、または削除した後、設定をコミットし、パケット転送エンジン(PFE)を再起動する必要があります。
QFX5110 のエグレス フィルターの数を増やすには、設定にオプションを egress-to-ingress
含めます。このオプションは、任意の条件に追加できます。以下に、設定例を示します。
set firewall family inet filter f1 term t1 from egress-to-ingress set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
QFX5220 のエグレス フィルターの数を増やすには、ステートメントの下にeracl-scale
オプションをegress-profile
含めます。以下に、設定例を示します。
オプションは eracl-scale
グローバル モードで設定されます。有効にすると、拡張モードで既存のエグレス フィルターが自動的に再インストールされます。
set system packet-forwarding-options firewall eracl-profile eracl-scale set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
拡張モードを有効にすると、以下の制限が適用されます。
フィルターは、エグレス方向(VLAN から出たトラフィック)にのみ適用できます。
inet6
サポートされているのはプロトコル ファミリーのみですinet
。GRE(汎用ルーティング カプセル化)インターフェイスはサポートされていません。
エグレス ファイアウォール フィルターのスケーリング オプションのみを使用します。
異なるエグレス VLAN またはレイヤー 3 インターフェイスに、同じ一致条件を持つフィルタを適用することはできません。サポートされる唯一のアクションは
accept
、 、discard
、 ですcount
。一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターは、受信した VLAN のトラフィックをカウントします。
ポートへのファイアウォール フィルターの適用
ポートにファイアウォール フィルタを適用するには、次の手順に示します。
VLAN へのファイアウォール フィルターの適用
VLAN ファイアウォール フィルターは、EVPN-VXLAN 環境の QFX5100、QFX5100 バーチャル シャーシ、QFX5110、QFX5120 スイッチではサポートされていません。
VLAN にファイアウォール フィルターを適用するには、次の手順に示します。
レイヤー 3(ルーテッド)インターフェイスへのファイアウォール フィルタの適用
ファイアウォール フィルタは、IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface) (IRB(統合型ルーティングおよびブリッジング)インターフェイスとしても知られています)、ループバック インターフェイスに適用できます。これらはすべて、レイヤー 3 ルーテッド インターフェイスと見なされます。
(QFX5100 および QFX5110 スイッチ)EVPN-VXLAN 環境では、IRB インターフェイスを使用して、スイッチにレイヤー 3 接続を提供できます。IRB インターフェイスを設定するには、例を参照してください 。EVPN-VXLAN 環境で IRB インターフェイスを設定して、データ センター内のホストにレイヤー 3 接続を提供します。その後、以下の手順に従ってファイアウォール フィルタを IRB インターフェイスに適用できます(イングレス方向のみがサポートされます)。サポートされる一致条件のリストについては、「 ファイアウォール フィルターの照合条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)」を参照してください。
特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、一致する VLAN ID を持つ任意のレイヤー 3 インターフェイスでフィルターが実行されます。これは、対応する VLAN タグを持つすべてのレイヤー 3 インターフェイスでフィルタが一致するためです。
レイヤー 3 インターフェイスにファイアウォール フィルタを適用するには、次の手順に示します。
レイヤー 2 CCC(QFX10000 スイッチ)にファイアウォール フィルターを適用する
ファイアウォール フィルターは、QFX10000 スイッチのレイヤー 2 回線クロスコネクト(CCC)トラフィックにカウントおよびポリサー アクションを適用できます。これにより、階層レベルで設定されたポリサーアクティビティを [edit firewall family ccc]
カウントおよび監視できます。
この例では、 count
ポリサーアクションです。
set firewall policer traffic-cnt if-exceeding bandwidth-limit 1g set firewall policer traffic-cnt if-exceeding burst-size-limit 100m set firewall policer traffic-cnt then loss-priority low set firewall family ccc filter srTCM-cnt term t1 then policer traffic-cnt set firewall family ccc filter srTCM-cnt term t1 then count traffic-counter
この例では、 discard
ポリサーアクションです。
set firewall policer discard-traffic if-exceeding bandwidth-limit 1g set firewall policer discard-traffic if-exceeding burst-size-limit 500m set firewall policer discard-traffic then discard set firewall family ccc filter srTCM1 term t1 then policer discard-traffic