ファイアウォールフィルターの設定
以下のセクションの手順に従って、スイッチにファイアウォール フィルターを構成および適用します。
ファイアウォールフィルターの設定
ファイアウォールフィルターを設定するには:
拡張エグレス ファイアウォール フィルターの設定(QFX5110 および QFX5220 スイッチ)
ハードウェアの制限により、QFX5110およびQFX5220は最大1000個のエグレスファイアウォールフィルター(eRACL)のみをサポートできます。スイッチをスケール モードで設定することで、この数を 2000 に増やすことができます。このモードでは、スイッチはイングレス TCAM スペース(IFP)を使用して、より高い拡張性を実現します。
エグレスフィルターを設定するには、ファミリーアドレスタイプ(inet
IPv4の場合)または(inet6
IPv6の場合)、フィルター名、および用語名を指定します。スイッチに適用できるスケーリングオプションを含め、一致した場合に実行する一致条件とアクションを指定します。次に、インターフェイスの出力方向にフィルターを適用します。
スケーリングオプションを設定、変更、または削除した後、設定をコミットする必要があり、パケット転送エンジン(PFE)を再起動する必要があります。
QFX5110のエグレスフィルターの数を増やすには、設定に オプションを egress-to-ingress
含めます。このオプションは、任意の条件に追加できます。以下に、設定例を示します。
set firewall family inet filter f1 term t1 from egress-to-ingress set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
QFX5220のエグレスフィルターの数を増やすには、 ステートメントの下に eracl-scale
オプションをegress-profile
含めます。以下に、設定例を示します。
オプションは eracl-scale
グローバル モードで設定されます。有効にすると、既存のエグレスフィルターはスケールモードで自動的に再インストールされます。
set system packet-forwarding-options firewall eracl-profile eracl-scale set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
スケール モードを有効にする場合、以下の制限が適用されます。
フィルターは、エグレス方向(VLANから出るトラフィック)にのみ適用できます。
および
inet6
プロトコルファミリーのみがinet
サポートされています。GRE(一般ルーティングのカプセル化)インターフェイスはサポートされていません。
エグレスファイアウォールフィルターのスケーリングオプションのみを使用します。
異なるエグレス VLAN またはレイヤー 3 インターフェイスに、同じ一致条件を持つフィルターを適用することはできません。サポートされているアクションは
accept
discard
count
、 のみです。一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターはすべて、受信VLANのトラフィックをカウントします。
ポートへのファイアウォールフィルターの適用
ポートにファイアウォールフィルターを適用するには::
VLANへのファイアウォールフィルターの適用
VLANファイアウォールフィルターは、EVPN-VXLAN環境のQFX5100、QFX5100バーチャルシャーシ、QFX5110、QFX5120スイッチではサポートされていません。
VLANにファイアウォールフィルターを適用するには::
レイヤー3(ルーティング)インターフェイスへのファイアウォールフィルターの適用
IPv4およびIPv6インターフェイス、RVI(Routed VLAN Interface) (IRB(統合ルーティングおよびブリッジング)インターフェイスとも呼ばれる)、ループバックインターフェイスにファイアウォールフィルターを適用できます。これらはすべて、レイヤー 3 ルーティング インターフェイスと見なされます。
(QFX5100 および QFX5110 スイッチ)EVPN-VXLAN 環境では、IRB インターフェイスを使用してスイッチにレイヤー 3 接続を提供できます。IRB インターフェイスを設定するには、 例: EVPN-VXLAN環境でIRBインターフェイスを設定して、データセンター内のホストにレイヤー3接続を提供する。次の手順に従って、IRB インターフェイスにファイアウォール フィルターを適用できます(イングレス方向のみがサポートされます)。サポートされている一致条件の一覧については、 ファイアウォールフィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。
特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、一致する VLAN ID を持つレイヤー 3 インターフェイスでフィルターが実行されます。これは、フィルターが対応するVLANタグを持つすべてのレイヤー3インターフェイスで一致するためです。
レイヤー 3 インターフェイスにファイアウォール フィルターを適用するには、次の手順に従います。
レイヤー2 CCCへのファイアウォールフィルターの適用(QFX10000スイッチ)
ファイアウォールフィルターは、QFX10000スイッチのレイヤー2回線クロスコネクト(CCC)トラフィックに対するカウントおよびポリサーアクションで適用できます。これにより、 階層レベルで設定されたポリサーアクティビティを [edit firewall family ccc]
カウントおよび監視できます。
この例では、 count
ポリサーアクションです。
set firewall policer traffic-cnt if-exceeding bandwidth-limit 1g set firewall policer traffic-cnt if-exceeding burst-size-limit 100m set firewall policer traffic-cnt then loss-priority low set firewall family ccc filter srTCM-cnt term t1 then policer traffic-cnt set firewall family ccc filter srTCM-cnt term t1 then count traffic-counter
この例では、 discard
ポリサーアクションです。
set firewall policer discard-traffic if-exceeding bandwidth-limit 1g set firewall policer discard-traffic if-exceeding burst-size-limit 500m set firewall policer discard-traffic then discard set firewall family ccc filter srTCM1 term t1 then policer discard-traffic