Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ファイアウォールフィルターの設定

次のセクションの手順に従って、スイッチにファイアウォールフィルターを設定および適用します。

ファイアウォールフィルターの設定

ファイアウォールフィルターを設定するには:

  1. ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも1つの一致条件(例えば、特定の送信元アドレスを含むパケットの一致)を設定します。

    • レイヤー 2 トラフィック(ポートまたは VLAN)をフィルタリングするには、ファミリーアドレスタイプ ethernet-switching を指定します。

    • レイヤー 3(ルーティング)トラフィックをフィルタリングするには、ファミリーアドレスタイプ(IPv4 の場合は inet )または(IPv6 の場合はinet6 )を指定します。

    • レイヤー2回線インターフェイスのトラフィックをフィルタリングするには、ファミリーアドレスタイプ cccを指定します。

    フィルター名と用語名には、文字、数字、ハイフン(-)を含めることができ、最大 64 文字まで使用可能です。各フィルター名は一意である必要があります。フィルターには 1 つ以上の用語を含めることができ、各用語名はフィルター内で一意である必要があります。

  2. 追加の一致条件を設定します。たとえば、以下のように表示されます。

    この設定では、送信元ポート 80 を含むレイヤー 2 パケットでフィルターが一致します。

    この設定では、インターフェイス ge-0/0/6.0 を含む VLAN でフィルターが一致します。

    1 つのfromステートメントで 1 つ以上の一致条件を指定できます。一致するためには、パケットが条件のすべての条件に一致する必要があります。from ステートメントはオプションですが、用語に含める場合、空にすることはできません。そのfromステートメントを省略すると、すべてのパケットが一致したと見なされます。

  3. ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを確認できるようにするには、 interface-specific オプションを設定します。
  4. 各ファイアウォールフィルター条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションとアクション修飾子を指定できます。

    • フィルターアクションを指定するには、たとえば、フィルター条件の条件に一致するパケットを破棄するには、以下のようにします。

      用語ごとに指定できるアクションは 1 つだけです(acceptdiscardfloodrejectrouting-instance、または vlan)。

    • フィルターアクションを指定するには、たとえば、QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210のMACアドレスに一致するパケットをフラッディングするには、次のようにします。

      宛先MACアドレスを一致条件として使用することで、イングレスポートベースのファイアウォールフィルター を設定して、以下のBPDUをフラッディングまたは破棄することができます。

      プロトコル

      宛先メディアアクセス制御(DMAC)アドレス

      ファイアウォールアクション

      Link Aggregation Control Protocol(LACP)

      01:80:c2:00:00:02

      フラッディング/破棄/カウント

      Link Layer Discovery Protocol(LLDP)

      01:80:c2:00:00:00E

      フラッディング/破棄/カウント

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      フラッディング/破棄/カウント

      スパニングツリープロトコル(STP)

      01:80:c2:00:00:00

      洪水/廃棄/国

      VLANスパニングツリープロトコル(VSTP)

      01:00:0C:CC:CC:CD

      フラッディング/破棄/カウント

      Cisco Discovery Protocol(CDP)/VLAN Trunk Protocol(VTP)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント
      注:

      • CDP/VTP、ISIS L1/L2 プロトコルは、デフォルトの動的フィルターを使用してフラッディングします。したがって、これらのプロトコルに対して追加のフィルターを構成する必要はありません。

      • イングレスポートベースのファイアウォールフィルター ポートレベルで適用される)ため、サービスプロバイダスタイルの設定では、物理インターフェイス1つに適用できるフィルターは1つだけです。

      • ネイティブ VLAN は、トランク ポートで受信したタグなしBPDUを確実にフラッディングするように設定する必要があります。ネイティブVLANが設定されていない場合、タグなしBPDUはローカルFPCのすべてのインターフェイスにフラッディングされます。

      • IGMPスヌーピングまたはマルチキャストリスナーディスカバリ(MLD)スヌーピングが有効になっている場合、フラッド機能は動作しません。

      • フラッドアクション付きのファイアウォールフィルターがインターフェイスに適用され、後でインターフェイスがダウンした場合、そのインターフェイスで受信したBPDUは、一致条件を満たしていればフラッディングされます。

    • アクション修飾子を指定するには、たとえば、転送クラスへのパケットをカウントして分類するには、以下のようにします。

      then ステートメントでは、以下のアクション修飾子のいずれかを指定できます。

      • analyzer analyzer-name—ポートトラフィックを指定されたアナライザにミラーリングします。これは、 [ethernet-switching-options] レベルで設定する必要があります。

      • count counter-nameーこのフィルター条件を通過したパケットの数をカウントします。

        注:

        各フィルター条件で指定された条件に一致するパケットの数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。

        注:

        QFX3500スイッチとQFX3600スイッチでは、巡回冗長検査(CRC)エラーにより入力方向にドロップされたパケットをフィルターが自動的にカウントします。

      • forwarding-class class- パケットを転送クラスに割り当てます。

      • log- ルーティングエンジンにパケットヘッダー情報を記録します。

      • loss-priority priority- パケットをドロップする優先度を設定します。

      • policer policer-name- トラフィックにレート制限を適用します。

      • flood- パケットをフラッディングします。

      • syslog- このパケットのアラートをログに記録します。

    then ステートメントを省略した場合、またはアクションを指定しない場合、from ステートメントのすべての条件に一致するパケットが受け入れられます。ただし、必ず then ステートメントでアクションを設定するようにしてください。含めることができるアクションステートメントは 1 つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、fromステートメント内のすべての条件が一致する必要があります。

    注:

    ループバックインターフェイスに適用されるファイアウォールフィルターに適用可能な implicit discard アクション、 lo0

拡張エグレスファイアウォールフィルター(QFX5110およびQFX5220 スイッチ)の設定

ハードウェアの制限により、QFX5110 スイッチとQFX5220スイッチ は最大1000個のエグレスファイアウォールフィルター(eRACL)しかサポートできません。スイッチを拡張モードで設定することで、この数を2000まで増やすことができます。このモードでは、スイッチはイングレスTCAMスペース(IFP)を使用して、より高いスケールを実現します。

イグレスフィルターを設定するには、ファミリーアドレスタイプ(IPv4の場合はinet )または(IPv6の場合はinet6 )、フィルター名、および条件名を指定します。スイッチに適用可能なスケーリングオプションを含め、一致条件と、一致が発生した場合に実行するアクションを指定します。次に、インターフェイスの出力方向にフィルターを適用します。

スケーリングオプションを設定、変更、または削除した後、設定をコミットし、パケット転送エンジン(PFE)を再起動する必要があります。

QFX5110上のエグレスフィルターの数を増やすには、設定に egress-to-ingress オプションを含めます。このオプションは、任意の条件の下に追加できます。以下は、 の 構成例です。

QFX5220のエグレスフィルターの数を増やすには、egress-profile ステートメントの下に eracl-scale オプションを含めます。以下は、 の 構成例です。

注:

eracl-scaleオプションは、グローバル モードで設定されます。有効にすると、既存のエグレスフィルターがスケーリングモードで自動的に再インストールされます。

スケーリング モードを有効にすると、次の制限が適用されます。

  • フィルターは、エグレス方向(VLANから出るトラフィック)にのみ適用できます。

  • inetおよびinet6プロトコルファミリーのみがサポートされています。

  • 一般的なルーティングカプセル化(GRE)インターフェイスはサポートされていません。

  • エグレスファイアウォールフィルターのスケーリングオプションのみを使用してください。

  • 同じ一致条件のフィルターを、異なるエグレスVLANまたはレイヤー3インターフェイスに適用することはできません。サポートされているアクションは、 acceptdiscard、および count のみです。

  • 一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターは、すべての着信VLANのトラフィックをカウントします。

ポートへのファイアウォールフィルターの適用

ファイアウォールフィルターをポートに適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。名前は、ポートにフィルターを適用するために使用するものです。
  2. フィルターをインターフェイスに適用し、ユニット番号、ファミリーアドレスタイプ(ethernet-switching)、フィルターの方向(ポートに入るパケットの場合)、およびフィルター名を指定します。
    注:

    イングレス方向のポートに適用できるフィルターは 1 つだけです。

VLANへのファイアウォールフィルターの適用

注:

VLANファイアウォールフィルターは、EVPN-VXLAN環境のQFX5100、QFX5100オンラインシャーシ、QFX5110、およびQFX5120スイッチではサポートされていません。

VLAN にファイアウォールフィルターを適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。この名前は、VLAN にフィルターを適用するために使用する名前です。
  2. ファイアウォールフィルターを適用して、VLAN に出入りするパケットをフィルタリングします。

    • VLAN に入るパケットに一致するフィルターを適用するには:

    • ファイアウォールフィルターを適用して、VLANから出るパケットを照合するには:

    注:

    特定の方向(イングレスまたはエグレス)のVLANに適用できるフィルターは1つだけです。

ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用

ファイアウォールフィルターは、IPv4およびIPv6インターフェイス、RVI(Routed VLAN Interface) (IRB(統合型ルーティングおよびブリッジング)インターフェイスとも呼ばれる)、ループバックインターフェイスに適用できます。これらはすべて、レイヤー 3 ルーテッド インターフェイスと見なされます。

注:

(QFX5100 およびQFX5110スイッチ)EVPN-VXLAN環境では、IRBインターフェイスを使用して、スイッチへのレイヤー3接続を提供できます。IRBインターフェイスを設定するには、を参照してください 例: データセンター内のホストにレイヤー3接続を提供するために、EVPN-VXLAN環境でIRBインターフェイスを設定する。その後、次の手順に従って IRB インターフェイスにファイアウォール フィルターを適用できます(イングレス方向のみがサポートされます)。サポートされている一致条件の一覧については、 ファイアウォールフィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。
注:

特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、VLAN ID が一致する任意のレイヤー 3 インターフェイスでそのフィルタが実行されます。これは、該当するVLANタグを持つすべてのレイヤー3インターフェイスでフィルターが一致するからです。

ファイアウォールフィルターをレイヤー3インターフェイスに適用するには:

  1. ファイアウォールフィルターにわかりやすい名前を付けます。この名前は、フィルターをインターフェイスに適用するために使用します。
  2. ファイアウォールフィルターを適用します。

    • インターフェイスに入るパケットをフィルタリングするには:

    • インターフェイスから出るパケットをフィルタリングするには:

      ファミリー アドレスの種類は、(IPv4 の場合は inet ) または(IPv6 の場合は inet6 )のいずれかです。

    注:

    特定の方向(イングレスまたはエグレス)のインターフェイスに適用できるフィルターは1つだけです。

ファイアウォールフィルターをレイヤー2 CCC(QFX10000スイッチ)に適用する

QFX10000スイッチ上のレイヤー2回線クロスコネクト(CCC)トラフィックに、カウントおよびポリサーアクションによるファイアウォールフィルターを適用できます。これにより、 [edit firewall family ccc] 階層レベルで設定されたポリサー アクティビティをカウントして監視できます。

この例では、 count がポリサー アクションです。

この例では、 discard がポリサー アクションです。

関連項目