Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォール フィルターの設定

以下のセクションの手順に従って、スイッチにファイアウォール フィルターを設定して適用します。

ファイアウォール フィルタの設定

ファイアウォール フィルタを設定するには、次の手順に応えます。

  1. ファミリー アドレス タイプ、フィルタ名、用語名、および少なくとも 1 つの照合条件を設定します。たとえば、特定の送信元アドレスを含むパケットで照会します。
    • レイヤー 2 トラフィック(ポートまたは VLAN)をフィルタリングするには、ファミリー アドレス タイプを指定します ethernet-switching

    • レイヤー 3(ルーテッド)トラフィックをフィルタリングするには、ファミリー アドレス タイプ(inet IPv4 の場合)または(inet6 IPv6 の場合)を指定します。

    • レイヤー 2 回線インターフェイス トラフィックをフィルタリングするには、ファミリー アドレス タイプを指定します ccc

    フィルタ名と語名には、文字、数字、ハイフン(-)を含め、最大 64 文字の長さを指定できます。各フィルター名は一意である必要があります。フィルタには 1 つ以上の条件を含めることができ、各語名はフィルタ内で一意である必要があります。

  2. 追加の照合条件を設定します。例えば、

    この設定では、フィルタは送信元ポート80を含むレイヤー2パケットで一致します。

    この設定では、フィルタはインターフェイス ge-0/0/6.0 を含む VLAN で一致します。

    1 つの from ステートメントで 1 つ以上の照合条件を指定できます。一致を発生させるために、パケットは条件内のすべての条件を一致させる必要があります。ステートメントは from オプションですが、ステートメントを条件に含める場合は空にすることはできません。ステートメントを from 省略すると、すべてのパケットが一致すると見なされます。

  3. 複数のインターフェイスにファイアウォール フィルタを適用し、各インターフェイスに固有のカウンターを確認できるようにする場合は、次のオプションを interface-specific 設定します。
  4. 各ファイアウォール フィルタ条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションおよびアクション修飾子は次のように指定できます。
    • フィルター条件の条件に一致するパケットを破棄するフィルター アクションを指定するには、次の手順にしたがってください。

      指定できるアクションは、条件ごとに 1 つだけです(accept、、discardfloodreject、)。vlanrouting-instance

    • フィルター アクションを指定するには、たとえば、QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210 の MAC アドレスに一致するパケットをフラッディングします。

      宛先MACアドレスを照合条件として使用することで、イングレスポートベースのファイアウォールフィルター を設定して、以下のBPDUをフラッディングまたは破棄できます。

      プロトコル

      DMAC(Destination Media Access Control)アドレス

      ファイアウォールアクション

      Link Aggregation Control Protocol(LACP)

      01:80:c2:00:00:02

      フラッド/破棄/カウント

      Link Layer Discovery Protocol(LLDP)

      01:80:c2:00:00:0E

      フラッド/破棄/カウント

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      フラッド/破棄/カウント

      Spanning Tree Protocol(STP)

      01:80:c2:00:00:00

      フラッド/破棄/Coun

      VSTP(VLAN Spanning Tree Protocol)

      01:00:0c:cc:cc:cd

      フラッド/破棄/カウント

      Cisco Discovery Protocol(CDP)/VLAN トランク プロトコル(VTP)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント

      注:
      • CDP/VTP、ISIS L1/L2 プロトコル は、デフォルトの動的フィルタを使用してフラッディングします。そのため、これらのプロトコルに対して追加のフィルターを構成する必要はありません。

      • 受信ポートベースのファイアウォール フィルター はポート レベルで適用されるため、サービス プロバイダ スタイル設定の物理インターフェイスに適用できるフィルターは 1 つだけです。

      • トランク ポートで受信したタグなし BPDU のフラッディングを保証するために、ネイティブ VLAN を設定する必要があります。ネイティブVLANが設定されていない場合、タグなしBPDUはローカルFPC内のすべてのインターフェイスでフラッディングされます。

      • IGMP スヌーピングまたは MLD(マルチキャスト リスナー検出)スヌーピングが有効になっている場合、フラッド機能は機能しません。

      • フラッド アクションを持つファイアウォール フィルタがインターフェイスに適用され、後でインターフェイスがダウンすると、一致条件を満たしている場合、そのインターフェイスで受信した BPDU がフラッディングされます。

    • たとえば、パケットをカウントして転送クラスに分類するアクション修飾子を指定するには、次の手順に進みます。

      ステートメントには、以下のいずれかのアクション修飾子を then 指定できます。

      • analyzer analyzer-name—ポート トラフィックを指定されたアナライザにミラーリングします。このアナライザはレベルで設定する [ethernet-switching-options] 必要があります。

      • count counter-name—このフィルタ条件を通過するパケット数をカウントします。

        注:

        各フィルタ条件で指定された条件に一致するパケット数を監視できるように、ファイアウォール フィルタの各条件に対してカウンタを設定することをお勧めします。

        注:

        QFX3500およびQFX3600スイッチでは、CRC(巡回冗長チェック)エラーが発生したため、受信方向にドロップされたパケットがフィルターによって自動的にカウントされます。

      • forwarding-class class—パケットを転送クラスに割り当てます。

      • log—ルーティング エンジンでパケット ヘッダー情報をログに記録します。

      • loss-priority priority—パケットのドロップの優先度を設定します。

      • policer policer-name—トラフィックにレート制限を適用します。

      • flood—パケットをフラッディングします。

      • syslog— このパケットのアラートをログに記録します。

    ステートメントを省略するか、アクションを then 指定しない場合、ステートメント内 from のすべての条件に一致するパケットが受け入れられます。ただし、ステートメントで then 必ずアクションを設定してください。アクション ステートメントは 1 つだけ含めることができますが、任意の組み合わせのアクション修飾子を使用できます。アクションまたはアクション修飾子を有効にする場合、ステートメント内のすべての条件が from 一致する必要があります。

    注:

    implicit discardループバック インターフェイスに適用されたファイアウォール フィルタに適用されるアクション。 lo0

拡張エグレス ファイアウォール フィルターの設定(QFX5110 および QFX5220 スイッチ)

ハードウェアの制限により、QFX5110 と QFX5220 は最大 1,000 個のエグレス ファイアウォール フィルター(eRACL)のみをサポートできます。スイッチを拡張モードで設定すると、この数を 2000 に増やすことができます。このモードでは、スイッチはイングレス TCAM スペース(IFP)を使用して、より高い拡張性を実現します。

エグレス フィルタを設定するには、ファミリー アドレス タイプ(inet IPv4 の場合)または(inet6 IPv6 の場合)、フィルタ名、用語名を指定します。スイッチに適用できるスケーリング オプションを含め、一致条件と一致が発生した場合に実行するアクションを指定します。次に、インターフェイスの出力方向にフィルタを適用します。

スケーリング オプションを構成、変更、または削除した後、設定をコミットし、パケット転送エンジン(PFE)を再起動する必要があります。

QFX5110 のエグレス フィルターの数を増やすには、設定にオプションを egress-to-ingress 含めます。このオプションは、任意の条件に追加できます。以下に、設定例を示します。

QFX5220 のエグレス フィルターの数を増やすには、ステートメントの下にeracl-scale オプションをegress-profile 含めます。以下に、設定例を示します。

注:

オプションは eracl-scale グローバル モードで設定されます。有効にすると、拡張モードで既存のエグレス フィルターが自動的に再インストールされます。

拡張モードを有効にすると、以下の制限が適用されます。

  • フィルターは、エグレス方向(VLAN から出たトラフィック)にのみ適用できます。

  • inet6サポートされているのはプロトコル ファミリーのみですinet

  • GRE(汎用ルーティング カプセル化)インターフェイスはサポートされていません。

  • エグレス ファイアウォール フィルターのスケーリング オプションのみを使用します。

  • 異なるエグレス VLAN またはレイヤー 3 インターフェイスに、同じ一致条件を持つフィルタを適用することはできません。サポートされる唯一のアクションは accept、 、 discard、 です count

  • 一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターは、受信した VLAN のトラフィックをカウントします。

ポートへのファイアウォール フィルターの適用

ポートにファイアウォール フィルタを適用するには、次の手順に示します。

  1. ファイアウォール フィルターのわかりやすいわかりやすい名前を指定します。名前は、フィルターをポートに適用するために使用します。
  2. インターフェイスにフィルタを適用し、ユニット番号、ファミリー アドレス タイプ(ethernet-switching)、フィルタの方向(ポートに入るパケット)、およびフィルタ名を指定します。
    注:

    イングレス方向のポートに適用できるフィルターは 1 つだけです。

VLAN へのファイアウォール フィルターの適用

注:

VLAN ファイアウォール フィルターは、EVPN-VXLAN 環境の QFX5100、QFX5100 バーチャル シャーシ、QFX5110、QFX5120 スイッチではサポートされていません。

VLAN にファイアウォール フィルターを適用するには、次の手順に示します。

  1. ファイアウォール フィルターのわかりやすいわかりやすい名前を指定します。この名前は、フィルターを VLAN に適用するために使用します。
  2. ファイアウォール フィルターを適用して、VLAN に出入りするパケットをフィルタリングします。
    • VLAN に入るパケットを照合するためにフィルタを適用するには、次の手順にしたがっています。

    • VLAN から出たパケットを照合するためにファイアウォール フィルタを適用するには、次の手順にしたがってください。

    注:

    特定の方向(イングレスまたはエグレス)に対して、VLAN に適用できるフィルターは 1 つだけです。

レイヤー 3(ルーテッド)インターフェイスへのファイアウォール フィルタの適用

ファイアウォール フィルタは、IPv4 および IPv6 インターフェイス、RVI(Routed VLAN Interface) (IRB(統合型ルーティングおよびブリッジング)インターフェイスとしても知られています)、ループバック インターフェイスに適用できます。これらはすべて、レイヤー 3 ルーテッド インターフェイスと見なされます。

注:

(QFX5100 および QFX5110 スイッチ)EVPN-VXLAN 環境では、IRB インターフェイスを使用して、スイッチにレイヤー 3 接続を提供できます。IRB インターフェイスを設定するには、例を参照してください 。EVPN-VXLAN 環境で IRB インターフェイスを設定して、データ センター内のホストにレイヤー 3 接続を提供します。その後、以下の手順に従ってファイアウォール フィルタを IRB インターフェイスに適用できます(イングレス方向のみがサポートされます)。サポートされる一致条件のリストについては、「 ファイアウォール フィルターの照合条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)」を参照してください。

注:

特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、一致する VLAN ID を持つ任意のレイヤー 3 インターフェイスでフィルターが実行されます。これは、対応する VLAN タグを持つすべてのレイヤー 3 インターフェイスでフィルタが一致するためです。

レイヤー 3 インターフェイスにファイアウォール フィルタを適用するには、次の手順に示します。

  1. ファイアウォール フィルターのわかりやすいわかりやすい名前を指定します。この名前は、フィルタをインターフェイスに適用するために使用します。
  2. ファイアウォール フィルターを適用します。
    • インターフェイスに入るパケットをフィルタリングするには、次の手順にしたがっています。

    • インターフェイスから出たパケットをフィルタリングするには、次の手順にしたがっています。

      ファミリー アドレス タイプは、(inet IPv4 用)または(inet6 IPv6 用)のいずれかです。

    注:

    特定の方向(イングレスまたはエグレス)に対してインターフェイスに適用できるフィルタは 1 つだけです。

レイヤー 2 CCC(QFX10000 スイッチ)にファイアウォール フィルターを適用する

ファイアウォール フィルターは、QFX10000 スイッチのレイヤー 2 回線クロスコネクト(CCC)トラフィックにカウントおよびポリサー アクションを適用できます。これにより、階層レベルで設定されたポリサーアクティビティを [edit firewall family ccc] カウントおよび監視できます。

この例では、 count ポリサーアクションです。

この例では、 discard ポリサーアクションです。