Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ファイアウォールフィルターの設定

以下のセクションの手順に従って、スイッチにファイアウォール フィルターを構成および適用します。

ファイアウォールフィルターの設定

ファイアウォールフィルターを設定するには:

  1. ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも1つの一致条件を設定します(例えば、特定の送信元アドレスを含むパケットで一致するなど)。
    • レイヤー2トラフィック(ポートまたはVLAN)をフィルタリングするには、 ファミリーアドレスタイプを指定します ethernet-switching

    • レイヤー3(ルーティングされた)トラフィックをフィルタリングするには、ファミリーアドレスタイプ(inet IPv4の場合)または(inet6 IPv6の場合)を指定します。

    • レイヤー2回線インターフェイスのトラフィックをフィルタリングするには、 ファミリーアドレスタイプ cccを指定します。

    フィルター名と条件名には、文字、数字、ハイフン(-)を含めることができ、最大64文字まで使用できます。各フィルター名は一意である必要があります。フィルターには 1 つ以上の条件を含めることができますが、各条件名はフィルター内で一意である必要があります。

  2. 追加の一致条件を設定します。次がその例です。

    この設定では、送信元ポート80を含むレイヤー2パケットでフィルターが一致します。

    この設定では、フィルターはインターフェイス ge-0/0/6.0 を含む VLAN で一致します。

    1 つの from ステートメントで 1 つ以上の一致条件を指定できます。一致するには、パケットが条件内のすべての条件に一致する必要があります。fromステートメントはオプションですが、条件に含める場合は空にすることはできません。ステートメントを from 省略すると、すべてのパケットが一致すると見なされます。

  3. 複数のインターフェイスにファイアウォールフィルターを適用し、各インターフェイスに固有のカウンターを確認したい場合は、 オプションを interface-specific 設定します。
  4. 各ファイアウォールフィルター条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションおよびアクション修飾子を指定できます。
    • フィルターアクションを指定するには、例えば、フィルター条件の条件に一致するパケットを破棄します。

      指定できるアクションは、条件ごとに 1 つだけです(acceptrejectdiscardfloodrouting-instanceまたは)。vlan

    • フィルターアクションを指定するには、例えば、QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210のMACアドレスに一致するパケットをフラッドします。

      宛先MACアドレスを一致条件として使用することで、イングレスポートベースのファイアウォールフィルター が以下のBPDUをフラッディングまたは破棄するように設定できます。

      プロトコル

      DMAC(宛先メディア アクセス制御)アドレス

      ファイアウォール アクション

      Link Aggregation Control Protocol(LACP)

      01:80:c2:00:00:02

      フラッド/破棄/カウント

      Link Layer Discovery Protocol(LLDP)

      01:80:c2:00:00:0E

      フラッド/破棄/カウント

      LAN 上の Extensible Authentication Protocol(EAPOL)

      01:80:c2:00:00:03

      フラッド/破棄/カウント

      Spanning Tree Protocol(STP)

      01:80:c2:00:00:00

      フラッド/破棄/クーン

      VLANスパニングツリープロトコル(VSTP)

      01:00:0c:cc:cc:cd

      フラッド/破棄/カウント

      CISCO Discovery Protocol(CDP)/VTP(VLAN トランク プロトコル)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント

      注:
      • CDP/VTP、ISIS L1/L2 プロトコルは、デフォルトの動的フィルターを使用してフラッディングします。そのため、これらのプロトコルに対して追加のフィルターを設定する必要はありません。

      • イングレスポートベースのファイアウォールフィルター はポートレベルで適用されるため、サービスプロバイダスタイル設定の物理インターフェイスに適用できるフィルターは1つだけです。

      • トランク ポートで受信したタグなし BPDU のフラッディングを保証するために、ネイティブ VLAN を設定する必要があります。ネイティブVLANが設定されていない場合、ローカルFPC内のすべてのインターフェイスでタグなしBPDUがフラッディングされます。

      • IGMP スヌーピングまたは MLD(マルチキャスト リスナー検出)スヌーピングが有効になっている場合、フラッド機能は機能しません。

      • フラッドアクションを持つファイアウォールフィルターがインターフェイスに適用され、後でインターフェイスがダウンした場合、そのインターフェイスで受信したBPDUは、一致条件を満たしていればフラッドされます。

    • アクション修飾子を指定するには、パケットをカウントして転送クラスに分類する場合などです。

      ステートメントでは、以下のアクション修飾子 then のいずれかを指定できます。

      • analyzer analyzer-name指定されたアナライザにポートトラフィックをミラーリングします。これは、 レベルで設定する [ethernet-switching-options] 必要があります。

      • count counter-name— このフィルター条件を通過したパケットの数をカウントします。

        注:

        各フィルター条件で指定された条件に一致するパケット数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。

        注:

        QFX3500およびQFX3600スイッチでは、CRC(巡回冗長性チェック)エラーにより、イングレス方向にドロップされたパケットをフィルターが自動的にカウントします。

      • forwarding-class class—パケットを転送クラスに割り当てます。

      • log— ルーティング エンジンでパケット ヘッダー情報をログに記録します。

      • loss-priority priorityパケットのドロップの優先度を設定します。

      • policer policer-name—トラフィックにレート制限を適用します。

      • floodパケットをフラッディングします。

      • syslog—このパケットのアラートをログに記録します。

    ステートメントを省略した then 場合、またはアクションを指定しない場合、ステートメント内 from のすべての条件に一致するパケットが受け入れられます。ただし、 ステートメントでは then 常にアクションを設定してください。アクション・ステートメントを含めることができるのは1つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、 ステートメント内のすべての条件が from 一致する必要があります。

    注:

    implicit discardループバックインターフェイスlo0に適用されるファイアウォールフィルターに適用されるアクション。

拡張エグレス ファイアウォール フィルターの設定(QFX5110 および QFX5220 スイッチ)

ハードウェアの制限により、QFX5110およびQFX5220は最大1000個のエグレスファイアウォールフィルター(eRACL)のみをサポートできます。スイッチをスケール モードで設定することで、この数を 2000 に増やすことができます。このモードでは、スイッチはイングレス TCAM スペース(IFP)を使用して、より高い拡張性を実現します。

エグレスフィルターを設定するには、ファミリーアドレスタイプ(inet IPv4の場合)または(inet6 IPv6の場合)、フィルター名、および用語名を指定します。スイッチに適用できるスケーリングオプションを含め、一致した場合に実行する一致条件とアクションを指定します。次に、インターフェイスの出力方向にフィルターを適用します。

スケーリングオプションを設定、変更、または削除した後、設定をコミットする必要があり、パケット転送エンジン(PFE)を再起動する必要があります。

QFX5110のエグレスフィルターの数を増やすには、設定に オプションを egress-to-ingress 含めます。このオプションは、任意の条件に追加できます。以下に、設定例を示します。

QFX5220のエグレスフィルターの数を増やすには、 ステートメントの下に eracl-scale オプションをegress-profile 含めます。以下に、設定例を示します。

注:

オプションは eracl-scale グローバル モードで設定されます。有効にすると、既存のエグレスフィルターはスケールモードで自動的に再インストールされます。

スケール モードを有効にする場合、以下の制限が適用されます。

  • フィルターは、エグレス方向(VLANから出るトラフィック)にのみ適用できます。

  • および inet6 プロトコルファミリーのみがinetサポートされています。

  • GRE(一般ルーティングのカプセル化)インターフェイスはサポートされていません。

  • エグレスファイアウォールフィルターのスケーリングオプションのみを使用します。

  • 異なるエグレス VLAN またはレイヤー 3 インターフェイスに、同じ一致条件を持つフィルターを適用することはできません。サポートされているアクションはacceptdiscardcount、 のみです。

  • 一致条件は、イングレス ファイアウォール フィルター TCAM でプログラムされます。つまり、フィルターにアタッチされたカウンターはすべて、受信VLANのトラフィックをカウントします。

ポートへのファイアウォールフィルターの適用

ポートにファイアウォールフィルターを適用するには::

  1. ファイアウォール フィルターにわかりやすい名前を指定します。名前は、フィルターをポートに適用するために使用します。
  2. ユニット番号、ファミリーアドレスタイプ()、フィルターの方向(ethernet-switchingポートに入るパケットの場合)、およびフィルター名を指定して、インターフェイスにフィルターを適用します。
    注:

    イングレス方向のポートに適用できるフィルターは 1 つだけです。

VLANへのファイアウォールフィルターの適用

注:

VLANファイアウォールフィルターは、EVPN-VXLAN環境のQFX5100、QFX5100バーチャルシャーシ、QFX5110、QFX5120スイッチではサポートされていません。

VLANにファイアウォールフィルターを適用するには::

  1. ファイアウォール フィルターにわかりやすい名前を指定します。この名前は、VLAN にフィルターを適用するために使用します。
  2. ファイアウォールフィルターを適用して、VLANに出入りするパケットをフィルタリングします。
    • VLANに入るパケットを一致させるフィルターを適用するには:

    • VLANから出るパケットに一致させるファイアウォールフィルターを適用するには:

    注:

    特定の方向(イングレスまたはエグレス)に対して VLAN に適用できるフィルターは 1 つだけです。

レイヤー3(ルーティング)インターフェイスへのファイアウォールフィルターの適用

IPv4およびIPv6インターフェイス、RVI(Routed VLAN Interface) (IRB(統合ルーティングおよびブリッジング)インターフェイスとも呼ばれる)、ループバックインターフェイスにファイアウォールフィルターを適用できます。これらはすべて、レイヤー 3 ルーティング インターフェイスと見なされます。

注:

(QFX5100 および QFX5110 スイッチ)EVPN-VXLAN 環境では、IRB インターフェイスを使用してスイッチにレイヤー 3 接続を提供できます。IRB インターフェイスを設定するには、 例: EVPN-VXLAN環境でIRBインターフェイスを設定して、データセンター内のホストにレイヤー3接続を提供する。次の手順に従って、IRB インターフェイスにファイアウォール フィルターを適用できます(イングレス方向のみがサポートされます)。サポートされている一致条件の一覧については、 ファイアウォールフィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。

注:

特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、一致する VLAN ID を持つレイヤー 3 インターフェイスでフィルターが実行されます。これは、フィルターが対応するVLANタグを持つすべてのレイヤー3インターフェイスで一致するためです。

レイヤー 3 インターフェイスにファイアウォール フィルターを適用するには、次の手順に従います。

  1. ファイアウォール フィルターにわかりやすい名前を指定します。この名前は、インターフェイスにフィルターを適用するために使用します。
  2. ファイアウォールフィルターを適用します。
    • インターフェイスに入るパケットをフィルタリングするには:

    • インターフェイスから出るパケットをフィルタリングするには:

      ファミリーアドレスタイプは、(inet IPv4の場合)または(inet6 IPv6の場合)のいずれかです。

    注:

    特定の方向(イングレスまたはエグレス)に対してインターフェイスに適用できるフィルターは 1 つだけです。

レイヤー2 CCCへのファイアウォールフィルターの適用(QFX10000スイッチ)

ファイアウォールフィルターは、QFX10000スイッチのレイヤー2回線クロスコネクト(CCC)トラフィックに対するカウントおよびポリサーアクションで適用できます。これにより、 階層レベルで設定されたポリサーアクティビティを [edit firewall family ccc] カウントおよび監視できます。

この例では、 count ポリサーアクションです。

この例では、 discard ポリサーアクションです。