Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ファイアウォールフィルターの構成

スイッチのファイアウォールフィルターを構成して適用するには、以下のセクションの手順に従います。

ファイアウォールフィルターの構成

ファイアウォールフィルターを構成するには、次のようにします。

  1. 特定の送信元アドレスを含むパケットで、ファミリー アドレス タイプ、フィルター名、条件名、および少なくとも 1 つの一致条件を設定します。

    • レイヤー2トラフィック (ポートまたは VLAN) をフィルタリングするには、ファミリethernet-switchingアドレスタイプを指定します。

    • レイヤー 3 (ルーティングされた) トラフィックをフィルターするには、inetファミリのアドレスタイプ (inet6 IPv4 の場合) または (IPv6 の場合) を指定します。

    • レイヤー2サーキットインターフェイスのトラフィックをフィルターするには、ファミリー cccのアドレスタイプを指定します。

    フィルターと用語の名前には、文字、数字、ハイフン (-) を使用できます。また、最大64文字の長さを指定できます。各フィルター名は一意にする必要があります。フィルターには1つまたは複数の条件を含めることができ、各用語名はフィルター内で一意にする必要があります。

  2. その他の照合条件を構成します。たとえば、以下のように記述します。

    この設定では、フィルターは送信元ポート80を含むレイヤー2パケットと一致します。

    この設定では、フィルターは、インターフェイス ge-0/0/6.0 を含む Vlan と一致します。

    1つのfromステートメントの中で検索条件を指定できます。一致と見なされるためには、パケットは条件に合致していることが必要です。ステートメント from は必須ですが、そのステートメントを用語に含める場合、空にすることはできません。fromステートメントを省略すると、すべてのパケットが一致したと見なされます。

  3. ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを表示できるようにするにinterface-specificは、以下のオプションを構成します。
  4. 各ファイアウォールフィルター条件で、パケットがその条件に合致している場合に実行するアクションを指定します。アクションモディファイアとアクション修飾子は、以下のように指定できます。

    • フィルタの条件に一致するパケットを破棄するなど、フィルタアクションを指定するには、次のようにします。

      指定できるアクションは、 、 ) です acceptdiscardfloodrejectrouting-instancevlan

    • たとえば、QFX5100/QFX5110/ QFX5120-32C/QFX5120-32C/QFX5200/QFX5210 で MAC アドレス に一致するパケットをフラッディングする場合、フィルタ アクションを指定するには、次のQFX5200/QFX5210。

      宛先リンクを一致条件として使用して、イングレス ポートベースのファイアウォール フィルターをフラッディングまたは MAC アドレスを設定できます。

      プロトコル

      宛先メディア アクセス制御(DMAC)アドレス

      ファイアウォールアクション

      Link Aggregation Control Protocol(LACP)

      01:80:c2:00:00:02

      フラッド/破棄/カウント

      Link Layer Discovery Protocol(LLDP)

      01:80:c2:00:00:0E

      フラッド/破棄/カウント

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      フラッド/破棄/カウント

      Spanning Tree Protocol(STP)

      01:80:c2:00:00:00

      フラッド/破棄/Coun

      VLAN スパニングツリープロトコル (VSTP)

      01:00:0c:cc:cc:cd

      フラッド/破棄/カウント

      Cisco Discovery Protocol(CDP)/VTP(VLAN Trunk Protocol)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント
      注:

      • CDP/VTP、ISIS L1/L2 プロトコル フラッド(デフォルトの動的フィルターを使用) したがって、これらのプロトコルに対して追加のフィルタを設定する必要はありません。

      • イングレス ポートベースのファイアウォール フィルターがポート レベルで適用されると、サービス プロバイダ スタイルの設定では物理インターフェイスに 1 つのフィルタのみ 適用できます。

      • トランク ポートで受信したタグ付けされていない BPDU のフラッディングを確保するために、ネイティブ VLAN を設定する必要があります。ネイティブVLANが設定されていない場合、タグ付けされていないDPDUがローカルFPC内のすべてのインターフェイスにフラッディングします。

      • IGMP スヌーピングまたは MLD(マルチキャスト リスナー検出)スヌーピングが有効になっている場合、フラッド機能は機能しません。

      • フラッド アクションが適用されたファイアウォール フィルタがインターフェイスに適用され、後でインターフェイスがダウンすると、そのインターフェイスで受信した BPDU が一致条件を満たすとフラッディングします。

    • パケットを転送クラスにカウントして分類するなど、アクションの修飾子を指定するには、以下のようにします。

      thenステートメントでは、以下のアクション修飾子を指定できます。

      • analyzer analyzer-name—指定されたアナライザにポート トラフィックをミラーリングします。アナライザは、レベルで設定する必要 [ethernet-switching-options] があります。

      • count counter-name—このフィルター条件を通過するパケット数をカウントします。

        注:

        各フィルター条件に指定された条件に一致するパケット数を監視できるように、ファイアウォールフィルターの用語ごとにカウンターを構成することをお勧めします。

        注:

        QFX3500 および QFX3600 スイッチでは、フィルターは、巡回冗長検査 (CRC) エラーのために受信方向にドロップされたパケットを自動的にカウントします。

      • forwarding-class class—転送クラスにパケットを割り当てる。

      • log—デバイスにパケット ヘッダー情報をルーティング エンジン。

      • loss-priority priority—パケットをドロップする優先度を設定します。

      • policer policer-name:トラフィックにレート制限を適用します。

      • flood:パケットをフラッドします。

      • syslog—このパケットのアラートをログに記録します。

    ステートメントを除外するか、アクションを指定しない場合、ステートメント内のすべての条件に一致するパケット thenfrom が受け入れされます。ただし、 then文の中で常にアクションを設定していることを確認してください。1つのアクションステートメントのみを含めることができますが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、 fromステートメント内のすべての条件が一致している必要があります。

    注:

    ループバックimplicit discardインターフェイスに適用されるファイアウォールフィルターに適用可能なlo0アクションです。

拡張送信ファイアウォールフィルターの設定 (QFX5110 および QFX5220 スイッチ)

ハードウェアの制限により、QFX5110 と QFX5220 は最大で1000送信ファイアウォールフィルタ (eRACLs) のみをサポートします。この数値を2000に増やすには、スイッチをスケーリングモードで設定します。このモードでは、スイッチは入口 TCAM space (IFP) を使用して、より高い拡張性を実現しています。

送信フィルターを構成するには、family アドレスタイプ (inet IPv4 の場合) またinet6は (IPv6 の場合)、フィルター名、および term 名を指定します。スイッチに適したスケーリングオプションを含め、一致が発生した場合に実行する条件とアクションを指定します。その後、インターフェース上で出力方向にフィルタを適用します。

スケーリングオプションの構成、変更、または削除が完了したら、構成をコミットし、パケット転送エンジン (PFE) を再起動する必要があります。

QFX5110 の送信フィルターの数を増やすには、このegress-to-ingressオプションを構成に含めます。このオプションは任意の条件下で追加できます。以下に、構成例を示します。

QFX5220 の送信フィルターの数を増やすには、ステートメントのeracl-scaleegress-profile下にオプションを追加します。以下に、構成例を示します。

注:

このeracl-scaleオプションはグローバルモードで設定されます。この機能が有効になっている場合、既存の送信フィルターは拡張モードで自動的に再インストールされます。

スケールモードを有効にすると、以下の制限が適用されます。

  • フィルタリングを適用できるのは、送信方向 (VLAN から出るトラフィック) だけです。

  • サポートinetinet6れているのはプロトコルファミリーのみです。

  • 汎用ルーティングカプセル化 (GRE) インターフェイスはサポートされていません。

  • 送信ファイアウォールフィルターのスケーリングオプションのみを使用します。

  • 同じ対戦条件が設定されたフィルターは、送信する各 Vlan またはレイヤー3インターフェイスには適用できません。サポートされているacceptアクションdiscardは、 count、、、のみです。

  • 受信ファイアウォールフィルタ TCAM で、Match 条件がプログラムされます。これは、フィルターに関連付けられたすべてのカウンターが、任意の着信 Vlan 上のトラフィックをカウントすることを意味します。

ポートにファイアウォールフィルタを適用する

ポートにファイアウォールフィルターを適用するには、次のようにします。

  1. ファイアウォールフィルタの意味のあるわかりやすい名前を入力します。この名前は、ポートにフィルターを適用するために使用します。
  2. インターフェイスにフィルタを適用して、ユニット番号、ファミリーアドレスタイプ (ethernet-switching)、フィルタの方向 (ポートにパケットを送信する場合)、フィルタ名を指定します。
    注:

    受信方向のポートには、1つのフィルターのみを適用できます。

VLAN へのファイアウォールフィルタの適用

注:

EVPN-VXLAN 環境では、QFX5100、QFX5100 バーチャルシャーシ、および QFX5110 スイッチでは、VLAN ファイアウォールフィルターはサポートされていません。

ファイアウォールフィルタを VLAN に適用するには、次のようにします。

  1. ファイアウォールフィルタの意味のあるわかりやすい名前を入力します。この名前は、VLAN にフィルタを適用するために使用します。
  2. VLAN に出入りするパケットをフィルタリングするためのファイアウォールフィルタを適用します。

    • VLAN に入るパケットのマッチングにフィルタを適用するには、次のようにします。

    • VLAN からのパケットの一致にファイアウォールフィルターを適用するには、次のようにします。

    注:

    VLAN には、特定の方向 (受信または送信) に対して1つのフィルターのみを適用できます。

レイヤー 3 (ルーティング) インターフェイスへのファイアウォールフィルタの適用

ファイアウォールフィルターは、IPv4 および IPv6 インターフェイス、ルーティングされた VLAN インターフェイス (RVI)、およびループバックインターフェイスに適用できます。これらはすべて、レイヤー3ルーティングインターフェイスと見なされています。

注:

(QFX5100および QFX5110 スイッチ)EVPN VXLAN 環境では、IRB インターフェイスを使用して、レイヤー3接続をスイッチに提供することができます。IRB インターフェイスを設定する方法については、次の例を参照してください。EVPN VXLAN 環境で IRB インターフェイスを構成し、データセンター内のホストにレイヤー3接続を提供できるようにします。その後、次の手順に従って、IRB インターフェイスにファイアウォールフィルターを適用できます (受信方向のみがサポートされます)。サポートされているマッチ条件のリストについては、ファイアウォールフィルタマッチング条件とアクション (QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。

レイヤー3インターフェイスにファイアウォールフィルタを適用するには、次のようにします。

  1. ファイアウォールフィルタの意味のあるわかりやすい名前を入力します。この名前は、インターフェイスにフィルタを適用するために使用します。
  2. ファイアウォールフィルターを適用します。

    • インターフェイスに入力するパケットをフィルタリングするには、次のようにします。

    • インターフェイスを終了するパケットをフィルタリングするには、次のようにします。

      ファミリーアドレスタイプは、(inet IPv4 の場合) または (inet6 IPv6 の場合) のいずれかです。

    注:

    特定の方向 (受信または送信) では、1つのフィルターのみをインターフェイスに適用できます。

レイヤー 2 CCC (QFX10000 スイッチ) へのファイアウォールフィルタの適用

QFX10000 スイッチ上のレイヤー2回線クロスコネクト (CCC) トラフィックでは、count およびポリサーの動作を含むファイアウォールフィルターを適用できます。これにより、 [edit firewall family ccc]階層レベルでのポリサーアクティビティセットのカウントと監視が可能になります。

この例ではcount 、「ポリサー」アクションが実行されます。

この例ではdiscard 、「ポリサー」アクションが実行されます。

関連項目