Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ファイアウォールフィルターの設定

次のセクションの手順に従って、スイッチにファイアウォールフィルターを設定して適用します。

ファイアウォールフィルターの設定

ファイアウォールフィルターを設定するには:

  1. ファミリーアドレスタイプ、フィルター名、条件名、および少なくとも1つの一致条件(例えば、特定の送信元アドレスを含むパケットに一致する)を設定します。

    • レイヤー2トラフィック(ポートまたはVLAN)をフィルタリングするには、ファミリーアドレスタイプ ethernet-switchingを指定します。

    • レイヤー3(ルーティング)トラフィックをフィルタリングするには、ファミリーアドレスタイプ(IPv4の場合はinet )または(IPv6の場合はinet6 )を指定します。

    • レイヤー2回線インターフェイスのトラフィックをフィルタリングするには、ファミリーアドレスタイプ cccを指定します。

    フィルター名と用語名には、文字、数字、ハイフン(-)を含めることができ、最大64文字まで使用可能です。各フィルター名は一意である必要があります。フィルターには1つ以上の用語を含めることができ、各用語名はフィルター内で一意である必要があります。

  2. 追加の一致条件を設定します。次に例を示します。

    この設定では、フィルターは送信元ポート 80 を含むレイヤー 2 パケットで一致します。

    この設定では、フィルターはインターフェイスge-0/0/6.0を含むVLANで一致します。

    1つの from ステートメントで1つ以上の一致条件を指定できます。一致するためには、パケットが条件のすべての条件に一致する必要があります。 from ステートメントは省略可能ですが、用語に含める場合、空にすることはできません。 from 文を省略すると、すべてのパケットが一致したと見なされます。

  3. ファイアウォールフィルターを複数のインターフェイスに適用し、各インターフェイスに固有のカウンターを表示できるようにする場合は、 interface-specific オプションを設定します。
  4. ファイアウォールフィルターの各条件で、パケットがその条件のすべての条件に一致する場合に実行するアクションを指定します。アクションとアクション修飾子を指定できます。

    • フィルターアクションを指定するには、たとえば、フィルター条件の条件に一致するパケットを破棄するには、以下のようにします。

      1つの用語(acceptdiscardfloodrejectrouting-instance、または vlan)ごとに1つのアクションのみ指定できます。

    • フィルターアクションを指定するには、たとえば、スイッチ上のMACアドレスに一致するパケットをフラッディングするには:

      宛先 MAC アドレスを一致条件として使用することで、以下の BPDU をフラッディングまたは破棄するようにイングレス MACアドレスを設定できます。

      プロトコル

      宛先メディアアクセス制御(DMAC)アドレス

      ファイアウォールアクション

      リンクアグリゲーション制御プロトコル(LACP)

      01:80:c2:00:00:02

      フラッド/破棄/カウント

      LLDP(Link Layer Discovery Protocol)

      01:80:c2:00:00:00:0E

      フラッド/破棄/カウント

      LAN 上の拡張認証プロトコル(EAPOL)

      01:80:c2:00:00:03

      フラッド/破棄/カウント

      スパニングツリープロトコル(STP)

      01:80:c2:00:00:00:00

      フラッド/廃棄/コウン

      VLANスパニングツリープロトコル(VSTP)

      01:00:0c:cc:cc:cd

      フラッド/破棄/カウント

      Cisco Discovery Protocol(CDP)/VLAN Trunk Protocol(VTP)

      01:00:0C:cc:cc:cc

      破棄/カウント

      ISIS L1

      01:80:c2:00:00:14

      破棄/カウント

      ISIS L2

      01:80:c2:00:00:15

      破棄/カウント
      注:

      • CDP/VTP、ISIS L1/L2プロトコルは、デフォルトの動的フィルターを使用してフラッディングします。そのため、これらのプロトコルに追加のフィルターを設定する必要はありません。

      • イングレスポートベースのファイアウォールフィルターはポートレベルで適用されるため、サービスプロバイダスタイル設定の物理インターフェイスには1つのフィルターしか適用できません。

      • ネイティブVLANは、トランクポートで受信したタグなしBPDUのフラッディングを確保するように設定する必要があります。ネイティブVLANが設定されていない場合、タグなしBPDUはローカルFPCのすべてのインターフェイスでフラッディングされます。

      • IGMPスヌーピングまたはMLD(マルチキャストリスナーディスカバリー)スヌーピングが有効になっている場合、フラッド機能は機能しません。

      • フラッドアクションを備えたファイアウォールフィルターがインターフェイスに適用され、その後インターフェイスがダウンした場合、そのインターフェイスで受信したBPDUが一致条件を満たしていればフラッディングされます。

    • アクション修飾子を指定するには、たとえば、パケットをカウントして転送クラスに分類するには:

      thenステートメントでは、以下のアクション修飾子のいずれかを指定できます。

      • analyzer analyzer-name—ポートトラフィックを指定されたアナライザにミラーリングします。これは [ethernet-switching-options] レベルで設定する必要があります。

      • count counter-name—このフィルター条件を通過したパケットの数をカウントします。

        注:

        各フィルター条件で指定された条件に一致するパケットの数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。

      • forwarding-class class—パケットを転送クラスに割り当てます。

      • log—パケットヘッダー情報をルーティングエンジンに記録します。

      • loss-priority priority—パケットをドロップする優先順位を設定します。

      • policer policer-name—トラフィックにレート制限を適用します。

      • flood- パケットをフラッディングします。

      • syslog—このパケットのアラートを記録します。

    thenステートメントを省略した場合、またはアクションを指定しない場合、fromステートメントのすべての条件に一致するパケットが受け入れられます。ただし、常にthenステートメントでアクションを設定するようにしてください。含めることができるアクションステートメントは1つだけですが、アクション修飾子の任意の組み合わせを使用できます。アクションまたはアクション修飾子を有効にするには、fromステートメントのすべての条件が一致する必要があります。

    注:

    ループバックインターフェイスに適用されるファイアウォールフィルターに適用可能なimplicit discardアクションlo0

拡張エグレスファイアウォールフィルター(QFX5110およびQFX5220スイッチ)の設定

ハードウェアの制限により、QFX5110およびQFX5220スイッチは最大1000個のegress firewall filter(eRACL)しかサポートできません。スイッチを拡張モードで設定することで、この数を2000に増やすことができます。このモードでは、スイッチはイングレスTCAMスペース(IFP)を使用して、より高いスケールを実現します。

egressフィルターを設定するには、ファミリーアドレスタイプ(IPv4の場合はinet )または(IPv6の場合はinet6 )、フィルター名、および用語名を指定します。スイッチに適用可能なスケーリングオプションを含め、一致条件と一致が発生した場合に実行するアクションを指定します。次に、インターフェイス上の出力方向にフィルターを適用します。

スケーリングオプションを設定、変更、または削除した後は、設定をコミットし、パケット転送エンジン(PFE)を再起動する必要があります。

QFX5110のエグレスフィルターの数を増やすには、設定に egress-to-ingress オプションを含めます。このオプションは、任意の条件の下に追加できます。以下に構成例を示します。

QFX5220上のエグレスフィルターの数を増やすには、egress-profileステートメントの下に eracl-scale オプションを含めます。以下に構成例を示します。

注:

eracl-scaleオプションは、グローバルモードで設定されます。有効にすると、既存のエグレスフィルターが自動的に拡張モードで再インストールされます。

スケーリング モードを有効にすると、以下の制限が適用されます。

  • フィルターは、エグレス方向(VLANから出るトラフィック)にのみ適用できます。

  • inetおよびinet6プロトコルファミリーのみがサポートされます。

  • GRE(Generic Routing Encapsulation)インターフェイスはサポートされていません。

  • egressファイアウォールフィルターのスケーリングオプションのみを使用します。

  • 同じ一致条件のフィルターを異なるエグレスVLANまたはレイヤー3インターフェイスに適用することはできません。サポートされているアクションは、 acceptdiscardcountのみです。

  • 一致条件は、イングレスファイアウォールフィルターTCAMでプログラムされます。つまり、フィルターにアタッチされたカウンターは、受信VLANのトラフィックをカウントします。

ポートへのファイアウォールフィルターの適用

ファイアウォールフィルターをポートに適用するには:

  1. ファイアウォールフィルターにわかりやすいわかりやすい名前を付けます。名前は、ポートにフィルターを適用するために使用するものです。
  2. インターフェイスにフィルターを適用し、ユニット番号、ファミリーアドレスタイプ(ethernet-switching)、フィルターの方向(ポートに入るパケット用)、フィルター名を指定します。
    注:

    イングレス方向のポートに適用できるフィルターは1つだけです。

VLAN へのファイアウォールフィルターの適用

VLAN にファイアウォールフィルターを適用するには:

  1. ファイアウォールフィルターにわかりやすいわかりやすい名前を付けます。この名前は、VLAN にフィルターを適用するために使用します。
  2. ファイアウォールフィルターを適用して、VLAN に出入りするパケットをフィルタリングします。

    • VLANに入るパケットを一致させるフィルターを適用するには:

    • VLAN から出るパケットに一致するようにファイアウォールフィルターを適用するには:

    注:

    特定の方向(ingressまたはegress)に対してVLANに適用できるフィルターは1つだけです。

ファイアウォールフィルターをレイヤー3(ルーティング)インターフェイスに適用

ファイアウォールフィルターは、IPv4およびIPv6インターフェイス、RVI(ルーテッドVLANインターフェイス)(IRB(統合型ルーティングおよびブリッジング)インターフェイスとも呼ばれます)、およびループバックインターフェイスに適用できます。これらはすべて、レイヤー3ルーティングインターフェイスと見なされます。

注:

特定の VLAN に関連付けられた IRB インターフェイスにフィルターを適用すると、VLAN ID が一致する任意のレイヤー 3 インターフェイスでそのフィルターが実行されます。これは、該当するVLANタグを持つすべてのレイヤー3インターフェイスでフィルターが一致するためです。

ファイアウォールフィルターをレイヤー3インターフェイスに適用するには:

  1. ファイアウォールフィルターにわかりやすいわかりやすい名前を付けます。この名前は、インターフェイスにフィルターを適用するために使用します。
  2. ファイアウォールフィルターを適用します。

    • インターフェイスに入るパケットをフィルタリングするには:

    • インターフェイスから出るパケットをフィルタリングするには:

      ファミリーアドレスタイプは、(IPv4の場合はinet )または(IPv6の場合はinet6 )のいずれかです。

    注:

    特定の方向(ingressまたはegress)に対して、インターフェイスに適用できるフィルターは1つだけです。

レイヤー 2 CCC へのファイアウォール フィルターの適用(QFX10000 スイッチ)

QFX10000スイッチ上のレイヤー2回線クロスコネクト(CCC)トラフィックにカウントとポリサーアクションを備えたファイアウォールフィルターを適用できます。これにより、 [edit firewall family ccc] 階層レベルで設定されたポリサーアクティビティをカウントおよび監視できます。

この例では、 count がポリサーアクションです。

この例では、 discard がポリサーアクションです。

プラットフォーム固有の動作

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

プラットフォーム固有の動作を確認するには、以下の表を使用して下さい。

プラットフォーム

違い

QFXシリーズスイッチ

VLANファイアウォールフィルターは、EVPN-VXLAN環境のQFX5100、QFX5100バーチャルシャーシ、QFX5110、QFX5120スイッチではサポートされていません。

QFX5100およびQFX5110スイッチ)EVPN-VXLAN環境では、IRBインターフェイスを使用してスイッチへのレイヤー3接続を提供できます。IRB インターフェイスを設定するには、例を参照してください。 EVPN-VXLAN 環境で IRB インターフェイスを設定して、データセンター内のホストにレイヤー 3 接続を提供します。その後、以下の手順に従って、IRB インターフェイスにファイアウォール フィルターを適用できます(イングレス方向のみがサポートされます)。サポートされている一致条件の一覧については、 ファイアウォールフィルターの一致条件とアクション(QFX5100、QFX5110、QFX5120、QFX5200、EX4600、EX4650)を参照してください。

関連ドキュメント