ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイルの概要
ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイル
Junos OS Evolvedは、イングレスIPv6ファイアウォールフィルター用に、 profile-one と profile-twoの2つの定義済みプロファイルをサポートしています。各プロファイルは、IPv6ファイアウォールフィルター一致条件のサブセットをサポートします。プロファイルは、異なるプロファイル カテゴリに関連付けられています。プロファイルカテゴリは、方向とインターフェイスタイプに基づいてファイアウォールフィルターを区別する方法です。プロファイルカテゴリは、 ingress-inet6-user-acl と ingress-inet6-lo0-aclです。24.4R1以降では、新しいカテゴリー egress-inet6-user-acl も導入されています。
-
ingress-inet6-user-aclプロファイルカテゴリは、レイヤー3ルーティングインターフェイスまたはルーティングインスタンスのイングレスでIPv6一致条件(およびアクション)が適用されるファイアウォールフィルター用です。 -
ingress-inet6-lo0-aclプロファイルカテゴリ は、ループバックインターフェイスのイングレスでIPv6の一致条件(およびアクション)が適用されるファイアウォールフィルター用です。
24.4R1以降:
-
egress-inet6-user-aclプロファイルカテゴリは、レイヤー3ルーティングインターフェイスのエグレスでIPv6の一致条件(およびアクション)が適用されるファイアウォールフィルター用です。
プロファイルは、組み合わせて、または個別にプロファイルカテゴリに適用できます。
-
ingress-inet6-user-aclおよびingress-inet6-lo0-aclプロファイルカテゴリでは、次の設定ステートメントを使用して、両方のプロファイルカテゴリにprofile-oneまたはprofile-twoを組み合わせて設定できます。どの時点でも、両方のプロファイルカテゴリに適用されるプロファイルは 1 つだけです。set system packet-forwarding-options firewall-profile profile-one>/<profile-two
-
24.4R1以降で、
ingress-inet6-lo0-aclプロファイルカテゴリのみにprofile-oneまたはprofile-twoを適用するには、次の設定ステートメントを使用します。set system packet-forwarding-options firewall-profile ingress lo0-inet6 profile-one/profile-two
-
24.4R1以降で、
egress-inet6-user-aclプロファイルカテゴリのみにprofile-oneまたはprofile-twoを適用するには、次の設定ステートメントを使用します。set system packet-forwarding-options firewall-profile egress inet6 profile-one/profile-two
-
デフォルトでは、
profile-twoはすべてのプロファイルカテゴリでアクティブです。 -
PFE(パケット転送エンジン)は、新しい設定を有効にするためのプロファイル設定に違いがある場合、自動的に再起動されます。
-
24.4R1以前:
-
show evo-pfemand filter profile-summaryは、使用中の現在のプロファイルを表示するために使用できます。 -
show evo-pfemand filter profile-infoすべてのプロファイルのプロファイル情報を表示するために使用できます。 -
show evo-pfemand filter hw summaryを使用すると、さらに古いリリース(23.1R1以前)で有効な現在のプロファイルを表示できます。
24.4R1以降:
-
show system packet-forwarding-options firewall-profile profile-summaryすべてのプロファイルカテゴリに対して有効な現在のプロファイルを表示するために使用できます。 -
show system packet-forwarding-options firewall-profile profile-infoすべてのプロファイルカテゴリのすべてのプロファイルのプロファイル情報を表示するために使用できます。
-
-
すべてのプロファイル カテゴリの構成は共存できます。
以下は、プロファイルでサポートされているファイアウォールフィルター一致条件の違いです。両方のプロファイルでサポートされているその他の一致とアクションは、ここにはリストされていません。
|
ファイアウォールフィルター一致条件 |
プロファイル2 |
プロファイル 1 |
|---|---|---|
|
送信元アドレス(最大64ビット) |
◯ |
◯ |
|
source-prefix-list(最大64ビット) |
◯ |
◯ |
|
prefix-list(最大64ビット) |
◯ |
◯ |
|
送信元アドレス(最大128ビット) |
いいえ |
◯ |
|
source-prefix-list(最大128ビット) |
いいえ |
◯ |
|
prefix-list(最大128ビット) |
いいえ |
◯ |
|
ホップ制限 |
◯ |
いいえ |
|
TCP確立 |
◯ |
いいえ |
|
tcp フラグ |
◯ |
いいえ |
|
tcp イニシャル |
◯ |
いいえ |
|
トラフィッククラス |
◯ |
いいえ |
|
ファイアウォールフィルター一致条件 |
プロファイル2 |
プロファイル 1 |
|---|---|---|
|
destination-address(最大64ビット) |
◯ |
◯ |
|
destination-prefix-list(最大64ビット) |
◯ |
◯ |
|
prefix-list(最大64ビット) |
◯ |
◯ |
|
destination-address(最大128ビット) |
いいえ |
◯ |
|
destination-prefix-list(最大128ビット) |
いいえ |
◯ |
|
prefix-list(最大128ビット) |
いいえ |
◯ |
|
ホップ制限 |
◯ |
いいえ |
|
TCP確立 |
◯ |
いいえ |
|
tcp フラグ |
◯ |
いいえ |
|
tcp イニシャル |
◯ |
いいえ |
|
トラフィッククラス |
◯ |
いいえ |
|
バインドポイント |
プロファイル2(イングレス) |
プロファイル2(イングレスループバック) |
プロファイル1(イングレス) |
プロファイル 1(イングレス ループバック) |
|---|---|---|---|---|
|
転送テーブルフィルター(FTF) |
◯ |
該当なし |
いいえ |
該当なし |
|
BGP フロースペック フィルター |
◯ |
該当なし |
いいえ |
該当なし |
|
デフォルト以外のルーティングインスタンス(lo0.1、lo0.2など) |
該当なし |
◯ |
該当なし |
いいえ |