Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Listas de controle de acesso (filtros de firewall)

RESUMO Leia este tópico para saber mais sobre as listas de controle de acesso de Camada 2 (filtros de firewall) no roteador nativo da nuvem.

Listas de controle de acesso (filtros de firewall)

A partir da versão 22.2 do roteador nativo de nuvem da Juniper, incluímos um recurso limitado de filtro de firewall. Você pode configurar os filtros usando o Junos OS CLI dentro do controlador de roteador nativo de nuvem, usando NETCONF ou as APIs de roteador nativas de nuvem. A partir da versão 23.2 do roteador nativo de nuvem da Juniper, você também pode configurar filtros de firewall usando anotações de nós e modelo de configuração personalizado no momento da implantação do cRPD. Analise o guia de implantação para obter mais detalhes.

Durante a implantação, o sistema define e aplica filtros de firewall para impedir que o tráfego passe diretamente entre as interfaces do roteador. Você pode definir e aplicar dinamicamente mais filtros. Use os filtros de firewall para:

  • Definir filtros de firewall para o tráfego familiar de ponte.

  • Definir filtros com base em um ou mais dos seguintes campos: endereço MAC de origem, endereço MAC de destino ou EtherType.

  • Definir vários termos em cada filtro.

  • Descarte o tráfego que corresponda ao filtro.

  • Aplique filtros para unir domínios.

Exemplo de configuração

Abaixo, você pode ver um exemplo de uma configuração de filtro de firewall a partir de uma implantação de roteador nativo da nuvem:

Nota: Você pode configurar até 16 termos em um único filtro de firewall.

A única ação que você pode configurar em um filtro de firewall é a ação de descarte.

Após a configuração, você deve aplicar seus filtros de firewall em um domínio de ponte usando um comando de configuração cRPD semelhante a: set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1. Em seguida, você deve confirmar a configuração para que o filtro de firewall faça efeito.

Para ver quantos pacotes combinam com o filtro (por VLAN), você pode emitir o show firewall filter filter1 comando no cRPD CLI. Por exemplo:

No exemplo anterior, aplicamos o filtro no domínio bd3001da ponte. O filtro ainda não combinou com nenhum pacote.

Solucionando problemas

A tabela a seguir lista alguns dos problemas potenciais que você pode enfrentar ao implementar regras de firewall ou ACLs no roteador nativo da nuvem. Você executa a maioria desses comandos no servidor host.

Tabela 1: Filtro de firewall L2 ou resolução de problemas da ACL
Comando de causas e resolução possíveis do problema
Filtros de firewall ou ACLs não estão funcionando A conexão gRPC (porta 50052) ao vRouter está baixa. Verifique a conexão gRPC.
netstat -antp|grep 50052
O ui-pubd processo não está sendo executado. Verifique se ui-pubd está funcionando.
ps aux|grep ui-pubd
Filtro de firewall ou comandos de exibição da ACL que não funcionam A conexão gRPC (porta 50052) ao vRouter está baixa. Verifique a conexão gRPC.
netstat -antp|grep 50052
O serviço de firewall não está sendo executado.
ps aux|grep firewall
show log filter.log
Você deve executar este comando no CLI do controlador JCNR (cRPD).