Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX

Este exemplo mostra como configurar e aplicar filtros de firewall para controlar o tráfego que está entrando ou saindo de uma porta no switch, uma VLAN na rede e uma interface de Camada 3 no switch. Os filtros de firewall definem as regras que determinam se encaminham ou negam pacotes em pontos de processamento específicos no fluxo de pacotes.

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

  • Junos OS Versão 9.0 ou posterior para switches da Série EX.

  • Dois switches EX3200-48T da Juniper Networks: um para ser usado como um switch de acesso, o outro para ser usado como um switch de distribuição

  • Um módulo de uplink EX-UM-4SFP da Juniper Networks

  • Um roteador da série J da Juniper Networks

Antes de configurar e aplicar os filtros de firewall neste exemplo, certifique-se de ter:

Visão geral

Este exemplo de configuração mostra como configurar e aplicar filtros de firewall para fornecer regras para avaliar o conteúdo dos pacotes e determinar quando descartar, encaminhar, classificar, contar e analisar pacotes destinados ou originados dos switches da Série EX que lidam com todos voice-vlan, employee-vlane guest-vlan o tráfego Tabela 1 mostra os filtros de firewall que estão configurados para os switches da Série EX neste exemplo.

Tabela 1: Componentes de configuração: Filtros de firewall
Componente Finalidade/descrição

Filtro de firewall de porta, ingress-port-voip-class-limit-tcp-icmp

Este filtro de firewall executa duas funções:

  • Atribui a fila de prioridade a pacotes com um endereço MAC de origem que combina com os endereços MAC do telefone. A classe expedited-forwarding de encaminhamento oferece baixa perda, baixo atraso, jitter baixo, largura de banda garantida e serviço de ponta a ponta para todo o voice-vlan tráfego.

  • Executa limitação de taxa em pacotes que entram nas portas para employee-vlan. A taxa de tráfego para pacotes TCP e ICMP é limitada a 1 Mbps com um tamanho de explosão de até 30.000 bytes.

Este filtro de firewall é aplicado a interfaces de porta no switch de acesso.

Filtro de firewall VLAN, ingress-vlan-rogue-block

Impede que dispositivos desonestos usem sessões de HTTP para imitar o dispositivo gatekeeper que gerencia o registro de chamadas, admissão e status de chamadas para chamadas VoIP. Somente as portas TCP ou UDP devem ser usadas; e apenas o gatekeeper usa HTTP. Ou seja, todo o voice-vlan tráfego nas portas TCP deve ser destinado ao dispositivo gatekeeper. Este filtro de firewall se aplica a todos os telefones, voice-vlanincluindo a comunicação entre dois telefones na VLAN e toda a comunicação entre o dispositivo gatekeeper e telefones VLAN.

Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso.

Filtro de firewall VLAN, egress-vlan-watch-employee

employee-vlan Aceita tráfego destinado à sub-rede corporativa, mas não monitora esse tráfego. O tráfego de funcionários destinado à Web é contado e analisado.

Este filtro de firewall é aplicado a interfaces vlan no switch de acesso.

Filtro de firewall VLAN, ingress-vlan-limit-guest

Impede que os hóspedes (não funcionários) conversem com funcionários ou funcionários.employee-vlan Também impede que os hóspedes usem aplicativos guest-vlanpeer-to-peer, mas permite que os hóspedes acessem a Web.

Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso.

Filtro de firewall de roteador, egress-router-corp-class

employee-vlan Prioriza o tráfego, dando a mais alta prioridade de classe de encaminhamento ao tráfego de funcionários destinados à sub-rede corporativa.

Este filtro de firewall é aplicado a uma porta roteada (módulo de uplink de Camada 3) no switch de distribuição.

Figura 1 mostra a aplicação de filtros de firewall roteado de porta, VLAN e Camada 3 no switch.

Figura 1: Aplicação de filtros de firewall roteado de porta, VLAN e Camada 3Aplicação de filtros de firewall roteado de porta, VLAN e Camada 3

Topologia de rede

A topologia para este exemplo de configuração consiste em um switch EX-3200-48T na camada de acesso e um switch EX-3200-48T na camada de distribuição. O módulo de uplink do switch de distribuição está configurado para oferecer suporte a uma conexão de Camada 3 a um roteador da série J.

Os switches da Série EX estão configurados para oferecer suporte à associação VLAN. Tabela 2 mostra os componentes de configuração de VLAN para as VLANs.

Tabela 2: Componentes de configuração: VLANs

Nome da VLAN

VLAN ID

Sub-rede VLAN e endereços IP disponíveis

Descrição do VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1através 192.0.2.14

192.0.2.15 é o endereço de transmissão da sub-rede

VLAN de voz usado para tráfego VoIP de funcionários

employee-vlan

20

192.0.2.16/28 192.0.2.17 é 192.0.2.30 192.0.2.31 o endereço de transmissão da sub-rede

PCs independentes de VLAN, PCs conectados à rede através do hub em telefones VoIP, pontos de acesso sem fio e impressoras. Esta VLAN inclui completamente a VLAN de voz. Duas VLANs (voice-vlan e employee-vlan) devem ser configuradas nas portas que se conectam aos telefones.

guest-vlan

30

192.0.2.32/28 192.0.2.33 é 192.0.2.46 192.0.2.47 o endereço de transmissão da sub-rede

VLAN para dispositivos de dados (PCs) dos hóspedes. O cenário pressupõe que a corporação tenha uma área aberta aos visitantes, seja no saguão ou em uma sala de conferência, que tenha um hub ao qual os visitantes podem conectar seus PCs para se conectar à Web e à VPN de sua empresa.

camera-vlan

40

192.0.2.48/28 192.0.2.49 é 192.0.2.62 192.0.2.63 o endereço de transmissão da sub-rede

VLAN para as câmeras de segurança corporativas.

As portas dos switches da Série EX oferecem suporte ao Power over Ethernet (PoE) para fornecer conectividade de rede e energia para telefones VoIP conectados às portas. Tabela 3 mostra as portas do switch que são atribuídas às VLANs e aos endereços IP e MAC para dispositivos conectados às portas do switch:

Tabela 3: Componentes de configuração: Portas de switch em um switch All-PoE de 48 portas

Switch e número de porta

Associação de VLAN

Endereços IP e MAC

Dispositivos de porta

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Endereços IP: 192.0.2.1 através 192.0.2.2

Endereços MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Dois telefones VoIP, cada um conectado a um PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 através 192.0.2.18

Impressora, pontos de acesso sem fio

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 através 192.0.2.35

Dois hubs nos quais os visitantes podem conectar seus PCs. Os hubs estão localizados em uma área aberta aos visitantes, como um lobby ou uma sala de conferências

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 através 192.0.2.50

Duas câmeras de segurança

ge-0/0/9

voice-vlan

Endereço IP: 192.0.2.14

Endereço MAC:00.05.5E.00.53.0E

Dispositivo gatekeeper. O gatekeeper gerencia o registro de chamadas, admissão e status de chamadas para telefones VoIP.

ge-0/1/0

Endereço IP: 192.0.2.65

Conexão de camada 3 a um roteador; observe que esta é uma porta no módulo de uplink do switch

Configuração de um filtro de firewall de porta de entrada para priorizar o tráfego de voz e o tráfego TCP e ICMP de limite de taxa

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida da CLI

Para configurar e aplicar rapidamente um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan sub-rede, copiar os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configurar e aplicar um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan sub-rede:

  1. Definir os policiais tcp-connection-policer e icmp-connection-policer:

  2. Definir o filtro ingress-port-voip-class-limit-tcp-icmpde firewall:

  3. Definir o termo voip-high:

  4. Definir o termo network-control:

  5. Definir o termo tcp-connection para configurar limites de taxa para tráfego TCP:

  6. Definir o termo icmp-connection para configurar limites de taxa para tráfego ICMP:

  7. Definir o termo best-effort sem condições de correspondência para uma correspondência implícita em todos os pacotes que não correspondam a nenhum outro termo no filtro de firewall:

  8. Aplique o filtro ingress-port-voip-class-limit-tcp-icmp de firewall como filtro de entrada nas interfaces de porta para employee-vlan:

  9. Configure os parâmetros desejados para os diferentes agendadores.

    Nota:

    Ao configurar parâmetros para os agendadores, defina os números para combinar com os padrões de tráfego de sua rede.

  10. Atribua as aulas de encaminhamento aos agendadores com um mapa do agendador:

  11. Associe o mapa do agendador com a interface de saída:

Resultados

Exibir os resultados da configuração:

Configuração de um filtro de firewall de entrada VLAN para evitar que dispositivos desonestos interrompam o tráfego voIP

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida da CLI

Para configurar rapidamente um filtro voice-vlan de firewall VLAN para evitar que dispositivos desonestos usem sessões DE HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP, copie os seguintes comandos e cole-os na janela de terminal do switch:

Procedimento passo a passo

Configurar e aplicar um filtro voice-vlan de firewall VLAN para evitar que dispositivos desonestos usem HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP:

  1. Defina o filtro ingress-vlan-rogue-block de firewall para especificar a correspondência de filtros no tráfego que você deseja permitir e restringir:

  2. Definir o termo to-gatekeeper para aceitar pacotes compatíveis com o endereço IP de destino do gatekeeper:

  3. Definir o termo from-gatekeeper para aceitar pacotes compatíveis com o endereço IP de origem do gatekeeper:

  4. Defina o termo not-gatekeeper para garantir que todo o voice-vlan tráfego nas portas TCP seja destinado ao dispositivo gatekeeper:

  5. Aplique o filtro ingress-vlan-rogue-block de firewall como filtro de entrada na interface VLAN para os telefones VoIP:

Resultados

Exibir os resultados da configuração:

Configurando um filtro de firewall VLAN para contar, monitorar e analisar o tráfego de saída na VLAN do funcionário

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida da CLI

Um filtro de firewall é configurado e aplicado a interfaces VLAN para filtrar employee-vlan o tráfego de saída. O tráfego de funcionários destinados à sub-rede corporativa é aceito, mas não monitorado. O tráfego de funcionários destinado à Web é contado e analisado.

Para configurar e aplicar rapidamente um filtro de firewall VLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall de porta de saída para contar e analisar employee-vlan o tráfego destinado à Web:

  1. Definir o filtro egress-vlan-watch-employeede firewall:

  2. Definir o termo employee-to-corp para aceitar, mas não monitorar todo o employee-vlan tráfego destinado à sub-rede corporativa:

  3. Definir o termo employee-to-web para contar e monitorar todo employee-vlan o tráfego destinado à Web:

    Nota:

    Veja exemplo: Configuração do espelhamento de portas para monitoramento local do uso de recursos dos funcionários em switches da Série EX para obter informações sobre a configuração do employee-monitor analisador.

  4. Aplique o filtro egress-vlan-watch-employee de firewall como um filtro de saída nas interfaces de porta para os telefones VoIP:

Resultados

Exibir os resultados da configuração:

Configuração de um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários e aplicativos peer-to-peer na VLAN convidada

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida da CLI

No exemplo a seguir, o primeiro termo filtro permite que os convidados conversem com outros convidados, mas não com funcionários employee-vlan. O segundo termo filtro permite acesso à Web aos hóspedes, mas os impede de usar aplicativos peer-to-peer em guest-vlan.

Para configurar rapidamente um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários, impedindo que os hóspedes conversem com funcionários ou hosts employee-vlan de funcionários ou tentem usar aplicativos guest-vlanpeer-to-peer, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configurar e aplicar um filtro de firewall VLAN para restringir o tráfego de convidados a funcionários e aplicativos peer-to-peer em guest-vlan:

  1. Definir o filtro ingress-vlan-limit-guestde firewall:

  2. Definir o termo guest-to-guest para permitir que os convidados guest-vlan conversem com outros convidados, mas não com funcionários no employee-vlan:

  3. Defina o termo no-guest-employee-no-peer-to-peer para permitir que os hóspedes acessem guest-vlan a Web, mas impeça que eles usem aplicativos peer-to-peer na guest-vlan.

    Nota:

    Esse destination-mac-address é o gateway padrão, que para qualquer host em uma VLAN é o roteador de próximo salto.

  4. Aplique o filtro ingress-vlan-limit-guest de firewall como filtro de entrada na interface para guest-vlan :

Resultados

Exibir os resultados da configuração:

Configuração de um filtro de firewall de roteador para dar prioridade ao tráfego de saída destinado à sub-rede corporativa

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida da CLI

Para configurar rapidamente um filtro de firewall para uma porta roteada (módulo de uplink de Camada 3) para filtrar employee-vlan o tráfego, dando a maior prioridade da classe de encaminhamento ao tráfego destinado à sub-rede corporativa, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Configurar e aplicar um filtro de firewall a uma porta roteada (módulo de uplink de Camada 3) para dar maior prioridade ao employee-vlan tráfego destinado à sub-rede corporativa:

  1. Definir o filtro egress-router-corp-classde firewall:

  2. Definir o termo corp-expedite:

  3. Definir o termo not-to-corp:

  4. Aplique o filtro egress-router-corp-class de firewall como um filtro de saída para a porta no módulo de uplink do switch, que fornece uma conexão de Camada 3 a um roteador:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar que os filtros de firewall estão funcionando corretamente, execute as seguintes tarefas:

Verificando se os filtros de firewall e os policiais estão operacionais

Propósito

Verifique o estado operacional dos filtros de firewall e dos policiais que estão configurados no switch.

Ação

Use o comando do modo operacional:

Significado

O show firewall comando exibe os nomes dos filtros de firewall, policiais e contadores que estão configurados no switch. Os campos de saída mostram byte e contagem de pacotes para todos os contadores configurados e a contagem de pacotes para todos os policiais.

Verificar se os agendadores e os agendadores-mapas estão operacionais

Propósito

Verifique se os agendadores e os mapas de agendamento estão operacionais no switch.

Ação

Use o comando do modo operacional:

Significado

Exibe estatísticas sobre os agendadores configurados e os mapas de agendamentos.