Nesta página
Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX
Este exemplo mostra como configurar e aplicar filtros de firewall para controlar o tráfego que está entrando ou saindo de uma porta no switch, uma VLAN na rede e uma interface de Camada 3 no switch. Os filtros de firewall definem as regras que determinam se encaminham ou negam pacotes em pontos de processamento específicos no fluxo de pacotes.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Junos OS Versão 9.0 ou posterior para switches da Série EX.
Dois switches EX3200-48T da Juniper Networks: um para ser usado como um switch de acesso, o outro para ser usado como um switch de distribuição
Um módulo de uplink EX-UM-4SFP da Juniper Networks
Um roteador da série J da Juniper Networks
Antes de configurar e aplicar os filtros de firewall neste exemplo, certifique-se de ter:
Uma compreensão dos conceitos de filtro de firewall, policiais e CoS
Instalou o módulo de uplink no switch de distribuição. Veja a instalação de um módulo uplink em um switch EX3200.
Visão geral
Este exemplo de configuração mostra como configurar e aplicar filtros de firewall para fornecer regras para avaliar o conteúdo dos pacotes e determinar quando descartar, encaminhar, classificar, contar e analisar pacotes destinados ou originados dos switches da Série EX que lidam com todos voice-vlan
, employee-vlan
e guest-vlan
o tráfego Tabela 1 mostra os filtros de firewall que estão configurados para os switches da Série EX neste exemplo.
Componente | Finalidade/descrição |
---|---|
Filtro de firewall de porta, |
Este filtro de firewall executa duas funções:
Este filtro de firewall é aplicado a interfaces de porta no switch de acesso. |
Filtro de firewall VLAN, |
Impede que dispositivos desonestos usem sessões de HTTP para imitar o dispositivo gatekeeper que gerencia o registro de chamadas, admissão e status de chamadas para chamadas VoIP. Somente as portas TCP ou UDP devem ser usadas; e apenas o gatekeeper usa HTTP. Ou seja, todo o Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso. |
Filtro de firewall VLAN, |
Este filtro de firewall é aplicado a interfaces vlan no switch de acesso. |
Filtro de firewall VLAN, |
Impede que os hóspedes (não funcionários) conversem com funcionários ou funcionários. Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso. |
Filtro de firewall de roteador, |
Este filtro de firewall é aplicado a uma porta roteada (módulo de uplink de Camada 3) no switch de distribuição. |
Figura 1 mostra a aplicação de filtros de firewall roteado de porta, VLAN e Camada 3 no switch.
Topologia de rede
A topologia para este exemplo de configuração consiste em um switch EX-3200-48T na camada de acesso e um switch EX-3200-48T na camada de distribuição. O módulo de uplink do switch de distribuição está configurado para oferecer suporte a uma conexão de Camada 3 a um roteador da série J.
Os switches da Série EX estão configurados para oferecer suporte à associação VLAN. Tabela 2 mostra os componentes de configuração de VLAN para as VLANs.
Nome da VLAN |
VLAN ID |
Sub-rede VLAN e endereços IP disponíveis |
Descrição do VLAN |
---|---|---|---|
|
|
|
VLAN de voz usado para tráfego VoIP de funcionários |
|
|
|
PCs independentes de VLAN, PCs conectados à rede através do hub em telefones VoIP, pontos de acesso sem fio e impressoras. Esta VLAN inclui completamente a VLAN de voz. Duas VLANs |
|
|
|
VLAN para dispositivos de dados (PCs) dos hóspedes. O cenário pressupõe que a corporação tenha uma área aberta aos visitantes, seja no saguão ou em uma sala de conferência, que tenha um hub ao qual os visitantes podem conectar seus PCs para se conectar à Web e à VPN de sua empresa. |
|
|
|
VLAN para as câmeras de segurança corporativas. |
As portas dos switches da Série EX oferecem suporte ao Power over Ethernet (PoE) para fornecer conectividade de rede e energia para telefones VoIP conectados às portas. Tabela 3 mostra as portas do switch que são atribuídas às VLANs e aos endereços IP e MAC para dispositivos conectados às portas do switch:
Switch e número de porta |
Associação de VLAN |
Endereços IP e MAC |
Dispositivos de porta |
---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Endereços IP: Endereços MAC: |
Dois telefones VoIP, cada um conectado a um PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Impressora, pontos de acesso sem fio |
ge-0/0/4, ge-0/0/5 |
|
|
Dois hubs nos quais os visitantes podem conectar seus PCs. Os hubs estão localizados em uma área aberta aos visitantes, como um lobby ou uma sala de conferências |
ge-0/0/6, ge-0/0/7 |
|
|
Duas câmeras de segurança |
ge-0/0/9 |
|
Endereço IP: Endereço MAC: |
Dispositivo gatekeeper. O gatekeeper gerencia o registro de chamadas, admissão e status de chamadas para telefones VoIP. |
ge-0/1/0 |
Endereço IP: |
Conexão de camada 3 a um roteador; observe que esta é uma porta no módulo de uplink do switch |
Configuração de um filtro de firewall de porta de entrada para priorizar o tráfego de voz e o tráfego TCP e ICMP de limite de taxa
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar e aplicar rapidamente um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan
sub-rede, copiar os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer tcp-connection-policer then discard set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer icmp-connection-policer then discard set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set class-of-service schedulers voice-high buffer-size percent 15 set class-of-service schedulers voice-high priority high set class-of-service schedulers net-control buffer-size percent 10 set class-of-service schedulers net-control priority high set class-of-service schedulers best-effort buffer-size percent 75 set class-of-service schedulers best-effort priority low set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Procedimento passo a passo
Configurar e aplicar um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan
sub-rede:
Definir os policiais
tcp-connection-policer
eicmp-connection-policer
:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Definir o filtro
ingress-port-voip-class-limit-tcp-icmp
de firewall:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Definir o termo
voip-high
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Definir o termo
network-control
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Definir o termo
tcp-connection
para configurar limites de taxa para tráfego TCP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Definir o termo
icmp-connection
para configurar limites de taxa para tráfego ICMP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Definir o termo
best-effort
sem condições de correspondência para uma correspondência implícita em todos os pacotes que não correspondam a nenhum outro termo no filtro de firewall:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Aplique o filtro
ingress-port-voip-class-limit-tcp-icmp
de firewall como filtro de entrada nas interfaces de porta paraemployee-vlan
:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configure os parâmetros desejados para os diferentes agendadores.
Nota:Ao configurar parâmetros para os agendadores, defina os números para combinar com os padrões de tráfego de sua rede.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Atribua as aulas de encaminhamento aos agendadores com um mapa do agendador:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Associe o mapa do agendador com a interface de saída:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Resultados
Exibir os resultados da configuração:
user@switch# show firewall { policer tcp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } policer icmp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } family ethernet-switching { filter ingress-port-voip-class-limit-tcp-icmp { term voip-high { from { destination-mac-address 00.00.5E.00.53.01; destination-mac-address 00.00.5E.00.53.02; protocol udp; } then { forwarding-class expedited-forwarding; loss-priority low; } } term network-control { from { precedence net-control ; } then { forwarding-class network-control; loss-priority low; } } term tcp-connection { from { destination-address 192.0.2.16/28; protocol tcp; } then { policer tcp-connection-policer; count tcp-counter; forwarding-class best-effort; loss-priority high; } } term icmp-connection from { protocol icmp; } then { policer icmp-connection-policer; count icmp-counter; forwarding-class best-effort; loss-priority high; } } term best-effort { then { forwarding-class best-effort; loss-priority high; } } } } } interfaces { ge-0/0/0 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } ge-0/0/1 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } } scheduler-maps { ethernet-diffsrv-cos-map { forwarding-class expedited-forwarding scheduler voice-high; forwarding-class network-control scheduler net-control; forwarding-class best-effort scheduler best-effort; } } interfaces { ge/0/1/0 { scheduler-map ethernet-diffsrv-cos-map; } }
Configuração de um filtro de firewall de entrada VLAN para evitar que dispositivos desonestos interrompam o tráfego voIP
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um filtro voice-vlan
de firewall VLAN para evitar que dispositivos desonestos usem sessões DE HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard set vlans voice-vlan description "block rogue devices on voice-vlan" set vlans voice-vlan filter input ingress-vlan-rogue-block
Procedimento passo a passo
Configurar e aplicar um filtro voice-vlan
de firewall VLAN para evitar que dispositivos desonestos usem HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP:
Defina o filtro
ingress-vlan-rogue-block
de firewall para especificar a correspondência de filtros no tráfego que você deseja permitir e restringir:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Definir o termo
to-gatekeeper
para aceitar pacotes compatíveis com o endereço IP de destino do gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Definir o termo
from-gatekeeper
para aceitar pacotes compatíveis com o endereço IP de origem do gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Defina o termo
not-gatekeeper
para garantir que todo ovoice-vlan
tráfego nas portas TCP seja destinado ao dispositivo gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Aplique o filtro
ingress-vlan-rogue-block
de firewall como filtro de entrada na interface VLAN para os telefones VoIP:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Resultados
Exibir os resultados da configuração:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-rogue-block { term to-gatekeeper { from { destination-address 192.0.2.14/32 destination-port 80; } then { accept; } } term from-gatekeeper { from { source-address 192.0.2.14/32 source-port 80; } then { accept; } } term not-gatekeeper { from { destination-port 80; } then { count rogue-counter; discard; } } } vlans { voice-vlan { description "block rogue devices on voice-vlan"; filter { input ingress-vlan-rogue-block; } } }
Configurando um filtro de firewall VLAN para contar, monitorar e analisar o tráfego de saída na VLAN do funcionário
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Um filtro de firewall é configurado e aplicado a interfaces VLAN para filtrar employee-vlan
o tráfego de saída. O tráfego de funcionários destinados à sub-rede corporativa é aceito, mas não monitorado. O tráfego de funcionários destinado à Web é contado e analisado.
Para configurar e aplicar rapidamente um filtro de firewall VLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" set vlans employee-vlan filter output egress-vlan-watch-employee
Procedimento passo a passo
Para configurar e aplicar um filtro de firewall de porta de saída para contar e analisar employee-vlan
o tráfego destinado à Web:
Definir o filtro
egress-vlan-watch-employee
de firewall:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Definir o termo
employee-to-corp
para aceitar, mas não monitorar todo oemployee-vlan
tráfego destinado à sub-rede corporativa:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Definir o termo
employee-to-web
para contar e monitorar todoemployee-vlan
o tráfego destinado à Web:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Nota:Veja exemplo: Configuração do espelhamento de portas para monitoramento local do uso de recursos dos funcionários em switches da Série EX para obter informações sobre a configuração do
employee-monitor
analisador.Aplique o filtro
egress-vlan-watch-employee
de firewall como um filtro de saída nas interfaces de porta para os telefones VoIP:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Resultados
Exibir os resultados da configuração:
user@switch# show firewall { family ethernet-switching { filter egress-vlan-watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/28 } then { accept; } } term employee-to-web { from { destination-port 80; } then { count employee-web-counter: analyzer employee-monitor; } } } } } vlans { employee-vlan { description "filter at egress VLAN to count and analyze employee to Web traffic"; filter { output egress-vlan-watch-employee; } } }
Configuração de um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários e aplicativos peer-to-peer na VLAN convidada
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
No exemplo a seguir, o primeiro termo filtro permite que os convidados conversem com outros convidados, mas não com funcionários employee-vlan
. O segundo termo filtro permite acesso à Web aos hóspedes, mas os impede de usar aplicativos peer-to-peer em guest-vlan
.
Para configurar rapidamente um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários, impedindo que os hóspedes conversem com funcionários ou hosts employee-vlan
de funcionários ou tentem usar aplicativos guest-vlan
peer-to-peer, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28 set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Procedimento passo a passo
Configurar e aplicar um filtro de firewall VLAN para restringir o tráfego de convidados a funcionários e aplicativos peer-to-peer em guest-vlan
:
Definir o filtro
ingress-vlan-limit-guest
de firewall:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guest
Definir o termo
guest-to-guest
para permitir que os convidadosguest-vlan
conversem com outros convidados, mas não com funcionários noemployee-vlan
:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Defina o termo
no-guest-employee-no-peer-to-peer
para permitir que os hóspedes acessemguest-vlan
a Web, mas impeça que eles usem aplicativos peer-to-peer naguest-vlan
.Nota:Esse
destination-mac-address
é o gateway padrão, que para qualquer host em uma VLAN é o roteador de próximo salto.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Aplique o filtro
ingress-vlan-limit-guest
de firewall como filtro de entrada na interface paraguest-vlan
:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Resultados
Exibir os resultados da configuração:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-limit-guest { term guest-to-guest { from { destination-address 192.0.2.33/28; } then { accept; } } term no-guest-employee-no-peer-to-peer { from { destination-mac-address 00.05.5E.00.00.DF; } then { accept; } } } } } vlans { guest-vlan { description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"; filter { input ingress-vlan-limit-guest; } } }
Configuração de um filtro de firewall de roteador para dar prioridade ao tráfego de saída destinado à sub-rede corporativa
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um filtro de firewall para uma porta roteada (módulo de uplink de Camada 3) para filtrar employee-vlan
o tráfego, dando a maior prioridade da classe de encaminhamento ao tráfego destinado à sub-rede corporativa, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit] set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low set firewall family inet filter egress-router-corp-class term not-to-corp then accept set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network" set ge-0/1/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Procedimento passo a passo
Configurar e aplicar um filtro de firewall a uma porta roteada (módulo de uplink de Camada 3) para dar maior prioridade ao employee-vlan
tráfego destinado à sub-rede corporativa:
Definir o filtro
egress-router-corp-class
de firewall:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Definir o termo
corp-expedite
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Definir o termo
not-to-corp
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Aplique o filtro
egress-router-corp-class
de firewall como um filtro de saída para a porta no módulo de uplink do switch, que fornece uma conexão de Camada 3 a um roteador:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Resultados
Exibir os resultados da configuração:
user@switch# show firewall { family inet { filter egress-router-corp-class { term corp-expedite { from { destination-address 192.0.2.16/28; } then { forwarding-class expedited-forwarding; loss-priority low; } } term not-to-corp { then { accept; } } } } } interfaces { ge-0/1/0 { unit 0 { description "filter at egress router interface to expedite employee traffic destined for corporate network"; family inet { source-address 203.0.113.0 filter { output egress-router-corp-class; } } } } }
Verificação
Para confirmar que os filtros de firewall estão funcionando corretamente, execute as seguintes tarefas:
- Verificando se os filtros de firewall e os policiais estão operacionais
- Verificar se os agendadores e os agendadores-mapas estão operacionais
Verificando se os filtros de firewall e os policiais estão operacionais
Propósito
Verifique o estado operacional dos filtros de firewall e dos policiais que estão configurados no switch.
Ação
Use o comando do modo operacional:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Significado
O show firewall
comando exibe os nomes dos filtros de firewall, policiais e contadores que estão configurados no switch. Os campos de saída mostram byte e contagem de pacotes para todos os contadores configurados e a contagem de pacotes para todos os policiais.
Verificar se os agendadores e os agendadores-mapas estão operacionais
Propósito
Verifique se os agendadores e os mapas de agendamento estão operacionais no switch.
Ação
Use o comando do modo operacional:
user@switch> show class-of-service scheduler-map Scheduler map: default, Index: 2 Scheduler: default-be, Forwarding class: best-effort, Index: 20 Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profile Scheduler: default-nc, Forwarding class: network-control, Index: 22 Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657 Scheduler: best-effort, Forwarding class: best-effort, Index: 61257 Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123 Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: net-control, Forwarding class: network-control, Index: 2451 Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile>
Significado
Exibe estatísticas sobre os agendadores configurados e os mapas de agendamentos.