Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX

Este exemplo mostra como configurar e aplicar filtros de firewall para controlar o tráfego que entra ou sai de uma porta no switch, uma VLAN na rede e uma interface de Camada 3 no switch. Os filtros de firewall definem as regras que determinam se encaminham ou negam pacotes em pontos de processamento específicos no fluxo de pacotes.

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

  • Junos OS Release 9.0 ou mais tarde para switches da Série EX.

  • Dois Juniper Networks EX3200-48T: um para ser usado como um switch de acesso, e o outro para ser usado como um switch de distribuição

  • Um Juniper Networks módulo de uplink EX-UM-4SFP

  • Um Juniper Networks série J

Antes de configurar e aplicar os filtros de firewall neste exemplo, tenha certeza de que tem:

Visão geral

Este exemplo de configuração mostra como configurar e aplicar filtros de firewall para fornecer regras para avaliar o conteúdo dos pacotes e determinar quando descartar, avançar, classificar, contar e analisar pacotes destinados a ou provenientes dos switches da Série EX que lidam com tudo, e o tráfego. mostra os filtros de firewall configurados para os switches da Série EX neste voice-vlanemployee-vlanguest-vlanTabela 1 exemplo.

Tabela 1: Componentes de configuração: Filtros de firewall
Componente Finalidade/descrição

Filtro de firewall de porta, ingress-port-voip-class-limit-tcp-icmp

Esse filtro de firewall realiza duas funções:

  • Atribua filas prioritárias a pacotes com um endereço MAC de origem que atende aos endereços MAC de telefone. A classe de encaminhamento fornece baixa perda, atraso baixo, baixo jitter, largura de banda garantida e serviço de ponta expedited-forwarding a ponta para todo o voice-vlan tráfego.

  • Executa limitação de taxa nos pacotes que entram nas portas employee-vlan para . A taxa de tráfego para pacotes TCP e ICMP é limitada a 1 Mbps com um tamanho de ruptura de até 30.000 bytes.

Esse filtro de firewall é aplicado às interfaces de porta no switch de acesso.

filtro de firewall VLAN, ingress-vlan-rogue-block

Impede que dispositivos não certificados usem sessões HTTP para simular o dispositivo gatekeeper que gerencia o registro, a admissão e o status de chamada de ligações de VoIP. Apenas portas TCP ou UDP devem ser usadas; e somente o gatekeeper usa HTTP. Ou seja, todo voice-vlan o tráfego nas portas TCP deve ser destinado ao dispositivo gatekeeper. Esse filtro de firewall se aplica a todos os celulares conectados, incluindo a comunicação entre dois celulares na VLAN e toda a comunicação entre o dispositivo gatekeeper e os telefones voice-vlan VLAN.

Esse filtro de firewall é aplicado às interfaces VLAN no switch de acesso.

filtro de firewall VLAN, egress-vlan-watch-employee

Aceita tráfego employee-vlan destinado à subnet corporativa, mas não monitora esse tráfego. O tráfego do funcionário destinado à Web é contabilizado e analisado.

Esse filtro de firewall é aplicado às interfaces vlan no switch de acesso.

filtro de firewall VLAN, ingress-vlan-limit-guest

Impede que os hóspedes (não funcionários) conversam com funcionários ou hosts de funcionários employee-vlan no . Também impede que os hóspedes usem aplicativos peer-to-peer, mas guest-vlan permite que os hóspedes acessem a Web.

Esse filtro de firewall é aplicado às interfaces VLAN no switch de acesso.

Filtro de firewall do roteador, egress-router-corp-class

Prioriza o tráfego, priorizando a categoria de encaminhamento mais alta para o employee-vlan tráfego de funcionários destinado à sub-rede corporativa.

Esse filtro de firewall é aplicado a uma porta roteada (módulo de uplink camada 3) no switch de distribuição.

Figura 1 mostra a aplicação de filtros de firewall roteados de porta, VLAN e Camada 3 no switch.

Figura 1: Aplicação de filtros de firewall roteados de Porta, VLAN e Camada 3Aplicação de filtros de firewall roteados de Porta, VLAN e Camada 3

Topologia de rede

A topologia deste exemplo de configuração consiste em um switch EX-3200-48T na camada de acesso e um switch EX-3200-48T na camada de distribuição. O módulo de uplink do switch de distribuição está configurado para dar suporte a uma conexão de Camada 3 a um roteador da série J.

Os switches da Série EX estão configurados para dar suporte à adesão a VLAN. Tabela 2 mostra os componentes de configuração de VLAN para as VLANs.

Tabela 2: Componentes de configuração: Vlans

Nome VLAN

VLAN ID

Subnet VLAN e endereços IP disponíveis

Descrição VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1Através 192.0.2.14

192.0.2.15 é o endereço de broadcast da subnet

VLAN de voz usado para tráfego de VoIP do funcionário

employee-vlan

20

192.0.2.16/28 192.0.2.17 é 192.0.2.30 192.0.2.31 o endereço de broadcast da subnet

PCs autônomos VLAN, PCs conectados à rede por meio do hub em telefones VoIP, pontos de acesso sem fio e impressoras. Esta VLAN inclui completamente a VLAN de voz. Duas VLANs (voice-vlan e ) devem estar employee-vlan configuradas nas portas que se conectam aos telefones.

guest-vlan

30

192.0.2.32/28 192.0.2.33 é 192.0.2.46 192.0.2.47 o endereço de broadcast da subnet

VLAN para dispositivos de dados (PCs) dos hóspedes. O cenário pressuou que a empresa tem uma área aberta para visitantes, seja no saguão ou em uma sala de conferências, com um hub no qual os visitantes podem conectar seus PCs para se conectar à Web e à VPN de sua empresa.

camera-vlan

40

192.0.2.48/28 192.0.2.49 é 192.0.2.62 192.0.2.63 o endereço de broadcast da subnet

VLAN para as câmeras de segurança corporativas.

Portas nos switches da Série EX oferecem suporte a PoE (Power over Ethernet) para fornecer conectividade de rede e energia para os telefones VoIP que se conectam às portas. mostra as portas de switch que são atribuídas às VLANs e aos endereços IP e MAC para Tabela 3 dispositivos conectados às portas do switch:

Tabela 3: Componentes de configuração: Portas de switch em um switch All-PoE de 48 portas

Número de switch e porta

Adesão à VLAN

Endereços IP e MAC

Dispositivos de porta

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Endereços IP: 192.0.2.1 Através 192.0.2.2

Endereços MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Dois telefones VoIP, cada um conectado a um PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Através 192.0.2.18

Impressora, pontos de acesso sem fio

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Através 192.0.2.35

Dois hubs nos quais os visitantes podem conectar seus PCs. Os hubs estão localizados em uma área aberta para visitantes, como um saguão ou sala de conferências

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Através 192.0.2.50

Duas câmeras de segurança

ge-0/0/9

voice-vlan

Endereço IP: 192.0.2.14

Endereço MAC:00.05.5E.00.53.0E

Dispositivo Gatekeeper. O gatekeeper gerencia o registro de chamada, a entrada e o status da chamada para celulares VoIP.

ge-0/1/0

Endereço IP: 192.0.2.65

Conexão de Camada 3 a um roteador; observe que esta é uma porta no módulo de uplink do switch

Configurando um filtro de firewall de porta de entrada para priorizar o tráfego de voz e o tráfego TCP e o ICMP com limite de taxa

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida CLI

Para configurar e aplicar rapidamente um filtro de firewall de porta para priorizar o tráfego de voz e os pacotes de limite de taxa destinados à sub-rede, copie os seguintes comandos e os confique na janela do terminal do employee-vlan switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall de porta para priorizar o tráfego de voz e os pacotes de limite de taxa destinados à employee-vlan sub-rede:

  1. Defina os agentes de polícia tcp-connection-policericmp-connection-policer e:

  2. Defina o filtro de ingress-port-voip-class-limit-tcp-icmp firewall:

  3. Defina o voip-high termo:

  4. Defina o network-control termo:

  5. Defina o termo tcp-connection para configurar limites de taxa para tráfego TCP:

  6. Defina o termo icmp-connection para configurar limites de taxa para tráfego ICMP:

  7. Defina o termo sem condições de combinação para uma combinação implícita em todos os pacotes que não combinaram com nenhum outro termo no filtro best-effort de firewall:

  8. Aplique o filtro de firewall ingress-port-voip-class-limit-tcp-icmp como um filtro de entrada às interfaces de porta employee-vlan para:

  9. Configure os parâmetros que são desejados para os diferentes agendadores.

    Nota:

    Ao configurar parâmetros para os agendadores, defina os números de acordo com seus padrões de tráfego de rede.

  10. Atribua as classes de encaminhamento a agendadores com um mapa do agendador:

  11. Associe o mapa do agendador à interface de saída:

Resultados

Exibir os resultados da configuração:

Configurando um filtro de firewall de ingresso em VLAN para evitar que dispositivos não-inteligentes impeçam o tráfego de VoIP

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida CLI

Para configurar rapidamente um filtro de firewall VLAN para evitar que dispositivos não-compatíveis usem sessões HTTP para mimetizar o dispositivo gatekeeper que gerencia o tráfego VoIP, copie os seguintes comandos e os confique na janela do terminal do voice-vlan switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall VLAN a fim de impedir que dispositivos desonestos usem HTTP para simular o dispositivo gatekeeper que voice-vlan gerencia tráfego VoIP:

  1. Defina o filtro de firewall para especificar a correspondência de filtros no ingress-vlan-rogue-block tráfego que deseja permitir e restringir:

  2. Defina o termo to-gatekeeper para aceitar pacotes que corresponderem ao endereço IP de destino do gatekeeper:

  3. Defina o termo from-gatekeeper para aceitar pacotes que corresponderem ao endereço IP de origem do gatekeeper:

  4. Defina o termo not-gatekeeper para garantir que todo o tráfego nas portas voice-vlan TCP seja destinado ao dispositivo gatekeeper:

  5. Aplique o filtro de firewall ingress-vlan-rogue-block como um filtro de entrada na interface VLAN para os telefones VoIP:

Resultados

Exibir os resultados da configuração:

Configurando um filtro de firewall VLAN para contar, monitorar e analisar tráfego de saída no VLAN do funcionário

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida CLI

Um filtro de firewall é configurado e aplicado às interfaces VLAN para filtrar employee-vlan o tráfego de saída. O tráfego de funcionários destinado à subnet corporativa é aceito, mas não monitorado. O tráfego do funcionário destinado à Web é contabilizado e analisado.

Para configurar e aplicar rapidamente um filtro de firewall VLAN, copie os seguintes comandos e os confique na janela do terminal do switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall de porta de saída para contar e analisar o tráfego destinado employee-vlan à Web:

  1. Defina o filtro de egress-vlan-watch-employee firewall:

  2. Defina o termo employee-to-corp para aceitar, mas não monitorar todo employee-vlan o tráfego destinado à subnet corporativa:

  3. Defina o termo employee-to-web para contar e monitorar todo o tráfego destinado à employee-vlan Web:

  4. Aplique o filtro de firewall egress-vlan-watch-employee como um filtro de saída às interfaces de porta para os telefones VoIP:

Resultados

Exibir os resultados da configuração:

Configurando um filtro de firewall VLAN para restringir o tráfego de hóspedes para funcionários e aplicativos peer-to-peer no VLAN convidado

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida CLI

No exemplo a seguir, o primeiro termo de filtro permite que os hóspedes conversem com outros hóspedes, mas não employee-vlan funcionários. O segundo termo de filtro permite que os hóspedes tenham acesso à Web, mas impede que eles usem aplicativos peer-to-peer no guest-vlan .

Para configurar rapidamente um filtro de firewall VLAN para restringir o tráfego de hóspedes para funcionários, bloqueando a conversa com funcionários ou hosts de funcionários ou tentando usar aplicativos peer-to-peer, copie os seguintes comandos e os confique na janela do terminal do employee-vlanguest-vlan switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall VLAN para restringir o tráfego do convidado ao funcionário e os aplicativos peer-to-peer guest-vlan em:

  1. Defina o filtro de ingress-vlan-limit-guest firewall:

  2. Defina o termo guest-to-guest para permitir que os hóspedes guest-vlan conversem com outros hóspedes, mas não funcionários employee-vlan no:

  3. Defina o termo para permitir que os hóspedes acessem a Web, mas impeçam que eles usem aplicativos no-guest-employee-no-peer-to-peerguest-vlan peer-to-peer no guest-vlan .

    Nota:

    Esse destination-mac-address é o gateway padrão, que para qualquer host em uma VLAN é o roteador de next-hop.

  4. Aplique o filtro de firewall ingress-vlan-limit-guest como um filtro de entrada na interface guest-vlan para:

Resultados

Exibir os resultados da configuração:

Configurando um filtro de firewall do roteador para priorizar o tráfego de saída destinado à subnet corporativa

Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:

Procedimento

Configuração rápida CLI

Para configurar rapidamente um filtro de firewall para uma porta roteada (módulo de uplink Camada 3) para filtrar o tráfego, priorizando o tráfego destinado à subnet corporativa, copie os seguintes comandos e os confique na janela do terminal do employee-vlan switch:

Procedimento passo a passo

Para configurar e aplicar um filtro de firewall em uma porta roteada (módulo de uplink camada 3) para dar maior prioridade ao tráfego destinado à employee-vlan subnet corporativa:

  1. Defina o filtro de egress-router-corp-class firewall:

  2. Defina o corp-expedite termo:

  3. Defina o not-to-corp termo:

  4. Aplique o filtro de firewall como um filtro de saída para a porta no módulo de uplink do switch, que fornece uma conexão de egress-router-corp-class Camada 3 a um roteador:

Resultados

Exibir os resultados da configuração:

Verificação

Para confirmar se os filtros de firewall estão funcionando corretamente, realize as seguintes tarefas:

Verificar se filtros de firewall e agentes de segurança estão operacionais

Propósito

Verificar o estado operacional dos filtros de firewall e dos policiais que estão configurados no switch.

Ação

Use o comando modo operacional:

Significado

O comando exibe os nomes dos filtros de firewall, dos policiais e dos contadores show firewall que estão configurados no switch. Os campos de saída mostram contagens de byte e pacote para todos os contadores configurados e a contagem de pacotes para todos os policiais.

Verificar se os agendadores e os mapas do agendamento estão operacionais

Propósito

Verificar se os agendadores e os mapas do agendamento estão operacionais no switch.

Ação

Use o comando modo operacional:

Significado

Exibe estatísticas sobre os agendadores configurados e os mapas dos agendadores.