Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall

Siga as etapas nas seções a seguir para configurar e aplicar um filtro de firewall em seu switch.

Configuração de um filtro de firewall

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família, nome do filtro, nome do termo e pelo menos uma condição de combinação, por exemplo, combinar em pacotes que contenham um endereço de origem específico.
    • Para filtrar o tráfego da Camada 2 (porta ou VLAN), especifique o tipo de endereço da ethernet-switching família.

    • Para filtrar o tráfego da Camada 3 (roteado), especifique o tipo de endereço da família inet (para IPv4) ou ( inet6 para IPv6).

    • Para filtrar o tráfego da interface do circuito da Camada 2, especifique o tipo de endereço da ccc família.

    O filtro e os nomes de termo podem conter letras, números e hífens (-) e podem ter até 64 caracteres de comprimento. Cada nome do filtro deve ser exclusivo. Um filtro pode conter um ou mais termos, e cada nome de termo deve ser exclusivo dentro de um filtro.

  2. Configure condições de combinação adicionais. Por exemplo:

    Nesta configuração, o filtro combina com os pacotes de Camada 2 que contêm a porta de origem 80.

    Nesta configuração, o filtro combina com VLANs que contêm interface ge-0/0/6.0.

    Você pode especificar uma ou mais condições de combinação em uma única from declaração. Para que uma combinação ocorra, o pacote deve combinar todas as condições do termo. A declaração é opcional, mas, se você from incluí-la por um termo, ela não pode estar vazia. Se você omitir a from declaração, todos os pacotes serão considerados como uma combinação.

  3. Se você quiser aplicar um filtro de firewall a várias interfaces e ser capaz de ver contadores específicos de cada interface, configure a interface-specific opção:
  4. Em cada termo de filtro de firewall, especifique as ações a ser realizadas caso o pacote conda todas as condições desse termo. Você pode especificar um modificadores de ação e ação:
    • Para especificar uma ação de filtro, por exemplo, para descartar pacotes que sejam de acordo com as condições do termo do filtro:

      Você pode especificar apenas uma ação por termo ( accept , , , ou discardfloodrejectrouting-instancevlan ).

    • Para especificar uma ação de filtro, por exemplo, para inundar pacotes que corresponderem ao endereço MAC em QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:

      Você pode configurar os filtros de firewall baseados em porta de entrada para inundar ou descartar as seguintes BPDUs usando o endereço MAC de destino como a condição de combinação.

      Protocolos

      Endereço DMAC (Destination Media Access Control, Controle de acesso à mídia de destino)

      Ação de Firewall

      Protocolo de controle de agregação de enlace (LACP)

      01:80:c2:00:00:02

      Inundação/descarte/contagem

      Protocolo de descoberta de camada de enlace (LLDP)

      01:80:c2:00:00:0E

      Inundação/descarte/contagem

      Protocolo de autenticação extensível por LAN (EAPOL)

      01:80:c2:00:00:03

      Inundação/descarte/contagem

      Protocolo de spanning tree (STP)

      01:80:c2:00:00:00

      Inundação/descarte/coun

      VLAN Spanning Tree Protocol (VSTP)

      01:00:0c:cc:cc:cd

      Inundação/descarte/contagem

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Descartar/contar

      ISIS L1

      01:80:c2:00:00:14

      Descartar/contar

      ISIS L2

      01:80:c2:00:00:15

      Descartar/contar

      Nota:
      • OS protocolos CDP/VTP, ISIS L1/L2 inundam usando o filtro dinâmico padrão. Portanto, não é necessário configurar filtros adicionais para esses protocolos.

      • Conforme filtros de firewall baseados em porta de entrada são aplicados em nível de porta, apenas um filtro pode ser usado para uma interface física na configuração do estilo do provedor de serviços.

      • A VLAN nativa deve estar configurada para garantir o flooding das BPDUs não registradas recebidas na porta do tronco. Se a VLAN nativa não estiver configurada, as BPDUs não ativas serão inundadas em todas as interfaces do FPC local.

      • Quando o IGMP xeretamento ou a detecção de ouvintes multicast (MLD) estão ativados, a funcionalidade de inundação não funciona.

      • Quando o filtro de firewall com ação de inundação é aplicado em uma interface e, mais tarde, se a interface for inutilizado, as BPDUs recebidas nessa interface serão inundadas caso atendam às condições de combinação.

    • Para especificar modificadores de ação, por exemplo, para contar e classificar pacotes para uma classe de encaminhamento:

      Você pode especificar qualquer um dos seguintes modificadores de ação em uma then declaração:

      • analyzer analyzer-name— Espelhar o tráfego de porta para um analisador especificado, o qual você deve configurar no [ethernet-switching-options] nível.

      • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall para que você possa monitorar o número de pacotes que se ajustem às condições especificadas em cada termo do filtro.

        Nota:

        Nos switches QFX3500 e QFX3600, os filtros contam automaticamente pacotes que foram deixados na direção de entrada por causa de erros cíclicos de verificação de redundância (CRC).

      • forwarding-class class— Atribua pacotes a uma classe de encaminhamento.

      • log— Registre as informações do cabeamento do pacote na Mecanismo de Roteamento.

      • loss-priority priority— De definir a prioridade de soltar um pacote.

      • policer policer-name— Aplique limitação de taxa ao tráfego.

      • flood— Inundar os pacotes.

      • syslog— Registre um alerta para este pacote.

    Caso você omita a declaração ou não especifique uma ação, serão aceitos pacotes que correspondênciam todas as condições thenfrom da declaração. Mas certifique-se de configurar sempre uma ação na then declaração. Você só pode incluir uma instrução de ação, mas pode usar qualquer combinação de modificadores de ação. Para que um modificador de ação ou ação entre em vigor, todas as condições da from declaração devem combinar.

    Nota:

    A implicit discard ação aplicável a um filtro de firewall aplicado à interface de loopback. lo0

Configuração de filtros de firewall de saída aprimorados (switches QFX5110 e QFX5220 de QFX5220 de saída)

Devido a uma limitação de hardware, QFX5110 e QFX5220 só podem suportar um máximo de 1.000 filtros de firewall de saída (eRACLs). Você pode aumentar esse número para 2000, configurando o switch em modo escalonado. Nesse modo, o switch usa um espaço de TCAM de entrada (IFP) para atingir a escala mais alta.

Para configurar o filtro de saída, especifique o tipo de endereço da inet família (para IPv4) ou ( para IPv6), nome do filtro e inet6 nome do termo. Inclua a opção de escalonamento aplicável para seu switch e especifique uma condição e ação de combinação a ser tomadas caso ocorra uma combinação. Em seguida, aplique o filtro na direção de saída na interface.

Depois de configurar, modificar ou excluir uma opção de escalonamento, você deve comprometer a configuração, e o mecanismo de encaminhamento de pacotes (PFE) deve ser reinicializado.

Para aumentar o número de filtros de saída na QFX5110, inclua a egress-to-ingress opção na sua configuração. Você pode adicionar essa opção em qualquer prazo. A seguir, uma configuração de amostra:

Para aumentar o número de filtros de saída na QFX5220, inclua a eracl-scale opção na egress-profile instrução. A seguir, uma configuração de amostra:

Nota:

A eracl-scale opção vem configurada no modo global. Quando ativados, os filtros de saída existentes serão reinstalados automaticamente no modo dimensionado.

Ao habilitar o modo escalonado, essas limitações se aplicam:

  • Você só pode aplicar um filtro na direção de saída (tráfego que sai da VLAN).

  • Somente inet as famílias de protocolo e de protocolo são inet6 suportadas.

  • Interfaces genéricas de encapsulamento de roteamento (GRE) não são suportadas.

  • Use apenas as opções de dimensionamento para filtros de firewall de saída.

  • Você não pode aplicar filtros com a mesma condição de combinação a diferentes interfaces VLANs de saída ou Camada 3. As únicas ações suportadas acceptdiscard são, e count .

  • As condições de combinação são programadas no TCAM do filtro de firewall de entrada. Isso significa que quaisquer contadores conectados ao filtro contam o tráfego em quaisquer VLANs próximas.

Aplicar um filtro de firewall a uma porta

Para aplicar um filtro de firewall a uma porta:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. O nome é o que você usa para aplicar o filtro à porta.
  2. Aplique o filtro à interface, especificando o número da unidade, o tipo de endereço da família (), a direção do filtro (para pacotes que entram na porta) e o nome ethernet-switching do filtro:
    Nota:

    Você pode aplicar apenas um filtro a uma porta na direção de entrada.

Aplicar um filtro de firewall a uma VLAN

Nota:

Os filtros de firewall VLAN não são suportados em QFX5100, QFX5100 Virtual Chassis e QFX5110 switches em um ambiente VXLAN EVPN.

Para aplicar um filtro de firewall a uma VLAN:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Esse nome é o que você usa para aplicar o filtro ao VLAN.
  2. Aplique filtros de firewall para filtrar pacotes que entram ou saem da VLAN:
    • Para aplicar um filtro para combinar pacotes que entram na VLAN:

    • Para aplicar um filtro de firewall para combinar pacotes que saem da VLAN:

    Nota:

    Você pode aplicar apenas um filtro a uma VLAN para determinada direção (entrada ou saída).

Aplicar um filtro de firewall a uma interface de Camada 3 (Roteada)

Você pode aplicar um filtro de firewall às interfaces IPv4 e IPv6, interfaces VLAN roteados (RVI) e a interface de loopback. Todas elas são consideradas interfaces roteada de Camada 3.

Nota:

(QFX5100 e QFX5110 switches) Em um ambiente EVPN-VXLAN, você pode usar uma interface IRB para fornecer conectividade de camada 3 ao switch. Para configurar uma interface IRB, consulte Exemplo: Configurando interfaces de IRB em um ambiente VXLAN EVPN para fornecer conectividade de Camada 3 para hosts em um data center. Em seguida, você pode aplicar um filtro de firewall à interface do IRB seguindo as etapas abaixo (somente a direção de entrada é suportada). Para ver uma lista de condições de combinação suportadas, consulte Condições e ações do filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Para aplicar um filtro de firewall a uma interface de Camada 3:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Esse nome é o que você usa para aplicar o filtro à interface.
  2. Aplique os filtros de firewall.
    • Para filtrar pacotes que entram na interface:

    • Para filtrar pacotes que saem da interface:

      O tipo de endereço da família pode ser ( inet para IPv4) ou ( inet6 para IPv6).

    Nota:

    Você pode aplicar apenas um filtro a uma interface para uma determinada direção (entrada ou saída).

Aplicar um filtro de firewall a um CCC de camada 2 (switches QFX10000 de segurança)

Você pode aplicar filtros de firewall com ações de contagem e controle no tráfego cruzado de circuito de Camada 2 (CCC) em QFX10000 switches. Isso permite que você conte e monitore a atividade do policial definida em nível [edit firewall family ccc] de hierarquia.

Neste exemplo, count é a ação do policial.

Neste exemplo, discard é a ação do policial.