Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Configuração de filtros de firewall

Siga as etapas nas seções a seguir para configurar e aplicar um filtro de firewall em seu switch.

Configuração de um filtro de firewall

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família, o nome do filtro, o nome do termo e pelo menos uma condição de correspondência — por exemplo, combine com pacotes que contenham um endereço de origem específico.

    • Para filtrar o tráfego de Camada 2 (porta ou VLAN), especifique o tipo de endereço da família.ethernet-switching

    • Para filtrar o tráfego de Camada 3 (roteado), especifique o tipo de endereço da família ( para IPv4) ou ( para IPv6).inetinet6

    • Para filtrar o tráfego de interface de circuito de Camada 2, especifique o tipo de endereço da família.ccc

    Os nomes do filtro e do termo podem conter letras, números e hífens (-) e podem ter até 64 caracteres de comprimento. Cada nome do filtro deve ser único. Um filtro pode conter um ou mais termos, e cada nome de termo deve ser exclusivo dentro de um filtro.

  2. Configure condições adicionais de correspondência. Por exemplo:

    Nesta configuração, o filtro é compatível com pacotes de Camada 2 que contêm a porta de origem 80.

    Nesta configuração, o filtro é compatível com VLANs que contêm interface ge-0/0/6.0.

    Você pode especificar uma ou mais condições de correspondência em uma única declaração.from Para que a correspondência ocorra, o pacote deve corresponder a todas as condições do termo. A declaração é opcional, mas se você incluí-la em um termo, ela não pode estar vazia.from Se você omitir a declaração, todos os pacotes serão considerados compatíveis.from

  3. Se você quiser aplicar um filtro de firewall em várias interfaces e ser capaz de ver contadores específicos de cada interface, configure a opção :interface-specific
  4. Em cada termo de filtro de firewall, especifique as ações a serem tomadas se o pacote atender a todas as condições nesse termo. Você pode especificar uma ação e modificadores de ação:

    • Para especificar uma ação de filtro, por exemplo, descartar pacotes que correspondam às condições do termo filtro:

      Você pode especificar apenas uma ação por termo (, , , , , ou ).acceptdiscardfloodrejectrouting-instancevlan

    • Especificar uma ação de filtro, por exemplo, para inundar pacotes que correspondam ao endereço MAC em QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210:

      Você pode configurar os filtros de firewall baseados em porta de entrada para inundar ou descartar as seguintes BPDUs usando o endereço MAC de destino como condição de correspondência.

      Protocolos

      Endereço de controle de acesso de mídia de destino (DMAC)

      Ação de Firewall

      Protocolo de controle de agregação de enlaces (LACP)

      01:80:c2:00:00:02

      Inundação/descarte/contagem

      Protocolo de descoberta de camada de link (LLDP)

      01:80:c2:00:00:0E

      Inundação/descarte/contagem

      Protocolo de autenticação extensível sobre LAN (EAPOL)

      01:80:c2:00:00:03

      Inundação/descarte/contagem

      Protocolo spanning tree (STP)

      01:80:c2:00:00

      Inundação/descarte/Coun

      VLAN Spanning Tree Protocol (VSTP)

      01:00:0c:cc:cc:cd

      Inundação/descarte/contagem

      Cisco Discovery Protocol (CDP)/Protocolo de tronco VLAN (VTP)

      01:00:0C:cc:cc:cc

      Descarte/Conte

      ISIS L1

      01:80:c2:00:14

      Descarte/Conte

      ISIS L2

      01:80:c2:00:15

      Descarte/Conte
      Nota:

      • Os protocolos CDP/VTP, ISIS L1/L2 inundam usando o filtro dinâmico padrão. Portanto, a configuração de filtros adicionais para esses protocolos não é necessária.

      • Como os filtros de firewall baseados em porta de entrada são aplicados no nível da porta, apenas um filtro pode ser aplicado para uma interface física na configuração de estilo do provedor de serviços.

      • O VLAN nativo deve ser configurado para garantir a inundação dos BPDUs não registrados recebidos na porta do tronco. Se o VLAN nativo não estiver configurado, os BPDUs não registrados serão inundados em todas as interfaces do FPC local.

      • Quando a espionagem de IGMP ou a snooping multicast listener discovery (MLD) é habilitada, então, a funcionalidade de inundação não funciona.

      • Quando o filtro de firewall com ação contra enchentes for aplicado em uma interface e depois se a interface cair, os BPDUs recebidos nessa interface serão inundados se ele satisfaça as condições de correspondência.

    • Especificar modificadores de ação, por exemplo, para contar e classificar pacotes para uma classe de encaminhamento:

      Você pode especificar qualquer um dos seguintes modificadores de ação em uma declaração:then

      • — Espelhar o tráfego de porta em um analisador especificado, que você deve configurar no nível.analyzer analyzer-name[ethernet-switching-options]

      • count counter-name— Conte o número de pacotes que passam por esse termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que possa monitorar o número de pacotes que correspondam às condições especificadas em cada termo do filtro.

        Nota:

        Nos switches QFX3500 e QFX3600, os filtros contam automaticamente pacotes que foram descartados na direção de entrada devido a erros de verificação de redundância cíclica (CRC).

      • forwarding-class class— Atribua pacotes a uma aula de encaminhamento.

      • log— Registre as informações do cabeçalho do pacote no Mecanismo de Roteamento.

      • loss-priority priority— Definir a prioridade de soltar um pacote.

      • policer policer-name— Aplicar limitações de taxa ao tráfego.

      • flood— Inunde os pacotes.

      • syslog— Registre um alerta para este pacote.

    Se você omitir a declaração ou não especificar uma ação, são aceitos pacotes que correspondam a todas as condições da declaração.thenfrom Mas certifique-se de configurar sempre uma ação na declaração.then Você só pode incluir uma declaração de ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da declaração devem corresponder.from

    Nota:

    A ação aplicável a um filtro de firewall aplicada à interface de loopback. implicit discardlo0

Configuração de filtros de firewall de saída aprimorados (QFX5110 e switches de QFX5220 )

Devido a uma limitação de hardware, os switches QFX5110 e QFX5220 só podem suportar um máximo de 1000 filtros de firewall de saída (eRACLs). Você pode aumentar esse número para 2000, configurando o switch em modo escalonado. Neste modo, o switch usa espaço TCAM (IFP) de entrada para alcançar a escala mais alta.

Para configurar o filtro de saída, especifique o tipo de endereço da família ( para IPv4) ou ( para IPv6), nome do filtro e nome do termo.inetinet6 Inclua a opção de escalabilidade aplicável para o seu switch e especifique uma condição e ação de correspondência a serem tomadas se uma correspondência ocorrer. Em seguida, aplique o filtro na direção de saída na interface.

Após configurar, modificar ou excluir uma opção de escalabilidade, você deve confirmar a configuração, e o mecanismo de encaminhamento de pacotes (PFE) deve ser reiniciado.

Para aumentar o número de filtros de saída no QFX5110, inclua a opção em sua configuração.egress-to-ingress Você pode adicionar essa opção em qualquer termo. A seguir, uma configuração de amostra:

Para aumentar o número de filtros de saída no QFX5220, inclua a opção nos termos da declaração.eracl-scaleegress-profile A seguir, uma configuração de amostra:

Nota:

A opção vem configurada no modo global.eracl-scale Quando habilitados, os filtros de saída existentes serão reinstalados automaticamente no modo escalonado.

Quando você habilita o modo dimensionado, essas limitações se aplicam:

  • Você só pode aplicar um filtro na direção de saída (tráfego saindo da VLAN).

  • Somente e as famílias de protocolo são apoiadas.inetinet6

  • As interfaces de encapsulamento de roteamento genérico (GRE) não são suportadas.

  • Use apenas as opções de escala para filtros de firewall de saída.

  • Você não pode aplicar filtros com a mesma condição de correspondência a diferentes VLANs de saída ou interfaces de Camada 3. As únicas ações apoiadas são , e .acceptdiscardcount

  • As condições de correspondência são programadas no TCAM do filtro de firewall de entrada. Isso significa que todos os contadores conectados ao filtro contam o tráfego em quaisquer VLANs de entrada.

Aplicando um filtro de firewall em uma porta

Para aplicar um filtro de firewall a uma porta:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. O nome é o que você usa para aplicar o filtro na porta.
  2. Aplique o filtro na interface, especificando o número da unidade, o tipo de endereço familiar (), a direção do filtro (para pacotes que entram na porta) e o nome do filtro:ethernet-switching
    Nota:

    Você só pode aplicar um filtro em uma porta na direção de entrada.

Aplicar um filtro de firewall em uma VLAN

Nota:

Os filtros de firewall VLAN não são suportados em switches QFX5100, QFX5100 Virtual Chassis, QFX5110 e QFX5120 em um ambiente EVPN-VXLAN.

Para aplicar um filtro de firewall a uma VLAN:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Este nome é o que você usa para aplicar o filtro à VLAN.
  2. Aplique filtros de firewall para filtrar pacotes que entram ou saem da VLAN:

    • Para aplicar um filtro para combinar pacotes que ingressam na VLAN:

    • Para aplicar um filtro de firewall para combinar com pacotes que saem da VLAN:

    Nota:

    Você pode aplicar apenas um filtro a uma VLAN para uma determinada direção (entrada ou saída).

Aplicando um filtro de firewall em uma interface de camada 3 (roteada)

Você pode aplicar um filtro de firewall às interfaces IPv4 e IPv6, interfaces VLAN roteadas (RVI) (também conhecida como interface integrada de roteamento e ponte (IRB) e interface de loopback. Todas elas são consideradas interfaces roteadas de Camada 3.

Nota:

(QFX5100 e switches QFX5110) Em um ambiente EVPN-VXLAN, você pode usar uma interface IRB para fornecer conectividade de camada 3 ao switch. Para configurar uma interface IRB, veja Exemplo: Configuração de interfaces IRB em um ambiente EVPN-VXLAN para fornecer conectividade de camada 3 para hosts em um data center. Em seguida, você pode aplicar um filtro de firewall na interface IRB seguindo as etapas abaixo (apenas a direção de entrada é suportada). Para obter uma lista de condições de correspondência suportadas, consulte condições e ações de correspondência do filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).Condições e ações de correspondência do filtro de firewall (EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)
Nota:

Quando você aplica um filtro em uma interface IRB associada a uma determinada VLAN, o filtro é executado em qualquer interface de Camada 3 com um ID VLAN correspondente. Isso porque o filtro é compatível em todas as interfaces de Camada 3 com a tag VLAN correspondente.

Para aplicar um filtro de firewall a uma interface de Camada 3:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Este nome é o que você usa para aplicar o filtro na interface.
  2. Aplique os filtros de firewall.

    • Filtrar pacotes que entram na interface:

    • Filtrar pacotes que saem da interface:

      O tipo de endereço familiar pode ser ( para IPv4) ou ( para IPv6).inetinet6

    Nota:

    Você pode aplicar apenas um filtro em uma interface para uma determinada direção (entrada ou saída).

Aplicando um filtro de firewall em um CCC de camada 2 (QFX10000 switches)

Você pode aplicar filtros de firewall com ações de contagem e policiamento no tráfego cruzado de circuitos de Camada 2 (CCC) em switches QFX10000. Isso permite que você conte e monitore a atividade do policial definida no nível de hierarquia.[edit firewall family ccc]

Neste exemplo, está a ação do policial.count

Neste exemplo, está a ação do policial.discard

Tópicos relacionados