Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall

Siga as etapas nas seções a seguir para configurar e aplicar um filtro de firewall em seu switch.

Configuração de um filtro de firewall

Para configurar um filtro de firewall:

  1. Configure o tipo de endereço da família, o nome do filtro, o nome do termo e pelo menos uma condição de correspondência — por exemplo, combine em pacotes que contenham um endereço de origem específico.
    • Para filtrar o tráfego de Camada 2 (porta ou VLAN), especifique o tipo ethernet-switchingde endereço da família.

    • Para filtrar o tráfego de Camada 3 (roteado), especifique o tipo de endereço da família (inet para IPv4) ou (inet6 para IPv6).

    • Para filtrar o tráfego de interface de circuito de Camada 2, especifique o tipo cccde endereço da família.

    O filtro e os nomes de termo podem conter letras, números e hífens (-) e podem ter até 64 caracteres de comprimento. Cada nome de filtro deve ser único. Um filtro pode conter um ou mais termos, e cada termo deve ser único em um filtro.

  2. Configure condições adicionais de correspondência. Por exemplo:

    Nesta configuração, o filtro corresponde a pacotes de Camada 2 que contêm a porta de origem 80.

    Nesta configuração, o filtro corresponde a VLANs que contêm interface ge-0/0/6.0.

    Você pode especificar uma ou mais condições de correspondência em uma única from declaração. Para que uma correspondência ocorra, o pacote deve corresponder a todas as condições do termo. A from declaração é opcional, mas se você incluí-la em um termo, ela não pode estar vazia. Se você omitir a from declaração, todos os pacotes são considerados compatíveis.

  3. Se você quiser aplicar um filtro de firewall a várias interfaces e conseguir ver contadores específicos de cada interface, configure a opção interface-specific :
  4. Em cada termo de filtro de firewall, especifique as ações a serem tomadas se o pacote atender a todas as condições nesse termo. Você pode especificar uma ação e modificadores de ação:
    • Para especificar uma ação de filtro, por exemplo, descartar pacotes que correspondam às condições do termo filtro:

      Você pode especificar apenas uma ação por termo (accept, , flooddiscard, , reject, routing-instanceou vlan).

    • Para especificar uma ação de filtro, por exemplo, para inundar pacotes que correspondam ao endereço MAC no QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:

      Você pode configurar os filtros de firewall baseados em porta de entrada para inundar ou descartar as seguintes BPDUs usando o endereço MAC de destino como condição de correspondência.

      Protocolos

      Endereço de controle de acesso de mídia de destino (DMAC)

      Ação de Firewall

      Protocolo de controle de agregação de links (LACP)

      01:80:c2:00:00:02

      Inundação/descarte/contagem

      Protocolo de descoberta de camada de link (LLDP)

      01:80:c2:00:00:0E

      Inundação/descarte/contagem

      Protocolo de autenticação extensível por LAN (EAPOL)

      01:80:c2:00:00:03

      Inundação/descarte/contagem

      Protocolo de árvores de abrangência (STP)

      01:80:c2:00:00:00

      Inundação/descarte/Coun

      Protocolo de árvore de abrangência VLAN (VSTP)

      01:00:0c:cc:cc:cd

      Inundação/descarte/contagem

      Protocolo Cisco Discovery (CDP)/Protocolo de tronco VLAN (VTP)

      01:00:0C:cc:cc:cc

      Descartar/contar

      ISIS L1

      01:80:c2:00:00:14

      Descartar/contar

      ISIS L2

      01:80:c2:00:00:15

      Descartar/contar

      Nota:
      • Protocolos CDP/VTP, ISIS L1/L2 inundam usando o filtro dinâmico padrão. Portanto, não é necessário configurar filtros adicionais para esses protocolos.

      • Conforme os filtros de firewall baseados em porta de entrada são aplicados no nível da porta, apenas um filtro pode ser aplicado a uma interface física na configuração de estilo do provedor de serviços.

      • O VLAN nativo deve ser configurado para garantir a inundação dasNPDs não registradas recebidas na porta do tronco. Se o VLAN nativo não estiver configurado, asNHS não registradas serão inundadas em todas as interfaces do FPC local.

      • Quando o IGMP ou a descoberta de ouvintes multicast (MLD) são ativados, a funcionalidade de inundação não funciona.

      • Quando o filtro de firewall com ação contra inundações for aplicado em uma interface e, posteriormente, se a interface diminuir, os BPDUs recebidos nessa interface serão inundados se atender às condições de correspondência.

    • Especificar modificadores de ação, por exemplo, para contar e classificar pacotes para uma classe de encaminhamento:

      Você pode especificar qualquer um dos seguintes modificadores de ação em uma then declaração:

      • analyzer analyzer-name— Espelhar o tráfego da porta para um analisador especificado, que você deve configurar no [ethernet-switching-options] nível.

      • count counter-name— Conte o número de pacotes que passam este termo de filtro.

        Nota:

        Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que você possa monitorar o número de pacotes que correspondem às condições especificadas em cada termo de filtro.

        Nota:

        Nos switches QFX3500 e QFX3600, os filtros contam automaticamente pacotes que foram descartados na direção de entrada devido a erros de verificação de redundância cíclica (CRC).

      • forwarding-class class— Atribuir pacotes a uma aula de encaminhamento.

      • log— Registre as informações do cabeçalho do pacote no Mecanismo de Roteamento.

      • loss-priority priority— Defina a prioridade de lançar um pacote.

      • policer policer-name— Aplicar limitação de taxa ao tráfego.

      • flood— Inundar os pacotes.

      • syslog— Registre um alerta para este pacote.

    Se você omitir a then declaração ou não especificar uma ação, os pacotes correspondentes a todas as condições da from declaração são aceitos. Mas certifique-se de sempre configurar uma ação na then declaração. Você só pode incluir uma declaração de ação, mas pode usar qualquer combinação de modificadores de ação. Para que uma ação ou modificador de ação entre em vigor, todas as condições da from declaração devem corresponder.

    Nota:

    A implicit discard ação aplicável a um filtro de firewall aplicado à interface de loopback, lo0.

Configuração de filtros de firewall de saída aprimorada (switches QFX5110 e QFX5220)

Devido a uma limitação de hardware, o QFX5110 e o QFX5220 só podem suportar um máximo de 1000 filtros de firewall de saída (eRACLs). Você pode aumentar esse número para 2000, configurando o switch em modo escalonado. Nesse modo, o switch usa espaço TCAM (IFP) para atingir a escala mais alta.

Para configurar o filtro de saída, especifique o tipo de endereço da família (inet para IPv4) ou (inet6 para IPv6), nome do filtro e nome do termo. Inclua a opção de escalabilidade aplicável para o seu switch e especifique uma condição e ação de correspondência a serem tomadas se uma correspondência ocorrer. Em seguida, aplique o filtro na direção de saída na interface.

Após configurar, modificar ou excluir uma opção de escalabilidade, você deve comprometer a configuração, e o mecanismo de encaminhamento de pacotes (PFE) deve ser reiniciado.

Para aumentar o número de filtros de saída no QFX5110, inclua a opção egress-to-ingress em sua configuração. Você pode adicionar essa opção em qualquer termo. A seguir, uma configuração de amostra:

Para aumentar o número de filtros de saída no QFX5220, inclua a opção eracl-scale sob a egress-profile declaração. A seguir, uma configuração de amostra:

Nota:

A opção eracl-scale vem configurada no modo global. Quando habilitados, os filtros de saída existentes serão reinstalados automaticamente no modo escalonado.

Quando você habilita o modo escalonado, essas limitações se aplicam:

  • Você só pode aplicar um filtro na direção de saída (tráfego saindo do VLAN).

  • Somente inet e inet6 as famílias de protocolo são apoiadas.

  • As interfaces de encapsulamento de roteamento genérico (GRE) não são compatíveis.

  • Use apenas as opções de escalabilidade para filtros de firewall de saída.

  • Você não pode aplicar filtros com a mesma condição de correspondência a VLANs de saída diferentes ou interfaces de Camada 3. As únicas ações apoiadas são accept, discarde count.

  • As condições de correspondência são programadas no TCAM do filtro de firewall de entrada. Isso significa que todos os contadores conectados ao filtro contam o tráfego em quaisquer VLANs recebidas.

Aplicar um filtro de firewall em uma porta

Para aplicar um filtro de firewall a uma porta:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. O nome é o que você usa para aplicar o filtro na porta.
  2. Aplique o filtro na interface, especificando o número da unidade, o tipo de endereço familiar (ethernet-switching), a direção do filtro (para pacotes que entram na porta) e o nome do filtro:
    Nota:

    Você só pode aplicar um filtro em uma porta na direção de entrada.

Aplicar um filtro de firewall a um VLAN

Nota:

Os filtros de firewall VLAN não são suportados nos switches QFX5100, QFX5100 Virtual Chassis, QFX5110 e QFX5120 em um ambiente EVPN-VXLAN.

Para aplicar um filtro de firewall a um VLAN:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Este nome é o que você usa para aplicar o filtro ao VLAN.
  2. Aplique filtros de firewall para filtrar pacotes que entram ou saem do VLAN:
    • Para aplicar um filtro para combinar pacotes que entram no VLAN:

    • Para aplicar um filtro de firewall para combinar pacotes que saem do VLAN:

    Nota:

    Você só pode aplicar um filtro a um VLAN para uma determinada direção (entrada ou saída).

Aplicando um filtro de firewall a uma interface de camada 3 (roteada)

Você pode aplicar um filtro de firewall às interfaces IPv4 e IPv6, interfaces VLAN roteados (RVI) (também conhecidas como interface de roteamento e ponte integrada (IRB) e a interface de loopback. Todas elas são consideradas interfaces roteada de Camada 3.

Nota:

(switches QFX5100 e QFX5110) Em um ambiente EVPN-VXLAN, você pode usar uma interface IRB para fornecer conectividade de camada 3 ao switch. Para configurar uma interface IRB, veja exemplo: Configurar interfaces IRB em um ambiente EVPN-VXLAN para fornecer conectividade de Camada 3 para hosts em um data center. Em seguida, você pode aplicar um filtro de firewall à interface IRB seguindo as etapas abaixo (apenas a direção de entrada é suportada). Para obter uma lista de condições de correspondência suportadas, consulte condições e ações de correspondência do filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Nota:

Quando você aplica um filtro a uma interface IRB associada a um determinado VLAN, o filtro é executado em qualquer interface de Camada 3 com um ID VLAN correspondente. Isso porque o filtro combina em todas as interfaces de Camada 3 com a tag VLAN correspondente.

Para aplicar um filtro de firewall a uma interface de Camada 3:

  1. Forneça um nome significativo e descritivo para o filtro de firewall. Este nome é o que você usa para aplicar o filtro à interface.
  2. Aplique os filtros de firewall.
    • Filtrar pacotes que entram na interface:

    • Filtrar pacotes que saem da interface:

      O tipo de endereço familiar pode ser (inet para IPv4) ou (inet6 para IPv6).

    Nota:

    Você só pode aplicar um filtro em uma interface para uma determinada direção (entrada ou saída).

Aplicando um filtro de firewall a um CCC de Camada 2 (switches QFX10000)

Você pode aplicar filtros de firewall com ações de contagem e policiamento no tráfego de conexão cruzada (CCC) de circuito de Camada 2 em switches QFX10000. Isso permite que você conte e monitore a atividade do policial definida no nível de [edit firewall family ccc] hierarquia.

Neste exemplo, count está a ação do policial.

Neste exemplo, discard está a ação do policial.