Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Definindo um filtro de firewall de espelhamento de porta

Em roteadores que contêm um circuito integrado específico de aplicativo (ASIC) do Processador de Internet II, você pode enviar uma cópia de um pacote IP versão 4 (IPv4) ou IP versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.

O espelhamento de porta é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave de amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo ou pacotes cflowd baseados na chave podem ser enviados para um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por meio de uma interface de próximo salto.

Você pode configurar o uso simultâneo de amostragem e espelhamento de porta e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de porta, apenas uma ação poderá ser executada e o espelhamento de porta terá precedência. Por exemplo, se você configurar uma interface para amostrar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado para outra interface, somente o espelhamento de porta entrará em vigor. Todos os outros pacotes que não correspondem aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao seu destino final.

Os filtros de firewall fornecem um meio de proteger seu roteador contra tráfego excessivo que transita pelo roteador para um destino de rede ou destinado ao Mecanismo de Roteamento. Os filtros de firewall que controlam pacotes locais também podem proteger seu roteador contra incidentes externos.

Você pode configurar um filtro de firewall para fazer o seguinte:

  • Restrinja o tráfego destinado ao Mecanismo de Roteamento com base em sua origem, protocolo e aplicativo.

  • Limite a taxa de tráfego de pacotes destinados ao Mecanismo de Roteamento para proteger contra ataques de inundação ou negação de serviço (DoS).

  • Aborde circunstâncias especiais associadas a pacotes fragmentados destinados ao Mecanismo de Roteamento. Como o dispositivo avalia cada pacote em relação a um filtro de firewall (incluindo fragmentos), você deve configurar o filtro para acomodar fragmentos que não contêm informações de cabeçalho de pacote. Caso contrário, o filtro descarta tudo, exceto o primeiro fragmento de um pacote fragmentado.

Para obter informações sobre como configurar filtros de firewall em geral (inclusive em um ambiente de Camada 3), consulte Visão geral do filtro de firewall stateless e como os filtros de firewall padrão avaliam pacotes no Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.

Para definir um filtro de firewall com uma ação de espelhamento de porta:

  1. Prepare o tráfego para espelhamento de porta incluindo a filter declaração no nível da [edit firewall family (inet | inet6)] hierarquia.

    Esse filtro no nível da hierarquia seleciona o [edit firewall family (inet | inet6)] tráfego a ser espelhado por porta:

  2. Habilite a configuração de filtros de firewall.

    O valor da family opção pode ser inet ou inet6.

  3. Habilite a configuração de um filtro filter-namede firewall .
  4. Habilite a configuração de um termo filter-term-namede filtro de firewall.

    Para obter mais informações sobre termos de filtro de firewall, consulte Diretrizes para configurar filtros de firewall nas políticas de roteamento do Junos OS, filtros de firewall e guia do usuário de policiais de tráfego para dispositivos de roteamento.

  5. Especifique as condições de correspondência de filtro de firewall com base no endereço de origem da rota para espelhar um subconjunto dos pacotes amostrados.

    Para obter informações sobre como configurar condições de correspondência de filtro de firewall, consulte Condições de correspondência de filtro de firewall com base em números ou aliases de texto, Condições de correspondência de filtro de firewall com base em valores de campo de bits, Condições de correspondência de filtro de firewall com base em campos de endereço e Condições de correspondência de filtro de firewall com base em classes de endereçono Guia do usuário de políticas de roteamento do Junos OS, filtros de firewall e policiais de tráfego para dispositivos de roteamento.

  6. Habilite a configuração do action e action-modifier para aplicar aos pacotes correspondentes.
  7. Especifique as ações a serem executadas em pacotes correspondentes.

    O valor recomendado para o action é accept. Se você não especificar uma ação ou se omitir totalmente a then instrução, todos os pacotes que corresponderem às condições na from declaração serão aceitos.

  8. Especifique port-mirror como o action-modifier.

    Quando a ação do filtro é port-mirror, o pacote é copiado para uma interface local para monitoramento local ou remoto.

  9. Verifique a configuração mínima do filtro de firewall.

Documentação relacionada