Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Definindo um filtro de firewall com espelhamento de porta

A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise. Isso é conhecido como espelhamento de porta.

O espelhamento de portas é diferente da amostragem de tráfego. Na amostragem de tráfego, uma chave amostragem baseada no cabeçalho IPv4 é enviada ao Mecanismo de Roteamento. Lá, a chave pode ser colocada em um arquivo, ou pacotes cflowd com base na chave podem ser enviados a um servidor cflowd. No espelhamento de porta, todo o pacote é copiado e enviado por uma interface de próximo salto.

Você pode configurar o uso simultâneo de amostragem e espelhamento de portas e definir uma taxa de amostragem independente e comprimento de execução para pacotes espelhados por porta. No entanto, se um pacote for selecionado para amostragem e espelhamento de portas, apenas uma ação pode ser realizada e o espelhamento de porta prevalece. Por exemplo, se você configurar uma interface para provar cada entrada de pacote na interface e um filtro também selecionar o pacote a ser espelhado em outra interface, apenas o espelhamento de porta faria efeito. Todos os outros pacotes que não correspondam aos critérios explícitos de espelhamento de porta de filtro continuam a ser amostrados quando encaminhados ao seu destino final.

Os filtros de firewall fornecem um meio de proteger seu roteador contra o tráfego excessivo que transita pelo roteador para um destino de rede ou destinado ao Mecanismo de Roteamento. Os filtros de firewall que controlam pacotes locais também podem proteger seu roteador contra incidentes externos.

Você pode configurar um filtro de firewall para fazer o seguinte:

  • Restrinja o tráfego destinado ao Mecanismo de Roteamento com base em sua origem, protocolo e aplicativo.

  • Limite a taxa de tráfego de pacotes destinados ao Mecanismo de Roteamento para proteger contra ataques de inundação ou negação de serviço (DoS).

  • Atenda a circunstâncias especiais associadas a pacotes fragmentados destinados ao Mecanismo de Roteamento. Como o dispositivo avalia cada pacote em relação a um filtro de firewall (incluindo fragmentos), você deve configurar o filtro para acomodar fragmentos que não contêm informações de cabeçalho de pacote. Caso contrário, o filtro descarta todos, exceto o primeiro fragmento de um pacote fragmentado.

Para obter informações sobre a configuração de filtros de firewall em geral (incluindo em um ambiente de Camada 3), veja a visão geral do filtro de firewall sem estado e como os filtros de firewall padrão avaliam pacotes nas políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego.

Para definir um filtro de firewall com uma ação de espelhamento de portas:

  1. Prepare o tráfego para espelhamento de portas, incluindo a filter declaração no nível de [edit firewall family (inet | inet6)] hierarquia.

    Este filtro no nível de [edit firewall family (inet | inet6)] hierarquia seleciona o tráfego a ser espelhado por porta:

  2. Habilite a configuração de filtros de firewall.

    O valor da opção family pode ser inet ou inet6.

  3. Habilite a configuração de um filtro filter-namede firewall.
  4. Habilite a configuração de um termo filter-term-namede filtro de firewall.
  5. Especifique as condições de correspondência do filtro de firewall com base no endereço de origem da rota para espelhar um subconjunto dos pacotes amostrados.
  6. Habilite a action configuração e action-modifier aplique aos pacotes correspondentes.
  7. Especifique as ações a serem tomadas em pacotes correspondentes.

    O valor recomendado para o action é aceitar. Se você não especificar uma ação ou se omitir a then declaração inteiramente, todos os pacotes que correspondam às condições na from declaração serão aceitos.

  8. Especifique o espelho de porta como. action-modifier

    Quando a ação do filtro é port-mirror, o pacote é copiado para uma interface local para monitoramento local ou remoto.

  9. Verifique a configuração mínima do filtro de firewall.

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
14.2
A partir da versão 14.2, em roteadores que contenham um circuito integrado específico de aplicativo (ASIC) ou processador de Internet da Série T, você pode enviar uma cópia de um pacote ip versão 4 (IPv4) ou ip versão 6 (IPv6) do roteador para um endereço de host externo ou um analisador de pacotes para análise.