Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器

此示例展示如何配置和应用防火墙过滤器,以控制进入或退出交换机端口、网络上 VLAN 和交换机上第 3 层接口的流量。防火墙过滤器定义确定是在数据包流中的特定处理点转发还是拒绝数据包的规则。

要求

此示例使用以下软件和硬件组件:

  • EX 系列交换机 Junos OS 9.0 或更高版本。

  • 两个瞻博网络 EX3200 48T 交换机:一个用作接入交换机,另一个用作分布交换机

  • 一个瞻博网络 EX-4SFP 上行链路模块

  • 一台瞻博网络 J 系列路由器

在此示例中配置和应用防火墙过滤器之前,请确保您已:

概述

此配置示例演示如何配置和应用防火墙过滤器,以提供评估数据包内容的规则,并确定何时丢弃、转发、分类、计数和分析来自 EX 系列交换机的目标或来源的数据包,用于处理所有voice-vlanemployee-vlanguest-vlan信息流。表 1显示了在本示例中为 EX 系列交换机配置的防火墙过滤器。

表 1: 配置组件:防火墙过滤器
组件 目的/说明

端口防火墙过滤器, ingress-port-voip-class-limit-tcp-icmp

此防火墙过滤器执行两个功能:

  • 将优先级队列分配给源 MAC 地址与电话 MAC 地址匹配的数据包。转发类expedited-forwarding为所有voice-vlan流量提供低损耗、低延迟、低抖动、有保证的带宽和端到端服务。

  • 对为其输入端口的employee-vlan数据包执行速率限制。TCP 和 ICMP 数据包的流量速率限制为 1 Mbps,传输大小最高可达30000字节。

此防火墙过滤器应用于接入交换机上的端口接口。

VLAN 防火墙过滤器, ingress-vlan-rogue-block

防止恶意设备使用 HTTP 会话模拟网关守卫设备,以管理 VoIP 呼叫的呼叫注册、许可和呼叫状态。仅应使用 TCP 或 UDP 端口;只有网关守卫使用 HTTP。也就是说,TCP 端口voice-vlan上的所有信息流都应发送给网关守卫设备。此防火墙过滤器适用于上的voice-vlan所有手机,包括 VLAN 上的任意两个电话之间的通信,以及网关设备和 VLAN 电话之间的所有通信。

此防火墙过滤器应用于接入交换机上的 VLAN 接口。

VLAN 防火墙过滤器, egress-vlan-watch-employee

接受employee-vlan发往企业子网的信息流,但不监控此信息流。对发往 Web 的员工流量进行计数和分析。

此防火墙过滤器应用于接入交换机上的 vlan 接口。

VLAN 防火墙过滤器, ingress-vlan-limit-guest

防止客人(非员工)与员工或员工的主机通话employee-vlan。还可防止访客使用上guest-vlan的对等应用程序,但允许访客访问 Web。

此防火墙过滤器应用于接入交换机上的 VLAN 接口。

路由器防火墙过滤器 egress-router-corp-class

划分employee-vlan流量优先级,为目标为企业子网的员工流量提供最高的转发级别优先级。

此防火墙过滤器适用于分布交换机上的路由端口(第3层上行链路模块)。

图 1显示了交换机上的端口、VLAN 和3层路由防火墙过滤器的应用。

图 1: 端口、VLAN 和3层路由防火墙过滤器的应用端口、VLAN 和3层路由防火墙过滤器的应用

网络拓扑

此配置示例的拓扑由接入层上的一个 EX-3200-48T 交换机以及分布层上的一个 EX-48T 交换机组成。分配交换机的上行链路模块配置为支持与 J 系列路由器的第 3 层连接。

EX 系列交换机配置为支持 VLAN 成员资格。表 2显示了 VLAN 的 vlan 配置组件。

表 2: 配置组件:VLAN

VLAN 名称

VLAN ID

VLAN 子网和可用 IP 地址

VLAN 说明

voice-vlan

10

192.0.2.0/28 192.0.2.1192.0.2.14

192.0.2.15 是子网的广播地址

用于员工 VoIP 流量的语音 VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17192.0.2.30 192.0.2.31到 是子网的广播地址

VLAN 独立 Pc,通过 VoIP 电话、无线接入点和打印机中的集线器连接到网络的 Pc。此 VLAN 完全包括语音 VLAN。必须在(voice-vlan连接employee-vlan到电话的端口上配置两个 vlan 和)。

guest-vlan

30

192.0.2.32/28 192.0.2.33192.0.2.46 192.0.2.47到 是子网的广播地址

访客数据设备 (PC) 的 VLAN。情景假设公司有一个对访客开放的区域,在大堂或会议室,有一个中心,访客可以插入其 PC 以连接到 Web 和公司的 VPN。

camera-vlan

40

192.0.2.48/28 192.0.2.49192.0.2.62 192.0.2.63到 是子网的广播地址

用于企业安全摄像头的 VLAN。

EX 系列交换机上的端口支持以太网供电(PoE),为连接到端口的 VoIP 电话提供网络连接和电力。表 3显示了分配给 vlan 的交换机端口,以及连接到交换机端口的设备的 IP 和 MAC 地址:

表 3: 配置组件:48端口全 PoE 交换机上的交换机端口

交换机和端口号

VLAN 成员

IP 和 MAC 地址

端口设备

ge-0/0/0, ge-0/0/1

voice-vlanemployee-vlan

IP 地址:192.0.2.1192.0.2.2

MAC 地址:00.00.5E.00.53.0100.00.5E.00.53.02

两个 VoIP 电话,每个都连接到一台 PC。

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17192.0.2.18

打印机,无线接入点

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34192.0.2.35

访问者可在其 Pc 中插入的两个中心。中心位于开放的访客(例如大厅或会议室)区域中

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49192.0.2.50

两个安全摄像机

ge-0/0/9

voice-vlan

IP 地址: 192.0.2.14

MAC 地址:00.05.5E.00.53.0E

网关设备。网关守卫管理 VoIP 电话的呼叫注册、许可和呼叫状态。

ge-0/1/0

IP 地址: 192.0.2.65

与路由器的 3 层连接;请注意,这是交换机的上行链路模块上的一个端口

配置入口端口防火墙过滤器,以确定语音信息流和速率限制 TCP 和 ICMP 信息流的优先级

要配置和应用端口、VLAN 和路由器接口的防火墙过滤器,请执行以下任务:

操作

CLI 快速配置

要快速配置和应用端口防火墙过滤器以确定发送给employee-vlan子网的语音信息流和速率限制数据包的优先级,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要配置并应用端口防火墙过滤器以确定发往employee-vlan子网的语音信息流和速率限制数据包的优先级:

  1. 定义监管器tcp-connection-policericmp-connection-policer

  2. 定义防火墙过滤器ingress-port-voip-class-limit-tcp-icmp

  3. 定义术语voip-high

  4. 定义术语network-control

  5. 定义术语tcp-connection以配置 TCP 流量的速率限制:

  6. 定义用于为icmp-connection ICMP 信息流配置速率限制的术语:

  7. 定义无匹配best-effort条件的术语,表示与防火墙过滤器中任何其他术语不匹配的所有数据包上的隐式匹配情况:

  8. 将防火墙过滤器ingress-port-voip-class-limit-tcp-icmp作为输入过滤器应用于端口接口,以便employee-vlan

  9. 配置不同计划程序所需的参数。

    注:

    为计划程序配置参数时,请定义数字以匹配您的网络流量模式。

  10. 将转发类分配给具有时间表图的计划程序:

  11. 将时间表映射与输出接口相关联:

成果

显示配置结果:

配置 VLAN 入口防火墙过滤器以防止恶意设备中断 VoIP 流量

要配置和应用端口、VLAN 和路由器接口的防火墙过滤器,请执行以下任务:

操作

CLI 快速配置

要快速配置 VLAN 防火墙过滤器voice-vlan以防止恶意设备使用 HTTP 会话模仿管理 VoIP 信息流的网关设备,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要配置并应用 VLAN 防火墙过滤器voice-vlan以防止恶意设备使用 HTTP 来模仿管理 VoIP 流量的网关网络设备:

  1. 定义防火墙过滤器ingress-vlan-rogue-block ,以指定要允许和限制的流量上的过滤器匹配:

  2. 定义术语to-gatekeeper以接受与网关目标 IP 地址匹配的数据包:

  3. 定义术语from-gatekeeper ,以接受与网关守卫的源 IP 地址匹配的数据包:

  4. 定义术语not-gatekeeper以确保 TCP 端口voice-vlan上的所有流量都是网关守卫设备的目的地:

  5. 将防火墙过滤器ingress-vlan-rogue-block作为输入过滤器应用于 VoIP 电话的 VLAN 接口:

成果

显示配置结果:

配置 VLAN 防火墙过滤器以统计、监控和分析员工 VLAN 上的出口流量

要配置和应用端口、VLAN 和路由器接口的防火墙过滤器,请执行以下任务:

操作

CLI 快速配置

防火墙过滤器配置并应用于 VLAN 接口,用于过滤employee-vlan出口流量。接受发往企业子网的员工流量,但不进行监控。对发往 Web 的员工流量进行计数和分析。

要快速配置和应用 VLAN 防火墙过滤器,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要配置并应用出口端口防火墙过滤器以计数并分析employee-vlan目标为 Web 的流量:

  1. 定义防火墙过滤器egress-vlan-watch-employee

  2. 定义要接受employee-to-corp但不监控所有employee-vlan目标为企业子网的流量的术语:

  3. 定义用于统计employee-to-web和监控所有employee-vlan目标流量的术语:

    注:

    参阅示例:在 EX 系列交换机上配置用于本地监控员工资源使用的端口镜像,以获取有关employee-monitor配置分析器的信息。

  4. 将防火墙过滤器egress-vlan-watch-employee作为输出过滤器应用于 VoIP 电话的端口接口:

成果

显示配置结果:

配置 VLAN 防火墙过滤器以限制访客 VLAN 上的来宾到员工流量和对等应用程序

要配置和应用端口、VLAN 和路由器接口的防火墙过滤器,请执行以下任务:

操作

CLI 快速配置

在以下示例中,第一个过滤器术语允许访客与其他访客交谈,而非employee-vlan员工。第二个过滤器术语允许访客 Web 访问,但阻止他们使用上的guest-vlan对等应用程序。

要快速配置 VLAN 防火墙过滤器以限制访客到员工的流量,阻止访客与员工或员工或尝试在上employee-vlanguest-vlan使用对等应用程序的主机会话,复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要配置并应用 VLAN 防火墙过滤器以限制访客到员工流量和对等应用程序guest-vlan

  1. 定义防火墙过滤器ingress-vlan-limit-guest

  2. 定义允许访guest-to-guestguest-vlan与其他访客通信但不能与employee-vlan以下员工交谈的术语:

  3. 定义允许来宾no-guest-employee-no-peer-to-peer访问 Web 的guest-vlan术语,但阻止他们在上使用对等应用程序guest-vlan

    注:

    destination-mac-address是默认网关,VLAN 中的任何主机都是下一中继站路由器。

  4. 将防火墙过滤器ingress-vlan-limit-guest作为输入过滤器应用于接口, guest-vlan 以便:

成果

显示配置结果:

配置路由器防火墙过滤器,以便为目标为企业子网的出口流量提供优先级

要配置和应用端口、VLAN 和路由器接口的防火墙过滤器,请执行以下任务:

操作

CLI 快速配置

要快速配置路由端口(第3层上行链路模块)的防火墙过滤器以过滤employee-vlan流量,为目标为企业子网的流量提供最高转发级别优先级,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要配置防火墙过滤器并将其应用于路由端口(第3层上行链路模块),以便为employee-vlan目标为企业子网的流量提供最高优先级:

  1. 定义防火墙过滤器egress-router-corp-class

  2. 定义术语corp-expedite

  3. 定义术语not-to-corp

  4. 应用防火墙过滤器作为交换机上行链路模块端口的输出过滤器,该端口为路由器提供第 egress-router-corp-class 3 层连接:

成果

显示配置结果:

针对

要确认防火墙过滤器是否正常工作,请执行以下任务:

验证防火墙过滤器和监管器是否正常运行

用途

验证交换机上配置的防火墙过滤器和监管器的操作状态。

行动

使用操作模式命令:

含义

show firewall命令显示交换机上配置的防火墙过滤器、监管器和计数器的名称。输出字段显示所有配置的计数器的字节和数据包计数,以及所有监管器的数据包计数。

验证计划程序和时间表映射是否正常运行

用途

验证计划程序和时间表映射是否可在交换机上运行。

行动

使用操作模式命令:

含义

显示有关已配置计划程序和时间表的统计数据。