Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器

此示例说明如何配置和应用防火墙过滤器,以控制进出交换机端口、网络上的 VLAN 和交换机上的第 3 层接口的流量。防火墙过滤器定义用于确定是在数据包流中的特定处理点转发还是拒绝数据包的规则。

要求

此示例使用以下软件和硬件组件:

  • 适用于 EX 系列交换机的 Junos OS 9.0 或更高版本。

  • 两台瞻博网络 EX3200-48T 交换机:一个用作接入交换机,另一个用作分配交换机

  • 一个瞻博网络 EX-UM-4SFP 上行链路模块

  • 一台瞻博网络 J 系列路由器

在此示例中配置和应用防火墙过滤器之前,请确保您已:

概述

此配置示例说明如何配置和应用防火墙过滤器,以提供规则来评估数据包的内容,并确定何时丢弃、转发、分类、计数和分析发往或源自处理所有 voice-vlanemployee-vlanguest-vlan 流量的 EX 系列交换机的数据包。 表 1 显示了此示例中为 EX 系列交换机配置的防火墙过滤器。

表 1: 配置组件:防火墙过滤器
元件 用途/描述

端口防火墙过滤器, ingress-port-voip-class-limit-tcp-icmp

此防火墙过滤器执行两个功能:

  • 将优先级队列分配给源 MAC 地址与电话 MAC 地址匹配的数据包。转发类 expedited-forwarding 为所有流量提供低损耗、低延迟、低抖动、有保证的带宽和端到端服务 voice-vlan

  • 对进入 端口 employee-vlan的数据包执行速率限制。TCP 和 ICMP 数据包的流量速率限制为 1 Mbps,突发大小最多为 30,000 字节。

此防火墙过滤器应用于接入交换机上的端口接口。

VLAN 防火墙过滤器, ingress-vlan-rogue-block

防止恶意设备使用 HTTP 会话来模仿管理 VoIP 呼叫的呼叫注册、准入和呼叫状态的网守设备。仅应使用 TCP 或 UDP 端口;而且只有网守使用 HTTP。也就是说,TCP 端口上的所有 voice-vlan 流量都应发往网守设备。此防火墙过滤器适用于 上 voice-vlan的所有电话,包括 VLAN 上任意两部电话之间的通信以及网守设备与 VLAN 电话之间的所有通信。

此防火墙过滤器应用于接入交换机上的 VLAN 接口。

VLAN 防火墙过滤器, egress-vlan-watch-employee

接受 employee-vlan 发往企业子网的流量,但不监控此流量。对发往 Web 的员工流量进行计数和分析。

此防火墙过滤器应用于接入交换机上的 VLAN 接口。

VLAN 防火墙过滤器, ingress-vlan-limit-guest

防止访客(非员工)在 上 employee-vlan与员工或员工主持人交谈。还可以防止来宾在 上使用 guest-vlan对等应用程序,但允许来宾访问 Web。

此防火墙过滤器应用于接入交换机上的 VLAN 接口。

路由器防火墙过滤器, egress-router-corp-class

确定 employee-vlan 流量的优先级,为发往公司子网的员工流量提供最高的转发类优先级。

此防火墙过滤器应用于分布式交换机上的路由端口(第 3 层上行链路模块)。

图 1 显示了交换机上端口、VLAN 和第 3 层路由防火墙过滤器的应用。

图 1: 端口、VLAN 和第 3 层路由防火墙过滤器的应用端口、VLAN 和第 3 层路由防火墙过滤器的应用

网络拓扑

此配置示例的拓扑由接入层的一台 EX-3200-48T 交换机和分布层的一台 EX-3200-48T 交换机组成。分布交换机的上行链路模块配置为支持与 J 系列路由器的第 3 层连接。

EX 系列交换机配置为支持 VLAN 成员资格。 表 2 显示了 VLAN 的 VLAN 配置组件。

表 2: 配置组件:VLAN

VLAN 名称

虚拟帧 ID

VLAN 子网和可用 IP 地址

VLAN 说明

voice-vlan

10

192.0.2.0/28 192.0.2.1通过 192.0.2.14

192.0.2.15 是子网的广播地址

用于员工 VoIP 流量的语音 VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17 through 192.0.2.30 192.0.2.31 是子网的广播地址

VLAN 独立 PC、通过 VoIP 电话、无线接入点和打印机中的集线器连接到网络的 PC。此 VLAN 完全包含语音 VLAN。必须在连接到电话的端口上配置两个 VLAN (voice-vlanemployee-vlan)。

guest-vlan

30

192.0.2.32/28 192.0.2.33 through 192.0.2.46 192.0.2.47 是子网的广播地址

访客数据设备 (PC) 的 VLAN。该方案假定公司有一个向访客开放的区域,无论是在大厅还是在会议室中,该区域都有一个集线器,访客可以插入其 PC 以连接到 Web 和公司的 VPN。

camera-vlan

40

192.0.2.48/28 192.0.2.49 through 192.0.2.62 192.0.2.63 是子网的广播地址

用于企业安全摄像头的 VLAN。

EX 系列交换机上的端口支持以太网供电 (PoE),为连接到端口的 VoIP 电话提供网络连接和电源。 表 3 显示分配给 VLAN 的交换机端口以及连接到交换机端口的设备的 IP 和 MAC 地址:

表 3: 配置组件:48 端口全 PoE 交换机上的交换机端口

交换机和端口号

VLAN 成员资格

IP 和 MAC 地址

端口设备

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP 地址:192.0.2.1 通过 192.0.2.2

MAC 地址:00.00.5E.00.53.01, 00.00.5E.00.53.02

两个VoIP电话,每个电话连接到一台PC。

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 通过 192.0.2.18

打印机、无线接入点

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 通过 192.0.2.35

两个集线器,访客可以将他们的 PC 插入其中。枢纽位于对访客开放的区域,如大堂或会议室

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 通过 192.0.2.50

两个安全摄像头

ge-0/0/9

voice-vlan

IP地址: 192.0.2.14

MAC地址:00.05.5E.00.53.0E

网守设备。网守管理 VoIP 电话的呼叫注册、准入和呼叫状态。

ge-0/1/0

IP地址: 192.0.2.65

与路由器的第 3 层连接;请注意,这是交换机上行链路模块上的端口

配置入口端口防火墙过滤器以优先处理语音流量并限制 TCP 和 ICMP 流量的速率

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器,请执行以下操作:

程序

CLI 快速配置

要快速配置和应用端口防火墙过滤器,以确定发往 employee-vlan 子网的语音流量和速率限制数据包的优先级,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置并应用端口防火墙过滤器,以确定发往 employee-vlan 子网的语音流量和速率限制数据包的优先级,请执行以下操作:

  1. 定义监管器和tcp-connection-policericmp-connection-policer

  2. 定义防火墙过滤器 ingress-port-voip-class-limit-tcp-icmp

  3. 定义术语 voip-high

  4. 定义术语 network-control

  5. 定义术语 tcp-connection 以配置 TCP 流量的速率限制:

  6. 定义术语以 icmp-connection 配置 ICMP 流量的速率限制:

  7. 在防火墙过滤器中与任何其他术语不匹配的所有数据包上定义没有匹配条件的术语 best-effort

  8. 将防火墙过滤器 ingress-port-voip-class-limit-tcp-icmp 作为输入过滤器应用于以下端口 employee-vlan接口:

  9. 配置不同调度程序所需的参数。

    注:

    为调度程序配置参数时,请定义与网络流量模式匹配的数字。

  10. 使用调度器图将转发类分配给调度器:

  11. 将调度器图与传出接口关联:

结果

显示配置结果:

配置 VLAN 入口防火墙过滤器以防止恶意设备中断 VoIP 流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器,请执行以下操作:

程序

CLI 快速配置

要快速配置 voice-vlan VLAN 防火墙过滤器以防止恶意设备使用 HTTP 会话来模仿管理 VoIP 流量的网守设备,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置 voice-vlan 并应用 VLAN 防火墙过滤器以防止恶意设备使用 HTTP 模仿管理 VoIP 流量的网守设备,请执行以下操作:

  1. 定义防火墙过滤器 ingress-vlan-rogue-block ,以指定与要允许和限制的流量匹配的过滤器:

  2. 定义术语以 to-gatekeeper 接受与网守目标 IP 地址匹配的数据包:

  3. 定义术语以 from-gatekeeper 接受与网守的源 IP 地址匹配的数据包:

  4. 定义术语 not-gatekeeper 以确保 TCP 端口上的所有 voice-vlan 流量都发往网守设备:

  5. 将防火墙过滤器 ingress-vlan-rogue-block 作为输入过滤器应用于 VoIP 电话的 VLAN 接口:

结果

显示配置结果:

配置 VLAN 防火墙过滤器以计数、监控和分析员工 VLAN 上的出口流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器,请执行以下操作:

程序

CLI 快速配置

配置防火墙过滤器并将其应用于 VLAN 接口以过滤 employee-vlan 出口流量。发往公司子网的员工流量将被接受,但不会受到监控。对发往 Web 的员工流量进行计数和分析。

要快速配置和应用 VLAN 防火墙过滤器,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置和应用出口端口防火墙过滤器来计算和分析 employee-vlan 发往 Web 的流量,请执行以下操作:

  1. 定义防火墙过滤器 egress-vlan-watch-employee

  2. 定义术语以 employee-to-corp 接受但不监控发往企业子网的所有 employee-vlan 流量:

  3. 定义术语 employee-to-web 来计算和监控发往 Web 的所有 employee-vlan 流量:

    注:

    请参阅 示例:配置端口镜像以本地监控 EX 系列交换机 上的员工资源使用情况 有关配置 employee-monitor 分析器的信息。

  4. 将防火墙过滤器 egress-vlan-watch-employee 作为输出过滤器应用于 VoIP 电话的端口接口:

结果

显示配置结果:

配置 VLAN 防火墙过滤器以限制访客 VLAN 上的访客到员工流量和对等应用程序

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器,请执行以下操作:

程序

CLI 快速配置

在以下示例中,第一个筛选器术语允许来宾与其他来宾交谈,但不允许员工在 上 employee-vlan交谈。第二个筛选器术语允许来宾进行 Web 访问,但阻止来宾在 上使用 guest-vlan对等应用程序。

要快速配置 VLAN 防火墙过滤器以限制访客与员工之间的流量,阻止访客与 上的 employee-vlan 员工或员工主机交谈或尝试在 上 guest-vlan使用对等应用程序,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置和应用 VLAN 防火墙过滤器以限制访客到员工的流量和对等应用程序 guest-vlan,请执行以下操作:

  1. 定义防火墙过滤器 ingress-vlan-limit-guest

  2. 定义术语 guest-to-guest 以允许 上的 guest-vlan 来宾与其他来宾交谈,但不允许 上的 employee-vlan员工交谈:

  3. 定义术语 no-guest-employee-no-peer-to-peer 以允许 Web 上的 guest-vlan 来宾访问,但阻止他们在 上使用 guest-vlan上的对等应用程序。

    注:

    destination-mac-address 默认网关,对于 VLAN 中的任何主机,它是下一跃点路由器。

  4. 将防火墙过滤器 ingress-vlan-limit-guest 作为输入过滤器应用于以下接口 guest-vlan

结果

显示配置结果:

配置路由器防火墙过滤器以优先处理发往企业子网的出口流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器,请执行以下操作:

程序

CLI 快速配置

要为路由端口(第 3 层上行链路模块)快速配置防火墙过滤器以过滤 employee-vlan 流量,从而为发往企业子网的流量提供最高转发类优先级,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要配置防火墙过滤器并将其应用于路由端口(第 3 层上行链路模块),以便为发往企业子网的流量提供 employee-vlan 最高优先级:

  1. 定义防火墙过滤器 egress-router-corp-class

  2. 定义术语 corp-expedite

  3. 定义术语 not-to-corp

  4. 将防火墙过滤器 egress-router-corp-class 用作交换机上行链路模块上端口的输出过滤器,该模块提供与路由器的第 3 层连接:

结果

显示配置结果:

验证

要确认防火墙过滤器工作正常,请执行以下任务:

验证防火墙过滤器和监管器是否正常运行

目的

验证交换机上配置的防火墙过滤器和监管器的运行状态。

操作

使用操作模式命令:

意义

show firewall 命令将显示交换机上配置的防火墙过滤器、监管器和计数器的名称。输出字段显示所有已配置计数器的字节和数据包计数以及所有监管器的数据包计数。

验证调度程序和调度器映射是否正常运行

目的

验证调度程序和调度程序图在交换机上是否正常运行。

操作

使用操作模式命令:

意义

显示有关已配置调度程序和调度程序映射的统计信息。