在本页

要求
概述
配置入口端口防火墙过滤器，以区分语音流量的优先级以及限制 TCP 和 ICMP 流量的速率
配置 VLAN 入口防火墙过滤器以防止非法设备中断 VoIP 流量
配置 VLAN 防火墙过滤器以计算、监控和分析员工 VLAN 上的出口流量
配置 VLAN 防火墙过滤器以限制访客到员工的流量和访客 VLAN 上的对等应用程序
配置路由器防火墙过滤器，以优先管理前往企业子网的出口流量
验证

示例：为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器

此示例说明如何配置和应用防火墙过滤器，以控制进入或退出交换机上端口、网络上的 VLAN 和交换机上第 3 层接口的流量。防火墙过滤器定义规则，用于确定是在数据包流中的特定处理点转发还是拒绝数据包。

要求

此示例使用以下软件和硬件组件：

EX 系列交换机的 Junos OS 9.0 或更高版本。
两台瞻博网络 EX3200-48T 交换机：一个用作接入交换机，另一个用作分布式交换机
一个瞻博网络 EX-UM-4SFP 上行链路模块
一台瞻博网络 J 系列路由器

在配置和应用此示例中的防火墙过滤器之前，请确保您已：

了解防火墙过滤器概念、监管器和 CoS
在分布式交换机中安装了上行链路模块。请参阅在 EX3200 交换机中安装上行链路模块。

概述

此配置示例说明如何配置和应用防火墙过滤器以提供规则来评估数据包内容，并确定何时丢弃、转发、分类、计数和分析发往或源自 EX 系列交换机的数据包，用于处理所有voice-vlan和employee-vlanguest-vlan流量。表 1显示了在此示例中为 EX 系列交换机配置的防火墙过滤器。

表 1：配置组件：防火墙过滤器
组件	目的/说明
端口防火墙过滤器、 `ingress-port-voip-class-limit-tcp-icmp`	此防火墙过滤器执行两项功能：为源 MAC 地址与电话 MAC 地址匹配的数据包分配优先级队列。转发类 `expedited-forwarding` 为所有 `voice-vlan` 流量提供低损耗、低延迟、低抖动、有保证的带宽和端到端服务。对进入其端口 `employee-vlan`的数据包执行速率限制。TCP 和 ICMP 数据包的流量速率限制为 1 Mbps，突发大小最高可达 30，000 字节。此防火墙过滤器应用于接入交换机上的端口接口。
VLAN 防火墙过滤器、 `ingress-vlan-rogue-block`	防止非法设备使用 HTTP 会话来模仿管理 VoIP 呼叫的呼叫注册、许可和呼叫状态的门卫设备。仅应使用 TCP 或 UDP 端口;只有看门人使用 HTTP 也就是说，TCP 端口上的所有 `voice-vlan` 流量都应运往看门设备。此防火墙过滤器适用于上 `voice-vlan`的所有电话，包括 VLAN 上任何两部电话之间的通信，以及看门设备和 VLAN 电话之间的所有通信。此防火墙过滤器应用于接入交换机上的 VLAN 接口。
VLAN 防火墙过滤器、 `egress-vlan-watch-employee`	接受 `employee-vlan` 以公司子网为目的地的流量，但不监控此流量。对运往 Web 的员工流量进行计数和分析。此防火墙过滤器应用于接入交换机上的 vlan 接口。
VLAN 防火墙过滤器、 `ingress-vlan-limit-guest`	阻止访客（非员工）与员工或员工主机 `employee-vlan`交谈。还可以阻止访客在上 `guest-vlan`使用对等应用程序，但允许访客访问 Web。此防火墙过滤器应用于接入交换机上的 VLAN 接口。
路由器防火墙过滤器、 `egress-router-corp-class`	对流量进行优先级排序 `employee-vlan` ，为发往企业子网的员工流量提供最高转发等级优先级。此防火墙过滤器应用于分布式交换机上的路由端口（第 3 层上行链路模块）。

图 1 显示了交换机上端口、VLAN 和第 3 层路由防火墙过滤器的应用。

图 1：端口、VLAN 和第 3 层路由防火墙过滤器的应用

网络拓扑结构

此配置示例的拓扑包括接入层的一台 EX-3200-48T 交换机，分布层为一台 EX-3200-48T 交换机。分配交换机的上行链路模块配置为支持与 J 系列路由器的第 3 层连接。

EX 系列交换机配置为支持 VLAN 成员资格。表 2 显示了 VLAN 的 VLAN 配置组件。

表 2：配置组件：VLAN
VLAN 名称	VLAN ID	VLAN 子网和可用 IP 地址	VLAN 说明
`voice-vlan`	`10`	`192.0.2.0/28 192.0.2.1`通过 `192.0.2.14` `192.0.2.15` 是子网的广播地址	用于员工 VoIP 流量的语音 VLAN
`employee-vlan`	`20`	`192.0.2.16/28` `192.0.2.17` 到 `192.0.2.30` `192.0.2.31` 的就是子网的广播地址	VLAN 独立 PC、通过 VoIP 电话、无线接入点和打印机中的中枢连接到网络的 PC。此 VLAN 完全包含语音 VLAN。必须在连接到电话的端口上配置两个 VLAN `(voice-vlan` 和 `employee-vlan`）。
`guest-vlan`	`30`	`192.0.2.32/28` `192.0.2.33` 到 `192.0.2.46` `192.0.2.47` 的就是子网的广播地址	来宾数据设备（PC）的 VLAN。该场景假设公司有一个对访客开放的区域（在大厅或会议室中），该区域有一个中枢，访客可以插入 PC 以连接到 Web 和公司的 VPN。
`camera-vlan`	`40`	`192.0.2.48/28` `192.0.2.49` 到 `192.0.2.62` `192.0.2.63` 的就是子网的广播地址	企业安全摄像机的 VLAN。

EX 系列交换机上的端口支持以太网供电（PoE），可为连接到端口的 VoIP 电话提供网络连接和电源。表 3 显示分配给 VLAN 的交换机端口，以及连接到交换机端口的设备的 IP 和 MAC 地址：

表 3：配置组件：48 端口全 PoE 交换机上的交换机端口
交换机和端口号	VLAN 成员资格	IP 和 MAC 地址	端口设备
ge-0/0/0、ge-0/0/1	`voice-vlan`, `employee-vlan`	IP 地址：`192.0.2.1` 通过 `192.0.2.2` MAC 地址：`00.00.5E.00.53.01`, `00.00.5E.00.53.02`	两部 VoIP 电话，每个都连接到一台 PC。
ge-0/0/2、ge-0/0/3	`employee-vlan`	`192.0.2.17` 通过 `192.0.2.18`	打印机、无线接入点
ge-0/0/4, ge-0/0/5	`guest-vlan`	`192.0.2.34` 通过 `192.0.2.35`	两个中心，访客可以插入 PC。中心位于对游客开放的区域，如大厅或会议室
ge-0/0/6, ge-0/0/7	`camera-vlan`	`192.0.2.49` 通过 `192.0.2.50`	两个安全摄像头
ge-0/0/9	`voice-vlan`	IP 地址： `192.0.2.14` MAC 地址：`00.05.5E.00.53.0E`	网关设备。看门人管理 VoIP 电话的呼叫注册、准入和呼叫状态。
ge-0/1/0		IP 地址： `192.0.2.65`	与路由器的第 3 层连接;请注意，这是交换机上行链路模块上的一个端口

配置入口端口防火墙过滤器，以区分语音流量的优先级以及限制 TCP 和 ICMP 流量的速率

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器，请执行以下操作：

CLI 快速配置

要快速配置和应用端口防火墙过滤器，以确定发往子网的语音流量和速率限制数据包的 employee-vlan 优先级，请复制以下命令并将其粘贴到交换机终端窗口中：

逐步过程

要配置和应用端口防火墙过滤器，以便确定发往子网的语音流量和速率限制数据包的 employee-vlan 优先级：

定义监管器 tcp-connection-policer ： icmp-connection-policer：

定义防火墙过滤器 ingress-port-voip-class-limit-tcp-icmp：

定义术语 voip-high：

定义术语 network-control：

定义用于配置 TCP 流量速率限制的术语 tcp-connection ：

定义为 ICMP 流量配置速率限制的术语 icmp-connection ：

在防火墙过滤器中，对于与任何其他术语 best-effort 不匹配的所有数据包，定义无匹配条件的术语：

将防火墙过滤器 ingress-port-voip-class-limit-tcp-icmp 作为输入过滤器应用于端口接口，用于 employee-vlan：

配置不同调度程序所需的参数。

注：

配置调度器参数时，请定义与网络流量模式匹配的数字。

使用调度器图将转发类分配给调度程序：

将调度器图与传出接口相关联：

结果

显示配置结果：

配置 VLAN 入口防火墙过滤器以防止非法设备中断 VoIP 流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器，请执行以下操作：

程序

CLI 快速配置
逐步过程
结果

CLI 快速配置

要快速配置 voice-vlan VLAN 防火墙过滤器，以防止非法设备使用 HTTP 会话模仿管理 VoIP 流量的守门设备，请复制以下命令并将其粘贴到交换机终端窗口中：

逐步过程

要配置并应用 VLAN 防火墙过滤器 voice-vlan 以防止非法设备使用 HTTP 模仿管理 VoIP 流量的守门设备：

定义防火墙过滤器 ingress-vlan-rogue-block ，以针对要允许和限制的流量指定过滤器匹配：

定义接受与门卫程序目标 IP 地址匹配的数据包的术语 to-gatekeeper ：

定义接受与网关源 IP 地址匹配的数据包的术语 from-gatekeeper ：

定义术语 not-gatekeeper 以确保 TCP 端口上的所有 voice-vlan 流量都流向网关设备：

将防火墙过滤器 ingress-vlan-rogue-block 作为输入过滤器应用于 VoIP 电话的 VLAN 接口：

结果

显示配置结果：

配置 VLAN 防火墙过滤器以计算、监控和分析员工 VLAN 上的出口流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器，请执行以下操作：

程序

CLI 快速配置
逐步过程
结果

CLI 快速配置

配置了防火墙过滤器并应用于 VLAN 接口，以过滤 employee-vlan 出口流量。接收面向公司子网的员工流量，但不会受到监控。对运往 Web 的员工流量进行计数和分析。

要快速配置和应用 VLAN 防火墙过滤器，请复制以下命令并将其粘贴到交换机终端窗口中：

逐步过程

要配置并应用出口端口防火墙过滤器来计数和分析 employee-vlan 前往 Web 的流量：

定义防火墙过滤器 egress-vlan-watch-employee：

定义接受但不监控以公司子网为目的地的所有employee-vlan流量的术语employee-to-corp：

定义对以 Web 为目的地的所有employee-vlan流量进行计数和监控的术语employee-to-web：

注：

请参阅示例：配置端口镜像以本地监控 EX 系列交换机上员工资源使用情况，了解有关配置 employee-monitor 分析器的信息。

将防火墙过滤器 egress-vlan-watch-employee 作为输出过滤器应用于 VoIP 电话的端口接口：

结果

显示配置结果：

配置 VLAN 防火墙过滤器以限制访客到员工的流量和访客 VLAN 上的对等应用程序

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器，请执行以下操作：

程序

CLI 快速配置
逐步过程
结果

CLI 快速配置

在以下示例中，第一个过滤器术语允许访客与其他访客交谈，但不允许员工交谈 employee-vlan。第二个过滤器术语允许访客进行 Web 访问，但会阻止访客在上 guest-vlan使用对等应用程序。

要快速配置 VLAN 防火墙过滤器以限制访客到员工的流量，阻止访客与员工或员工主机上 employee-vlan 对话或尝试在 guest-vlan对等上使用应用程序，请复制以下命令并将其粘贴到交换机终端窗口中：

逐步过程

要配置和应用 VLAN 防火墙过滤器以限制访客到员工的流量和对等应用程序 guest-vlan：

定义防火墙过滤器 ingress-vlan-limit-guest：

定义该术语 guest-to-guest 以允许访客 guest-vlan 与其他访客交谈，但不允许员工在以下方面 employee-vlan交谈：

定义术语 no-guest-employee-no-peer-to-peer 以允许访客 guest-vlan 访问 Web，但防止访客在上使用对等应用程序 guest-vlan。

注：

这是 destination-mac-address 默认网关，对于 VLAN 中的任何主机而言，该网关都是下一跃点路由器。

将防火墙过滤器 ingress-vlan-limit-guest 作为输入过滤器应用于接口，用于 guest-vlan ：

结果

显示配置结果：

配置路由器防火墙过滤器，以优先管理前往企业子网的出口流量

要为端口、VLAN 和路由器接口配置和应用防火墙过滤器，请执行以下操作：

程序

CLI 快速配置
逐步过程
结果

CLI 快速配置

要为路由端口（第 3 层上行链路模块）快速配置防火墙过滤器以过滤 employee-vlan 流量，为发往企业子网的流量提供最高转发等级优先级，请复制以下命令并将其粘贴到交换机终端窗口中：

逐步过程

要配置防火墙过滤器并将其应用于路由端口（第 3 层上行链路模块），以便对 employee-vlan 发往企业子网的流量给予最高优先级：

定义防火墙过滤器 egress-router-corp-class：

定义术语 corp-expedite：

定义术语 not-to-corp：

将防火墙过滤器 egress-router-corp-class 用作交换机上行链路模块上端口的输出过滤器，后者为路由器提供第 3 层连接：

结果

显示配置结果：

验证

要确认防火墙过滤器工作正常，请执行以下操作：

验证防火墙过滤器和监管器是否正常运行
验证调度工具和调度器图是否可操作

验证防火墙过滤器和监管器是否正常运行

目的
行动
含义

目的

验证交换机上配置的防火墙过滤器和监管器的操作状态。

行动

使用操作模式命令：

含义

命令 show firewall 显示交换机上配置的防火墙过滤器、监管者和计数器的名称。输出字段显示所有配置的计数器的字节和数据包计数，以及所有监管者的数据包计数。

验证调度工具和调度器图是否可操作

目的
行动
含义

目的

验证交换机上的调度工具和调度器图是否正常运行。

行动

使用操作模式命令：

含义

显示有关已配置时间表和调度器图的统计信息。

在本页

示例：为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器

要求

概述

网络拓扑结构

配置入口端口防火墙过滤器，以区分语音流量的优先级以及限制 TCP 和 ICMP 流量的速率

程序

CLI 快速配置

逐步过程

结果

配置 VLAN 入口防火墙过滤器以防止非法设备中断 VoIP 流量

程序

CLI 快速配置

逐步过程

结果

配置 VLAN 防火墙过滤器以计算、监控和分析员工 VLAN 上的出口流量

程序

CLI 快速配置

逐步过程

结果

配置 VLAN 防火墙过滤器以限制访客到员工的流量和访客 VLAN 上的对等应用程序

程序

CLI 快速配置

逐步过程

结果

配置路由器防火墙过滤器，以优先管理前往企业子网的出口流量

程序

CLI 快速配置

逐步过程

结果

验证

验证防火墙过滤器和监管器是否正常运行

目的

行动

含义

验证调度工具和调度器图是否可操作

目的

行动

含义

相关主题