Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren von Firewall-Filtern für Port-, VLAN- und Routerdatenverkehr auf Switches der EX-Serie

In diesem Beispiel wird gezeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Datenverkehr, der einen Port auf dem Switch ein- oder aus dem Netzwerk betritt, ein VLAN im Netzwerk und eine Layer-3-Schnittstelle auf dem Switch zu steuern. Firewall-Filter definieren die Regeln, die festlegen, ob Pakete an bestimmten Verarbeitungspunkten im Paketfluss weitergeleitet oder verweigert werden müssen.

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

  • Junos OS 9.0 oder höher für Switches der EX-Serie.

  • Zwei Juniper Networks-Switches EX3200-48T: einen Switch, der als Zugriffss switch verwendet werden kann, der andere als Verteilungs-Switch

  • Ein Juniper Networks EX-UM-4SFP Uplink-Modul

  • Ein Juniper Networks-Router der J-Serie

Bevor Sie die Firewall-Filter in diesem Beispiel konfigurieren und anwenden, verfügen Sie über Folgendes:

Überblick

In diesem Konfigurationsbeispiel wird gezeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Regeln für die Bewertung des Paketinhalts und zur Bestimmung des Verwerfens, Forwards, Klassifizieren, Zählens und Analysierens von Paketen zu erstellen, die für Switches der EX-Serie bestimmt sind oder von diesen ausgehend sind, sowie Datenverkehr. Zeigt die Firewall-Filter, die für Die Switches der EX-Serie in diesem Beispiel konfiguriert voice-vlanemployee-vlanguest-vlanTabelle 1 sind.

Tabelle 1: Konfigurationskomponenten: Firewall-Filter
Komponente Zweck/Beschreibung

Port-Firewall-Filter, ingress-port-voip-class-limit-tcp-icmp

Dieser Firewall-Filter führt zwei Funktionen aus:

  • Weist Paketen eine Prioritätswarteschlangenung mit einer Mac-Quelladresse zu, die den MAC-Adressen des Telefons entspricht. Die Weiterleitungsklasse bietet niedrige Verluste, niedrige Verzögerung, geringen Jitter, gesicherte Bandbreite und expedited-forwarding End-to-End-Dienste für den ganzen voice-vlan Datenverkehr.

  • Führt eine Begrenzung der Geschwindigkeit auf Paketen aus, die die Ports für employee-vlan eingeben. Die Datenverkehrsrate für TCP- und ICMP-Pakete ist auf 1 Mbit/s mit einer Burst-Größe von bis zu 30.000 Bytes begrenzt.

Dieser Firewall-Filter wird auf Portschnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, ingress-vlan-rogue-block

Verhindert, dass nicht autorisierte Geräte HTTP-Sitzungen verwenden, um das Geräte des Gate dann zu ahmen, das die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Anrufe verwaltet. Es sollten nur TCP- oder UDP-Ports verwendet werden. und nur der Gatehälter verwendet HTTP. Das heißt, der ganze Datenverkehr an den TCP-Ports sollte an das Geräte des Gate für die Sicherheit des Geräts voice-vlan bestimmt sein. Dieser Firewall-Filter gilt für alle ein-Telefone, einschließlich der Kommunikation zwischen zwei beliebigen Telefonen im VLAN und die gesamte Kommunikation zwischen dem Geräte des voice-vlan Torwarts und VLAN-Telefonen.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, egress-vlan-watch-employee

Akzeptiert employee-vlan Datenverkehr, der für das Unternehmens-Subnetz bestimmt ist, überwacht diesen Datenverkehr jedoch nicht. Der für das Internet bestimmte Mitarbeiterdatenverkehr wird gezählt und analysiert.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, ingress-vlan-limit-guest

Verhindert, dass Gäste (nicht Angestellte) mit Mitarbeitern oder Mitarbeiter-Hosts auf reden employee-vlan können. Darüber hinaus wird verhindert, dass Gäste Peer-to-Peer-Anwendungen verwenden, aber Gäste guest-vlan können auf das Internet zugreifen.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

Router-Firewall-Filter, egress-router-corp-class

Priorisiert den Datenverkehr, so dass Mitarbeiterdatenverkehr, der für das Subnetz des Unternehmens bestimmt ist, höchste employee-vlan Priorität für die Weiterleitungsklasse hat.

Dieser Firewall-Filter wird auf einen Gerouteten Port (ein Layer-3-Uplink-Modul) auf dem Verteilungs-Switch angewendet.

Abbildung 1 zeigt die Anwendung von Port-, VLAN- und Layer-3-Gerouteten Firewall-Filtern auf dem Switch an.

Abbildung 1: Anwendung von Port-, VLAN- und Layer-3-Gerouteten Firewall-FilternAnwendung von Port-, VLAN- und Layer-3-Gerouteten Firewall-Filtern

Netzwerktopologie

Die Topologie für dieses Konfigurationsbeispiel besteht aus einem Switch EX-3200-48T auf der Zugriffsebene und einem EX-3200-48T-Switch auf der Verteilungsebene. Das Uplinkmodul des Verteilungs-Switches ist so konfiguriert, dass es eine Layer 3-Verbindung mit einem Router der J-Serie unterstützt.

Die Switches der EX-Serie sind so konfiguriert, dass sie die VLAN-Mitgliedschaft unterstützen. Tabelle 2 zeigt die VLAN-Konfigurationskomponenten für die VLANs an.

Tabelle 2: Konfigurationskomponenten: VLANs

VLAN-Name

VLAN-ID

VLAN-Subnetz und verfügbare IP-Adressen

VLAN-Beschreibung

voice-vlan

10

192.0.2.0/28 192.0.2.1 Durch 192.0.2.14

192.0.2.15 die Broadcast-Adresse des Subnetzes

Sprach-VLAN für VoIP-Verkehr von Mitarbeitern

employee-vlan

20

192.0.2.16/28 192.0.2.17 über 192.0.2.30 192.0.2.31 die Broadcast-Adresse des Subnetzes

Eigenständige VLAN-PCs, PCs, die über den Hub in VoIP-Telefonen, WLAN-Access Points und Druckern mit dem Netzwerk verbunden sind. Dieses VLAN umfasst vollständig das Sprach-VLAN. Zwei VLANs und ) müssen an den Ports für die (voice-vlanemployee-vlan Telefone konfiguriert werden.

guest-vlan

30

192.0.2.32/28 192.0.2.33 über 192.0.2.46 192.0.2.47 die Broadcast-Adresse des Subnetzes

VLAN für Datengeräte (PCs) der Gäste. Das Szenario setzt voraus, dass das Unternehmen einen Bereich hat, der für Besucher entweder in der Empfangshalle oder in einem Konferenzraum verfügbar ist und über einen Hub verfügt, mit dem Besucher ihre PCs anschließen können, um sich mit dem Internet und dem VPN ihres Unternehmens zu verbinden.

camera-vlan

40

192.0.2.48/28 192.0.2.49 über 192.0.2.62 192.0.2.63 die Broadcast-Adresse des Subnetzes

VLAN für Sicherheitskameras in Unternehmen.

Anschlüsse an den Switches der EX-Serie unterstützen PoE (PoE), um sowohl Netzwerkverbindungen als auch Strom für mit den Ports verbundenen VoIP-Telefone zu bieten. Tabelle 3 zeigt die Switch-Ports, die den VLANs zugewiesen sind, und die IP- und MAC-Adressen für mit den Switch-Ports verbundene Geräte an:

Tabelle 3: Konfigurationskomponenten: Switch-Ports auf einem All-PoE-Switch mit 48 Ports

Switch- und Portnummer

VLAN-Mitgliedschaft

IP- und MAC-Adressen

Portgeräte

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP-Adressen: 192.0.2.1 Durch 192.0.2.2

MAC-Adressen: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Zwei VoIP-Telefone, die alle mit einem PC verbunden sind.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Durch 192.0.2.18

Drucker, drahtlose Access Points

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Durch 192.0.2.35

Zwei Hubs, in die Besucher ihre PCs anschließen können. Hubs befinden sich in einem Bereich, in dem Besucher geöffnet sind, z. B. in einer Empfangshalle oder einem Konferenzraum.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Durch 192.0.2.50

Zwei Sicherheitskameras

ge-0/0/9

voice-vlan

IP-Adresse: 192.0.2.14

MAC-Adresse:00.05.5E.00.53.0E

Gatekeeper-Gerät. Der Gatekeeper verwaltet die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Telefone.

ge-0/1/0

IP-Adresse: 192.0.2.65

Layer 3-Verbindung mit einem Router; Beachten Sie, dass es sich dabei um einen Port auf dem Uplink-Modul des Switches handelt,

Konfigurieren eines Firewall-Filters zum Ingress Port, um Sprachdatenverkehr zu priorisieren und TCP- und ICMP-Datenverkehr zu begrenzen

Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:

Verfahren

CLI-Konfiguration

Kopieren Sie die folgenden Befehle in das Switch-Terminalfenster, um den Port-Firewall-Filter zur Priorisierung von Sprachdatenverkehr und Paketen mit Begrenzung der Raten, die für das Subnetz bestimmt sind, schnell zu konfigurieren und employee-vlan anzuwenden:

Schritt-für-Schritt-Verfahren

Zur Konfiguration und Anwendung eines Ports-Firewallfilters zur Priorisierung von Sprachdatenverkehr und Paketen zur Begrenzung der Raten, die für das employee-vlan Subnetz bestimmt sind:

  1. Definieren Sie die Policer tcp-connection-policericmp-connection-policer und:

  2. Definieren sie den ingress-port-voip-class-limit-tcp-icmp Firewall-Filter:

  3. Den Begriff voip-high definieren:

  4. Den Begriff network-control definieren:

  5. Begriff zur Konfiguration tcp-connection von Ratenlimits für TCP-Datenverkehr definieren:

  6. Definieren des Begriffs icmp-connection zum Konfigurieren von Ratenlimits für ICMP-Datenverkehr:

  7. Definieren Sie den Begriff ohne Bedingungen für eine implizite Übereinstimmung auf allen Paketen, die nicht mit einem anderen Begriff best-effort im Firewall-Filter übereinstimmen:

  8. Wenden Sie den Firewall-Filter ingress-port-voip-class-limit-tcp-icmp als Eingangsfilter auf die Portschnittstellen an employee-vlan für:

  9. Konfigurieren Sie die Parameter, die für die verschiedenen Scheduler gewünscht sind.

    Anmerkung:

    Wenn Sie Parameter für die Scheduler konfigurieren, definieren Sie die Nummern, die den Datenverkehrsmustern im Netzwerk entsprechen.

  10. Weisen Sie die Weiterleitungsklassen Schedulern mit einer Scheduler-Übersicht zu:

  11. Verbinden Sie die Scheduler-Übersicht mit der ausgehenden Schnittstelle:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Konfigurieren eines VLAN Ingress Firewall-Filter verhindern, dass unbefugte Geräte den VoIP-Datenverkehr unterbrechen

Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:

Verfahren

CLI-Konfiguration

Um einen VLAN-Firewallfilter schnell zu konfigurieren, um zu verhindern, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gate für die Verwaltung des VoIP-Datenverkehrs zu ahmen, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster voice-vlan ein:

Schritt-für-Schritt-Verfahren

Zur Konfiguration und Anwendung eines VLAN-Firewallfilters, um zu verhindern, dass unbefugte Geräte HTTP verwenden, um das Gate für die Verwaltung des voice-vlan VoIP-Datenverkehrs zu ahmen:

  1. Definieren Sie den Firewall-Filter, um einen Filterabgleich für den Datenverkehr anzugeben, den Sie ingress-vlan-rogue-block zulassen und einschränken möchten:

  2. Definieren Sie den Begriff für das Akzeptieren von Paketen, die der IP-Zieladresse des Gate für den Gate für den Schutz to-gatekeeper der Pakete übereinstimmen:

  3. Definieren Sie den Begriff from-gatekeeper für das Akzeptieren von Paketen, die der IP-Quelladresse des Gate für den Gate war:

  4. Definieren Sie den Begriff, um sicherzustellen, dass der datenverkehr an TCP-Ports an das Gate für das Gate not-gatekeepervoice-vlan -Gerät bestimmt ist:

  5. Wenden Sie den Firewall-Filter ingress-vlan-rogue-block als Eingangsfilter auf die VLAN-Schnittstelle für VoIP-Telefone an:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Konfigurieren eines VLAN-Firewall-Filters zum Zählen, Überwachen und Analysieren des ausgehenden Datenverkehrs im Mitarbeiter-VLAN

Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:

Verfahren

CLI-Konfiguration

Es wird ein Firewall-Filter konfiguriert und auf VLAN-Schnittstellen angewendet, um den employee-vlan ausgehenden Datenverkehr zu filtern. Der für das Unternehmens-Subnetz bestimmte Mitarbeiterdatenverkehr wird akzeptiert, aber nicht überwacht. Der für das Internet bestimmte Mitarbeiterdatenverkehr wird gezählt und analysiert.

Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein, um einen VLAN-Firewall-Filter schnell zu konfigurieren und anzuwenden:

Schritt-für-Schritt-Verfahren

Um einen Egress Port Firewall-Filter zu konfigurieren und anzuwenden, um Datenverkehr zu zählen und zu analysieren, der employee-vlan für das Web bestimmt ist:

  1. Definieren sie den egress-vlan-watch-employee Firewall-Filter:

  2. Den Begriff definieren, der für das Subnetz des Unternehmens bestimmt ist, aber nicht employee-to-corpemployee-vlan überwachen soll:

  3. Den Begriff definieren, der für das Web bestimmt ist, um den für das Internet bestimmten Datenverkehr employee-to-web zu zählen und zu employee-vlan überwachen:

  4. Wenden Sie den Firewall-Filter egress-vlan-watch-employee als Ausgabefilter auf die Portschnittstellen für VoIP-Telefone an:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Konfigurieren eines VLAN-Firewallfilters zur Einschränkung des Gast-zu-Mitarbeiter-Datenverkehrs und der Peer-to-Peer-Anwendungen im Gast-VLAN

Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:

Verfahren

CLI-Konfiguration

Im folgenden Beispiel können die Gäste über den ersten Filter mit anderen Gästen, nicht aber mit Mitarbeitern, employee-vlan sprechen. Der zweite Filterbegriff ermöglicht den Webzugriff von Gästen, verhindert jedoch, dass Peer-to-Peer-Anwendungen auf verwendet guest-vlan werden.

Kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster ein, um einen VLAN-Firewall-Filter zur Einschränkung des Gast-zu-Mitarbeiter-Datenverkehrs schnell zu konfigurieren und gäste nicht mit Mitarbeitern oder Mitarbeiter-Hosts zu unterhalten oder zu employee-vlan versuchen, Peer-to-Peer-Anwendungen zu guest-vlan verwenden:

Schritt-für-Schritt-Verfahren

Zum Konfigurieren und Anwenden eines VLAN-Firewallfilters zur Einschränkung des Datenverkehrs von Gast-zu-Mitarbeitern und Peer-to-Peer-Anwendungen guest-vlan auf:

  1. Definieren sie den ingress-vlan-limit-guest Firewall-Filter:

  2. Definieren Sie den Begriff, um Es den Gästen zu ermöglichen, mit anderen Gästen zu sprechen, aber guest-to-guest nicht mit Mitarbeitern auf guest-vlanemployee-vlan der:

  3. Definieren Sie den Begriff, um Gäste im Webzugriff zu ermöglichen, sie jedoch daran zu hindern, no-guest-employee-no-peer-to-peerguest-vlan Peer-to-Peer-Anwendungen auf der guest-vlan zu verwenden.

    Anmerkung:

    Das destination-mac-address ist das Standard-Gateway, das für jeden Host in einem VLAN der Next-Hop-Router ist.

  4. Wenden Sie den Firewall-Filter ingress-vlan-limit-guest als Eingangsfilter auf die Schnittstelle an guest-vlan für:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Konfigurieren eines Firewall-Routerfilters, der dem ausgehenden Datenverkehr Priorität gibt, der für das Unternehmens-Subnetz bestimmt ist

Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:

Verfahren

CLI-Konfiguration

Kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein, um einen Firewall-Filter für einen Gerouteten Port (Layer 3-Uplink-Modul) zum Filtern des Datenverkehrs schnell zu konfigurieren und Datenverkehr höchste Priorität für den Datenverkehr der Weiterleitungsklasse zu erreichen, der für das Subnetz des Unternehmens bestimmt employee-vlan ist:

Schritt-für-Schritt-Verfahren

Zum Konfigurieren und Anwenden eines Firewall-Filters auf einen Routed Port (Layer 3-Uplink-Modul) wird Datenverkehr, der für das Subnetz des Unternehmens bestimmt ist, höchste employee-vlan Priorität eingeräumt:

  1. Definieren sie den egress-router-corp-class Firewall-Filter:

  2. Den Begriff corp-expedite definieren:

  3. Den Begriff not-to-corp definieren:

  4. Wenden Sie den Firewall-Filter als Ausgabefilter für den Port des Uplink-Moduls auf, das eine Layer-3-Verbindung zu einem egress-router-corp-class Router bietet:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Firewallfilter ordnungsgemäß funktionieren:

Überprüfung der Betriebsbereitschaft von Firewall-Filtern und Policern

Zweck

Überprüfen Sie den Betriebszustand der auf dem Switch konfigurierten Firewall-Filter und Policer.

Aktion

Verwenden Sie den Betriebsmodusbefehl:

Bedeutung

Der show firewall Befehl zeigt die Namen der Firewall-Filter, Policer und Zähler an, die auf dem Switch konfiguriert sind. Die Ausgabefelder zeigen Byte- und Paketanzahl für alle konfigurierten Zähler und die Paketanzahl für alle Policer an.

Sicherstellen, dass Scheduler und Scheduler-Maps einsatzbereit sind

Zweck

Stellen Sie sicher, dass Scheduler- und Scheduler-Maps auf dem Switch einsatzbereit sind.

Aktion

Verwenden Sie den Betriebsmodusbefehl:

Bedeutung

Zeigt Statistiken zu konfigurierten Schedulern und Scheduler-Maps an.