Auf dieser Seite
Beispiel: Konfigurieren von Firewall-Filtern für Port-, VLAN- und Routerdatenverkehr auf Switches der EX-Serie
In diesem Beispiel wird gezeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Datenverkehr, der einen Port auf dem Switch ein- oder aus dem Netzwerk betritt, ein VLAN im Netzwerk und eine Layer-3-Schnittstelle auf dem Switch zu steuern. Firewall-Filter definieren die Regeln, die festlegen, ob Pakete an bestimmten Verarbeitungspunkten im Paketfluss weitergeleitet oder verweigert werden müssen.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS 9.0 oder höher für Switches der EX-Serie.
Zwei Juniper Networks-Switches EX3200-48T: einen Switch, der als Zugriffss switch verwendet werden kann, der andere als Verteilungs-Switch
Ein Juniper Networks EX-UM-4SFP Uplink-Modul
Ein Juniper Networks-Router der J-Serie
Bevor Sie die Firewall-Filter in diesem Beispiel konfigurieren und anwenden, verfügen Sie über Folgendes:
Kenntnisse zu Konzepten von Firewall-Filtern, Policern und CoS
Uplink-Modul im Verteilungs-Switch installiert. Siehe Installation eines Uplink-Moduls in einem EX3200-Switch.
Überblick
In diesem Konfigurationsbeispiel wird gezeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Regeln für die Bewertung des Paketinhalts und zur Bestimmung des Verwerfens, Forwards, Klassifizieren, Zählens und Analysierens von Paketen zu erstellen, die für Switches der EX-Serie bestimmt sind oder von diesen ausgehend sind, sowie Datenverkehr. Zeigt die Firewall-Filter, die für Die Switches der EX-Serie in diesem Beispiel konfiguriert voice-vlanemployee-vlanguest-vlanTabelle 1 sind.
| Komponente | Zweck/Beschreibung |
|---|---|
Port-Firewall-Filter, |
Dieser Firewall-Filter führt zwei Funktionen aus:
Dieser Firewall-Filter wird auf Portschnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass nicht autorisierte Geräte HTTP-Sitzungen verwenden, um das Geräte des Gate dann zu ahmen, das die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Anrufe verwaltet. Es sollten nur TCP- oder UDP-Ports verwendet werden. und nur der Gatehälter verwendet HTTP. Das heißt, der ganze Datenverkehr an den TCP-Ports sollte an das Geräte des Gate für die Sicherheit des Geräts Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Akzeptiert Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass Gäste (nicht Angestellte) mit Mitarbeitern oder Mitarbeiter-Hosts auf reden Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
Router-Firewall-Filter, |
Priorisiert den Datenverkehr, so dass Mitarbeiterdatenverkehr, der für das Subnetz des Unternehmens bestimmt ist, höchste Dieser Firewall-Filter wird auf einen Gerouteten Port (ein Layer-3-Uplink-Modul) auf dem Verteilungs-Switch angewendet. |
Abbildung 1 zeigt die Anwendung von Port-, VLAN- und Layer-3-Gerouteten Firewall-Filtern auf dem Switch an.
Netzwerktopologie
Die Topologie für dieses Konfigurationsbeispiel besteht aus einem Switch EX-3200-48T auf der Zugriffsebene und einem EX-3200-48T-Switch auf der Verteilungsebene. Das Uplinkmodul des Verteilungs-Switches ist so konfiguriert, dass es eine Layer 3-Verbindung mit einem Router der J-Serie unterstützt.
Die Switches der EX-Serie sind so konfiguriert, dass sie die VLAN-Mitgliedschaft unterstützen. Tabelle 2 zeigt die VLAN-Konfigurationskomponenten für die VLANs an.
VLAN-Name |
VLAN-ID |
VLAN-Subnetz und verfügbare IP-Adressen |
VLAN-Beschreibung |
|---|---|---|---|
|
|
|
Sprach-VLAN für VoIP-Verkehr von Mitarbeitern |
|
|
|
Eigenständige VLAN-PCs, PCs, die über den Hub in VoIP-Telefonen, WLAN-Access Points und Druckern mit dem Netzwerk verbunden sind. Dieses VLAN umfasst vollständig das Sprach-VLAN. Zwei VLANs und ) müssen an den Ports für die |
|
|
|
VLAN für Datengeräte (PCs) der Gäste. Das Szenario setzt voraus, dass das Unternehmen einen Bereich hat, der für Besucher entweder in der Empfangshalle oder in einem Konferenzraum verfügbar ist und über einen Hub verfügt, mit dem Besucher ihre PCs anschließen können, um sich mit dem Internet und dem VPN ihres Unternehmens zu verbinden. |
|
|
|
VLAN für Sicherheitskameras in Unternehmen. |
Anschlüsse an den Switches der EX-Serie unterstützen PoE (PoE), um sowohl Netzwerkverbindungen als auch Strom für mit den Ports verbundenen VoIP-Telefone zu bieten. Tabelle 3 zeigt die Switch-Ports, die den VLANs zugewiesen sind, und die IP- und MAC-Adressen für mit den Switch-Ports verbundene Geräte an:
Switch- und Portnummer |
VLAN-Mitgliedschaft |
IP- und MAC-Adressen |
Portgeräte |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
IP-Adressen: MAC-Adressen: |
Zwei VoIP-Telefone, die alle mit einem PC verbunden sind. |
ge-0/0/2, ge-0/0/3 |
|
|
Drucker, drahtlose Access Points |
ge-0/0/4, ge-0/0/5 |
|
|
Zwei Hubs, in die Besucher ihre PCs anschließen können. Hubs befinden sich in einem Bereich, in dem Besucher geöffnet sind, z. B. in einer Empfangshalle oder einem Konferenzraum. |
ge-0/0/6, ge-0/0/7 |
|
|
Zwei Sicherheitskameras |
ge-0/0/9 |
|
IP-Adresse: MAC-Adresse: |
Gatekeeper-Gerät. Der Gatekeeper verwaltet die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Telefone. |
ge-0/1/0 |
IP-Adresse: |
Layer 3-Verbindung mit einem Router; Beachten Sie, dass es sich dabei um einen Port auf dem Uplink-Modul des Switches handelt, |
Konfigurieren eines Firewall-Filters zum Ingress Port, um Sprachdatenverkehr zu priorisieren und TCP- und ICMP-Datenverkehr zu begrenzen
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Konfiguration
Kopieren Sie die folgenden Befehle in das Switch-Terminalfenster, um den Port-Firewall-Filter zur Priorisierung von Sprachdatenverkehr und Paketen mit Begrenzung der Raten, die für das Subnetz bestimmt sind, schnell zu konfigurieren und employee-vlan anzuwenden:
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Schritt-für-Schritt-Verfahren
Zur Konfiguration und Anwendung eines Ports-Firewallfilters zur Priorisierung von Sprachdatenverkehr und Paketen zur Begrenzung der Raten, die für das employee-vlan Subnetz bestimmt sind:
Definieren Sie die Policer
tcp-connection-policericmp-connection-policerund:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Definieren sie den
ingress-port-voip-class-limit-tcp-icmpFirewall-Filter:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Den Begriff
voip-highdefinieren:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Den Begriff
network-controldefinieren:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Begriff zur Konfiguration
tcp-connectionvon Ratenlimits für TCP-Datenverkehr definieren:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Definieren des Begriffs
icmp-connectionzum Konfigurieren von Ratenlimits für ICMP-Datenverkehr:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Definieren Sie den Begriff ohne Bedingungen für eine implizite Übereinstimmung auf allen Paketen, die nicht mit einem anderen Begriff
best-effortim Firewall-Filter übereinstimmen:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Wenden Sie den Firewall-Filter
ingress-port-voip-class-limit-tcp-icmpals Eingangsfilter auf die Portschnittstellen anemployee-vlanfür:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Konfigurieren Sie die Parameter, die für die verschiedenen Scheduler gewünscht sind.
Anmerkung:Wenn Sie Parameter für die Scheduler konfigurieren, definieren Sie die Nummern, die den Datenverkehrsmustern im Netzwerk entsprechen.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Weisen Sie die Weiterleitungsklassen Schedulern mit einer Scheduler-Übersicht zu:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Verbinden Sie die Scheduler-Übersicht mit der ausgehenden Schnittstelle:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Konfigurieren eines VLAN Ingress Firewall-Filter verhindern, dass unbefugte Geräte den VoIP-Datenverkehr unterbrechen
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Konfiguration
Um einen VLAN-Firewallfilter schnell zu konfigurieren, um zu verhindern, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gate für die Verwaltung des VoIP-Datenverkehrs zu ahmen, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster voice-vlan ein:
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Schritt-für-Schritt-Verfahren
Zur Konfiguration und Anwendung eines VLAN-Firewallfilters, um zu verhindern, dass unbefugte Geräte HTTP verwenden, um das Gate für die Verwaltung des voice-vlan VoIP-Datenverkehrs zu ahmen:
Definieren Sie den Firewall-Filter, um einen Filterabgleich für den Datenverkehr anzugeben, den Sie
ingress-vlan-rogue-blockzulassen und einschränken möchten:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Definieren Sie den Begriff für das Akzeptieren von Paketen, die der IP-Zieladresse des Gate für den Gate für den Schutz
to-gatekeeperder Pakete übereinstimmen:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Definieren Sie den Begriff
from-gatekeeperfür das Akzeptieren von Paketen, die der IP-Quelladresse des Gate für den Gate war:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Definieren Sie den Begriff, um sicherzustellen, dass der datenverkehr an TCP-Ports an das Gate für das Gate
not-gatekeepervoice-vlan-Gerät bestimmt ist:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Wenden Sie den Firewall-Filter
ingress-vlan-rogue-blockals Eingangsfilter auf die VLAN-Schnittstelle für VoIP-Telefone an:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Konfigurieren eines VLAN-Firewall-Filters zum Zählen, Überwachen und Analysieren des ausgehenden Datenverkehrs im Mitarbeiter-VLAN
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Konfiguration
Es wird ein Firewall-Filter konfiguriert und auf VLAN-Schnittstellen angewendet, um den employee-vlan ausgehenden Datenverkehr zu filtern. Der für das Unternehmens-Subnetz bestimmte Mitarbeiterdatenverkehr wird akzeptiert, aber nicht überwacht. Der für das Internet bestimmte Mitarbeiterdatenverkehr wird gezählt und analysiert.
Kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein, um einen VLAN-Firewall-Filter schnell zu konfigurieren und anzuwenden:
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Schritt-für-Schritt-Verfahren
Um einen Egress Port Firewall-Filter zu konfigurieren und anzuwenden, um Datenverkehr zu zählen und zu analysieren, der employee-vlan für das Web bestimmt ist:
Definieren sie den
egress-vlan-watch-employeeFirewall-Filter:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Den Begriff definieren, der für das Subnetz des Unternehmens bestimmt ist, aber nicht
employee-to-corpemployee-vlanüberwachen soll:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Den Begriff definieren, der für das Web bestimmt ist, um den für das Internet bestimmten Datenverkehr
employee-to-webzu zählen und zuemployee-vlanüberwachen:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Anmerkung:Siehe Beispiel: Konfiguration von Portspiegelung für die lokale Überwachung der Mitarbeiterressourcen Verwenden der Mitarbeiterressourcen auf Switches der EX-Serie, um Informationen zur Konfiguration des
employee-monitorAnalyzers zu erhalten.Wenden Sie den Firewall-Filter
egress-vlan-watch-employeeals Ausgabefilter auf die Portschnittstellen für VoIP-Telefone an:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Konfigurieren eines VLAN-Firewallfilters zur Einschränkung des Gast-zu-Mitarbeiter-Datenverkehrs und der Peer-to-Peer-Anwendungen im Gast-VLAN
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Konfiguration
Im folgenden Beispiel können die Gäste über den ersten Filter mit anderen Gästen, nicht aber mit Mitarbeitern, employee-vlan sprechen. Der zweite Filterbegriff ermöglicht den Webzugriff von Gästen, verhindert jedoch, dass Peer-to-Peer-Anwendungen auf verwendet guest-vlan werden.
Kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster ein, um einen VLAN-Firewall-Filter zur Einschränkung des Gast-zu-Mitarbeiter-Datenverkehrs schnell zu konfigurieren und gäste nicht mit Mitarbeitern oder Mitarbeiter-Hosts zu unterhalten oder zu employee-vlan versuchen, Peer-to-Peer-Anwendungen zu guest-vlan verwenden:
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan filter input ingress-vlan-limit-guest Schritt-für-Schritt-Verfahren
Zum Konfigurieren und Anwenden eines VLAN-Firewallfilters zur Einschränkung des Datenverkehrs von Gast-zu-Mitarbeitern und Peer-to-Peer-Anwendungen guest-vlan auf:
Definieren sie den
ingress-vlan-limit-guestFirewall-Filter:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDefinieren Sie den Begriff, um Es den Gästen zu ermöglichen, mit anderen Gästen zu sprechen, aber
guest-to-guestnicht mit Mitarbeitern aufguest-vlanemployee-vlander:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Definieren Sie den Begriff, um Gäste im Webzugriff zu ermöglichen, sie jedoch daran zu hindern,
no-guest-employee-no-peer-to-peerguest-vlanPeer-to-Peer-Anwendungen auf derguest-vlanzu verwenden.Anmerkung:Das
destination-mac-addressist das Standard-Gateway, das für jeden Host in einem VLAN der Next-Hop-Router ist.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Wenden Sie den Firewall-Filter
ingress-vlan-limit-guestals Eingangsfilter auf die Schnittstelle anguest-vlanfür:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan filter input ingress-vlan-limit-guest
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Konfigurieren eines Firewall-Routerfilters, der dem ausgehenden Datenverkehr Priorität gibt, der für das Unternehmens-Subnetz bestimmt ist
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Routerschnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Konfiguration
Kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein, um einen Firewall-Filter für einen Gerouteten Port (Layer 3-Uplink-Modul) zum Filtern des Datenverkehrs schnell zu konfigurieren und Datenverkehr höchste Priorität für den Datenverkehr der Weiterleitungsklasse zu erreichen, der für das Subnetz des Unternehmens bestimmt employee-vlan ist:
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Schritt-für-Schritt-Verfahren
Zum Konfigurieren und Anwenden eines Firewall-Filters auf einen Routed Port (Layer 3-Uplink-Modul) wird Datenverkehr, der für das Subnetz des Unternehmens bestimmt ist, höchste employee-vlan Priorität eingeräumt:
Definieren sie den
egress-router-corp-classFirewall-Filter:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Den Begriff
corp-expeditedefinieren:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Den Begriff
not-to-corpdefinieren:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Wenden Sie den Firewall-Filter als Ausgabefilter für den Port des Uplink-Moduls auf, das eine Layer-3-Verbindung zu einem
egress-router-corp-classRouter bietet:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Firewallfilter ordnungsgemäß funktionieren:
- Überprüfung der Betriebsbereitschaft von Firewall-Filtern und Policern
- Sicherstellen, dass Scheduler und Scheduler-Maps einsatzbereit sind
Überprüfung der Betriebsbereitschaft von Firewall-Filtern und Policern
Zweck
Überprüfen Sie den Betriebszustand der auf dem Switch konfigurierten Firewall-Filter und Policer.
Aktion
Verwenden Sie den Betriebsmodusbefehl:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Bedeutung
Der show firewall Befehl zeigt die Namen der Firewall-Filter, Policer und Zähler an, die auf dem Switch konfiguriert sind. Die Ausgabefelder zeigen Byte- und Paketanzahl für alle konfigurierten Zähler und die Paketanzahl für alle Policer an.
Sicherstellen, dass Scheduler und Scheduler-Maps einsatzbereit sind
Zweck
Stellen Sie sicher, dass Scheduler- und Scheduler-Maps auf dem Switch einsatzbereit sind.
Aktion
Verwenden Sie den Betriebsmodusbefehl:
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Bedeutung
Zeigt Statistiken zu konfigurierten Schedulern und Scheduler-Maps an.