Auf dieser Seite
Beispiel: Konfigurieren von Firewall-Filtern für Port-, VLAN- und Router-Datenverkehr auf Switches der EX-Serie
Dieses Beispiel zeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Datenverkehr zu steuern, der einen Port auf dem Switch, ein VLAN im Netzwerk und eine Layer-3-Schnittstelle auf dem Switch eingibt oder verlässt. Firewall-Filter definieren die Regeln, die bestimmen, ob Pakete an bestimmten Verarbeitungspunkten im Paketfluss weitergeleitet oder verweigert werden sollen.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 9.0 oder höher für Switches der EX-Serie.
Zwei Juniper Networks EX3200-48T-Switches: einen, der als Zugriffsswitch verwendet werden soll, der andere als Verteilungsswitch
Ein Juniper Networks EX-UM-4SFP-Uplink-Modul
Ein Router der J-Serie von Juniper Networks
Bevor Sie die Firewall-Filter in diesem Beispiel konfigurieren und anwenden, müssen Sie Folgendes beachten:
Ein Verständnis von Firewall-Filterkonzepten, Policern und CoS
Installierte das Uplink-Modul auf dem Verteilungsswitch. Siehe Installation eines Uplink-Moduls in einem EX3200-Switch.
Überblick
In diesem Konfigurationsbeispiel erfahren Sie, wie Sie Firewall-Filter konfigurieren und anwenden, um Regeln zur Bewertung des Paketinhalts bereitzustellen und zu bestimmen, wann Pakete verworfen, weitergeleitet, klassifiziert, gezählt und analysiert werden müssen, die für oder von den Switches der EX-Serie bestimmt sind, die alle voice-vlan
verarbeiten , employee-vlan
und guest-vlan
den Datenverkehr. Tabelle 1 In diesem Beispiel werden die Firewall-Filter angezeigt, die für die Switches der EX-Serie konfiguriert sind.
Komponente | Zweck/Beschreibung |
---|---|
Port-Firewall-Filter, |
Dieser Firewall-Filter führt zwei Funktionen aus:
Dieser Firewall-Filter wird auf Portschnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät nachzuahmen, das die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Anrufe verwaltet. Es sollten nur TCP- oder UDP-Ports verwendet werden; und nur der Gatekeeper verwendet HTTP. Das heißt, der gesamte Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass Gäste (Nicht-Mitarbeiter) mit Mitarbeitern oder Mitarbeiterhosts über Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
Router-Firewall-Filter, |
Priorisiert den Dieser Firewall-Filter wird auf einen Gerouteten Port (Layer-3-Uplink-Modul) auf dem Verteilungs-Switch angewendet. |
Abbildung 1 zeigt die Anwendung von Port-, VLAN- und Layer-3-Routing-Firewall-Filtern auf dem Switch.

Netzwerktopologie
Die Topologie für dieses Konfigurationsbeispiel besteht aus einem EX-3200-48T-Switch auf der Zugriffsebene und einem EX-3200-48T-Switch auf der Verteilungsebene. Das Uplink-Modul des Verteilungs-Switches ist so konfiguriert, dass es eine Layer-3-Verbindung zu einem Router der J-Serie unterstützt.
Die Switches der EX-Serie sind so konfiguriert, dass sie die VLAN-Mitgliedschaft unterstützen. Tabelle 2 zeigt die VLAN-Konfigurationskomponenten für die VLANs.
VLAN-Name |
VLAN-ID |
VLAN-Subnetz und verfügbare IP-Adressen |
VLAN-Beschreibung |
---|---|---|---|
|
|
|
Sprach-VLAN für VoIP-Datenverkehr von Mitarbeitern |
|
|
|
EIGENSTÄNDIGE VLAN-PCs, PCs, die über den Hub in VoIP-Telefonen, wireless Access Points und Druckern mit dem Netzwerk verbunden sind. Dieses VLAN umfasst vollständig das Sprach-VLAN. Zwei VLANs |
|
|
|
VLAN für Datengeräte (PCs) der Gäste. Das Szenario setzt voraus, dass das Unternehmen über einen Besucherbereich verfügt, entweder in der Lobby oder in einem Konferenzraum, mit dem Besucher ihre PCs anschließen können, um sich mit dem Internet und dem VPN ihres Unternehmens zu verbinden. |
|
|
|
VLAN für unternehmensinterne Sicherheitskameras. |
Ports auf den Switches der EX-Serie unterstützen PoE (Power over Ethernet) und bieten sowohl Netzwerkkonnektivität als auch Strom für VoIP-Telefone, die mit den Ports verbunden sind. Tabelle 3 zeigt die Den VLANs zugewiesenen Switch-Ports und die IP- und MAC-Adressen für Geräte, die an die Switch-Ports angeschlossen sind:
Switch- und Portnummer |
VLAN-Mitgliedschaft |
IP- und MAC-Adressen |
Portgeräte |
---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
IP-Adressen: MAC-Adressen: |
Zwei VoIP-Telefone, die jeweils mit einem PC verbunden sind. |
ge-0/0/2, ge-0/0/3 |
|
|
Drucker, wireless Access Points |
ge-0/0/4, ge-0/0/5 |
|
|
Zwei Hubs, an die Besucher ihre PCs anschließen können. Hubs befinden sich in einem Bereich, der für Besucher zugänglich ist, wie z. B. in einer Lobby oder einem Konferenzraum. |
ge-0/0/6, ge-0/0/7 |
|
|
Zwei Sicherheitskameras |
ge-0/0/9 |
|
IP-Adresse: MAC-Adresse: |
Gatekeeper-Gerät. Der Gatekeeper verwaltet die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Telefone. |
ge-0/1/0 |
IP-Adresse: |
Layer-3-Verbindung zu einem Router; Beachten Sie, dass dies ein Port des Uplink-Moduls des Switches ist |
Konfigurieren eines Ingress-Port-Firewall-Filters zur Priorisierung des Sprachdatenverkehrs und Begrenzung der Übertragungsrate auf TCP- und ICMP-Datenverkehr
Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:
Verfahren
CLI-Schnellkonfiguration
Um einen Port-Firewall-Filter schnell zu konfigurieren und anzuwenden, um Sprachdatenverkehr und für das employee-vlan
Subnetz bestimmte Rate-Limit-Pakete zu priorisieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Switch ein:
[edit] set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer tcp-connection-policer then discard set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer icmp-connection-policer then discard set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set class-of-service schedulers voice-high buffer-size percent 15 set class-of-service schedulers voice-high priority high set class-of-service schedulers net-control buffer-size percent 10 set class-of-service schedulers net-control priority high set class-of-service schedulers best-effort buffer-size percent 75 set class-of-service schedulers best-effort priority low set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Schritt-für-Schritt-Verfahren
Konfigurieren und Anwenden eines Port-Firewall-Filters zur Priorisierung von Sprachdatenverkehr und Paketen zur Begrenzung der Übertragungsrate für das employee-vlan
Subnetz:
Definieren Sie die Policer
tcp-connection-policer
undicmp-connection-policer
:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Definieren Sie den Firewall-Filter
ingress-port-voip-class-limit-tcp-icmp
:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Definieren Sie den Begriff
voip-high
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Definieren Sie den Begriff
network-control
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Definieren Sie den Begriff
tcp-connection
zur Konfiguration von Datenübertragungsraten für TCP-Datenverkehr:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Definieren Sie den Begriff
icmp-connection
zur Konfiguration von Datenübertragungsraten für ICMP-Datenverkehr:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Definieren Sie den Begriff
best-effort
ohne Übereinstimmungsbedingungen für eine implizite Übereinstimmung auf allen Paketen, die nicht mit einem anderen Begriff im Firewall-Filter übereinstimmen:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Wenden Sie den Firewall-Filter
ingress-port-voip-class-limit-tcp-icmp
als Eingabefilter auf die Portschnittstellen an füremployee-vlan
:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Konfigurieren Sie die für die verschiedenen Scheduler gewünschten Parameter.
Anmerkung:Wenn Sie Parameter für die Scheduler konfigurieren, definieren Sie die Zahlen, die ihren Datenverkehrsmustern im Netzwerk entsprechen.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Weisen Sie Schedulern die Weiterleitungsklassen mit einer Schedulerzuordnung zu:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Verknüpfen Sie die Scheduler-Karte mit der ausgehenden Schnittstelle:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Ergebnisse
Die Ergebnisse der Konfiguration anzeigen:
user@switch# show firewall { policer tcp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } policer icmp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } family ethernet-switching { filter ingress-port-voip-class-limit-tcp-icmp { term voip-high { from { destination-mac-address 00.00.5E.00.53.01; destination-mac-address 00.00.5E.00.53.02; protocol udp; } then { forwarding-class expedited-forwarding; loss-priority low; } } term network-control { from { precedence net-control ; } then { forwarding-class network-control; loss-priority low; } } term tcp-connection { from { destination-address 192.0.2.16/28; protocol tcp; } then { policer tcp-connection-policer; count tcp-counter; forwarding-class best-effort; loss-priority high; } } term icmp-connection from { protocol icmp; } then { policer icmp-connection-policer; count icmp-counter; forwarding-class best-effort; loss-priority high; } } term best-effort { then { forwarding-class best-effort; loss-priority high; } } } } } interfaces { ge-0/0/0 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } ge-0/0/1 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } } scheduler-maps { ethernet-diffsrv-cos-map { forwarding-class expedited-forwarding scheduler voice-high; forwarding-class network-control scheduler net-control; forwarding-class best-effort scheduler best-effort; } } interfaces { ge/0/1/0 { scheduler-map ethernet-diffsrv-cos-map; } }
Konfigurieren eines VLAN-Ingress-Firewall-Filters, um zu verhindern, dass unbefugte Geräte den VoIP-Datenverkehr unterbrechen
Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:
Verfahren
CLI-Schnellkonfiguration
Um einen VLAN-Firewall-Filter voice-vlan
schnell zu konfigurieren, um zu verhindern, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät zu imitieren, das VoIP-Datenverkehr verwaltet, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Switch ein:
[edit] set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard set vlans voice-vlan description "block rogue devices on voice-vlan" set vlans voice-vlan filter input ingress-vlan-rogue-block
Schritt-für-Schritt-Verfahren
So konfigurieren und wenden Sie einen VLAN-Firewall-Filter an voice-vlan
, um zu verhindern, dass unbefugte Geräte HTTP verwenden, um das Gatekeeper-Gerät nachzuahmen, das VoIP-Datenverkehr verwaltet:
Definieren Sie den Firewall-Filter
ingress-vlan-rogue-block
, um die Filterzuordnung für den Datenverkehr anzugeben, den Sie zulassen und einschränken möchten:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Definieren Sie den Begriff
to-gatekeeper
zum Akzeptieren von Paketen, die mit der Ziel-IP-Adresse des Gatekeepers übereinstimmen:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Definieren Sie den Begriff
from-gatekeeper
zum Akzeptieren von Paketen, die mit der Quell-IP-Adresse des Gatekeepers übereinstimmen:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Definieren Sie den Begriff
not-gatekeeper
, um sicherzustellen, dass der gesamtevoice-vlan
Datenverkehr auf TCP-Ports für das Gatekeeper-Gerät bestimmt ist:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Wenden Sie den Firewall-Filter
ingress-vlan-rogue-block
als Eingabefilter auf die VLAN-Schnittstelle für die VoIP-Telefone an:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Ergebnisse
Die Ergebnisse der Konfiguration anzeigen:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-rogue-block { term to-gatekeeper { from { destination-address 192.0.2.14/32 destination-port 80; } then { accept; } } term from-gatekeeper { from { source-address 192.0.2.14/32 source-port 80; } then { accept; } } term not-gatekeeper { from { destination-port 80; } then { count rogue-counter; discard; } } } vlans { voice-vlan { description "block rogue devices on voice-vlan"; filter { input ingress-vlan-rogue-block; } } }
Konfigurieren eines VLAN-Firewall-Filters zur Zählung, Überwachung und Analyse des Ausgehenden Datenverkehrs im Mitarbeiter-VLAN
Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:
Verfahren
CLI-Schnellkonfiguration
Ein Firewall-Filter wird konfiguriert und auf VLAN-Schnittstellen angewendet, um den ausgehenden Datenverkehr zu filtern employee-vlan
. Mitarbeiterdatenverkehr, der für das Unternehmens-Subnetz bestimmt ist, wird akzeptiert, aber nicht überwacht. Mitarbeiterdatenverkehr, der für das Web bestimmt ist, wird gezählt und analysiert.
Um einen VLAN-Firewall-Filter schnell zu konfigurieren und anzuwenden, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminalfenster ein:
[edit] set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" set vlans employee-vlan filter output egress-vlan-watch-employee
Schritt-für-Schritt-Verfahren
So konfigurieren und wenden Sie einen Egress-Port-Firewall-Filter an, um Datenverkehr zu zählen und zu analysieren employee-vlan
, der für das Web bestimmt ist:
Definieren Sie den Firewall-Filter
egress-vlan-watch-employee
:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Definieren Sie den Begriff
employee-to-corp
zur Annahme, aber nicht zur Überwachung des gesamtenemployee-vlan
Datenverkehrs, der für das Unternehmens-Subnetz bestimmt ist:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Definieren Sie den Begriff
employee-to-web
für die Zählung und Überwachung des gesamtenemployee-vlan
Datenverkehrs, der für das Web bestimmt ist:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Anmerkung:Siehe Beispiel: Konfigurieren der Portspiegelung für die lokale Überwachung von Mitarbeiterressourcen Verwenden Sie auf Switches der EX-Serie Informationen zur Konfiguration des
employee-monitor
Analyzers.Wenden Sie den Firewall-Filter
egress-vlan-watch-employee
als Ausgabefilter auf die Portschnittstellen für VoIP-Telefone an:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Ergebnisse
Die Ergebnisse der Konfiguration anzeigen:
user@switch# show firewall { family ethernet-switching { filter egress-vlan-watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/28 } then { accept; } } term employee-to-web { from { destination-port 80; } then { count employee-web-counter: analyzer employee-monitor; } } } } } vlans { employee-vlan { description "filter at egress VLAN to count and analyze employee to Web traffic"; filter { output egress-vlan-watch-employee; } } }
Konfigurieren eines VLAN-Firewallfilters zur Beschränkung des Datenverkehrs von Gast zu Mitarbeitern und Peer-to-Peer-Anwendungen im Gast-VLAN
Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:
Verfahren
CLI-Schnellkonfiguration
Im folgenden Beispiel ermöglicht der erste Filterbegriff den Gästen, mit anderen Gästen, aber nicht mit Mitarbeitern darüber employee-vlan
zu sprechen. Der zweite Filterbegriff ermöglicht den Webzugriff von Gästen, verhindert jedoch die Verwendung von Peer-to-Peer-Anwendungen auf guest-vlan
.
Um einen VLAN-Firewall-Filter schnell zu konfigurieren, um den Datenverkehr von Gast zu Mitarbeiter zu beschränken, Gäste daran zu hindern, mit Mitarbeitern oder Mitarbeiter-Hosts zu employee-vlan
sprechen, oder zu versuchen, Peer-to-Peer-Anwendungen guest-vlan
zu verwenden, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28 set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" set vlans guest-vlan filter input ingress-vlan-limit-guest
Schritt-für-Schritt-Verfahren
Konfigurieren und Anwenden eines VLAN-Firewall-Filters zur Beschränkung des Datenverkehrs von Gast zu Mitarbeitern und Peer-to-Peer-Anwendungen auf guest-vlan
:
Definieren Sie den Firewall-Filter
ingress-vlan-limit-guest
:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guest
Definieren Sie den Begriff
guest-to-guest
, der es Gästenguest-vlan
ermöglicht, mit anderen Gästen zu sprechen, aber nicht mit Mitarbeitern auf deremployee-vlan
:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Definieren Sie den Begriff
no-guest-employee-no-peer-to-peer
, um Gästen denguest-vlan
Webzugriff zu ermöglichen, verhindern Sie jedoch die Verwendung von Peer-to-Peer-Anwendungen auf derguest-vlan
.Anmerkung:Das
destination-mac-address
ist das Standard-Gateway, das für jeden Host in einem VLAN der Next-Hop-Router ist.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Wenden Sie den Firewall-Filter
ingress-vlan-limit-guest
als Eingabefilter auf die Schnittstelle an fürguest-vlan
:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan filter input ingress-vlan-limit-guest
Ergebnisse
Die Ergebnisse der Konfiguration anzeigen:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-limit-guest { term guest-to-guest { from { destination-address 192.0.2.33/28; } then { accept; } } term no-guest-employee-no-peer-to-peer { from { destination-mac-address 00.05.5E.00.00.DF; } then { accept; } } } } } vlans { guest-vlan { description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"; filter { input ingress-vlan-limit-guest; } } }
Konfigurieren eines Router-Firewall-Filters zur Priorität für ausgehenden Datenverkehr Bestimmt für das Unternehmens-Subnetz
Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:
Verfahren
CLI-Schnellkonfiguration
Um einen Firewall-Filter für einen Gerouteten Port (Layer-3-Uplink-Modul) schnell zu konfigurieren, um datenverkehrsgefiltert employee-vlan
zu werden, der datenverkehrsbestimmten Datenverkehr für das Unternehmens-Subnetz mit der höchsten Priorität für die Weiterleitungsklasse erhält, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster des Switch ein:
[edit] set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low set firewall family inet filter egress-router-corp-class term not-to-corp then accept set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network" set ge-0/1/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Schritt-für-Schritt-Verfahren
So konfigurieren und wenden Sie einen Firewall-Filter auf einen gerouteten Port (Layer-3-Uplink-Modul) an, um datenverkehrsbestimmt für das Unternehmens-Subnetz die höchste Priorität zu employee-vlan
erhalten:
Definieren Sie den Firewall-Filter
egress-router-corp-class
:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Definieren Sie den Begriff
corp-expedite
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Definieren Sie den Begriff
not-to-corp
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Wenden Sie den Firewall-Filter
egress-router-corp-class
als Ausgabefilter für den Port des Uplink-Moduls des Switches an, der eine Layer-3-Verbindung zu einem Router bereitstellt:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Ergebnisse
Die Ergebnisse der Konfiguration anzeigen:
user@switch# show firewall { family inet { filter egress-router-corp-class { term corp-expedite { from { destination-address 192.0.2.16/28; } then { forwarding-class expedited-forwarding; loss-priority low; } } term not-to-corp { then { accept; } } } } } interfaces { ge-0/1/0 { unit 0 { description "filter at egress router interface to expedite employee traffic destined for corporate network"; family inet { source-address 203.0.113.0 filter { output egress-router-corp-class; } } } } }
Überprüfung
Um zu bestätigen, dass die Firewall-Filter ordnungsgemäß funktionieren, führen Sie die folgenden Aufgaben aus:
- Überprüfung der Betriebsabläufe von Firewall-Filtern und Policern
- Überprüfen der Betriebsabläufe von Schedulern und Scheduler-Maps
Überprüfung der Betriebsabläufe von Firewall-Filtern und Policern
Zweck
Überprüfen Sie den Betriebszustand der Firewall-Filter und Policer, die auf dem Switch konfiguriert sind.
Aktion
Verwenden Sie den Befehl für den Betriebsmodus:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Bedeutung
Der show firewall
Befehl zeigt die Namen der Firewall-Filter, Policer und Zähler an, die auf dem Switch konfiguriert sind. Die Ausgabefelder zeigen Byte- und Paketanzahl für alle konfigurierten Zähler und die Paketanzahl für alle Policer an.
Überprüfen der Betriebsabläufe von Schedulern und Scheduler-Maps
Zweck
Überprüfen Sie, ob Scheduler und Scheduler-Maps auf dem Switch einsatzbereit sind.
Aktion
Verwenden Sie den Befehl für den Betriebsmodus:
user@switch> show class-of-service scheduler-map Scheduler map: default, Index: 2 Scheduler: default-be, Forwarding class: best-effort, Index: 20 Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profile Scheduler: default-nc, Forwarding class: network-control, Index: 22 Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657 Scheduler: best-effort, Forwarding class: best-effort, Index: 61257 Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123 Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: net-control, Forwarding class: network-control, Index: 2451 Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile>
Bedeutung
Zeigt Statistiken über die konfigurierten Scheduler und Scheduler-Maps an.