Auf dieser Seite
Beispiel: Konfigurieren von Firewall-Filtern für Port-, VLAN- und Router-Datenverkehr auf Switches der EX-Serie
Dieses Beispiel zeigt, wie Firewall-Filter konfiguriert und angewendet werden, um den Datenverkehr zu steuern, der einen Port auf dem Switch, ein VLAN im Netzwerk und eine Layer-3-Schnittstelle auf dem Switch betritt oder verlässt. Firewallfilter definieren die Regeln, die bestimmen, ob Pakete an bestimmten Verarbeitungspunkten im Paketfluss weitergeleitet oder abgelehnt werden sollen.
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Junos OS Version 9.0 oder höher für Switches der EX-Serie.
Zwei EX3200-48T-Switches von Juniper Networks: einer zur Verwendung als Zugriffs-Switch, der andere zur Verwendung als Verteiler-Switch
Ein Juniper Networks EX-UM-4SFP Uplink-Modul
Ein Router der J-Serie von Juniper Networks
Bevor Sie die Firewallfilter in diesem Beispiel konfigurieren und anwenden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Ein Verständnis von Firewall-Filterkonzepten, Policern und CoS
Das Uplink-Modul wurde im Verteiler-Switch installiert. Weitere Informationen finden Sie unter Installieren eines Uplink-Moduls in einem EX3200-Switch.
Überblick
Dieses Konfigurationsbeispiel zeigt, wie Firewall-Filter konfiguriert und angewendet werden, um Regeln bereitzustellen, mit denen der Inhalt von Paketen ausgewertet und bestimmt werden soll, wann Pakete, die für die Switches der EX-Serie bestimmt sind oder von diesen stammen, die den gesamten voice-vlanemployee-vlanguest-vlan Datenverkehr verarbeiten, verworfen, weitergeleitet, klassifiziert, gezählt und analysiert werden sollen. Tabelle 1 zeigt die Firewall-Filter, die in diesem Beispiel für die Switches der EX-Serie konfiguriert sind.
| Bestandteil | Zweck/Beschreibung |
|---|---|
Port-Firewall-Filter, |
Dieser Firewall-Filter erfüllt zwei Funktionen:
Dieser Firewallfilter wird auf Portschnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass nicht autorisierte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät nachzuahmen, das die Anrufregistrierung, die Zulassung und den Anrufstatus für VoIP-Anrufe verwaltet. Es sollten nur TCP- oder UDP-Ports verwendet werden. und nur der Gatekeeper verwendet HTTP. Das heißt, der gesamte Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Akzeptiert Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
VLAN-Firewall-Filter, |
Verhindert, dass Gäste (Nicht-Mitarbeiter) mit Mitarbeitern oder Mitarbeiter-Hosts auf Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet. |
Router-Firewall-Filter, |
Priorisiert Dieser Firewall-Filter wird auf einen gerouteten Port (Layer-3-Uplink-Modul) auf dem Distribution-Switch angewendet. |
Abbildung 1 zeigt die Anwendung von Port-, VLAN- und Layer 3-gerouteten Firewall-Filtern auf dem Switch.
Netzwerktopologie
Die Topologie für dieses Konfigurationsbeispiel besteht aus einem EX-3200-48T-Switch auf der Zugriffsebene und einem EX-3200-48T-Switch auf der Verteilungsebene. Das Uplink-Modul des Distribution-Switches ist so konfiguriert, dass es eine Layer-3-Verbindung zu einem Router der J-Serie unterstützt.
Die Switches der EX-Serie sind so konfiguriert, dass sie die VLAN-Mitgliedschaft unterstützen. Tabelle 2 zeigt die VLAN-Konfigurationskomponenten für die VLANs an.
VLAN-Name |
VLAN-ID |
VLAN-Subnetz und verfügbare IP-Adressen |
VLAN-Beschreibung |
|---|---|---|---|
|
|
|
Sprach-VLAN, das für den VoIP-Datenverkehr der Mitarbeiter verwendet wird |
|
|
|
VLAN-Standalone-PCs, PCs, die über den Hub in VoIP-Telefonen, Wireless Access Points und Druckern mit dem Netzwerk verbunden sind. Dieses VLAN enthält das Sprach-VLAN vollständig. An den Ports, die mit den Telefonen verbunden sind, müssen zwei VLANs |
|
|
|
VLAN für die Datengeräte (PCs) der Gäste. Das Szenario geht davon aus, dass das Unternehmen über einen Bereich verfügt, der für Besucher geöffnet ist, entweder in der Lobby oder in einem Konferenzraum, der über einen Hub verfügt, an den Besucher ihre PCs anschließen können, um eine Verbindung mit dem Web und dem VPN ihres Unternehmens herzustellen. |
|
|
|
VLAN für die Überwachungskameras des Unternehmens. |
Die Ports der Switches der EX-Serie unterstützen Power over Ethernet (PoE), um sowohl Netzwerkkonnektivität als auch Strom für VoIP-Telefone bereitzustellen, die mit den Ports verbunden sind. Tabelle 3 zeigt die Switch-Ports, die den VLANs zugewiesen sind, sowie die IP- und MAC-Adressen für Geräte, die mit den Switch-Ports verbunden sind:
Switch- und Portnummer |
VLAN-Mitgliedschaft |
IP- und MAC-Adressen |
Port-Geräte |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
IP-Adressen: MAC-Adressen: |
Zwei VoIP-Telefone, die jeweils mit einem PC verbunden sind. |
ge-0/0/2, ge-0/0/3 |
|
|
Drucker, Wireless Access Points |
ge-0/0/4, ge-0/0/5 |
|
|
Zwei Hubs, an die die Besucher ihre PCs anschließen können. Hubs befinden sich in einem Bereich, der für Besucher zugänglich ist, z. B. in einer Lobby oder einem Konferenzraum |
ge-0/0/6, ge-0/0/7 |
|
|
Zwei Überwachungskameras |
ge-0/0/9 |
|
IP-Adresse: MAC-Adresse: |
Gatekeeper-Gerät. Der Gatekeeper verwaltet die Anrufregistrierung, die Zulassung und den Anrufstatus für VoIP-Telefone. |
GE-0/1/0 |
IP-Adresse: |
Layer-3-Verbindung zu einem Router; Beachten Sie, dass dies ein Port am Uplink-Modul des Switches ist |
Konfigurieren eines Eingangsport-Firewallfilters zur Priorisierung des Sprachdatenverkehrs und zur Begrenzung der Ratenbegrenzung des TCP- und ICMP-Datenverkehrs
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Router-Schnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Schnellkonfiguration
Kopieren Sie die folgenden Befehle, um schnell einen Port-Firewall-Filter zu konfigurieren und anzuwenden, um den Sprachverkehr zu priorisieren und Pakete mit Ratenbegrenzung zu bestimmen, die für das employee-vlan Subnetz bestimmt sind:
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um einen Portfirewallfilter zu konfigurieren und anzuwenden, um Sprachdatenverkehr zu priorisieren und Pakete mit Ratenbegrenzung festzulegen, die für das employee-vlan Subnetz bestimmt sind:
Definieren Sie die Policer
tcp-connection-policerundicmp-connection-policer:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Definieren Sie den Firewall-Filter
ingress-port-voip-class-limit-tcp-icmp:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Definieren Sie den Begriff
voip-high:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Definieren Sie den Begriff
network-control:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Definieren Sie den Begriff
tcp-connectionzum Konfigurieren von Ratenbegrenzungen für TCP-Datenverkehr:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Definieren Sie den Begriff
icmp-connectionzum Konfigurieren von Ratenbegrenzungen für ICMP-Datenverkehr:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Definieren Sie den Begriff
best-effortohne Übereinstimmungsbedingungen für eine implizite Übereinstimmung für alle Pakete, die mit keinem anderen Begriff im Firewallfilter übereinstimmen:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Wenden Sie den Firewall-Filter
ingress-port-voip-class-limit-tcp-icmpals Eingabefilter auf die Portschnittstellen an füremployee-vlan:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Konfigurieren Sie die Parameter, die für die verschiedenen Scheduler gewünscht werden.
HINWEIS:Definieren Sie beim Konfigurieren von Parametern für die Scheduler die Zahlen, die den Mustern des Netzwerkdatenverkehrs entsprechen.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Weisen Sie die Weiterleitungsklassen Schedulern mit einer Scheduler-Zuordnung zu:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Verknüpfen Sie die Scheduler-Zuordnung mit der ausgehenden Schnittstelle:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Konfigurieren eines VLAN-Eingangs-Firewall-Filters, um zu verhindern, dass nicht autorisierte Geräte den VoIP-Datenverkehr unterbrechen
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Router-Schnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Schnellkonfiguration
Um schnell einen VLAN-Firewallfilter zu voice-vlan konfigurieren, um zu verhindern, dass nicht autorisierte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät zu imitieren, das den VoIP-Datenverkehr verwaltet, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen VLAN-Firewall-Filter voice-vlan und wenden ihn an, um zu verhindern, dass nicht autorisierte Geräte HTTP verwenden, um das Gatekeeper-Gerät nachzuahmen, das den VoIP-Datenverkehr verwaltet:
Definieren Sie den Firewallfilter
ingress-vlan-rogue-block, um die Filterübereinstimmung für den Datenverkehr anzugeben, den Sie zulassen und einschränken möchten:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Definieren Sie den Begriff
to-gatekeeper, um Pakete zu akzeptieren, die mit der Ziel-IP-Adresse des Gatekeepers übereinstimmen:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Definieren Sie den Begriff
from-gatekeeper, um Pakete zu akzeptieren, die mit der Quell-IP-Adresse des Gatekeepers übereinstimmen:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Definieren Sie den Begriff
not-gatekeeper, um sicherzustellen, dass der gesamtevoice-vlanDatenverkehr auf TCP-Ports für das Gatekeeper-Gerät bestimmt ist:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Wenden Sie den Firewall-Filter
ingress-vlan-rogue-blockals Eingabefilter auf die VLAN-Schnittstelle für die VoIP-Telefone an:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Konfigurieren eines VLAN-Firewallfilters zum Zählen, Überwachen und Analysieren des ausgehenden Datenverkehrs im Mitarbeiter-VLAN
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Router-Schnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Schnellkonfiguration
Ein Firewall-Filter wird konfiguriert und auf VLAN-Schnittstellen angewendet, um den ausgehenden Datenverkehr zu filtern employee-vlan . Mitarbeiterdatenverkehr, der für das Unternehmenssubnetz bestimmt ist, wird akzeptiert, aber nicht überwacht. Der für das Web bestimmte Datenverkehr der Mitarbeiter wird gezählt und analysiert.
Um schnell einen VLAN-Firewall-Filter zu konfigurieren und anzuwenden, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um einen Firewallfilter für den Ausgangsport zu konfigurieren und anzuwenden, um den für das Web bestimmten Datenverkehr zu zählen und zu analysieren employee-vlan :
Definieren Sie den Firewall-Filter
egress-vlan-watch-employee:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Definieren Sie den Begriff
employee-to-corp, der für das Unternehmenssubnetz bestimmte Datenverkehr akzeptiert, aber nicht überwachtemployee-vlan:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Definieren Sie den Begriff
employee-to-web, um den gesamtenemployee-vlanfür das Web bestimmten Datenverkehr zu zählen und zu überwachen:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
HINWEIS:Siehe Beispiel: Konfigurieren der Port-Spiegelung für die lokale Überwachung der Ressourcennutzung durch Mitarbeiter auf Switches der EX-Serie , um Informationen zur Konfiguration des
employee-monitorAnalysetools zu erhalten.Wenden Sie den Firewall-Filter
egress-vlan-watch-employeeals Ausgabefilter auf die Port-Schnittstellen für die VoIP-Telefone an:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Konfigurieren eines VLAN-Firewall-Filters zur Beschränkung des Gast-zu-Mitarbeiter-Datenverkehrs und der Peer-to-Peer-Anwendungen im Gast-VLAN
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Router-Schnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Schnellkonfiguration
Im folgenden Beispiel erlaubt der erste Filterbegriff Gästen, mit anderen Gästen, aber nicht mit Mitarbeitern zu employee-vlansprechen. Der zweite Filterbegriff ermöglicht Gästen den Webzugriff, verhindert jedoch, dass sie Peer-to-Peer-Anwendungen auf guest-vlan.
Um schnell einen VLAN-Firewall-Filter zu konfigurieren, um den Datenverkehr zwischen Gästen einzuschränken, Gäste daran zu hindern, mit Mitarbeitern oder Mitarbeiter-Hosts zu employee-vlan sprechen oder zu versuchen, Peer-to-Peer-Anwendungen guest-vlanzu verwenden, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Schritt-für-Schritt-Anleitung
So konfigurieren und wenden Sie einen VLAN-Firewall-Filter an, um den Datenverkehr zwischen Gästen und Mitarbeitern und Peer-to-Peer-Anwendungen einzuschränken guest-vlan:
Definieren Sie den Firewall-Filter
ingress-vlan-limit-guest:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDefinieren Sie den Begriff
guest-to-guest, um Gästen auf der Seite zu erlauben, mit anderen Gästen zu sprechen, aber nicht Mitarbeitern auf derguest-vlanemployee-vlanSeite:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Definieren Sie den Begriff
no-guest-employee-no-peer-to-peer, um Gästen imguest-vlanWebzugriff zu erlauben, aber zu verhindern, dass sie Peer-to-Peer-Anwendungen in .guest-vlanHINWEIS:Dies
destination-mac-addressist das Standard-Gateway, das für jeden Host in einem VLAN der Next-Hop-Router ist.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Wenden Sie den Firewall-Filter
ingress-vlan-limit-guestals Eingabefilter auf die Schnittstelle an fürguest-vlan:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Konfigurieren eines Router-Firewall-Filters, um ausgehendem Datenverkehr, der für das Unternehmenssubnetz bestimmt ist, Priorität einzuräumen
Führen Sie die folgenden Aufgaben aus, um Firewall-Filter für Port-, VLAN- und Router-Schnittstellen zu konfigurieren und anzuwenden:
Verfahren
CLI-Schnellkonfiguration
Kopieren Sie die folgenden Befehle, um schnell einen Firewall-Filter für einen gerouteten Port (Layer-3-Uplink-Modul) zu konfigurieren, um den Datenverkehr zu filtern employee-vlan und dem für das Unternehmenssubnetz bestimmten Datenverkehr die höchste Priorität der Weiterleitungsklassen zu geben:
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Firewall-Filter und wenden ihn auf einen gerouteten Port (Layer-3-Uplink-Modul) an, um dem employee-vlan für das Unternehmenssubnetz bestimmten Datenverkehr die höchste Priorität einzuräumen:
Definieren Sie den Firewall-Filter
egress-router-corp-class:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Definieren Sie den Begriff
corp-expedite:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Definieren Sie den Begriff
not-to-corp:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Wenden Sie den Firewall-Filter
egress-router-corp-classals Ausgabefilter für den Port am Uplink-Modul des Switches an, der eine Layer-3-Verbindung zu einem Router bereitstellt:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Verifizierung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Firewallfilter ordnungsgemäß funktionieren:
- Überprüfen, ob Firewall-Filter und -Policer funktionsfähig sind
- Überprüfen, ob Scheduler und Scheduler-Maps betriebsbereit sind
Überprüfen, ob Firewall-Filter und -Policer funktionsfähig sind
Zweck
Überprüfen Sie den Betriebsstatus der Firewall-Filter und -Policer, die auf dem Switch konfiguriert sind.
Action!
Verwenden Sie den Befehl operational mode:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Bedeutung
Der show firewall Befehl zeigt die Namen der Firewallfilter, Policer und Zähler an, die auf dem Switch konfiguriert sind. Die Ausgabefelder zeigen die Byte- und Paketanzahl für alle konfigurierten Zähler und die Paketanzahl für alle Policer.
Überprüfen, ob Scheduler und Scheduler-Maps betriebsbereit sind
Zweck
Stellen Sie sicher, dass Scheduler und Scheduler-Maps auf dem Switch betriebsbereit sind.
Action!
Verwenden Sie den Befehl operational mode:
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Bedeutung
Zeigt Statistiken zu den konfigurierten Schedulern und Scheduler-Maps an.