Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren von Firewall-Filtern für Port-, VLAN- und Router-Datenverkehr auf Switches der EX-Serie

Dieses Beispiel zeigt, wie Sie Firewall-Filter konfigurieren und anwenden, um Datenverkehr zu steuern, der einen Port auf dem Switch, ein VLAN im Netzwerk und eine Layer-3-Schnittstelle auf dem Switch eingibt oder verlässt. Firewall-Filter definieren die Regeln, die bestimmen, ob Pakete an bestimmten Verarbeitungspunkten im Paketfluss weitergeleitet oder verweigert werden sollen.

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

  • Junos OS Version 9.0 oder höher für Switches der EX-Serie.

  • Zwei Juniper Networks EX3200-48T-Switches: einen, der als Zugriffsswitch verwendet werden soll, der andere als Verteilungsswitch

  • Ein Juniper Networks EX-UM-4SFP-Uplink-Modul

  • Ein Router der J-Serie von Juniper Networks

Bevor Sie die Firewall-Filter in diesem Beispiel konfigurieren und anwenden, müssen Sie Folgendes beachten:

Überblick

In diesem Konfigurationsbeispiel erfahren Sie, wie Sie Firewall-Filter konfigurieren und anwenden, um Regeln zur Bewertung des Paketinhalts bereitzustellen und zu bestimmen, wann Pakete verworfen, weitergeleitet, klassifiziert, gezählt und analysiert werden müssen, die für oder von den Switches der EX-Serie bestimmt sind, die alle voice-vlanverarbeiten , employee-vlanund guest-vlan den Datenverkehr. Tabelle 1 In diesem Beispiel werden die Firewall-Filter angezeigt, die für die Switches der EX-Serie konfiguriert sind.

Tabelle 1: Konfigurationskomponenten: Firewall-Filter
Komponente Zweck/Beschreibung

Port-Firewall-Filter, ingress-port-voip-class-limit-tcp-icmp

Dieser Firewall-Filter führt zwei Funktionen aus:

  • Weist Paketen eine Prioritätswarteschlange mit einer Mac-Quelladresse zu, die den MAC-Adressen des Telefons entspricht. Die Weiterleitungsklasse expedited-forwarding bietet niedrige Verluste, niedrige Verzögerungen, niedrigen Jitter, zuverlässige Bandbreite und End-to-End-Service für den gesamten voice-vlan Datenverkehr.

  • Führt eine Begrenzung der Übertragungsrate bei Paketen durch, die in die Ports für employee-vlan. Die Datenverkehrsrate für TCP- und ICMP-Pakete ist auf 1 Mbit/s mit einer Burst-Größe von bis zu 30.000 Bytes begrenzt.

Dieser Firewall-Filter wird auf Portschnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, ingress-vlan-rogue-block

Verhindert, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät nachzuahmen, das die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Anrufe verwaltet. Es sollten nur TCP- oder UDP-Ports verwendet werden; und nur der Gatekeeper verwendet HTTP. Das heißt, der gesamte voice-vlan Datenverkehr auf TCP-Ports sollte für das Gatekeeper-Gerät bestimmt sein. Dieser Firewall-Filter gilt für alle Telefone auf voice-vlan, einschließlich der Kommunikation zwischen zwei beliebigen Telefonen im VLAN und allen Kommunikationen zwischen dem Gatekeeper-Gerät und VLAN-Telefonen.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, egress-vlan-watch-employee

employee-vlan Akzeptiert Datenverkehr, der für das Unternehmens-Subnetz bestimmt ist, überwacht diesen Datenverkehr jedoch nicht. Mitarbeiterdatenverkehr, der für das Web bestimmt ist, wird gezählt und analysiert.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

VLAN-Firewall-Filter, ingress-vlan-limit-guest

Verhindert, dass Gäste (Nicht-Mitarbeiter) mit Mitarbeitern oder Mitarbeiterhosts über employee-vlansprechen. Verhindert auch, dass Gäste Peer-to-Peer-Anwendungen verwenden, aber es den Gästen ermöglicht, auf guest-vlandas Web zuzugreifen.

Dieser Firewall-Filter wird auf VLAN-Schnittstellen auf dem Zugriffs-Switch angewendet.

Router-Firewall-Filter, egress-router-corp-class

Priorisiert den employee-vlan Datenverkehr und gibt dem Für das Unternehmens-Subnetz bestimmten Mitarbeiterdatenverkehr höchste Priorität für die Weiterleitungsklasse.

Dieser Firewall-Filter wird auf einen Gerouteten Port (Layer-3-Uplink-Modul) auf dem Verteilungs-Switch angewendet.

Abbildung 1 zeigt die Anwendung von Port-, VLAN- und Layer-3-Routing-Firewall-Filtern auf dem Switch.

Abbildung 1: Anwendung von Port-, VLAN- und Layer 3-Routing-Firewall-FilternAnwendung von Port-, VLAN- und Layer 3-Routing-Firewall-Filtern

Netzwerktopologie

Die Topologie für dieses Konfigurationsbeispiel besteht aus einem EX-3200-48T-Switch auf der Zugriffsebene und einem EX-3200-48T-Switch auf der Verteilungsebene. Das Uplink-Modul des Verteilungs-Switches ist so konfiguriert, dass es eine Layer-3-Verbindung zu einem Router der J-Serie unterstützt.

Die Switches der EX-Serie sind so konfiguriert, dass sie die VLAN-Mitgliedschaft unterstützen. Tabelle 2 zeigt die VLAN-Konfigurationskomponenten für die VLANs.

Tabelle 2: Konfigurationskomponenten: VLANs

VLAN-Name

VLAN-ID

VLAN-Subnetz und verfügbare IP-Adressen

VLAN-Beschreibung

voice-vlan

10

192.0.2.0/28 192.0.2.1Durch 192.0.2.14

192.0.2.15 ist die Broadcast-Adresse des Subnetzes

Sprach-VLAN für VoIP-Datenverkehr von Mitarbeitern

employee-vlan

20

192.0.2.16/28 192.0.2.17 durch 192.0.2.30 192.0.2.31 ist die Broadcast-Adresse des Subnetzes

EIGENSTÄNDIGE VLAN-PCs, PCs, die über den Hub in VoIP-Telefonen, wireless Access Points und Druckern mit dem Netzwerk verbunden sind. Dieses VLAN umfasst vollständig das Sprach-VLAN. Zwei VLANs (voice-vlan und employee-vlan) müssen an den Ports konfiguriert werden, die mit den Telefonen verbunden sind.

guest-vlan

30

192.0.2.32/28 192.0.2.33 durch 192.0.2.46 192.0.2.47 ist die Broadcast-Adresse des Subnetzes

VLAN für Datengeräte (PCs) der Gäste. Das Szenario setzt voraus, dass das Unternehmen über einen Besucherbereich verfügt, entweder in der Lobby oder in einem Konferenzraum, mit dem Besucher ihre PCs anschließen können, um sich mit dem Internet und dem VPN ihres Unternehmens zu verbinden.

camera-vlan

40

192.0.2.48/28 192.0.2.49 durch 192.0.2.62 192.0.2.63 ist die Broadcast-Adresse des Subnetzes

VLAN für unternehmensinterne Sicherheitskameras.

Ports auf den Switches der EX-Serie unterstützen PoE (Power over Ethernet) und bieten sowohl Netzwerkkonnektivität als auch Strom für VoIP-Telefone, die mit den Ports verbunden sind. Tabelle 3 zeigt die Den VLANs zugewiesenen Switch-Ports und die IP- und MAC-Adressen für Geräte, die an die Switch-Ports angeschlossen sind:

Tabelle 3: Konfigurationskomponenten: Switch-Ports auf einem All-PoE-Switch mit 48 Ports

Switch- und Portnummer

VLAN-Mitgliedschaft

IP- und MAC-Adressen

Portgeräte

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP-Adressen: 192.0.2.1 Durch 192.0.2.2

MAC-Adressen: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Zwei VoIP-Telefone, die jeweils mit einem PC verbunden sind.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Durch 192.0.2.18

Drucker, wireless Access Points

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Durch 192.0.2.35

Zwei Hubs, an die Besucher ihre PCs anschließen können. Hubs befinden sich in einem Bereich, der für Besucher zugänglich ist, wie z. B. in einer Lobby oder einem Konferenzraum.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Durch 192.0.2.50

Zwei Sicherheitskameras

ge-0/0/9

voice-vlan

IP-Adresse: 192.0.2.14

MAC-Adresse:00.05.5E.00.53.0E

Gatekeeper-Gerät. Der Gatekeeper verwaltet die Anrufregistrierung, den Zugang und den Anrufstatus für VoIP-Telefone.

ge-0/1/0

IP-Adresse: 192.0.2.65

Layer-3-Verbindung zu einem Router; Beachten Sie, dass dies ein Port des Uplink-Moduls des Switches ist

Konfigurieren eines Ingress-Port-Firewall-Filters zur Priorisierung des Sprachdatenverkehrs und Begrenzung der Übertragungsrate auf TCP- und ICMP-Datenverkehr

Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:

Verfahren

CLI-Schnellkonfiguration

Um einen Port-Firewall-Filter schnell zu konfigurieren und anzuwenden, um Sprachdatenverkehr und für das employee-vlan Subnetz bestimmte Rate-Limit-Pakete zu priorisieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Switch ein:

Schritt-für-Schritt-Verfahren

Konfigurieren und Anwenden eines Port-Firewall-Filters zur Priorisierung von Sprachdatenverkehr und Paketen zur Begrenzung der Übertragungsrate für das employee-vlan Subnetz:

  1. Definieren Sie die Policer tcp-connection-policer und icmp-connection-policer:

  2. Definieren Sie den Firewall-Filter ingress-port-voip-class-limit-tcp-icmp:

  3. Definieren Sie den Begriff voip-high:

  4. Definieren Sie den Begriff network-control:

  5. Definieren Sie den Begriff tcp-connection zur Konfiguration von Datenübertragungsraten für TCP-Datenverkehr:

  6. Definieren Sie den Begriff icmp-connection zur Konfiguration von Datenübertragungsraten für ICMP-Datenverkehr:

  7. Definieren Sie den Begriff best-effort ohne Übereinstimmungsbedingungen für eine implizite Übereinstimmung auf allen Paketen, die nicht mit einem anderen Begriff im Firewall-Filter übereinstimmen:

  8. Wenden Sie den Firewall-Filter ingress-port-voip-class-limit-tcp-icmp als Eingabefilter auf die Portschnittstellen an für employee-vlan:

  9. Konfigurieren Sie die für die verschiedenen Scheduler gewünschten Parameter.

    Anmerkung:

    Wenn Sie Parameter für die Scheduler konfigurieren, definieren Sie die Zahlen, die ihren Datenverkehrsmustern im Netzwerk entsprechen.

  10. Weisen Sie Schedulern die Weiterleitungsklassen mit einer Schedulerzuordnung zu:

  11. Verknüpfen Sie die Scheduler-Karte mit der ausgehenden Schnittstelle:

Ergebnisse

Die Ergebnisse der Konfiguration anzeigen:

Konfigurieren eines VLAN-Ingress-Firewall-Filters, um zu verhindern, dass unbefugte Geräte den VoIP-Datenverkehr unterbrechen

Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:

Verfahren

CLI-Schnellkonfiguration

Um einen VLAN-Firewall-Filter voice-vlan schnell zu konfigurieren, um zu verhindern, dass unbefugte Geräte HTTP-Sitzungen verwenden, um das Gatekeeper-Gerät zu imitieren, das VoIP-Datenverkehr verwaltet, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster des Switch ein:

Schritt-für-Schritt-Verfahren

So konfigurieren und wenden Sie einen VLAN-Firewall-Filter an voice-vlan , um zu verhindern, dass unbefugte Geräte HTTP verwenden, um das Gatekeeper-Gerät nachzuahmen, das VoIP-Datenverkehr verwaltet:

  1. Definieren Sie den Firewall-Filter ingress-vlan-rogue-block , um die Filterzuordnung für den Datenverkehr anzugeben, den Sie zulassen und einschränken möchten:

  2. Definieren Sie den Begriff to-gatekeeper zum Akzeptieren von Paketen, die mit der Ziel-IP-Adresse des Gatekeepers übereinstimmen:

  3. Definieren Sie den Begriff from-gatekeeper zum Akzeptieren von Paketen, die mit der Quell-IP-Adresse des Gatekeepers übereinstimmen:

  4. Definieren Sie den Begriff not-gatekeeper , um sicherzustellen, dass der gesamte voice-vlan Datenverkehr auf TCP-Ports für das Gatekeeper-Gerät bestimmt ist:

  5. Wenden Sie den Firewall-Filter ingress-vlan-rogue-block als Eingabefilter auf die VLAN-Schnittstelle für die VoIP-Telefone an:

Ergebnisse

Die Ergebnisse der Konfiguration anzeigen:

Konfigurieren eines VLAN-Firewall-Filters zur Zählung, Überwachung und Analyse des Ausgehenden Datenverkehrs im Mitarbeiter-VLAN

Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:

Verfahren

CLI-Schnellkonfiguration

Ein Firewall-Filter wird konfiguriert und auf VLAN-Schnittstellen angewendet, um den ausgehenden Datenverkehr zu filtern employee-vlan . Mitarbeiterdatenverkehr, der für das Unternehmens-Subnetz bestimmt ist, wird akzeptiert, aber nicht überwacht. Mitarbeiterdatenverkehr, der für das Web bestimmt ist, wird gezählt und analysiert.

Um einen VLAN-Firewall-Filter schnell zu konfigurieren und anzuwenden, kopieren Sie die folgenden Befehle und fügen sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Verfahren

So konfigurieren und wenden Sie einen Egress-Port-Firewall-Filter an, um Datenverkehr zu zählen und zu analysieren employee-vlan , der für das Web bestimmt ist:

  1. Definieren Sie den Firewall-Filter egress-vlan-watch-employee:

  2. Definieren Sie den Begriff employee-to-corp zur Annahme, aber nicht zur Überwachung des gesamten employee-vlan Datenverkehrs, der für das Unternehmens-Subnetz bestimmt ist:

  3. Definieren Sie den Begriff employee-to-web für die Zählung und Überwachung des gesamten employee-vlan Datenverkehrs, der für das Web bestimmt ist:

    Anmerkung:

    Siehe Beispiel: Konfigurieren der Portspiegelung für die lokale Überwachung von Mitarbeiterressourcen Verwenden Sie auf Switches der EX-Serie Informationen zur Konfiguration des employee-monitor Analyzers.

  4. Wenden Sie den Firewall-Filter egress-vlan-watch-employee als Ausgabefilter auf die Portschnittstellen für VoIP-Telefone an:

Ergebnisse

Die Ergebnisse der Konfiguration anzeigen:

Konfigurieren eines VLAN-Firewallfilters zur Beschränkung des Datenverkehrs von Gast zu Mitarbeitern und Peer-to-Peer-Anwendungen im Gast-VLAN

Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:

Verfahren

CLI-Schnellkonfiguration

Im folgenden Beispiel ermöglicht der erste Filterbegriff den Gästen, mit anderen Gästen, aber nicht mit Mitarbeitern darüber employee-vlanzu sprechen. Der zweite Filterbegriff ermöglicht den Webzugriff von Gästen, verhindert jedoch die Verwendung von Peer-to-Peer-Anwendungen auf guest-vlan.

Um einen VLAN-Firewall-Filter schnell zu konfigurieren, um den Datenverkehr von Gast zu Mitarbeiter zu beschränken, Gäste daran zu hindern, mit Mitarbeitern oder Mitarbeiter-Hosts zu employee-vlan sprechen, oder zu versuchen, Peer-to-Peer-Anwendungen guest-vlanzu verwenden, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Verfahren

Konfigurieren und Anwenden eines VLAN-Firewall-Filters zur Beschränkung des Datenverkehrs von Gast zu Mitarbeitern und Peer-to-Peer-Anwendungen auf guest-vlan:

  1. Definieren Sie den Firewall-Filter ingress-vlan-limit-guest:

  2. Definieren Sie den Begriff guest-to-guest , der es Gästen guest-vlan ermöglicht, mit anderen Gästen zu sprechen, aber nicht mit Mitarbeitern auf der employee-vlan:

  3. Definieren Sie den Begriff no-guest-employee-no-peer-to-peer , um Gästen den guest-vlan Webzugriff zu ermöglichen, verhindern Sie jedoch die Verwendung von Peer-to-Peer-Anwendungen auf der guest-vlan.

    Anmerkung:

    Das destination-mac-address ist das Standard-Gateway, das für jeden Host in einem VLAN der Next-Hop-Router ist.

  4. Wenden Sie den Firewall-Filter ingress-vlan-limit-guest als Eingabefilter auf die Schnittstelle an für guest-vlan :

Ergebnisse

Die Ergebnisse der Konfiguration anzeigen:

Konfigurieren eines Router-Firewall-Filters zur Priorität für ausgehenden Datenverkehr Bestimmt für das Unternehmens-Subnetz

Zum Konfigurieren und Anwenden von Firewall-Filtern für Port-, VLAN- und Routerschnittstellen führen Sie folgende Aufgaben aus:

Verfahren

CLI-Schnellkonfiguration

Um einen Firewall-Filter für einen Gerouteten Port (Layer-3-Uplink-Modul) schnell zu konfigurieren, um datenverkehrsgefiltert employee-vlan zu werden, der datenverkehrsbestimmten Datenverkehr für das Unternehmens-Subnetz mit der höchsten Priorität für die Weiterleitungsklasse erhält, kopieren Sie die folgenden Befehle und fügen sie in das Terminalfenster des Switch ein:

Schritt-für-Schritt-Verfahren

So konfigurieren und wenden Sie einen Firewall-Filter auf einen gerouteten Port (Layer-3-Uplink-Modul) an, um datenverkehrsbestimmt für das Unternehmens-Subnetz die höchste Priorität zu employee-vlan erhalten:

  1. Definieren Sie den Firewall-Filter egress-router-corp-class:

  2. Definieren Sie den Begriff corp-expedite:

  3. Definieren Sie den Begriff not-to-corp:

  4. Wenden Sie den Firewall-Filter egress-router-corp-class als Ausgabefilter für den Port des Uplink-Moduls des Switches an, der eine Layer-3-Verbindung zu einem Router bereitstellt:

Ergebnisse

Die Ergebnisse der Konfiguration anzeigen:

Überprüfung

Um zu bestätigen, dass die Firewall-Filter ordnungsgemäß funktionieren, führen Sie die folgenden Aufgaben aus:

Überprüfung der Betriebsabläufe von Firewall-Filtern und Policern

Zweck

Überprüfen Sie den Betriebszustand der Firewall-Filter und Policer, die auf dem Switch konfiguriert sind.

Aktion

Verwenden Sie den Befehl für den Betriebsmodus:

Bedeutung

Der show firewall Befehl zeigt die Namen der Firewall-Filter, Policer und Zähler an, die auf dem Switch konfiguriert sind. Die Ausgabefelder zeigen Byte- und Paketanzahl für alle konfigurierten Zähler und die Paketanzahl für alle Policer an.

Überprüfen der Betriebsabläufe von Schedulern und Scheduler-Maps

Zweck

Überprüfen Sie, ob Scheduler und Scheduler-Maps auf dem Switch einsatzbereit sind.

Aktion

Verwenden Sie den Befehl für den Betriebsmodus:

Bedeutung

Zeigt Statistiken über die konfigurierten Scheduler und Scheduler-Maps an.