Auf dieser Seite
Beispiel: Konfigurieren eines Firewall-Filters auf einer Management-Schnittstelle auf einem Switch der EX-Serie
Sie können einen Firewall-Filter auf einer Verwaltungsschnittstelle auf einem Switch der EX-Serie konfigurieren, um den ein- oder ausgehenden Datenverkehr auf der Verwaltungsschnittstelle des Switches zu filtern. Sie können Dienstprogramme wie SSH oder Telnet verwenden, um eine Verbindung zur Verwaltungsschnittstelle über das Netzwerk herzustellen, und dann Verwaltungsprotokolle wie SNMP verwenden, um statistische Daten vom Switch zu sammeln.
In diesem Beispiel wird erläutert, wie ein Firewallfilter auf einer Verwaltungsschnittstelle konfiguriert wird, um SSH-Pakete zu filtern, die von einem Switch der EX-Serie ausgehen:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie und ein Management-PC
Junos OS Version 10.4 oder höher für Switches der EX-Serie
Übersicht und Topologie
Topologie
In diesem Beispiel stellt ein Management-PC eine SSH-Verbindung mit der Managementschnittstelle auf einem Switch her, um den Switch remote zu verwalten. Die für die Verwaltungsschnittstelle konfigurierte IP-Adresse lautet 10.204.33.103/20. Auf der Verwaltungsschnittstelle ist ein Firewallfilter konfiguriert, um die Anzahl der Pakete zu zählen, die von einem Quell-SSH-Port auf der Verwaltungsschnittstelle ausgehen. Wenn der Management-PC die SSH-Sitzung mit der Management-Schnittstelle aufbaut, gibt die Management-Schnittstelle SSH-Pakete an den Management-PC zurück, um zu bestätigen, dass die Sitzung eingerichtet wurde. Diese SSH-Pakete werden basierend auf der im Firewall-Filter angegebenen Übereinstimmungsbedingung gefiltert, bevor sie an den Management-PC weitergeleitet werden. Da diese Pakete vom Quell-SSH-Port auf der Verwaltungsschnittstelle generiert werden, erfüllen sie die für die Verwaltungsschnittstelle angegebene Übereinstimmungsbedingung. Die Anzahl der übereinstimmenden SSH-Pakete gibt die Anzahl der Pakete an, die die Verwaltungsschnittstelle durchlaufen haben. Ein Systemadministrator kann diese Informationen verwenden, um den Verwaltungsdatenverkehr zu überwachen und bei Bedarf Maßnahmen zu ergreifen.
Abbildung 1 zeigt für dieses Beispiel die Topologie, in der ein Management-PC eine SSH-Verbindung mit dem Switch aufbaut.
Konfiguration
Um einen Firewallfilter auf einer Verwaltungsschnittstelle zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell einen Firewall-Filter auf der Management-Oberfläche zu erstellen und zu konfigurieren, um SSH-Pakete zu filtern, die von der Management-Schnittstelle ausgehen, kopieren Sie die folgenden Befehle und fügen Sie sie in das Fenster des Switch-Terminals ein:
[edit] set firewall family inet filter mgmt_fil1 term t1 from source-port ssh set firewall family inet filter mgmt_fil1 term t1 then count c1 set firewall family inet filter mgmt_fil1 term t2 then accept set interfaces me0 unit 0 family inet filter output mgmt_fil1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Firewall-Filter auf der Verwaltungsschnittstelle zum Filtern von SSH-Paketen:
Konfigurieren Sie den Firewall-Filter, der SSH-Pakete vom Quellport abgleicht:
[edit] user@switch# set firewall family inet filter (Firewall Filters) mgmt_fil1 term t1 from source-port ssh user@switch# set firewall family inet filter mgmt_fil1 term t1 then count c1 user@switch# set firewall family inet filter mgmt_fil1 term t2 then accept
Mit diesen Anweisungen wird ein Zähler c1 festgelegt, um die Anzahl der SSH-Pakete zu zählen, die von der Quell-SSH-Schnittstelle auf der Verwaltungsschnittstelle ausgehen.
Legen Sie den Firewall-Filter für die Verwaltungsschnittstelle fest:
[edit] user@switch# set interfaces me0 unit 0 family inet filter output mgmt_fil1
HINWEIS:Sie können auch den Firewall-Filter für eine VME-Schnittstelle festlegen.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
interfaces {
me0 {
unit 0 {
family inet {
filter {
output mgmt_fil1;
}
address 10.93.54.6/24;
}
}
}
}
firewall {
family inet {
filter mgmt_fil1{
term t1 {
from {
source-port ssh;
then count c1;
}
}
term t2 {
then accept;
}
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob der Firewallfilter auf einer Verwaltungsschnittstelle konfiguriert ist
Zweck
Stellen Sie sicher, dass der Firewall-Filter auf der Verwaltungsschnittstelle des Switches aktiviert wurde.
Action!
Stellen Sie sicher, dass der Firewall-Filter auf die Verwaltungsschnittstelle angewendet wird:
[edit] user@switch# show interfaces me0 unit 0 { family inet { filter { output mgmt_fil1; } address 10.204.33.103/20; } }Überprüfen Sie den Zählerwert, der dem Firewallfilter zugeordnet ist:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 0 0
Richten Sie auf dem Management-PC eine Secure-Shell-Sitzung mit dem Switch ein:
[user@management-pc ~]$ ssh user@10.204.33.103
Überprüfen Sie die Zählerwerte, nachdem SSH-Pakete vom Switch als Antwort auf die Secure-Shell-Sitzungsanforderung des Management-PCs generiert wurden:
user@switch> show firewall Filter: mgmt_fil1 Counters: Name Bytes Packets c1 3533 23
Bedeutung
Die Ausgabe gibt an, dass der Firewall-Filter auf die Verwaltungsschnittstelle angewendet wurde, und der Zählerwert gibt an, dass 23 SSH-Pakete vom Switch generiert wurden.