Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Firewall-Filters auf einer Verwaltungsschnittstelle auf einem Switch der EX-Serie

Sie können einen Firewall-Filter auf einer Verwaltungsschnittstelle auf einem Switch der EX-Serie konfigurieren, um den ein- oder ausgehenden Datenverkehr auf der Verwaltungsschnittstelle des Switches zu filtern. Sie können Dienstprogramme wie SSH oder Telnet verwenden, um eine Verbindung mit der Verwaltungsschnittstelle über das Netzwerk herzustellen und dann Managementprotokolle wie SNMP zu verwenden, um statistische Daten von dem Switch zu erfassen.

In diesem Beispiel wird erläutert, wie sie einen Firewall-Filter auf einer Verwaltungsschnittstelle konfigurieren, um ausgehende SSH-Pakete von einem Switch der EX-Serie zu filtern:

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein Switch der EX-Serie und ein Verwaltungs-PC

  • Junos OS 10.4 oder höher für Switches der EX-Serie

Überblick und Topologie

Topologie

In diesem Beispiel stellt ein Verwaltungs-PC eine SSH-Verbindung mit der Verwaltungsschnittstelle eines Switches zur Remote-Verwaltung des Switches bereit. Die für die Verwaltungsschnittstelle konfigurierte IP-Adresse ist 10.204.33.103/20. Auf der Verwaltungsschnittstelle wird ein Firewall-Filter konfiguriert, um die Anzahl der ausgehenden Pakete von einem SSH-Quellport an der Verwaltungsschnittstelle zu zählen. Wenn der Verwaltungs-PC die SSH-Sitzung mit der Verwaltungsschnittstelle feststellt, werden SSH-Pakete an den Verwaltungs-PC zurückgibt, um zu bestätigen, dass die Sitzung eingerichtet wurde. Diese SSH-Pakete werden anhand der im Firewall-Filter angegebenen Bedingungen gefiltert, bevor sie an den Management-PC weitergeleitet werden. Da diese Pakete über den SSH-Quellport an der Verwaltungsschnittstelle generiert werden, erfüllen sie die für die Verwaltungsschnittstelle angegebene Übereinstimmungsbedingung. Die Anzahl der abgestimmten SSH-Pakete stellt eine Anzahl von Paketen bereit, die über die Verwaltungsschnittstelle übertragen wurden. Ein Systemadministrator kann diese Informationen verwenden, um den Management-Datenverkehr zu überwachen und bei Bedarf maßnahmen zu ergreifen.

Abbildung 1 zeigt die Topologie für dieses Beispiel, in dem ein Management-PC eine SSH-Verbindung mit dem Switch feststellt.

Abbildung 1: SSH-Verbindung von einem Verwaltungs-PC zu einem Switch der EX-SerieSSH-Verbindung von einem Verwaltungs-PC zu einem Switch der EX-Serie

Konfiguration

Führen Sie die folgenden Aufgaben aus, um einen Firewall-Filter auf einer Verwaltungsschnittstelle zu konfigurieren:

CLI-Konfiguration

Kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminal-Fenster ein, um einen Firewall-Filter auf der Verwaltungsschnittstelle schnell zu erstellen und zu konfigurieren, um die ausgehenden SSH-Pakete von der Verwaltungsschnittstelle zu filtern:

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen Firewall-Filter auf der Verwaltungsschnittstelle zum Filtern von SSH-Paketen:

  1. Konfigurieren Sie den Firewall-Filter, der SSH-Paketen vom Quellport entspricht:

    Diese Anweisungen setzen einen Zähler, um die Anzahl der SSH-Pakete zu zählen, die von der SSH-Quellschnittstelle an der c1 Verwaltungsschnittstelle ausgehend werden.

  2. Firewall-Filter für die Verwaltungsschnittstelle festlegen:

    Anmerkung:

    Sie können auch den Firewall-Filter für eine VME-Schnittstelle festlegen.

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Sicherstellen, dass der Firewallfilter auf einer Verwaltungsschnittstelle konfiguriert ist

Zweck

Stellen Sie sicher, dass der Firewall-Filter auf der Verwaltungsschnittstelle auf dem Switch aktiviert wurde.

Aktion

  1. Vergewissern Sie sich, dass der Firewallfilter auf die Verwaltungsschnittstelle angewendet wird:

  2. Überprüfen Sie den dem Firewall-Filter zugeordneten Zählerwert:

  3. Richten Sie vom Management-PC eine Secure Shell-Sitzung mit dem Switch ein:

  4. Überprüfen Sie Zählerwerte, nachdem SSH-Pakete vom Switch als Antwort auf die Anforderung einer sicheren Shell-Sitzung vom Verwaltungs-PC generiert wurden:

Bedeutung

Die Ausgabe gibt an, dass der Firewall-Filter auf die Verwaltungsschnittstelle angewendet wurde, und der Gegenwert bedeutet, dass 23 SSH-Pakete vom Switch generiert wurden.