Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren von Firewall-Filtern (CLI-Verfahren)

Sie konfigurieren Firewall-Filter auf Switches der EX-Serie, um den Datenverkehr zu steuern, der in die Ports des Switches eingeht oder in VLANs im Netzwerk und in Layer-3-Schnittstellen (geroutet) ein- und ausgeht. Um einen Firewall-Filter zu konfigurieren, müssen Sie den Filter konfigurieren und ihn dann auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle anwenden.

Konfigurieren eines Firewall-Filters

Bevor Sie einen Firewall-Filter auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle anwenden können, müssen Sie einen Firewall-Filter mit den erforderlichen Details konfigurieren, z. B. dem Typ der Familie für den Firewall-Filter, dem Namen des Firewall-Filters und den Übereinstimmungsbedingungen. Eine Übereinstimmungsbedingung in der Firewallfilterkonfiguration kann mehrere Begriffe enthalten, die die Kriterien für die Übereinstimmungsbedingung definieren. Für jeden Begriff müssen Sie eine Aktion angeben, die ausgeführt werden soll, wenn ein Paket den Bedingungen im Begriff entspricht. Informationen zu den verschiedenen Übereinstimmungsbedingungen und -aktionen finden Sie unter Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie.Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Familienadresstyp für den Firewallfilter:

    • Geben Sie für einen Firewallfilter, der auf einen Port oder ein VLAN angewendet wird, den Familienadresstyp an, um Layer-2-Pakete (Ethernet) und Layer-3-Pakete (IP) zu filtern, z. B.:ethernet-switching

    • Für einen Firewall-Filter, der auf eine (geroutete) Layer-3-Schnittstelle angewendet wird:

      • Um IPv4-Pakete zu filtern, geben Sie den Familienadresstyp an, z. B.:inet

      • Um IPv6-Pakete zu filtern, geben Sie den Familienadresstyp an, z. B.:inet6

      HINWEIS:

      Sie können Firewall-Filter sowohl für IPv4- als auch für IPv6-Datenverkehr auf derselben Layer-3-Schnittstelle konfigurieren.

  2. Geben Sie den Namen des Filters an:

    Der Filtername kann Buchstaben, Zahlen und Bindestriche (-) enthalten und maximal 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein.

  3. Wenn Sie einen Firewallfilter auf mehrere Schnittstellen anwenden und einzelne Firewall-Leistungsindikatoren benennen möchten, die für jede Schnittstelle spezifisch sind, konfigurieren Sie die folgende Option:interface-specific
  4. Geben Sie einen Begriffsnamen an:

    Der Benennungsname kann Buchstaben, Zahlen und Bindestriche (-) enthalten und maximal 64 Zeichen lang sein.

    Ein Firewallfilter kann einen oder mehrere Begriffe enthalten. Jeder Begriffsname muss innerhalb eines Filters eindeutig sein.

    HINWEIS:

    Die maximal zulässige Anzahl von Begriffen pro Firewall-Filter für Switches der EX-Serie beträgt:

    • 512 für EX2200-Switches

    • 1.436 für EX3300-Switches

      HINWEIS:

      Wenn Sie auf EX3300-Switches Filter mit einer großen Anzahl von Begriffen (in der Größenordnung von 1000 oder mehr) im selben Commit-Vorgang hinzufügen und löschen, werden nicht alle Filter installiert. Sie müssen Filter in einem Commitvorgang hinzufügen und Filter in einem separaten Commitvorgang löschen.

    • 7.168 für EX3200- und EX4200-Switches

    • Auf EX4300-Switches ist die folgende Anzahl von Begriffen aufgeführt, die für eingehenden und ausgehenden Datenverkehr für Firewall-Filer unterstützt werden, die auf einem Port, VLAN und einer Layer-3-Schnittstelle konfiguriert sind:

      • Für eingehenden Datenverkehr:

        • 3.500 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

        • 3.500 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

        • 7.000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 3.500 Begriffe für Firewall-Filer, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      • Für ausgehenden Datenverkehr:

        • 512 Begriffe für Firewall-Filter, die auf einem Port konfiguriert sind

        • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

        • 512 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 512-Begriffe für Firewall-Filer, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      HINWEIS:

      Sie können diese maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port-, VLAN- oder Router-Firewall-Filter (Layer 3)) auf dem Switch konfigurieren und wenn die Sturmsteuerung nicht auf allen Schnittstellen im Switch aktiviert ist.

    • 1.200 für EX4500- und EX4550-Switches

    • 1.400 für EX6200-Switches

    • 32.768 für EX8200-Switches

    Wenn Sie versuchen, einen Firewallfilter zu konfigurieren, der diese Grenzwerte überschreitet, gibt der Switch eine Fehlermeldung zurück, wenn Sie die Konfiguration bestätigen.

  5. Geben Sie für jeden Firewallfilterbegriff die Übereinstimmungsbedingung(en) an, die Sie einschließen möchten. Das folgende Beispiel zeigt, wie Pakete von einer bestimmten IP-Adresse und einem bestimmten Port abgeglichen werden:

    Sie können eine oder mehrere Übereinstimmungsbedingungen in einer einzelnen Anweisung angeben.from Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in der Laufzeit erfüllen.

    Die Anweisung ist optional, aber wenn sie in einem Begriff enthalten ist, darf die Anweisung nicht leer sein.fromfrom Wenn Sie die Anweisung weglassen, werden alle Pakete als übereinstimmend betrachtet.from

  6. Geben Sie für jeden Firewallfilterbegriff die Aktion an, die ausgeführt werden soll, wenn das Paket alle Bedingungen in diesem Begriff erfüllt.

    Sie können eine Aktion und/oder Aktionsmodifikatoren angeben:

    • So geben Sie eine Filteraktion an, z. B. um Pakete zu verwerfen, die den Bedingungen des Filterbegriffs entsprechen:

      Sie können nicht mehr als eine Aktion pro Filterbegriff angeben.

    • So geben Sie einen Aktionsmodifizierer an, z. B. zum Zählen und Klassifizieren von Paketen in einer Weiterleitungsklasse:

      In einer Anweisung können Sie die folgenden Aktionsmodifizierer angeben:then

      • analyzer analyzer-name- Spiegeln Sie den Port-Datenverkehr auf einen angegebenen Zielport oder ein VLAN, das mit einer Protokollanalyseanwendung verbunden ist. Ein muss unter dem Familienadresstyp konfiguriert werden.analyzerethernet-switching Weitere Informationen finden Sie unter Konfigurieren der Portspiegelung zur Analyse des Datenverkehrs (CLI-Verfahren).Konfigurieren der Portspiegelung zur Analyse des Datenverkehrs (CLI-Verfahren)

      • count counter-name– Zählt die Anzahl der Pakete, die diesen Filterbegriff übergeben.

        HINWEIS:

        Es wird empfohlen, für jeden Begriff in einem Firewallfilter einen Leistungsindikator zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.

      • forwarding-class class– Pakete in einer Weiterleitungsklasse klassifizieren.

      • loss-priority priority– Legen Sie die Priorität für das Verwerfen eines Pakets fest.

      • policer policer-name: Wenden Sie eine Ratenbegrenzung auf den Datenverkehr an.

      • interface interface-name– Leiten Sie den Datenverkehr an die angegebene Schnittstelle weiter und umgehen Sie dabei die Switching-Suche.

      • log- Protokollieren Sie die Header-Informationen des Pakets in der Routing-Engine.

    Wenn Sie die Anweisung weglassen oder keine Aktion angeben, werden Pakete akzeptiert, die alle Bedingungen in der Anweisung erfüllen.thenfrom Sie müssen jedoch immer explizit eine Aktion und/oder einen Aktionsmodifizierer in der Anweisung konfigurieren.then Sie können nicht mehr als eine Aktion einschließen, aber Sie können eine beliebige Kombination von Aktionsmodifikatoren verwenden. Damit eine Aktion oder ein Aktionsmodifizierer wirksam wird, müssen alle Bedingungen in der Anweisung übereinstimmen.from

    HINWEIS:

    Die implizite Verwerfung gilt auch für einen Firewallfilter, der auf die Loopback-Schnittstelle angewendet wird. lo0

    Wenn auf EX8200-Ethernet-Switches von Juniper Networks eine implizite oder explizite Aktion auf einer Loopback-Schnittstelle für IPv4-Datenverkehr konfiguriert ist, werden Next-Hop-Resolve-Pakete akzeptiert und dürfen den Switch passieren.discard Für IPv6-Datenverkehr müssen Sie jedoch explizit eine Regel konfigurieren, damit die IPv6-Auflösungspakete des nächsten Hops den Switch passieren können.

Konfigurieren eines Begriffs speziell für IPv4- oder IPv6-Datenverkehr

So konfigurieren Sie einen Begriff in einer Firewallfilterkonfiguration speziell für IPv4-Datenverkehr:

  1. Stellen Sie sicher, dass weder noch im Begriff in der Konfiguration angegeben ist.ether-type ipv6ip-version ipv6 Standardmäßig gilt für IPv4-Datenverkehr eine Konfiguration, die weder oder noch in einem Begriff enthält.ether-type ipv6ip-version ipv6
  2. (Optional) Führen Sie eine der folgenden Aufgaben aus:

    • Definieren Sie einen Begriff in der Konfiguration.ether-type ipv4

    • Definieren Sie einen Begriff in der Konfiguration.ip-version ipv4

    • Definieren Sie sowohl als auch in einem Begriff in der Konfiguration.ether-type ipv4ip-version ipv4

    • Stellen Sie sicher, dass in einem Begriff in der Konfiguration weder noch angegeben ist. Standardmäßig gilt eine Konfiguration, die weder noch in einem Begriff enthält, für IPv4-Datenverkehr, wenn sie nicht oder enthält.ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6

  3. Stellen Sie sicher, dass andere Übereinstimmungsbedingungen im Begriff für IPv4-Datenverkehr gültig sind.

So konfigurieren Sie einen Begriff in einer Firewallfilterkonfiguration speziell für IPv6-Datenverkehr:

  1. Führen Sie eine der folgenden Aufgaben aus:

    • Definieren Sie einen Begriff in der Konfiguration.ether-type ipv6

    • Definieren Sie einen Begriff in der Konfiguration.ip-version ipv6

    • Definieren Sie sowohl als auch in einem Begriff in der Konfiguration.ether-type ipv6ip-version ipv4

      HINWEIS:

      Standardmäßig gilt für IPv4-Datenverkehr eine Konfiguration, die weder oder noch in einem Begriff enthält.ether-type ipv6ip-version ipv6

  2. Stellen Sie sicher, dass andere Übereinstimmungsbedingungen im Begriff für IPv6-Datenverkehr gültig sind.

HINWEIS:

Wenn der Begriff eine der Übereinstimmungsbedingungen oder enthält und keine andere IPv6-Übereinstimmungsbedingung angegeben ist, wird der gesamte IPv6-Datenverkehr abgeglichen.ether-type ipv6ip-version ipv6

HINWEIS:

Um einen Firewallfilter sowohl für IPv4- als auch für IPv6-Datenverkehr zu konfigurieren, müssen Sie zwei separate Begriffe angeben, einen für IPv4-Datenverkehr und den anderen für IPv6-Datenverkehr.

Anwenden eines Firewall-Filters auf einen Port auf einem Switch

Sie können einen Firewall-Filter auf einen Port eines Switches anwenden, um den ein- oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren angeben, die unter Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie festgelegt sind.Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im Eingangs- oder Ausgangsdatenverkehr an.

So wenden Sie einen Firewall-Filter auf einen Port an, um ein- oder ausgehenden Datenverkehr zu filtern:

HINWEIS:

Informationen zum Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle finden Sie unter Anwenden eines Firewall-Filters auf eine Managementschnittstelle auf einem Switch

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine aussagekräftige Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    HINWEIS:

    Die Angabe der Beschreibung ist optional.

  2. Geben Sie die Gerätenummer und den Familienadresstyp für die Schnittstelle an:

    Für Firewallfilter, die auf Ports angewendet werden, muss der Familienadresstyp .ethernet-switching

  3. So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die in einen Port gelangen:

    So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die einen Port verlassen:

    HINWEIS:

    Sie können nicht mehr als einen Firewall-Filter pro Port und Richtung anwenden.

Anwenden eines Firewall-Filters auf eine Managementschnittstelle auf einem Switch

Sie können einen Firewall-Filter konfigurieren und auf eine Verwaltungsschnittstelle anwenden, um den Datenverkehr zu steuern, der die Schnittstelle auf einem Switch betritt oder verlässt. Sie können Dienstprogramme wie SSH oder Telnet verwenden, um eine Verbindung zur Verwaltungsschnittstelle über das Netzwerk herzustellen, und dann Verwaltungsprotokolle wie SNMP verwenden, um statistische Daten vom Switch zu sammeln. Ähnlich wie bei der Konfiguration eines Firewall-Filters auf anderen Schnittstellentypen können Sie einen Firewall-Filter auf einer Verwaltungsschnittstelle mit allen Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren konfigurieren, die unter Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie angegeben sind, mit Ausnahme der folgenden Aktionsmodifikatoren:Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie

  • loss-priority

  • forwarding-class

Sie können einen Firewall-Filter auf die Management-Ethernet-Schnittstelle jedes Switches der EX-Serie anwenden. Sie können auch einen Firewall-Filter auf die Virtual Management Ethernet (VME)-Schnittstelle des EX4200-Switches anwenden. Weitere Informationen zur Management-Ethernet-Schnittstelle und zur VME-Schnittstelle finden Sie unter Schnittstellenübersicht für Switches.Interfaces Overview for Switches

So wenden Sie einen Firewallfilter auf der Verwaltungsschnittstelle an, um ein- oder ausgehenden Datenverkehr zu filtern:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine aussagekräftige Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    HINWEIS:

    Die Angabe der Beschreibung ist optional.

  2. Geben Sie die Gerätenummer und den Familienadresstyp für die Verwaltungsschnittstelle an:
    HINWEIS:

    Bei Firewallfiltern, die auf Verwaltungsschnittstellen angewendet werden, kann der Adresstyp der Familie entweder oder sein .inetinet6

  3. So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die in eine Verwaltungsschnittstelle gelangen:

    So wenden Sie einen Firewallfilter an, um Pakete zu filtern, die eine Verwaltungsschnittstelle verlassen:

    HINWEIS:

    Sie können nicht mehr als einen Firewallfilter pro Verwaltungsschnittstelle und Richtung anwenden.

Anwenden eines Firewall-Filters auf ein VLAN in einem Netzwerk

Sie können einen Firewall-Filter auf ein VLAN in einem Netzwerk anwenden, um den ein- oder ausgehenden Datenverkehr im Netzwerk zu filtern. Um einen Firewall-Filter auf ein VLAN anzuwenden, geben Sie den VLAN-Namen und die ID an und wenden Sie dann den Firewall-Filter auf das VLAN an. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren angeben, die unter Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie festgelegt sind.Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im Eingangs- oder Ausgangsdatenverkehr an.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Geben Sie den VLAN-Namen und die VLAN-ID an und geben Sie eine aussagekräftige Beschreibung des Firewall-Filters und des VLANs an, auf das der Filter angewendet wird:
    HINWEIS:

    Die Angabe der Beschreibung ist optional.

  2. Wenden Sie Firewall-Filter an, um Pakete zu filtern, die in das VLAN ein- oder ausgehen:

    • So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die in das VLAN gelangen:

      (Auf EX4300-Switches) So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die in das VLAN gelangen:

    • So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die das VLAN verlassen:

      (Auf EX4300-Switches) So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die das VLAN verlassen:

    HINWEIS:

    Sie können nicht mehr als einen Firewall-Filter pro VLAN und Richtung anwenden.

Anwenden eines Firewall-Filters auf eine (geroutete) Layer-3-Schnittstelle

Sie können einen Firewall-Filter auf eine (geroutete) Layer-3-Schnittstelle anwenden, um den ein- oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren angeben, die unter Firewall-Filter-Übereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie festgelegt sind.Firewall-Filterübereinstimmungsbedingungen, Aktionen und Aktionsmodifikatoren für Switches der EX-Serie Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die übereinstimmenden Pakete im Eingangs- oder Ausgangsdatenverkehr an.

So wenden Sie einen Firewall-Filter auf eine Layer-3-Schnittstelle auf einem Switch an:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine aussagekräftige Beschreibung des Firewallfilters und der Schnittstelle an, auf die der Filter angewendet wird:
    HINWEIS:

    Die Angabe der Beschreibung ist optional.

  2. Geben Sie die Einheitennummer, den Familienadresstyp und die Adresse für die Schnittstelle an:

    Für Firewall-Filter, die auf Layer-3-Schnittstellen angewendet werden, muss der Adresstyp der Familie (für IPv4-Datenverkehr) oder (für IPv6-Datenverkehr) sein .inetinet6

  3. Sie können Firewall-Filter anwenden, um Pakete zu filtern, die in eine (geroutete) Layer-3-Schnittstelle ein- oder ausgehen:

    • So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die in eine Layer-3-Schnittstelle gelangen:

    • So wenden Sie einen Firewall-Filter an, um Pakete zu filtern, die eine Layer-3-Schnittstelle verlassen:

    HINWEIS:

    Wenn Sie einen Filter auf eine IRB-Schnittstelle anwenden, die einem bestimmten VLAN zugeordnet ist, wird der Filter auf jeder Layer-3-Schnittstelle mit einer übereinstimmenden VLAN-ID ausgeführt. Dies liegt daran, dass der Filter auf allen Layer-3-Schnittstellen mit dem entsprechenden VLAN-Tag übereinstimmt.

    HINWEIS:

    Sie können nicht mehr als einen Firewall-Filter pro Layer-3-Schnittstelle und Richtung anwenden.

Verwandte Themen