Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration von Firewall-Filtern (CLI Verfahren)

Sie konfigurieren Firewall-Filter auf Switches der EX-Serie zur Steuerung des Datenverkehrs, der an den Ports am Switch eindringt oder VLANs an den Netzwerk- und Layer-3-Schnittstellen (Geroutet) ein- oder austritt. Zum Konfigurieren eines Firewall-Filters müssen Sie den Filter konfigurieren und dann auf einen Port, VLAN oder eine Layer 3-Schnittstelle anwenden.

Konfigurieren eines Firewall-Filters

Bevor Sie einen Firewall-Filter auf einen Port, VLAN oder eine Layer 3-Schnittstelle anwenden können, müssen Sie einen Firewall-Filter mit den erforderlichen Details konfigurieren, wie Art der Familie für den Firewall-Filter, Firewall-Filtername und Übereinstimmungsbedingungen. Eine Übereinstimmungsbedingung in der Konfiguration des Firewall-Filters kann mehrere Begriffe enthalten, die die Kriterien für die Übereinstimmungsbedingung definieren. Für jeden Begriff muss eine Aktion angegeben werden, die ausgeführt werden soll, wenn ein Paket den Bedingungen des Begriffs entspricht. Informationen zu verschiedenen Bedingungen und Aktionen für Übereinstimmungen finden Sie unter Bedingungen, Aktionen und Aktionen für Switches der EX-Serie von Firewall-Filtern.

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Familienadressentyp für den Firewall-Filter:
    • Für einen Firewall-Filter, der auf einen Port oder VLAN angewendet wird, geben Sie den Familienadressentyp an, um ethernet-switching Layer-2-Pakete (Ethernet) und Layer-3-Pakete (IP) zu filtern. Dazu gehört z. B.:

    • Für einen Firewall-Filter, der auf eine Layer 3-Schnittstelle (Routed) angewendet wird:

      • Um IPv4-Pakete zu filtern, geben Sie beispielsweise den Typen der Familienadresse inet an:

      • Um IPv6-Pakete zu filtern, geben Sie beispielsweise den Typen der Familienadresse inet6 an:

      Anmerkung:

      Sie können Firewall-Filter für IPv4- und IPv6-Datenverkehr an der gleichen Layer 3-Schnittstelle konfigurieren.

  2. Den Filternamen angeben:

    Der Filtername kann Buchstaben, Zahlen und Abstriche (-) enthalten und kann maximal 64 Zeichen enthalten. Jeder Filtername muss eindeutig sein.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und jeweils einzelne Firewall-Zähler benennen möchten, konfigurieren Sie die interface-specific Option:
  4. Einen Begriffsnamen angeben:

    Der Begriffsname kann Buchstaben, Zahlen und Abstriche (-) enthalten und maximal 64 Zeichen enthalten.

    Ein Firewall-Filter kann einen oder mehrere Begriffe enthalten. Jeder Begriffsname muss in einem Filter eindeutig sein.

    Anmerkung:

    Die maximale Anzahl von Begriffen, die pro Firewall-Filter für Switches der EX-Serie zulässig ist, ist:

    • 512 für EX2200-Switches

    • 1.436 für EX3300-Switches

      Anmerkung:

      Wenn Sie EX3300 Switches im selben Commit-Betrieb Filter mit einer großen Anzahl von Begriffen (in der Reihenfolge von 1000 oder mehr) hinzufügen und löschen, werden nicht alle Filter installiert. Sie müssen in einem Commit-Vorgang Filter hinzufügen und Filter in einem separaten Commit-Vorgang löschen.

    • 7.168 für EX3200- EX4200-Switches

    • Auf EX4300 Switches sind im Folgenden die Anzahl der Begriffe für den in- und ausgehenden Datenverkehr unterstützten Begriffe für Firewall-Filer, die auf einer Port-, VLAN- und Layer 3-Schnittstelle konfiguriert sind:

      • Für den ein- und anderen Datenverkehr:

        • Konfiguration von 3.500 Begriffen für Firewall-Filter auf einem Port

        • Konfiguration von 3.500 Begriffen für Firewall-Filter in einem VLAN

        • 7.000 Begriffe für Firewall-Filter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 3.500 Begriffe für Firewall-Filer, die auf Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      • Für ausgehenden Datenverkehr:

        • Konfiguration von 512 Begriffen für Firewallfilter auf einem Port

        • 256 Begriffe für Firewall-Filter, die in einem VLAN konfiguriert sind

        • 512 Begriffe für Firewallfilter, die auf Layer-3-Schnittstellen für IPv4-Datenverkehr konfiguriert sind

        • 512 Begriffe für Firewall-Filers, die an Layer-3-Schnittstellen für IPv6-Datenverkehr konfiguriert sind

      Anmerkung:

      Sie können diese maximale Anzahl von Begriffen nur konfigurieren, wenn Sie einen Firewall-Filtertyp (Port, VLAN oder Router (Layer 3) auf dem Switch konfigurieren und wenn Sturmkontrolle nicht auf allen Schnittstellen am Switch aktiviert ist.

    • 1.200 für EX4500- EX4550 Switches

    • 1.400 für EX6200-Switches

    • 32.768 für EX8200-Switches

    Wenn Sie versuchen, einen Firewall-Filter zu konfigurieren, der diese Grenzwerte überschreitet, gibt der Switch eine Fehlermeldung zurück, wenn Sie die Konfiguration festlegen.

  5. Geben Sie in jedem Firewall-Filterbegriff die Bedingungen für die Übereinstimmung mit den Komponenten eines Pakets an.

    Zum Angeben von Übereinstimmungsbedingungen, die auf Paketen mit einer bestimmten Quelladresse und einem Quellport übereinstimmen. Beispiele:

    Sie können mindestens eine Übereinstimmungsbedingungen in einer einzigen Anweisung from angeben. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in dem Begriff erfüllen.

    Die Aussage ist optional. Wenn from sie jedoch in einen Begriff aufgenommen wird, darf die Aussage nicht leer from sein. Wenn Sie die Aussage from weglassen, gelten alle Pakete als übereinstimmend.

  6. Geben Sie in jedem Firewall-Filterbegriff die Aktion an, die zu ergreifen ist, wenn das Paket allen Bedingungen in diesem Begriff entspricht.

    Sie können eine Aktion und/oder eine Aktion ändern:

    • Um eine Filteraktion anzugeben, z. B. zum Verwerfen von Paketen, die den Bedingungen des Filterbegriffs übereinstimmen:

      Sie können nicht mehr als eine Aktion pro Filterbegriff angeben.

    • Um einen Handlungsmoderator anzugeben, z. B. zum Zählen und Klassifizieren von Paketen in einer Weiterleitungsklasse:

      In einer then Erklärung können Sie die folgenden Handlungsmoderatoren angeben:

      • analyzer analyzer-name— Spiegelung des Portdatenverkehrs zu einem angegebenen Zielport oder VLAN, der mit einer Protokollanalyseanwendung verbunden ist. Ein analyzer Muss muss unter der Art der ethernet-switching Familienadresse konfiguriert sein. Informationen finden Sie unter Konfigurieren der Portspiegelung für die Analyse CLI-Prozedur.

      • count counter-name-Die Anzahl der Pakete, die diesen Filterbegriff passieren, zählen.

        Anmerkung:

        Wir empfehlen, für jeden Begriff in einem Firewall-Filter einen Zähler zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen übereinstimmen.

      • forwarding-class class— Klassifizieren Sie Pakete in einer Weiterleitungsklasse.

      • loss-priority priority— Legen Sie die Priorität für das Ablegen eines Pakets fest.

      • policer policer-name- Wenden Sie die Begrenzung der Raten auf den Datenverkehr an.

      • interface Schnittstellenname –Den Datenverkehr an die angegebene Schnittstelle weitergeleitet, um die Switching-Suche zu umgehen.

      • log— Protokollieren Sie die Headerinformationen des Pakets im Routing-Engine.

    Wenn Sie die Aussage weglassen oder keine Aktion angeben, werden Pakete, die allen Bedingungen in der then Aussage from übereinstimmen, akzeptiert. Sie müssen in der Erklärung jedoch immer explizit eine Aktion und/oder einen Handlungsmoderator then konfigurieren. Sie können nicht mehr als eine Aktion beinhalten, aber Sie können eine beliebige Kombination von Aktionen ändern. Damit eine Aktion oder eine Aktion ändert, müssen alle Bedingungen in der Aussage from übereinstimmen.

    Anmerkung:

    Implizites Verwerfen kann auch auf einen Firewall-Filter angewendet werden, der auf die Loopbackschnittstelle angewendet lo0 wird.

    Wenn Juniper Networks EX8200 Ethernet-Switches implizite oder explizite Aktionen auf einer Loopback-Schnittstelle für IPv4-Datenverkehr konfiguriert werden, werden Pakete im nächsten Hop-Resolve akzeptiert und durch den Switch discard übertragen. Für den IPv6-Datenverkehr muss jedoch eine Regel explizit konfiguriert werden, um zu ermöglichen, dass Pakete mit dem nächsten Hop IPv6-Resolve durch den Switch übertragen werden.

Konfigurieren eines Begriffs speziell für IPv4- oder IPv6-Datenverkehr

So konfigurieren Sie einen Begriff in einer Firewall-Filterkonfiguration speziell für IPv4-Datenverkehr:

  1. Stellen Sie ether-type ipv6 sicher, dass ip-version ipv6 weder der Begriff in der Konfiguration noch der Begriff angegeben ist. Standardmäßig gilt eine Konfiguration, die weder einen IPv4-Datenverkehr noch einen Begriff ether-type ipv6ip-version ipv6 für IPv4-Datenverkehr enthält.
  2. (optional) Führen Sie eine der folgenden Aufgaben aus:
    • Definieren ether-type ipv4 Sie in einem Begriff in der Konfiguration.

    • Definieren ip-version ipv4 Sie in einem Begriff in der Konfiguration.

    • Sowohl als ether-type ipv4 auch in einem Begriff in der Konfiguration ip-version ipv4 definieren.

    • Stellen Sie sicher, dass weder ein Begriff in der Konfiguration noch ein Begriff angegeben ist – standardmäßig eine Konfiguration, die keinen oder einen Begriff für ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6 IPv4-Datenverkehr ether-type ipv6 enthält, wenn er nicht enthalten ist oder ip-version ipv6 .

  3. Stellen Sie sicher, dass andere Bedingungen in diesem Begriff für IPv4-Datenverkehr gelten.

So konfigurieren Sie einen Begriff in einer Firewall-Filterkonfiguration speziell für IPv6-Datenverkehr:

  1. Führen Sie eine der folgenden Aufgaben aus:

    • Definieren ether-type ipv6 Sie in einem Begriff in der Konfiguration.

    • Definieren ip-version ipv6 Sie in einem Begriff in der Konfiguration.

    • Sowohl als ether-type ipv6 auch in einem Begriff in der Konfiguration ip-version ipv4 definieren.

      Anmerkung:

      Standardmäßig gilt eine Konfiguration, die weder einen IPv4-Datenverkehr noch einen Begriff ether-type ipv6ip-version ipv6 für IPv4-Datenverkehr enthält.

  2. Stellen Sie sicher, dass andere Bedingungen in diesem Begriff für IPv6-Datenverkehr gelten.

Anmerkung:

Wenn der Begriff eine der Bedingungen für die Übereinstimmung oder – ohne eine andere angegebene IPv6-Übereinstimmungsbedingung – enthält, wird der ether-type ipv6ip-version ipv6 IPv6-Datenverkehr allen Bedingungen angepasst.

Anmerkung:

Zum Konfigurieren eines Firewall-Filters für IPv4- und IPv6-Datenverkehr müssen Sie zwei separate Begriffe hinzufügen: einen für den IPv4-Datenverkehr und einen anderen für den IPv6-Datenverkehr.

Anwenden eines Firewallfilters auf einen Port auf einem Switch

Sie können einen Firewall-Filter auf einen Port auf einem Switch anwenden, um den ein- oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Bedingungen, Aktionen und Aktionen, die in den Bedingungen für Firewall-Filterund Aktionen für Switches der EX-Serie angegeben sind, angeben. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die abgestimmten Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf einen Port an, um den ein- oder ausgehenden Datenverkehr zu filtern:

Anmerkung:

Informationen zum Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle finden Sie unter Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle auf einem Switch

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewall-Filters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer und den Familienadressentyp für die Schnittstelle an:

    Bei Firewall-Filtern, die auf Ports angewendet werden, muss der Familienadressentyp ethernet-switching sein.

  3. So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die an einem Port eingehender sind:

    So wenden Sie einen Firewall-Filter auf Filter von Paketen an, die einen Port verlassen:

    Anmerkung:

    Sie können pro Port und pro Richtung nicht mehr als einen Firewall-Filter anwenden.

Anwenden eines Firewallfilters auf eine Verwaltungsschnittstelle auf einem Switch

Sie können einen Firewall-Filter auf eine Verwaltungsschnittstelle konfigurieren und anwenden, um Datenverkehr zu steuern, der die Schnittstelle auf einem Switch ein- oder austritt. Sie können Dienstprogramme wie SSH oder Telnet verwenden, um eine Verbindung mit der Verwaltungsschnittstelle über das Netzwerk herzustellen und dann Managementprotokolle wie SNMP zu verwenden, um statistische Daten von dem Switch zu erfassen. Ähnlich wie bei der Konfiguration eines Firewall-Filters auf anderen Schnittstellentypen können Sie einen Firewall-Filter auf einer Verwaltungsoberfläche mit beliebigen Bedingungen, Aktionen und Aktionen konfigurieren, die in Bedingungen, Aktionen und Aktionen von Firewall-Filtern festgelegt sind. Die Modifizierer für Switches der EX-Serie, außer für die folgenden Änderungsaktionen:

  • loss-priority

  • forwarding-class

Sie können auf jedem Switch der EX-Serie einen Firewall-Filter auf die Management-Ethernet-Schnittstelle anwenden. Sie können auch einen Firewall-Filter auf die virtuelle Verwaltungs-Ethernet (VME)-Schnittstelle auf dem switch EX4200 anwenden. Weitere Informationen zur Management-Ethernet-Schnittstelle und der VME-Schnittstelle finden Sie unter Schnittstellenübersicht über Switches.

So wenden Sie auf der Verwaltungsschnittstelle einen Firewall-Filter an, um ein- oder ausgehenden Datenverkehr zu filtern:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewall-Filters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer und den Familienadressentyp für die Verwaltungsschnittstelle an:
    Anmerkung:

    Bei Firewall-Filtern, die auf Verwaltungsschnittstellen angewendet werden, kann der Familienadressentyp einer von beiden inetinet6 sein.

  3. So wenden Sie einen Firewall-Filter auf Filter von Paketen an, die an einer Verwaltungsschnittstelle eingehender werden:

    So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die eine Verwaltungsschnittstelle verlassen:

    Anmerkung:

    Sie können pro Verwaltungsschnittstelle und pro Richtung nicht mehr als einen Firewall-Filter anwenden.

Anwenden eines Firewall-Filters auf ein VLAN in einem Netzwerk

Sie können einen Firewall-Filter auf ein VLAN in einem Netzwerk anwenden, um den ein- oder ausgehenden Datenverkehr im Netzwerk zu filtern. Um einen Firewall-Filter auf ein VLAN anzuwenden, geben Sie den VLAN-Namen und die ID an, und wenden Sie den Firewall-Filter dann auf das VLAN an. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Bedingungen, Aktionen und Aktionen, die in den Bedingungen für Firewall-Filterund Aktionen für Switches der EX-Serie angegeben sind, angeben. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die abgestimmten Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Geben Sie den VLAN-Namen und die VLAN-ID an, und geben Sie eine sinnvolle Beschreibung des Firewall-Filters und des VLANs an, auf das der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Wenden Sie Firewall-Filter zum Filtern von Paketen an, die in das VLAN ein- oder aussteigen:
    • So wenden Sie einen Firewall-Filter an, um Pakete, die in das VLAN eingehender sind, zu filtern:

      (auf EX4300 Switches) So wenden Sie einen Firewall-Filter an, um Pakete, die in das VLAN eingehender sind, zu filtern:

    • So wenden Sie einen Firewall-Filter auf Filter von Paketen an, die das VLAN verlassen:

      (auf EX4300 Switches) So wenden Sie einen Firewall-Filter auf Filter von Paketen an, die das VLAN verlassen:

    Anmerkung:

    Sie können pro VLAN und pro Richtung nicht mehr als einen Firewall-Filter anwenden.

Anwenden eines Firewallfilters auf eine Layer 3-Schnittstelle (Routed)

Sie können einen Firewall-Filter auf eine Layer 3-Schnittstelle (Routed) anwenden, um den ein- oder ausgehenden Datenverkehr auf dem Switch zu filtern. Wenn Sie den Firewall-Filter konfigurieren, können Sie alle Bedingungen, Aktionen und Aktionen, die in den Bedingungen für Firewall-Filterund Aktionen für Switches der EX-Serie angegeben sind, angeben. Die in der Übereinstimmungsbedingung angegebene Aktion gibt die Aktion für die abgestimmten Pakete im eingehenden oder ausgehenden Datenverkehr an.

So wenden Sie einen Firewall-Filter auf eine Layer 3-Schnittstelle auf einem Switch an:

  1. Geben Sie den Schnittstellennamen an, und geben Sie eine sinnvolle Beschreibung des Firewall-Filters und der Schnittstelle an, auf die der Filter angewendet wird:
    Anmerkung:

    Die Beschreibung ist optional.

  2. Geben Sie die Einheitennummer, den Familienadressentyp und die Adresse für die Schnittstelle an:

    Bei Firewall-Filtern, die auf Layer-3-Schnittstellen angewendet werden, muss der Typ der Familie-Adressen inet (für IPv4-Datenverkehr) oder inet6 (für IPv6-Datenverkehr) sein.

  3. Sie können Firewall-Filter anwenden, um Pakete zu filtern, die an einer Layer 3-Schnittstelle (Routed) eingehender oder aus ihnen herausgeroutet werden:
    • So wenden Sie einen Firewall-Filter zum Filtern von Paketen an, die an einer Layer 3-Schnittstelle eingehender sind:

    • So wenden Sie einen Firewall-Filter auf Filter von Paketen an, die eine Layer-3-Schnittstelle verlassen:

    Anmerkung:

    Sie können pro Layer 3-Schnittstelle pro Richtung nicht mehr als einen Firewall-Filter anwenden.