Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Konfigurieren von Firewall-Filtern

Führen Sie die Schritte in den folgenden Abschnitten aus, um einen Firewall-Filter auf Ihrem Switch zu konfigurieren und anzuwenden.

Konfigurieren eines Firewall-Filters

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Familienadresstyp, den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung bei Paketen, die eine bestimmte Quelladresse enthalten.

    • Um den Layer-2-Datenverkehr (Port oder VLAN) zu filtern, geben Sie den Familienadresstyp ethernet-switchingan.

    • Um Layer-3-Datenverkehr (geroutet) zu filtern, geben Sie den Familienadresstyp (inet für IPv4) oder (inet6 für IPv6) an.

    • Um den Datenverkehr der Layer-2-Circuit-Schnittstelle zu filtern, geben Sie den Familienadresstyp cccan.

    Die Filter- und Begriffsnamen können Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein. Ein Filter kann einen oder mehrere Begriffe enthalten, und jeder Begriffsname muss innerhalb eines Filters eindeutig sein.

  2. Konfigurieren Sie zusätzliche Übereinstimmungsbedingungen. Beispiele:

    In dieser Konfiguration stimmt der Filter mit Layer-2-Paketen überein, die Quellport 80 enthalten.

    In dieser Konfiguration stimmt der Filter auf VLANs überein, die die Schnittstelle ge-0/0/6.0 enthalten.

    Sie können eine oder mehrere Übereinstimmungsbedingungen in einer einzelnen from Anweisung angeben. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in der Laufzeit erfüllen. Die from Anweisung ist optional, aber wenn Sie sie in einen Begriff einfügen, darf sie nicht leer sein. Wenn Sie die from Anweisung weglassen, werden alle Pakete als übereinstimmend betrachtet.

  3. Wenn Sie einen Firewallfilter auf mehrere Schnittstellen anwenden und für jede Schnittstelle spezifische Leistungsindikatoren anzeigen möchten, konfigurieren Sie die interface-specific folgende Option:
  4. Geben Sie in jedem Firewallfilterbegriff die Aktionen an, die ausgeführt werden sollen, wenn das Paket alle Bedingungen in diesem Begriff erfüllt. Sie können eine Aktion und Aktionsmodifikatoren angeben:

    • So geben Sie eine Filteraktion an, z. B. um Pakete zu verwerfen, die den Bedingungen des Filterbegriffs entsprechen:

      Sie können nur eine Aktion pro Benennung angeben (accept, discard, flood, reject, routing-instanceoder vlan).

    • So legen Sie eine Filteraktion fest, z. B. um Pakete zu überfluten, die mit der MAC-Adresse auf QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210 übereinstimmen:

      Sie können die auf dem Eingangsport basierenden Firewallfilter so konfigurieren, dass die folgenden BPDUs überflutet oder verworfen werden, indem Sie die MAC-Zieladresse als Übereinstimmungsbedingung verwenden.

      Protokolle

      DMAC-Adresse (Destination Media Access Control)

      Firewall-Maßnahme

      Link Aggregation Control Protocol (LACP)

      01:80:c2:00:00:02

      Überfluten/Verwerfen/Zählen

      Link Layer Discovery Protocol (LLDP)

      01:80:c2:00:00:0E

      Überfluten/Verwerfen/Zählen

      Extensible Authentication Protocol over LAN (EAPOL)

      01:80:c2:00:00:03

      Überfluten/Verwerfen/Zählen

      Spanning Tree Protocol (STP)

      01:80:c2:00:00:00

      Überschwemmen/Verwerfen/Coun

      VLAN-Spanning-Tree-Protokoll (VSTP)

      01:00:0c:cc:cc:cd

      Überfluten/Verwerfen/Zählen

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Verwerfen/Zählen

      ISIS L1

      01:80:c2:00:00:14

      Verwerfen/Zählen

      ISIS L2

      01:80:c2:00:00:15

      Verwerfen/Zählen
      HINWEIS:

      • CDP/VTP, ISIS L1/L2-Protokolle werden mit dem dynamischen Standardfilter überflutet. Daher ist es nicht erforderlich, zusätzliche Filter für diese Protokolle zu konfigurieren.

      • Da eingangsportbasierte Firewallfilter auf Portebene angewendet werden, kann in der Konfiguration im Service Provider-Stil nur ein Filter für eine physische Schnittstelle angewendet werden.

      • Das native VLAN muss so konfiguriert werden, dass die am Trunk-Port empfangenen BPDUs ohne Tags überflutet werden. Wenn das native VLAN nicht konfiguriert ist, werden die nicht getaggten BPDUs auf allen Schnittstellen im lokalen FPC überflutet.

      • Wenn IGMP-Snooping oder Multicast Listener Discovery (MLD)-Snooping aktiviert ist, funktioniert die Flood-Funktion nicht.

      • Wenn der Firewallfilter mit Flood-Aktion auf eine Schnittstelle angewendet wird und später, wenn die Schnittstelle ausfällt, werden die auf dieser Schnittstelle empfangenen BPDUs überflutet, wenn sie die Übereinstimmungsbedingungen erfüllt.

    • So geben Sie Aktionsmodifikatoren an, z. B. zum Zählen und Klassifizieren von Paketen in einer Weiterleitungsklasse:

      Sie können einen der folgenden Aktionsmodifizierer in einer then Anweisung angeben:

      • analyzer analyzer-name– Spiegeln Sie den Portdatenverkehr auf einen angegebenen Analyzer, den Sie auf der [ethernet-switching-options] Ebene konfigurieren müssen.

      • count counter-name– Zählt die Anzahl der Pakete, die diesen Filterbegriff übergeben.

        HINWEIS:

        Es wird empfohlen, für jeden Begriff in einem Firewallfilter einen Leistungsindikator zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.

        HINWEIS:

        Auf QFX3500- und QFX3600-Switches zählen Filter automatisch Pakete, die aufgrund von CRC-Fehlern (Cyclic Redundancy Check) in Eingangsrichtung verworfen wurden.

      • forwarding-class class– Pakete einer Weiterleitungsklasse zuweisen.

      • log– Protokollieren Sie die Paket-Header-Informationen in der Routing-Engine.

      • loss-priority priority– Legen Sie die Priorität fest, mit der ein Paket verworfen werden soll.

      • policer policer-name– Wenden Sie eine Ratenbegrenzung auf den Datenverkehr an.

      • flood– Überfluten Sie die Pakete.

      • syslog– Protokollieren Sie eine Warnung für dieses Paket.

    Wenn Sie die then Anweisung weglassen oder keine Aktion angeben, werden Pakete akzeptiert, die alle Bedingungen in der from Anweisung erfüllen. Stellen Sie jedoch sicher, dass Sie immer eine Aktion in der then Anweisung konfigurieren. Sie können nur eine Aktionsanweisung einschließen, aber eine beliebige Kombination von Aktionsmodifizierern verwenden. Damit eine Aktion oder ein Aktionsmodifizierer wirksam wird, müssen alle Bedingungen in der from Anweisung übereinstimmen.

    HINWEIS:

    Die implicit discard Aktion, die für einen Firewallfilter gilt, der auf die Loopback-Schnittstelle angewendet wird, lo0.

Konfigurieren von erweiterten Ausgangs-Firewall-Filtern (QFX5110- und QFX5220-Switches )

Aufgrund einer Hardwarebeschränkung können die QFX5110 - und QFX5220-Switches nur maximal 1000 Egress-Firewall-Filter (eRACLs) unterstützen. Sie können diese Zahl auf 2000 erhöhen, indem Sie den Switch im skalierten Modus konfigurieren. In diesem Modus verwendet der Switch den Eingangs-TCAM-Raum (IFP), um eine höhere Skalierung zu erreichen.

Um den Ausgangsfilter zu konfigurieren, geben Sie den Familienadresstyp (inet für IPv4) oder (inet6 für IPv6), den Filternamen und den Begriffsnamen an. Fügen Sie die entsprechende Skalierungsoption für Ihren Switch hinzu, und geben Sie eine Übereinstimmungsbedingung und eine Aktion an, die im Falle einer Übereinstimmung ausgeführt werden soll. Wenden Sie dann den Filter in Ausgaberichtung auf die Schnittstelle an.

Nachdem Sie eine Skalierungsoption konfiguriert, geändert oder gelöscht haben, müssen Sie die Konfiguration bestätigen, und die Packet Forwarding Engine (PFE) muss neu gestartet werden.

Um die Anzahl der Ausgangsfilter auf dem QFX5110 zu erhöhen, schließen Sie diese egress-to-ingress Option in Ihre Konfiguration ein. Sie können diese Option unter einer beliebigen Bedingung hinzufügen. Im Folgenden finden Sie eine Beispielkonfiguration:

Um die Anzahl der Ausgangsfilter auf der QFX5220zu erhöhen, fügen Sie die eracl-scale Option unter der egress-profile Anweisung ein. Im Folgenden finden Sie eine Beispielkonfiguration:

HINWEIS:

Die eracl-scale Option ist im globalen Modus konfiguriert. Wenn diese Option aktiviert ist, werden vorhandene Ausgangsfilter automatisch im skalierten Modus neu installiert.

Wenn Sie den skalierten Modus aktivieren, gelten die folgenden Einschränkungen:

  • Sie können einen Filter nur in Ausgangsrichtung anwenden (Datenverkehr, der das VLAN verlässt).

  • Es werden nur inet Protokollfamilien inet6 unterstützt.

  • GRE-Schnittstellen (Generic Routing Encapsulation) werden nicht unterstützt.

  • Verwenden Sie nur die Skalierungsoptionen für Firewallfilter für ausgehenden Datenverkehr.

  • Es ist nicht möglich, Filter mit derselben Übereinstimmungsbedingung auf verschiedene Ausgangs-VLANs oder Layer-3-Schnittstellen anzuwenden. Die einzigen unterstützten Aktionen sind accept, discardund count.

  • Die Übereinstimmungsbedingungen werden im TCAM des Eingangs-Firewall-Filters programmiert. Das bedeutet, dass alle Zähler, die an den Filter angehängt sind, den Datenverkehr in allen eingehenden VLANs zählen.

Anwenden eines Firewall-Filters auf einen Port

So wenden Sie einen Firewall-Filter auf einen Port an:

  1. Geben Sie einen aussagekräftigen und aussagekräftigen Namen für den Firewallfilter an. Der Name ist das, was Sie verwenden, um den Filter auf den Port anzuwenden.
  2. Wenden Sie den Filter auf die Schnittstelle an und geben Sie die Gerätenummer, den Familienadresstyp (ethernet-switching), die Richtung des Filters (für Pakete, die in den Port eingehen) und den Filternamen an:
    HINWEIS:

    Sie können nur einen Filter auf einen Port in Eingangsrichtung anwenden.

Anwenden eines Firewall-Filters auf ein VLAN

HINWEIS:

VLAN-Firewall-Filter werden auf QFX5100-, QFX5100 Virtual Chassis-, QFX5110- und QFX5120-Switches in einer EVPN-VXLAN-Umgebung nicht unterstützt.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Geben Sie einen aussagekräftigen und aussagekräftigen Namen für den Firewallfilter an. Unter diesem Namen wenden Sie den Filter auf das VLAN an.
  2. Wenden Sie Firewall-Filter an, um Pakete zu filtern, die in das VLAN eintreten oder es verlassen:

    • So wenden Sie einen Filter an, um Pakete abzugleichen, die in das VLAN eingehen:

    • So wenden Sie einen Firewall-Filter an, um Pakete abzugleichen, die das VLAN verlassen:

    HINWEIS:

    Sie können nur einen Filter auf ein VLAN für eine bestimmte Richtung (Eingang oder Ausgang) anwenden.

Anwenden eines Firewall-Filters auf eine (geroutete) Layer-3-Schnittstelle

Sie können einen Firewallfilter auf IPv4- und IPv6-Schnittstellen, geroutete VLAN-Schnittstellen (RVI) (auch als integrierte Routing- und Bridging-Schnittstelle(IRB) bezeichnet) und die Loopback-Schnittstelle anwenden. Diese werden alle als Layer-3-Routing-Schnittstellen betrachtet.

HINWEIS:

(QFX5100 - und QFX5110-Switches) In einer EVPN-VXLAN-Umgebung können Sie eine IRB-Schnittstelle verwenden, um Layer-3-Konnektivität für den Switch bereitzustellen. Informationen zum Konfigurieren einer IRB-Schnittstelle finden Sie unter Beispiel: Konfigurieren von IRB-Schnittstellen in einer EVPN-VXLAN-Umgebung zur Bereitstellung von Layer-3-Konnektivität für Hosts in einem Datencenter. Sie können dann einen Firewallfilter auf die IRB-Schnittstelle anwenden, indem Sie die folgenden Schritte ausführen (nur die Eingangsrichtung wird unterstützt). Eine Liste der unterstützten Übereinstimmungsbedingungen finden Sie unter Übereinstimmungsbedingungen und -aktionen für Firewall-Filter (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
HINWEIS:

Wenn Sie einen Filter auf eine IRB-Schnittstelle anwenden, die einem bestimmten VLAN zugeordnet ist, wird der Filter auf jeder Layer-3-Schnittstelle mit einer übereinstimmenden VLAN-ID ausgeführt. Dies liegt daran, dass der Filter auf allen Layer-3-Schnittstellen mit dem entsprechenden VLAN-Tag übereinstimmt.

So wenden Sie einen Firewall-Filter auf eine Layer-3-Schnittstelle an:

  1. Geben Sie einen aussagekräftigen und aussagekräftigen Namen für den Firewallfilter an. Mit diesem Namen wenden Sie den Filter auf die Schnittstelle an.
  2. Wenden Sie die Firewall-Filter an.

    • So filtern Sie Pakete, die in die Schnittstelle gelangen:

    • So filtern Sie Pakete, die die Schnittstelle verlassen:

      Der Familienadresstyp kann entweder (inet für IPv4) oder (inet6 für IPv6) sein.

    HINWEIS:

    Sie können nur einen Filter auf eine Schnittstelle für eine bestimmte Richtung (Eingang oder Ausgang) anwenden.

Anwenden eines Firewall-Filters auf einen Layer-2-CCC (QFX10000-Switches)

Sie können Firewall-Filter mit Count- und Policer-Aktionen auf Layer 2 Circuit Cross Connect (CCC)-Datenverkehr auf QFX10000 Switches anwenden. Auf diese Weise können Sie die auf der [edit firewall family ccc] Hierarchieebene eingestellte Polizeiaktivität zählen und überwachen.

In diesem Beispiel count ist dies die Polizeiaktion.

In diesem Beispiel discard ist dies die Polizeiaktion.

Verwandte Themen