Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfiguration von Firewall-Filtern

Gehen Sie wie in den folgenden Abschnitten vor, um einen Firewall-Filter auf Ihrem Switch zu konfigurieren und anzuwenden.

Konfigurieren eines Firewall-Filters

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Familienadressentyp, den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung für Pakete, die eine bestimmte Quelladresse enthalten.
    • Um Layer-2-Datenverkehr (Port oder VLAN) zu filtern, geben Sie den Familienadressentyp ethernet-switching an.

    • Um Layer 3-Datenverkehr (Routed) zu filtern, geben Sie den Familienadressentyp ( inet für IPv4) oder ( inet6 für IPv6) an.

    • Um den Datenverkehr über Layer 2-Circuit-Schnittstellen zu filtern, geben Sie den Adresstyp der Familie ccc an.

    Der Filter und die Begriffsnamen können Buchstaben, Zahlen und Abstriche (-) enthalten und können bis zu 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein. Ein Filter kann einen oder mehrere Begriffe enthalten, und jeder Begriffsname muss in einem Filter eindeutig sein.

  2. Weitere Bedingungen konfigurieren. Zum Beispiel:

    In dieser Konfiguration entspricht der Filter auf Layer 2-Paketen, die Quellport 80 enthalten.

    In dieser Konfiguration entspricht der Filter auf VLANs, die die Schnittstelle ge-0/0/6.0 enthalten.

    Sie können mindestens eine Übereinstimmungsbedingungen in einer einzigen Anweisung from angeben. Damit eine Übereinstimmung auftritt, muss das Paket alle Bedingungen in dem Begriff erfüllen. Die Aussage ist optional. Wenn Sie sie in einem Begriff enthalten, kann sie from jedoch nicht leer sein. Wenn Sie die Aussage from weglassen, gelten alle Pakete als übereinstimmend.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und Zähler für jede Schnittstelle sehen möchten, konfigurieren Sie die interface-specific Option:
  4. Geben Sie in jedem Firewall-Filterbegriff die Aktionen an, die durchgeführt werden sollen, wenn das Paket allen Bedingungen in diesem Begriff entspricht. Sie können eine Aktion und eine Aktion ändern:
    • Um eine Filteraktion anzugeben, z. B. zum Verwerfen von Paketen, die den Bedingungen des Filterbegriffs übereinstimmen:

      Sie können pro Begriff nur eine Aktion angeben ( accept , , , oder discardfloodrejectrouting-instancevlan ).

    • Um eine Filteraktion anzugeben, z. B. zur Überflutung von Paketen, die der MAC-Adresse auf QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210:

      Sie können die Ingress-Port-basierten Firewall-Filter so konfigurieren, dass die folgenden BPDUs überflutet oder verworfen werden, indem Sie die MAC-Zieladresse als Übereinstimmungsbedingung verwenden.

      Protokolle

      Ziel-Media Access Control (D);-Adresse

      Firewall-Maßnahme

      Link Aggregation Control Protocol (LACP)

      01:80:c2:00:00:02

      Überfluten/Verwerfen/Zählen

      Link Layer Discovery Protocol (LLDP)

      01:80:c2:00:00:0E

      Überfluten/Verwerfen/Zählen

      Extensible Authentication Protocol over LAN (EAPOL)

      01:80:c2:00:00:03

      Überfluten/Verwerfen/Zählen

      Spanning Tree Protocol (STP)

      01:80:c2:00:00:00

      Überfluten/Verwerfen/Kuinen

      VLAN Spanning Tree Protocol (VSTP)

      01:00:0c:cc:cc:cd

      Überfluten/Verwerfen/Zählen

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Verwerfen/Zählen

      ISIS L1

      01:80:c2:00:00:14

      Verwerfen/Zählen

      ISIS L2

      01:80:c2:00:00:15

      Verwerfen/Zählen

      Anmerkung:
      • CDP/VTP, ISIS L1/L2-Protokolle fluten mithilfe des dynamischen Standardfilters. Daher ist die Konfiguration zusätzlicher Filter für diese Protokolle nicht erforderlich.

      • Da portbasierte Firewall-Filter (ingress) auf Portebene angewendet werden, kann nur ein Filter für eine physische Schnittstelle in der Dienstanbieterstilkonfiguration angewendet werden.

      • Das native VLAN muss konfiguriert sein, um eine Überflutung der nicht wiegewendigen BPDUs, die am Trunkport empfangen werden, sicherzustellen. Wenn das native VLAN nicht konfiguriert ist, werden die nicht wiegegnten BPDUs auf allen Schnittstellen in der lokalen FPC überflutet.

      • Wenn IGMP-Snooping oder MLD-Snooping (Multicast Listener Discovery) aktiviert ist, funktioniert die Floody nicht.

      • Wenn der Firewall-Filter mit Flood-Action an einer Schnittstelle angewendet wird und später, wenn die Schnittstelle ausläuft, werden die an dieser Schnittstelle empfangenen BPDUs überflutet, wenn sie die Übereinstimmungsbedingungen erfüllen.

    • Um Aktionen zu ändern, beispielsweise zur Zählen und Klassifizieren von Paketen zu einer Weiterleitungsklasse:

      Sie können einen der folgenden Aktionen-Ändernden in einer Erklärung then angeben:

      • analyzer analyzer-name- Spiegelung des Portdatenverkehrs zu einem angegebenen Analysegerät, das auf der Ebene konfiguriert werden [ethernet-switching-options] muss.

      • count counter-name-Die Anzahl der Pakete, die diesen Filterbegriff passieren, zählen.

        Anmerkung:

        Wir empfehlen, für jeden Begriff in einem Firewall-Filter einen Zähler zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen übereinstimmen.

        Anmerkung:

        Auf QFX3500- und QFX3600-Switches zählen Filter automatisch Pakete, die aufgrund von CRC-Fehlern (cyclic Redundancy Check) in die Eingehende Richtung fallen.

      • forwarding-class class— Weisen Sie Pakete einer Weiterleitungsklasse zu.

      • log— Protokollieren Sie die Informationen zum Paket-Header im Routing-Engine.

      • loss-priority priority— Legen Sie die Priorität fest, mit der ein Paket wegfallen muss.

      • policer policer-name- Wenden Sie die Begrenzung der Raten auf den Datenverkehr an.

      • flood- Fluten Sie die Pakete.

      • syslog- Protokollieren Sie einen Alarm für dieses Paket.

    Wenn Sie die Aussage weglassen oder keine Aktion angeben, werden Pakete akzeptiert, die allen Bedingungen in der Aussage thenfrom übereinstimmen. Achten Sie jedoch darauf, dass Sie in der Aussage stets eine Aktion then konfigurieren. Sie können nur eine Aktionsauszug beinhalten, können aber eine beliebige Kombination von Aktionen ändern. Damit eine Aktion oder eine Aktion ändert, müssen alle Bedingungen in der Aussage from übereinstimmen.

    Anmerkung:

    Die implicit discard auf einen Firewall-Filter auf die Loopback-Schnittstelle angewendete lo0 Aktion.

Konfigurieren von erweiterten Egress Firewall-Filtern (QFX5110- QFX5220-Switches)

Aufgrund einer Einschränkung der Hardware können QFX5110 und QFX5220 maximal 1.000 egress Firewall-Filter (eRACLs) unterstützen. Sie können diese Zahl auf 2000 erhöhen, indem Sie den Switch im skalierten Modus konfigurieren. In diesem Modus verwendet der Switch einen TCAM-Raum (Ingress TCAM Space, IFP), um die höhere Skalierung zu erreichen.

Um den Ausgangsfilter zu konfigurieren, geben Sie den Familienadressentyp ( für IPv4) oder ( für IPv6), den Filternamen und den inetinet6 Begriffsnamen an. Geben Sie die für Ihren Switch zutreffende Skalierungsoption an, und geben Sie eine Übereinstimmungsbedingung und eine Aktion an, die bei einem Treffer erfolgen soll. Anschließend wenden Sie den Filter in die Ausgaberichtung auf der Schnittstelle an.

Nach der Konfiguration, Änderung oder Entfernung einer Skalierungsoption müssen Sie die Konfiguration festlegen und die Packet Forwarding Engine (PFE) neu starten.

Um die Anzahl der Ausgangsfilter auf dem Gerät zu QFX5110, geben Sie die egress-to-ingress Option in Ihre Konfiguration ein. Sie können diese Option unter jedem beliebigen Begriff hinzufügen. Nachfolgend finden Sie eine Beispielkonfiguration:

Um die Anzahl der Ausgangsfilter auf dem QFX5220 erhöhen, geben Sie eracl-scale die Option in der Anweisung egress-profile ein. Nachfolgend finden Sie eine Beispielkonfiguration:

Anmerkung:

Die eracl-scale Option wird im globalen Modus konfiguriert. Bei Aktivierung werden vorhandene Egress-Filter automatisch im skalierten Modus neu installiert.

Wenn Sie den skalierten Modus aktivieren, gelten diese Einschränkungen:

  • Sie können nur einen Filter in die Ausgangsrichtung anwenden (Datenverkehr, der das VLAN betritt).

  • Nur inet und inet6 Protokollfamilien werden unterstützt.

  • Generic Routing Encapsulation (GRE)-Schnittstellen werden nicht unterstützt.

  • Verwenden Sie nur die Skalierungsoptionen für Egress-Firewall-Filter.

  • Sie können keine Filter mit derselben Bedingungen für unterschiedliche VLANs oder Layer 3-Schnittstellen anwenden. Die einzigen unterstützten Aktionen sind acceptdiscard , und count .

  • Die Bedingungen für Übereinstimmungen werden im Firewall-Filter-TCAM programmiert. Das bedeutet, dass alle an den Filter angeschlossenen Zähler den Datenverkehr in allen eingehenden VLANs zählen.

Anwenden eines Firewallfilters auf einen Port

So wenden Sie einen Firewall-Filter auf einen Port an:

  1. Liefern Sie einen sinnvollen und deskriptiven Namen für den Firewall-Filter. Der Name wird verwendet, um den Filter auf den Port anzuwenden.
  2. Wenden Sie den Filter auf die Schnittstelle an, und geben Sie die Einheitennummer, den Familienadressentyp ( ), die Richtung des Filters (für an den Port eingehende Pakete) und ethernet-switching den Filternamen an:
    Anmerkung:

    Sie können nur einen Filter auf einen Port in die Ingress-Richtung anwenden.

Anwenden eines Firewall-Filters auf ein VLAN

Anmerkung:

VLAN-Firewall-Filter werden auf QFX5100-, QFX5100 Virtual Chassis- und QFX5110-Switches in einer EVPN-VXLAN nicht unterstützt.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Liefern Sie einen sinnvollen und deskriptiven Namen für den Firewall-Filter. Mit diesem Namen wenden Sie den Filter auf das VLAN an.
  2. Wenden Sie Firewall-Filter zum Filtern von in das VLAN ein- oder aus dem VLAN eingehenden oder verlassenden Paketen an:
    • So wenden Sie einen Filter an, der an an das VLAN eingehenden Paketen anspricht:

    • So wenden Sie einen Firewall-Filter an, der pakete anspricht, die das VLAN verlassen:

    Anmerkung:

    Sie können für eine bestimmte Richtung (Ingress oder Egress) nur einen Filter auf ein VLAN anwenden.

Anwenden eines Firewallfilters auf eine Layer 3-Schnittstelle (Routed)

Sie können einen Firewall-Filter auf IPv4- und IPv6-Schnittstellen, Routed VLAN Interfaces (RVI) und die Loopback-Schnittstelle anwenden. Dies gelten alle als Layer-3-Routenschnittstellen.

Anmerkung:

(QFX5100- und QFX5110-Switches) In einer EVPN-VXLAN-Umgebung können Sie mit einer IRB-Schnittstelle Layer-3-Konnektivität mit dem Switch bereitstellen. Zum Konfigurieren einer IRB-Schnittstelle finden Sie unter Beispiel: Konfigurieren von IRB-Schnittstellen in einer EVPN-VXLAN zur Bereitstellung von Layer 3-Konnektivität für Hosts in einem Datencenter. Sie können dann einen Firewall-Filter auf die IRB-Schnittstelle anwenden, indem Sie die folgenden Schritte ausführen (es wird nur die Ingress-Richtung unterstützt). Eine Liste der unterstützten Bedingungen für Firewall-Filter finden Sie unter Bedingungen und Aktionen für Firewall-Filter (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

So wenden Sie einen Firewall-Filter auf eine Layer 3-Schnittstelle an:

  1. Liefern Sie einen sinnvollen und deskriptiven Namen für den Firewall-Filter. Mit diesem Namen wenden Sie den Filter auf die Schnittstelle an.
  2. Wenden Sie Firewall-Filter an.
    • So filtern Sie an der Schnittstelle eingehende Pakete:

    • So filtern Sie Pakete, die die Schnittstelle verlassen,

      Der Adresstyp der Familie kann entweder ( inet für IPv4) oder ( inet6 für IPv6) sein.

    Anmerkung:

    Sie können nur einen Filter auf eine Schnittstelle für eine bestimmte Richtung anwenden (Ingress oder Egress).

Anwenden eines Firewall-Filters auf ein Layer-2-CCC (QFX10000 Switches)

Sie können Firewall-Filter mit Count- und Policer-Aktionen auf Layer-2-Circuit Cross-Connect (CCC)-Datenverkehr auf switches QFX10000 anwenden. Dadurch können Sie die Policer-Aktivität auf der [edit firewall family ccc] Hierarchieebene zählen und überwachen.

In diesem Beispiel ist count die Policer-Aktion.

In diesem Beispiel ist discard die Policer-Aktion.