Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren von Firewall-Filtern

Folgen Sie den Schritten in den folgenden Abschnitten, um einen Firewall-Filter auf Ihrem Switch zu konfigurieren und anzuwenden.

Konfigurieren eines Firewall-Filters

So konfigurieren Sie einen Firewall-Filter:

  1. Konfigurieren Sie den Adresstyp der Familie, den Filternamen, den Begriffsnamen und mindestens eine Übereinstimmungsbedingung, z. B. Übereinstimmung mit Paketen, die eine bestimmte Quelladresse enthalten.
    • Geben Sie zum Filtern von Layer 2-Datenverkehr (Port oder VLAN) den Adresstyp ethernet-switchingder Familie an.

    • Um Layer 3-Datenverkehr (geroutet) zu filtern, geben Sie den Adresstyp der Familie (inet für IPv4) oder (inet6 für IPv6) an.

    • Geben Sie zum Filtern des Datenverkehrs der Layer 2-Circuit-Schnittstelle den Adresstyp cccder Familie an.

    Die Filter- und Termnamen können Buchstaben, Zahlen und Bindestriche (-) enthalten und bis zu 64 Zeichen lang sein. Jeder Filtername muss eindeutig sein. Ein Filter kann einen oder mehrere Begriffe enthalten, und jeder Begriffname muss innerhalb eines Filters eindeutig sein.

  2. Konfigurieren Sie zusätzliche Übereinstimmungsbedingungen. Zum Beispiel:

    In dieser Konfiguration entspricht der Filter auf Layer-2-Paketen, die Quellport 80 enthalten.

    In dieser Konfiguration stimmt der Filter auf VLANs ab, die Ge-0/0/6.0-Schnittstellen enthalten.

    Sie können mindestens eine Übereinstimmungsbedingung in einer einzigen from Anweisung angeben. Damit eine Übereinstimmung auftritt, muss das Paket mit allen Bedingungen des Begriffs übereinstimmen. Die from Anweisung ist optional, aber wenn Sie sie in einem Begriff einfügen, kann sie nicht leer sein. Wenn Sie die from Anweisung weglassen, werden alle Pakete als übereinstimmend angesehen.

  3. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen anwenden und die für jede Schnittstelle spezifischen Zähler anzeigen möchten, konfigurieren Sie die interface-specific Option:
  4. Geben Sie in jedem Firewallfilterbegriff die zu ergreifenden Aktionen an, wenn das Paket allen Bedingungen in diesem Begriff entspricht. Sie können Aktions- und Aktionsmodifizierer angeben:
    • Um eine Filteraktion anzugeben, beispielsweise um Pakete zu verwerfen, die den Bedingungen des Filterbegriffs entsprechen:

      Sie können pro Begriff nur eine Aktion (accept, , discardflood, reject, routing-instanceodervlan) festlegen.

    • Um eine Filteraktion anzugeben, beispielsweise um Pakete zu überfluten, die der MAC-Adresse auf QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210 entsprechen:

      Sie können die portbasierten Firewall-Filter konfigurieren, um die folgenden BPDUs zu überfluten oder zu verwerfen, indem Sie die Ziel-MAC-Adresse als Übereinstimmungsbedingung verwenden.

      Protokolle

      DMAC-Adresse (Destination Media Access Control)

      Firewall-Maßnahme

      Link Aggregation Control Protocol (LACP)

      01:80:c2:00:00:02

      Flood/Discard/Count

      Link Layer Discovery Protocol (LLDP)

      01:80:c2:00:00:0E

      Flood/Discard/Count

      Extensible Authentication Protocol over LAN (EAPOL)

      01:80:c2:00:00:03

      Flood/Discard/Count

      Spanning Tree Protocol (STP)

      01:80:c2:00:00:00

      Flood/Discard/Coun

      VLAN Spanning Tree Protocol (VSTP)

      01:00:0c:cc:cc:cd

      Flood/Discard/Count

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Verwerfen/Anzahl

      ISIS L1

      01:80:c2:00:00:14

      Verwerfen/Anzahl

      ISIS L2

      01:80:c2:00:00:15

      Verwerfen/Anzahl

      Anmerkung:
      • CDP/VTP, ISIS L1/L2-Protokolle werden mithilfe des dynamischen Standardfilters überflutet. Daher ist die Konfiguration zusätzlicher Filter für diese Protokolle nicht erforderlich.

      • Da ingress-portbasierte Firewall-Filter auf Portebene angewendet werden, kann nur ein Filter für eine physische Schnittstelle im Service Provider-Format angewendet werden.

      • Das native VLAN muss so konfiguriert werden, dass die nicht gekennzeichneten BPDUs, die am Trunk-Port empfangen werden, überflutet werden. Wenn das native VLAN nicht konfiguriert ist, werden die nicht gekennzeichneten BPDUs auf allen Schnittstellen in der lokalen FPC überflutet.

      • Wenn IGMP-Snooping oder Multicast Listener Discovery (MLD)-Snooping aktiviert ist, funktioniert die Flood-Funktionalität nicht.

      • Wenn der Firewall-Filter mit Flood-Aktion auf eine Schnittstelle angewendet wird und später die Schnittstelle ausfällt, werden die an dieser Schnittstelle empfangenen BPDUs überschwemmt, wenn sie die Übereinstimmungsbedingungen erfüllen.

    • Um Aktionsmodifikatoren anzugeben, beispielsweise um Pakete zu einer Weiterleitungsklasse zu zählen und zu klassifizieren:

      Sie können einen der folgenden Aktionsmodifikatoren in einer then Anweisung angeben:

      • analyzer analyzer-name— Spiegelung des Portdatenverkehrs zu einem bestimmten Analyzer, den Sie auf der [ethernet-switching-options] Ebene konfigurieren müssen.

      • count counter-name— Anzahl der Pakete, die diesen Filterbegriff passieren.

        Anmerkung:

        Wir empfehlen, dass Sie für jeden Begriff einen Zähler in einem Firewall-Filter konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.

        Anmerkung:

        Auf QFX3500- und QFX3600-Switches zählen Filter automatisch Pakete, die aufgrund von cyclischer Redundanzprüfung (SFB)-Fehlern in die Eingangsrichtung abgebrochen wurden.

      • forwarding-class class— Zuweisen von Paketen zu einer Weiterleitungsklasse.

      • log— Protokollieren Sie die Paket-Header-Informationen in der Routing-Engine.

      • loss-priority priority— Legen Sie die Priorität fest, die beim Ablegen eines Pakets besteht.

      • policer policer-name— Anwenden der Begrenzung der Übertragungsrate auf den Datenverkehr.

      • flood— Überfluten Sie die Pakete.

      • syslog— Protokollieren Sie eine Warnung für dieses Paket.

    Wenn Sie die then Anweisung auslassen oder keine Aktion angeben, werden Pakete akzeptiert, die allen Bedingungen in der from Anweisung entsprechen. Stellen Sie jedoch sicher, dass Sie eine Aktion in der then Anweisung immer konfigurieren. Sie können nur eine Aktionsanweisung enthalten, können aber eine beliebige Kombination von Aktionsmodifikatoren verwenden. Damit eine Aktion oder ein Action Modifier wirksam wird, müssen alle Bedingungen in der from Anweisung übereinstimmen.

    Anmerkung:

    Die implicit discard Aktion für einen Firewall-Filter, der auf die Loopback-Schnittstelle angewendet wird, lo0.

Konfigurieren erweiterter Egress-Firewall-Filter (QFX5110- und QFX5220-Switches)

Aufgrund einer Hardwarebeschränkung können QFX5110 und QFX5220 nur maximal 1000 Egress-Firewall-Filter (eRACLs) unterstützen. Sie können diese Zahl auf 2000 erhöhen, indem Sie den Switch im skalierten Modus konfigurieren. In diesem Modus verwendet der Switch ingress TCAM Space (IFP), um die höhere Skalierbarkeit zu erreichen.

Um den Ausgangsfilter zu konfigurieren, geben Sie den Adresstyp der Familie (inet für IPv4) oder (inet6 für IPv6), den Filternamen und den Begriffsnamen an. Fügen Sie die entsprechende Skalierungsoption für Ihren Switch ein, und geben Sie eine Übereinstimmungsbedingung und Eine Aktion an, die bei einer Übereinstimmung durchzuführen ist. Wenden Sie den Filter dann in Ausgaberichtung auf die Schnittstelle an.

Nachdem Sie eine Skalierungsoption konfiguriert, geändert oder gelöscht haben, müssen Sie die Konfiguration bestätigen und die Packet Forwarding Engine (PFE) muss neu gestartet werden.

Um die Anzahl der Ausgangsfilter auf dem QFX5110 zu erhöhen, fügen Sie die egress-to-ingress Option in Ihre Konfiguration ein. Sie können diese Option unter einem beliebigen Begriff hinzufügen. Im Folgenden sehen Sie eine Beispielkonfiguration:

Um die Anzahl der Ausgangsfilter auf dem QFX5220 zu erhöhen, fügen Sie die Option in die eracl-scaleegress-profile Anweisung ein. Im Folgenden sehen Sie eine Beispielkonfiguration:

Anmerkung:

Die eracl-scale Option wird im globalen Modus konfiguriert. Bei Aktivierung werden vorhandene Ausgangsfilter im skalierten Modus automatisch neu installiert.

Wenn Sie den skalierten Modus aktivieren, gelten diese Einschränkungen:

  • Sie können nur einen Filter in Ausgangsrichtung anwenden (Datenverkehr, der das VLAN verlässt).

  • Nur inet und inet6 Protokollfamilien werden unterstützt.

  • Gre-Schnittstellen (Generic Routing Encapsulation) werden nicht unterstützt.

  • Verwenden Sie nur die Skalierungsoptionen für Ausgangs-Firewall-Filter.

  • Sie können keine Filter mit derselben Übereinstimmungsbedingung auf verschiedene Ausgangs-VLANs oder Layer-3-Schnittstellen anwenden. Die einzigen unterstützten Aktionen sind accept, discardund count.

  • Übereinstimmungsbedingungen werden im Eingangs-Firewallfilter TCAM programmiert. Das bedeutet, dass alle dem Filter angeschlossenen Zähler den Datenverkehr in allen eingehenden VLANs zählen.

Anwenden eines Firewallfilters auf einen Port

So wenden Sie einen Firewall-Filter auf einen Port an:

  1. Geben Sie einen aussagekräftigen und beschreibenden Namen für den Firewall-Filter an. Der Name ist das, was Sie zum Anwenden des Filters auf den Port verwenden.
  2. Wenden Sie den Filter auf die Schnittstelle an, indem Sie die Einheitennummer, den Adresstyp der Familie (ethernet-switching), die Filterrichtung (für pakete, die den Port betreten) und den Filternamen angeben:
    Anmerkung:

    Sie können nur einen Filter auf einen Port in Eingangsrichtung anwenden.

Anwenden eines Firewallfilters auf ein VLAN

Anmerkung:

VLAN-Firewall-Filter werden auf QFX5100-, QFX5100 Virtual Chassis-, QFX5110- und QFX5120-Switches in einer EVPN-VXLAN-Umgebung nicht unterstützt.

So wenden Sie einen Firewall-Filter auf ein VLAN an:

  1. Geben Sie einen aussagekräftigen und beschreibenden Namen für den Firewall-Filter an. Mit diesem Namen wenden Sie den Filter auf das VLAN an.
  2. Anwenden von Firewall-Filtern zum Filtern von Paketen, die in das VLAN gelangen oder das VLAN verlassen:
    • So wenden Sie einen Filter an, um pakete abgleichen zu können, die in das VLAN gelangen:

    • So wenden Sie einen Firewall-Filter an, um mit Paketen zusammenzutreffen, die das VLAN verlassen:

    Anmerkung:

    Sie können für eine bestimmte Richtung (Eingang oder Ausgang) nur einen Filter auf ein VLAN anwenden.

Anwenden eines Firewallfilters auf eine Layer-3-Schnittstelle (Routing)

Sie können einen Firewall-Filter auf IPv4- und IPv6-Schnittstellen, Routing-VLAN-Schnittstellen (RVI) (auch als integrierte Routing- und Bridging-Schnittstelle (IRB) bekannt) und die Loopback-Schnittstelle anwenden. Diese werden alle als Layer-3-Routingschnittstellen betrachtet.

Anmerkung:

(QFX5100 - und QFX5110-Switches) In einer EVPN-VXLAN-Umgebung können Sie mit einer IRB-Schnittstelle Layer-3-Konnektivität zum Switch bereitstellen. Informationen zur Konfiguration einer IRB-Schnittstelle finden Sie unter Beispiel: Konfigurieren von IRB-Schnittstellen in einer EVPN-VXLAN-Umgebung zur Bereitstellung von Layer-3-Konnektivität für Hosts in einem Datencenter. Sie können dann einen Firewall-Filter auf die IRB-Schnittstelle anwenden, indem Sie die folgenden Schritte befolgen (nur die Eingangsrichtung wird unterstützt). Eine Liste der unterstützten Übereinstimmungsbedingungen finden Sie unter Firewall Filter Match Conditions and Actions (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Anmerkung:

Wenn Sie einen Filter auf eine einem bestimmten VLAN zugeordnete IRB-Schnittstelle anwenden, wird der Filter auf jeder Layer-3-Schnittstelle mit einer entsprechenden VLAN-ID ausgeführt. Dies liegt daran, dass der Filter an allen Layer-3-Schnittstellen mit dem entsprechenden VLAN-Tag übereinstimmt.

So wenden Sie einen Firewall-Filter auf eine Layer-3-Schnittstelle an:

  1. Geben Sie einen aussagekräftigen und beschreibenden Namen für den Firewall-Filter an. Mit diesem Namen wenden Sie den Filter auf die Schnittstelle an.
  2. Wenden Sie die Firewall-Filter an.
    • So filtern Sie Pakete, die an die Schnittstelle gelangen:

    • So filtern Sie Pakete, die die Schnittstelle verlassen:

      Der Adresstyp der Familie kann entweder (inet für IPv4) oder (inet6 für IPv6) sein.

    Anmerkung:

    Sie können für eine bestimmte Richtung (Eingang oder Ausgang) nur einen Filter auf eine Schnittstelle anwenden.

Anwenden eines Firewall-Filters auf eine Layer 2 CCC (QFX10000-Switches)

Sie können Firewall-Filter mit Zähler- und Policer-Aktionen auf Layer 2 Circuit Cross-Connect (CCC)-Datenverkehr auf QFX10000-Switches anwenden. Auf diese Weise können Sie die auf der [edit firewall family ccc] Hierarchieebene festgelegten Policer-Aktivitäten zählen und überwachen.

In diesem Beispiel count ist die Polizeiaktion.

In diesem Beispiel discard ist die Polizeiaktion.