EN ESTA PÁGINA
Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX
En este ejemplo se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto del conmutador, una VLAN de la red y una interfaz de capa 3 del conmutador. Los filtros de firewall definen las reglas que determinan si se deben reenviar o denegar paquetes en puntos de procesamiento específicos del flujo de paquetes.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Junos OS versión 9.0 o posterior para conmutadores de la serie EX.
Dos conmutadores EX3200-48T de Juniper Networks: uno para ser utilizado como un conmutador de acceso, el otro para ser utilizado como un conmutador de distribución
Un módulo de enlace ascendente EX-UM-4SFP de Juniper Networks
Un enrutador de la serie J de Juniper Networks
Antes de configurar y aplicar los filtros de firewall en este ejemplo, asegúrese de tener:
Una comprensión de los conceptos de filtro de firewall, los aplicadores de políticas y CoS
Se instaló el módulo de enlace ascendente en el conmutador de distribución. Consulte Instalación de un módulo de enlace ascendente en un conmutador EX3200.
Descripción general
En este ejemplo de configuración, se muestra cómo configurar y aplicar filtros de firewall para proporcionar reglas que permitan evaluar el contenido de los paquetes y determinar cuándo descartar, reenviar, clasificar, contar y analizar paquetes destinados o que se originan en los conmutadores de la serie EX que controlan todo el tráfico , y . muestra los filtros de firewall configurados para los conmutadores de la serie EX en este ejemplo.voice-vlanemployee-vlanguest-vlanTabla 1
| Componente | Propósito/Descripción |
|---|---|
Filtro de firewall de puertos, |
Este filtro de firewall realiza dos funciones:
Este filtro de firewall se aplica a las interfaces de puerto en el conmutador de acceso. |
Filtro de firewall VLAN, |
Evita que los dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo guardián que administra el registro de llamadas, la admisión y el estado de las llamadas VoIP. Solo se deben usar puertos TCP o UDP; y solo el guardián usa HTTP. Es decir, todo el tráfico en los puertos TCP debe estar destinado al dispositivo gatekeeper. Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall VLAN, |
Acepta el tráfico destinado a la subred corporativa, pero no supervisa este tráfico. Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall VLAN, |
Impide que los invitados (que no son empleados) hablen con los empleados o los anfitriones de los empleados en . Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall del enrutador, |
Prioriza el tráfico, dando la máxima prioridad de clase de reenvío al tráfico de empleados destinado a la subred corporativa. Este filtro de firewall se aplica a un puerto enrutado (módulo de enlace ascendente de capa 3) en el conmutador de distribución. |
Figura 1 muestra la aplicación de filtros de firewall enrutado de puerto, VLAN y capa 3 en el conmutador.
Topología de red
La topología de este ejemplo de configuración consta de un conmutador EX-3200-48T en la capa de acceso y un conmutador EX-3200-48T en la capa de distribución. El módulo de enlace ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 con un enrutador de la serie J.
Los conmutadores de la serie EX están configurados para admitir la membresía VLAN. muestra los componentes de configuración de VLAN para las VLAN.Tabla 2
Nombre de VLAN |
VLAN ID |
Subred VLAN y direcciones IP disponibles |
Descripción de VLAN |
|---|---|---|---|
|
|
|
VLAN de voz utilizada para el tráfico VoIP de los empleados |
|
|
a través de es la dirección de difusión de la subred |
PC independientes VLAN, PC conectados a la red a través del concentrador en teléfonos VoIP, puntos de acceso inalámbricos e impresoras. Esta VLAN incluye completamente la VLAN de voz. Se deben configurar dos VLAN y ) en los puertos que se conectan a los teléfonos. |
|
|
a través de es la dirección de difusión de la subred |
VLAN para dispositivos de datos (PC) de invitados. El escenario supone que la corporación tiene un área abierta a los visitantes, ya sea en el vestíbulo o en una sala de conferencias, que tiene un concentrador al que los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su empresa. |
|
|
a través de es la dirección de difusión de la subred |
VLAN para las cámaras de seguridad corporativas. |
Los puertos de los conmutadores de la serie EX admiten alimentación por Ethernet (PoE) para proporcionar conectividad de red y alimentación para teléfonos VoIP que se conectan a los puertos. muestra los puertos del conmutador asignados a las VLAN y las direcciones IP y MAC de los dispositivos conectados a los puertos del conmutador:Tabla 3
Número de conmutador y puerto |
Membresía de VLAN |
Direcciones IP y MAC |
Dispositivos portuarios |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Direcciones IP: Direcciones MAC: |
Dos teléfonos VoIP, cada uno conectado a una PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Impresora, puntos de acceso inalámbricos |
ge-0/0/4, ge-0/0/5 |
|
|
Dos hubs en los que los visitantes pueden conectar sus PCs. Los centros están ubicados en un área abierta a los visitantes, como un vestíbulo o una sala de conferencias |
ge-0/0/6, ge-0/0/7 |
|
|
Dos cámaras de seguridad |
ge-0/0/9 |
|
Dirección IP: Dirección MAC: |
Dispositivo Gatekeeper. El guardián gestiona el registro de llamadas, la admisión y el estado de las llamadas para los teléfonos VoIP. |
GE-0/1/0 |
Dirección IP: |
Conexión de capa 3 a un enrutador; Tenga en cuenta que se trata de un puerto del módulo de vínculo ascendente del conmutador |
Configuración de un filtro de firewall del puerto de entrada para priorizar el tráfico de voz y limitar la velocidad del tráfico TCP e ICMP
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar y aplicar rápidamente un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la subred, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:employee-vlan
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la subred:employee-vlan
Defina los aplicadores y :
tcp-connection-policericmp-connection-policer[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Defina el filtro del firewall:
ingress-port-voip-class-limit-tcp-icmp[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Defina el término :
voip-high[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Defina el término :
network-control[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Defina el término para configurar los límites de velocidad para el tráfico TCP:
tcp-connection[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Defina el término para configurar los límites de velocidad para el tráfico ICMP:
icmp-connection[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Defina el término sin condiciones de coincidencia para una coincidencia implícita en todos los paquetes que no coincidan con ningún otro término del filtro de firewall:
best-effort[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Aplique el filtro de firewall como filtro de entrada a las interfaces de puerto para :
ingress-port-voip-class-limit-tcp-icmpemployee-vlan[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configure los parámetros que se deseen para los diferentes programadores.
Nota:Cuando configure parámetros para los programadores, defina los números para que coincidan con sus patrones de tráfico de red.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Asigne las clases de reenvío a los programadores con una asignación de programador:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Asocie el mapa del programador con la interfaz de salida:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Configuración de un filtro de firewall de entrada de VLAN para evitar que dispositivos no autorizados interrumpan el tráfico de VoIP
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall VLAN para evitar que dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo gatekeeper que administra el tráfico VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:voice-vlan
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall VLAN para evitar que dispositivos no autorizados utilicen HTTP para imitar al dispositivo guardián que administra el tráfico VoIP:voice-vlan
Defina el filtro de firewall para especificar la coincidencia de filtros en el tráfico que desea permitir y restringir:
ingress-vlan-rogue-block[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Defina el término para aceptar paquetes que coincidan con la dirección IP de destino del guardián:
to-gatekeeper[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Defina el término para aceptar paquetes que coincidan con la dirección IP de origen del guardián:
from-gatekeeper[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Defina el término para asegurarse de que todo el tráfico en los puertos TCP está destinado al dispositivo gatekeeper:
not-gatekeepervoice-vlan[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Aplique el filtro de firewall como filtro de entrada a la interfaz VLAN para los teléfonos VoIP:
ingress-vlan-rogue-block[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Configuración de un filtro de firewall VLAN para contar, monitorear y analizar el tráfico de salida en la VLAN del empleado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Se configura un filtro de firewall y se aplica a las interfaces VLAN para filtrar el tráfico de salida.employee-vlan El tráfico de empleados destinado a la subred corporativa se acepta, pero no se supervisa. Se cuenta y analiza el tráfico de empleados destinado a la Web.
Para configurar y aplicar rápidamente un filtro de firewall VLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puerto de salida para contar y analizar el tráfico destinado a la Web:employee-vlan
Defina el filtro del firewall:
egress-vlan-watch-employee[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Defina el término para aceptar, pero no supervisar, todo el tráfico destinado a la subred corporativa:
employee-to-corpemployee-vlan[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Defina el término para contar y monitorear todo el tráfico destinado a la Web:
employee-to-webemployee-vlan[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Aplique el filtro de firewall como filtro de salida a las interfaces de puerto para los teléfonos VoIP:
egress-vlan-watch-employee[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Configuración de un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en la VLAN de invitado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
En el ejemplo siguiente, el primer término de filtro permite a los invitados hablar con otros huéspedes, pero no con los empleados de .employee-vlan El segundo término de filtro permite a los invitados acceder a la Web, pero les impide utilizar aplicaciones punto a punto en .guest-vlan
Para configurar rápidamente un filtro de firewall VLAN para restringir el tráfico de invitado a empleado, bloqueando a los invitados para que no hablen con los empleados o los anfitriones de los empleados o intenten utilizar aplicaciones punto a punto en , copie los siguientes comandos y péguelos en la ventana terminal del conmutador:employee-vlanguest-vlan
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en :guest-vlan
Defina el filtro del firewall:
ingress-vlan-limit-guest[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDefina el término para permitir que los invitados hablen con otros huéspedes pero no con los empleados en el :
guest-to-guestguest-vlanemployee-vlan[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Defina el término para permitir el acceso a los invitados en Web, pero evitar que utilicen aplicaciones punto a punto en el .
no-guest-employee-no-peer-to-peerguest-vlanguest-vlanNota:El es la puerta de enlace predeterminada, que para cualquier host en una VLAN es el enrutador del próximo salto.
destination-mac-address[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Aplique el filtro de firewall como filtro de entrada a la interfaz para :
ingress-vlan-limit-guestguest-vlan[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Configuración de un filtro de firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall para un puerto enrutado (módulo de enlace ascendente de capa 3) para filtrar el tráfico, dando la máxima prioridad de clase de reenvío al tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:employee-vlan
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall a un puerto enrutado (módulo de vínculo ascendente de capa 3) para dar la máxima prioridad al tráfico destinado a la subred corporativa:employee-vlan
Defina el filtro del firewall:
egress-router-corp-class[edit] user@switch# set firewall family inet filter egress-router-corp-class
Defina el término :
corp-expedite[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Defina el término :
not-to-corp[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Aplique el filtro de firewall como filtro de salida para el puerto del módulo de enlace ascendente del conmutador, que proporciona una conexión de capa 3 a un enrutador:
egress-router-corp-class[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Verificación
Para confirmar que los filtros del firewall funcionan correctamente, realice las siguientes tareas:
- Comprobación de que los filtros y las políticas de firewall estén operativos
- Verificar que los programadores y los mapas del programador estén operativos
Comprobación de que los filtros y las políticas de firewall estén operativos
Propósito
Compruebe el estado operativo de los filtros y políticas de firewall configurados en el conmutador.
Acción
Utilice el comando del modo operativo:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Significado
El comando muestra los nombres de los filtros, políticas y contadores de firewall configurados en el conmutador.show firewall Los campos de salida muestran los recuentos de bytes y paquetes para todos los contadores configurados y el recuento de paquetes para todos los aplicadores de políticas.
Verificar que los programadores y los mapas del programador estén operativos
Propósito
Verifique que los programadores y los mapas del programador estén operativos en el conmutador.
Acción
Utilice el comando del modo operativo:
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Significado
Muestra estadísticas sobre los programadores y los mapas de programadores configurados.