Listes de contrôle d’accès (filtres de pare-feu)
RÉSUMÉ Lisez cette rubrique pour en savoir plus sur les listes de contrôle d’accès de couche 2 (filtres de pare-feu) dans le routeur cloud natif.
Listes de contrôle d’accès (filtres de pare-feu)
À partir de la version 22.2 du routeur Cloud-Native de Juniper, nous avons inclus une capacité limitée de filtrage de pare-feu. Vous pouvez configurer les filtres à l’aide de l’interface de ligne de commande Junos OS dans le contrôleur de routeur cloud natif, NETCONF ou les API de routeur cloud natives. À partir de la version 23.2 du routeur Cloud-Native de Juniper, vous pouvez également configurer des filtres de pare-feu à l’aide d’annotations de nœud et d’un modèle de configuration personnalisé au moment du déploiement cRPD. Consultez le guide de déploiement pour plus de détails.
Pendant le déploiement, le système définit et applique des filtres de pare-feu pour empêcher le trafic de passer directement entre les interfaces du routeur. Vous pouvez définir et appliquer dynamiquement plus de filtres. Utilisez les filtres du pare-feu pour :
-
Définissez des filtres de pare-feu pour le trafic de la famille de ponts.
-
Définissez des filtres basés sur un ou plusieurs des champs suivants : adresse MAC source, adresse MAC de destination ou EtherType.
-
Définissez plusieurs termes dans chaque filtre.
-
Ignorez le trafic correspondant au filtre.
-
Appliquez des filtres pour relier les domaines.
Exemple de configuration
Vous trouverez ci-dessous un exemple de configuration de filtre de pare-feu à partir d’un déploiement de routeur cloud natif :
root@jcnr01> show configuration firewall
firewall {
family {
bridge {
filter example {
term t1 {
from {
destination-mac-address 10:10:10:10:10:11;
source-mac-address 10:10:10:10:10:10;
ether-type arp;
}
then {
discard;
}
}
}
}
}
}
La seule action que vous pouvez configurer dans un filtre de pare-feu est l’action de rejet.
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1. Vous devez ensuite valider la configuration pour que le filtre de pare-feu prenne effet.
Pour voir combien de paquets correspondaient au filtre (par VLAN), vous pouvez émettre la show firewall filter filter1 commande sur l’interface de ligne de commande cRPD. Par exemple :
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
Dans l’exemple précédent, nous avons appliqué le filtre au domaine bd3001de pont. Le filtre ne correspond à aucun paquet.
Dépannage
Le tableau suivant répertorie certains des problèmes potentiels que vous pouvez rencontrer lorsque vous implémentez des règles de pare-feu ou des ACL dans le routeur cloud natif. Vous exécutez la plupart de ces commandes sur le serveur hôte.
| Causes | possibles du problème et commande de résolution | |
|---|---|---|
| Les filtres de pare-feu ou les ACL ne fonctionnent pas | La connexion gRPC (port 50052) au vRouter est interrompue. Vérifiez la connexion gRPC. | netstat -antp|grep 50052 |
Le ui-pubd processus n’est pas en cours d’exécution. Vérifiez s’il ui-pubd est en cours d’exécution. |
ps aux|grep ui-pubd |
|
| Les commandes de filtre de pare-feu ou d’affichage ACL ne fonctionnent pas | La connexion gRPC (port 50052) au vRouter est interrompue. Vérifiez la connexion gRPC. | netstat -antp|grep 50052 |
| Le service de pare-feu n’est pas en cours d’exécution. | ps aux|grep firewall |
|
show log filter.logVous devez exécuter cette commande dans l’interface de ligne de commande du contrôleur JCNR (cRPD). |