Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Listes de contrôle d’accès (filtres de pare-feu)

RÉSUMÉ Lisez cette rubrique pour en savoir plus sur les listes de contrôle d’accès de couche 2 (filtres de pare-feu) dans le routeur cloud natif.

Listes de contrôle d’accès (filtres de pare-feu)

À partir de la version 22.2 du routeur Cloud-Native de Juniper, nous avons inclus une capacité limitée de filtrage de pare-feu. Vous pouvez configurer les filtres à l’aide de l’interface de ligne de commande Junos OS dans le contrôleur de routeur cloud natif, NETCONF ou les API de routeur cloud natives. À partir de la version 23.2 du routeur Cloud-Native de Juniper, vous pouvez également configurer des filtres de pare-feu à l’aide d’annotations de nœud et d’un modèle de configuration personnalisé au moment du déploiement cRPD. Consultez le guide de déploiement pour plus de détails.

Pendant le déploiement, le système définit et applique des filtres de pare-feu pour empêcher le trafic de passer directement entre les interfaces du routeur. Vous pouvez définir et appliquer dynamiquement plus de filtres. Utilisez les filtres du pare-feu pour :

  • Définissez des filtres de pare-feu pour le trafic de la famille de ponts.

  • Définissez des filtres basés sur un ou plusieurs des champs suivants : adresse MAC source, adresse MAC de destination ou EtherType.

  • Définissez plusieurs termes dans chaque filtre.

  • Ignorez le trafic correspondant au filtre.

  • Appliquez des filtres pour relier les domaines.

Exemple de configuration

Vous trouverez ci-dessous un exemple de configuration de filtre de pare-feu à partir d’un déploiement de routeur cloud natif :

Note: Vous pouvez configurer jusqu’à 16 termes dans un seul filtre de pare-feu.

La seule action que vous pouvez configurer dans un filtre de pare-feu est l’action de rejet.

Après la configuration, vous devez appliquer vos filtres de pare-feu à un domaine de pont à l’aide d’une commande de configuration cRPD semblable à : set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1. Vous devez ensuite valider la configuration pour que le filtre de pare-feu prenne effet.

Pour voir combien de paquets correspondaient au filtre (par VLAN), vous pouvez émettre la show firewall filter filter1 commande sur l’interface de ligne de commande cRPD. Par exemple :

Dans l’exemple précédent, nous avons appliqué le filtre au domaine bd3001de pont. Le filtre ne correspond à aucun paquet.

Dépannage

Le tableau suivant répertorie certains des problèmes potentiels que vous pouvez rencontrer lorsque vous implémentez des règles de pare-feu ou des ACL dans le routeur cloud natif. Vous exécutez la plupart de ces commandes sur le serveur hôte.

Tableau 1 : filtrage de pare-feu L2 ou dépannage ACL
Causes possibles du problème et commande de résolution
Les filtres de pare-feu ou les ACL ne fonctionnent pas La connexion gRPC (port 50052) au vRouter est interrompue. Vérifiez la connexion gRPC.
netstat -antp|grep 50052
Le ui-pubd processus n’est pas en cours d’exécution. Vérifiez s’il ui-pubd est en cours d’exécution.
ps aux|grep ui-pubd
Les commandes de filtre de pare-feu ou d’affichage ACL ne fonctionnent pas La connexion gRPC (port 50052) au vRouter est interrompue. Vérifiez la connexion gRPC.
netstat -antp|grep 50052
Le service de pare-feu n’est pas en cours d’exécution.
ps aux|grep firewall
show log filter.log
Vous devez exécuter cette commande dans l’interface de ligne de commande du contrôleur JCNR (cRPD).