Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration des filtres de pare-feu pour le trafic de port, VLAN et routeur sur les commutateurs EX Series

Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port du commutateur, d’un VLAN du réseau et d’une interface de couche 3 du commutateur. Les filtres de pare-feu définissent les règles qui déterminent s’il faut transférer ou refuser des paquets à des points de traitement spécifiques dans le flux de paquets.

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

  • Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series.

  • Deux commutateurs EX3200-48T de Juniper Networks : l’un devant servir de commutateur d’accès, l’autre de commutateur de distribution

  • Un module de liaison montante EX-UM-4SFP de Juniper Networks

  • Un routeur J-series de Juniper Networks

Avant de configurer et d’appliquer les filtres de pare-feu de cet exemple, assurez-vous d’avoir :

Présentation

Cet exemple de configuration montre comment configurer et appliquer des filtres de pare-feu afin de fournir des règles permettant d’évaluer le contenu des paquets et de déterminer quand rejeter, transférer, classer, compter et analyser les paquets à destination ou en provenance des commutateurs EX Series qui gèrent tout le voice-vlanemployee-vlanguest-vlan trafic. montre les filtres de pare-feu configurés pour les commutateurs EX Series dans cet exemple. Tableau 1

Tableau 1 : Composants de configuration : Filtres de pare-feu
Composant Objectif/Description

Filtre de pare-feu de port, ingress-port-voip-class-limit-tcp-icmp

Ce filtre de pare-feu remplit deux fonctions :

  • Attribue une file d’attente prioritaire aux paquets dont l’adresse MAC source correspond aux adresses MAC du téléphone. La classe expedited-forwarding de transfert offre une faible perte, un faible délai, une faible gigue, une bande passante assurée et un service de bout en bout pour l’ensemble voice-vlan du trafic.

  • Effectue une limitation de débit sur les paquets qui entrent dans les ports pour employee-vlan. Le débit de trafic pour les paquets TCP et ICMP est limité à 1 Mbit/s avec une taille de rafale maximale de 30 000 octets.

Ce filtre de pare-feu est appliqué aux interfaces de port sur le commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-rogue-block

Empêche les appareils non autorisés d’utiliser les sessions HTTP pour imiter le dispositif de contrôle d’accès qui gère l’enregistrement, l’admission et l’état des appels pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés ; et seul le contrôleur d’accès utilise HTTP. En d’autres termes, tout le voice-vlan trafic sur les ports TCP doit être destiné à l’équipement gatekeeper. Ce filtre de pare-feu s’applique à tous les téléphones sur , y compris la communication entre deux téléphones quelconques voice-vlansur le VLAN et toutes les communications entre le dispositif de contrôle d’accès et les téléphones VLAN.

Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès.

filtre de pare-feu VLAN, egress-vlan-watch-employee

Accepte le employee-vlan trafic destiné au sous-réseau d’entreprise, mais ne surveille pas ce trafic. Le trafic des employés destiné au Web est compté et analysé.

Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-limit-guest

Empêche les invités (non-employés) de parler avec les employés ou les hôtes des employés sur employee-vlan. Empêche également les invités d’utiliser des applications peer-to-peer sur guest-vlan, mais permet aux invités d’accéder au Web.

Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès.

Filtre de pare-feu de routeur, egress-router-corp-class

Hiérarchise le employee-vlan trafic, en accordant la priorité de classe de transfert la plus élevée au trafic des employés destiné au sous-réseau de l’entreprise.

Ce filtre de pare-feu est appliqué à un port routé (module de liaison montante de couche 3) sur le commutateur de distribution.

Figure 1 montre l’application des filtres de port, de VLAN et de pare-feu routé de couche 3 sur le commutateur.

Figure 1 : Application des filtres de pare-feu routés de port, de VLAN et de couche 3Application des filtres de pare-feu routés de port, de VLAN et de couche 3

Topologie du réseau

La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison montante du commutateur de distribution est configuré pour prendre en charge une connexion de couche 3 à un routeur de la série J.

Les commutateurs EX Series sont configurés pour prendre en charge l’appartenance VLAN. Tableau 2 affiche les composants de configuration VLAN pour les VLAN.

Tableau 2 : Composants de configuration : VLAN

Nom du VLAN

VLAN ID

Sous-réseau VLAN et adresses IP disponibles

VLAN Description

voice-vlan

10

192.0.2.0/28 192.0.2.1Par 192.0.2.14

192.0.2.15 est l’adresse de diffusion du sous-réseau

VLAN vocal utilisé pour le trafic VoIP des employés

employee-vlan

20

192.0.2.16/28 192.0.2.17 through 192.0.2.30 192.0.2.31 est l’adresse de diffusion du sous-réseau

PC autonomes VLAN, PC connectés au réseau via le hub dans les téléphones VoIP, les points d’accès sans fil et les imprimantes. Ce VLAN inclut entièrement le VLAN vocal. Deux VLAN et employee-vlan) doivent être configurés sur les ports qui se connectent aux téléphones(voice-vlan.

guest-vlan

30

192.0.2.32/28 192.0.2.33 through 192.0.2.46 192.0.2.47 est l’adresse de diffusion du sous-réseau

VLAN pour les appareils de données (PC) des invités. Le scénario suppose que l’entreprise dispose d’un espace ouvert aux visiteurs, soit dans le hall d’entrée, soit dans une salle de conférence, qui dispose d’un hub auquel les visiteurs peuvent brancher leur PC pour se connecter au Web et au VPN de leur entreprise.

camera-vlan

40

192.0.2.48/28 192.0.2.49 through 192.0.2.62 192.0.2.63 est l’adresse de diffusion du sous-réseau

VLAN pour les caméras de sécurité d’entreprise.

Les ports des commutateurs EX Series prennent en charge PoE (Power over Ethernet) pour fournir à la fois la connectivité réseau et l’alimentation des téléphones VoIP connectés aux ports. Tableau 3 affiche les ports de commutateur attribués aux VLAN, ainsi que les adresses IP et MAC des périphériques connectés aux ports de commutateur :

Tableau 3 : Composants de configuration : Ports de commutation sur un commutateur tout-PoE à 48 ports

Commutateur et numéro de port

Adhésion VLAN

Adresses IP et MAC

Périphériques de port

GE-0/0/0, GE-0/0/1

voice-vlan, employee-vlan

Adresses IP : 192.0.2.1 Par 192.0.2.2

Adresses MAC : 00.00.5E.00.53.01, 00.00.5E.00.53.02

Deux téléphones VoIP, chacun connecté à un PC.

GE-0/0/2, GE-0/0/3

employee-vlan

192.0.2.17 Par 192.0.2.18

Imprimante, points d’accès sans fil

GE-0/0/4, GE-0/0/5

guest-vlan

192.0.2.34 Par 192.0.2.35

Deux hubs sur lesquels les visiteurs peuvent brancher leur PC. Les hubs sont situés dans une zone ouverte aux visiteurs, comme un hall d’entrée ou une salle de conférence

GE-0/0/6, GE-0/0/7

camera-vlan

192.0.2.49 Par 192.0.2.50

Deux caméras de sécurité

ge-0/0/9

voice-vlan

Adresse IP : 192.0.2.14

Adresse MAC :00.05.5E.00.53.0E

Dispositif Gatekeeper. Le contrôleur d’accès gère l’enregistrement, l’admission et l’état des appels pour les téléphones VoIP.

GE-0/1/0

Adresse IP : 192.0.2.65

Connexion de couche 3 à un routeur ; Notez qu’il s’agit d’un port du module de liaison montante du commutateur

Configuration d’un filtre de pare-feu de port entrant pour donner la priorité au trafic vocal et limiter le débit du trafic TCP et ICMP

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic vocal et les paquets de limite de débit destinés au employee-vlan sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port afin de donner la priorité au trafic vocal et aux paquets à débit limité destinés au employee-vlan sous-réseau :

  1. Définissez les mécanismes de contrôle tcp-connection-policer et icmp-connection-policer:

  2. Définir le filtre ingress-port-voip-class-limit-tcp-icmpdu pare-feu :

  3. Définir le terme voip-high:

  4. Définir le terme network-control:

  5. Définissez le terme tcp-connection pour configurer les limites de débit pour le trafic TCP :

  6. Définissez le terme icmp-connection de configuration des limites de débit pour le trafic ICMP :

  7. Définissez le terme sans condition de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondent à aucun autre terme best-effort dans le filtre de pare-feu :

  8. Appliquez le filtre de pare-feu comme filtre ingress-port-voip-class-limit-tcp-icmp d’entrée aux interfaces de port pour employee-vlan:

  9. Configurez les paramètres souhaités pour les différents planificateurs.

    REMARQUE :

    Lorsque vous configurez les paramètres des planificateurs, définissez les nombres qui correspondent à vos modèles de trafic réseau.

  10. Affectez les classes de transfert aux planificateurs à l’aide d’une carte de planificateur :

  11. Associez la carte du planificateur à l’interface sortante :

Résultats

Affichez les résultats de la configuration :

Configuration d’un filtre de pare-feu d’entrée VLAN pour empêcher les appareils non autorisés de perturber le trafic VoIP

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement un filtre de pare-feu VLAN afin voice-vlan d’empêcher les périphériques non autorisés d’utiliser des sessions HTTP pour imiter le périphérique de contrôle d’accès qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu VLAN afin voice-vlan d’empêcher les périphériques non autorisés d’utiliser le protocole HTTP pour imiter le périphérique contrôleur d’accès qui gère le trafic VoIP :

  1. Définissez le filtre de pare-feu pour spécifier la correspondance de filtre ingress-vlan-rogue-block sur le trafic que vous souhaitez autoriser et restreindre :

  2. Définissez le terme to-gatekeeper d’acceptation des paquets qui correspondent à l’adresse IP de destination du contrôleur d’accès :

  3. Définissez le terme from-gatekeeper d’acceptation des paquets qui correspondent à l’adresse IP source du contrôleur d’accès :

  4. Définissez le terme not-gatekeeper pour vous assurer que tout voice-vlan le trafic sur les ports TCP est destiné à l’équipement contrôleur d’accès :

  5. Appliquez le filtre de pare-feu comme filtre ingress-vlan-rogue-block d’entrée à l’interface VLAN pour les téléphones VoIP :

Résultats

Affichez les résultats de la configuration :

Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic sortant sur le VLAN employé

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer employee-vlan le trafic sortant. Le trafic des employés destiné au sous-réseau de l’entreprise est accepté, mais n’est pas surveillé. Le trafic des employés destiné au Web est compté et analysé.

Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port sortant afin de compter et d’analyser employee-vlan le trafic destiné au Web :

  1. Définir le filtre egress-vlan-watch-employeedu pare-feu :

  2. Définissez le terme employee-to-corp d’acceptation, mais pas de surveillance, de tout le employee-vlan trafic destiné au sous-réseau d’entreprise :

  3. Définissez le terme employee-to-web pour compter et surveiller tout le employee-vlan trafic destiné au Web :

    REMARQUE :

    Voir l’exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series pour plus d’informations sur la configuration de l’analyseur employee-monitor .

  4. Appliquez le filtre de pare-feu comme filtre egress-vlan-watch-employee de sortie aux interfaces de port des téléphones VoIP :

Résultats

Affichez les résultats de la configuration :

Configuration d’un filtre de pare-feu VLAN pour restreindre le trafic invité-employé et les applications pair-à-pair sur le VLAN invité

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Dans l’exemple suivant, le premier terme de filtre permet aux invités de parler avec d’autres clients, mais pas avec les employés sur employee-vlan. Le deuxième terme de filtre autorise les invités à accéder au Web, mais les empêche d’utiliser des applications peer-to-peer sur guest-vlan.

Pour configurer rapidement un filtre de pare-feu VLAN afin de restreindre le trafic des invités vers les employés, en empêchant les invités de parler avec les employés ou les hôtes des employés sur ou en tentant d’utiliser des applications d’égal à égal sur employee-vlanguest-vlan, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu VLAN afin de restreindre le trafic invité-employé et les applications pair-à-pair sur guest-vlan:

  1. Définir le filtre ingress-vlan-limit-guestdu pare-feu :

  2. Définissez le terme guest-to-guest pour permettre aux invités de guest-vlan parler avec d’autres clients mais pas avec les employés sur le employee-vlan:

  3. Définissez le terme no-guest-employee-no-peer-to-peer pour autoriser les invités à accéder au guest-vlan Web, mais les empêcher d’utiliser des applications peer-to-peer sur le guest-vlan.

    REMARQUE :

    Il destination-mac-address s’agit de la passerelle par défaut, qui, pour tout hôte d’un VLAN, est le routeur de saut suivant.

  4. Appliquez le filtre de pare-feu comme filtre ingress-vlan-limit-guest d’entrée à l’interface pour guest-vlan :

Résultats

Affichez les résultats de la configuration :

Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic sortant destiné au sous-réseau d’entreprise

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement un filtre de pare-feu pour un port routé (module de liaison montante de couche 3) afin de filtrer employee-vlan le trafic, en accordant la priorité de classe de transfert la plus élevée au trafic destiné au sous-réseau d’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu à un port routé (module de liaison montante de couche 3) afin d’accorder la priorité la plus élevée au trafic destiné au employee-vlan sous-réseau d’entreprise :

  1. Définir le filtre egress-router-corp-classdu pare-feu :

  2. Définir le terme corp-expedite:

  3. Définir le terme not-to-corp:

  4. Appliquez le filtre de pare-feu comme filtre egress-router-corp-class de sortie pour le port du module de liaison montante du commutateur, qui fournit une connexion de couche 3 à un routeur :

Résultats

Affichez les résultats de la configuration :

Vérification

Pour vérifier que les filtres du pare-feu fonctionnent correctement, effectuez les opérations suivantes :

Vérification du bon fonctionnement des filtres et mécanismes de contrôle du pare-feu

But

Vérifiez l’état de fonctionnement des filtres et mécanismes de contrôle du pare-feu configurés sur le commutateur.

Action

Utilisez la commande du mode opérationnel :

Sens

La show firewall commande affiche les noms des filtres, des mécanismes de contrôle et des compteurs de pare-feu configurés sur le commutateur. Les champs de sortie indiquent le nombre d’octets et de paquets pour tous les compteurs configurés, ainsi que le nombre de paquets pour tous les mécanismes de contrôle.

Vérification du fonctionnement des planificateurs et des cartes d’ordonnancement

But

Vérifiez que les planificateurs et les cartes des planificateurs sont opérationnels sur le commutateur.

Action

Utilisez la commande du mode opérationnel :

Sens

Affiche des statistiques sur les planificateurs et les planificateurs-cartes configurés.