Sur cette page
Exemple : Configuration des filtres de pare-feu pour le trafic de port, de VLAN et de routeur sur les commutateurs EX Series
Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port sur le commutateur, d’un VLAN sur le réseau et d’une interface de couche 3 sur le commutateur. Les filtres de pare-feu définissent les règles qui déterminent s’il faut transférer ou refuser des paquets à des points de traitement spécifiques du flux de paquets.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS Version 9.0 ou ultérieure pour les commutateurs EX Series.
Deux commutateurs EX3200-48T De Juniper Networks : l’un pour être utilisé comme commutateur d’accès, l’autre comme commutateur de distribution
Un module de liaison montante EX-UM-4SFP de Juniper Networks
Un routeur J-Series Juniper Networks
Avant de configurer et d’appliquer les filtres de pare-feu dans cet exemple, assurez-vous que vous avez :
Compréhension des concepts des filtres de pare-feu, des polices et du CoS
Installez le module de liaison montante dans le commutateur de distribution. Voir Installation d’un module de liaison montante dans un commutateur EX3200.
Présentation
Cet exemple de configuration montre comment configurer et appliquer des filtres de pare-feu afin de fournir des règles permettant d’évaluer le contenu des paquets et de déterminer quand rejeter, transférer, classer, compter et analyser les paquets destinés aux commutateurs EX Series qui gèrent tous les voice-vlanemployee-vlancommutateurs EX Series et guest-vlan le trafic. Tableau 1 Affiche les filtres de pare-feu configurés pour les commutateurs EX Series dans cet exemple.
| Composant | Objet/Description |
|---|---|
Filtre de pare-feu de port, |
Ce filtre de pare-feu remplit deux fonctions :
Ce filtre de pare-feu est appliqué aux interfaces de port sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les équipements malveillants d’utiliser des sessions HTTP pour imiter l’équipement de contrôle qui gère l’enregistrement, l’admission et l’état des appels pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés ; et seul le gardien utilise HTTP. Autrement dit, tout le trafic sur les Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès. |
filtre de pare-feu VLAN, |
Accepte Ce filtre de pare-feu est appliqué aux interfaces vlan sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les invités (non-employés) de parler avec les employés ou les hôtes Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès. |
Filtre de pare-feu de routeur, |
Hiérarchise Ce filtre de pare-feu est appliqué à un port routé (module de liaison montante de couche 3) sur le commutateur de distribution. |
Figure 1 affiche l’application des filtres de pare-feu routés de port, VLAN et de couche 3 sur le commutateur.
Topologie de réseau
La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison montante du commutateur de distribution est configuré pour prendre en charge une connexion de couche 3 à un routeur J Series.
Les commutateurs EX Series sont configurés pour prendre en charge l’appartenance au VLAN. Tableau 2 affiche les composants de configuration VLAN pour les VLAN.
Nom du VLAN |
VLAN ID |
Sous-réseau VLAN et adresses IP disponibles |
VLAN Description |
|---|---|---|---|
|
|
|
VLAN vocal utilisé pour le trafic VoIP des employés |
|
|
|
Les PC autonomes VLAN, les PC connectés au réseau via le hub dans les téléphones VoIP, les points d’accès sans fil et les imprimantes. Ce VLAN inclut entièrement le VLAN vocal. Deux VLAN |
|
|
|
VLAN pour les équipements de données (PC) des invités. Le scénario suppose que la société dispose d’un espace ouvert aux visiteurs, dans le hall ou dans une salle de conférence, qui dispose d’un hub auquel les visiteurs peuvent brancher leurs PC pour se connecter au Web et au VPN de leur entreprise. |
|
|
|
VLAN pour les caméras de sécurité d’entreprise. |
Les ports des commutateurs EX Series prennent en charge l’alimentation PoE (Power over Ethernet) pour assurer à la fois la connectivité réseau et l’alimentation des téléphones VoIP qui se connectent aux ports. Tableau 3 affiche les ports de commutation assignés aux VLAN et les adresses IP et MAC des équipements connectés aux ports du commutateur :
Numéro de commutateur et de port |
Adhésion au VLAN |
Adresses IP et MAC |
Équipements de port |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Adresses IP : Adresses MAC : |
Deux téléphones VoIP, chacun connecté à un PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Imprimante, points d’accès sans fil |
ge-0/0/4, ge-0/0/5 |
|
|
Deux hubs dans lesquels les visiteurs peuvent brancher leurs PC. Les hubs sont situés dans une zone ouverte aux visiteurs, comme un hall d’entrée ou une salle de conférence |
ge-0/0/6, ge-0/0/7 |
|
|
Deux caméras de sécurité |
ge-0/0/9 |
|
Adresse IP : Adresse MAC : |
Dispositif gatekeeper. Le gardien gère l’inscription, l’admission et le statut de l’appel pour les téléphones VoIP. |
ge-0/1/0 |
Adresse IP : |
Connexion de couche 3 à un routeur ; notez qu’il s’agit d’un port sur le module de liaison montante du commutateur |
Configuration d’un filtre de pare-feu de port entrant pour hiérarchiser le trafic vocal et limiter les débits de trafic TCP et ICMP
Pour configurer et appliquer des filtres de pare-feu pour les interfaces de port, de VLAN et de routeur, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic vocal et les paquets à débit limité à destination du employee-vlan sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port afin de hiérarchiser le trafic vocal et les paquets à débit limité qui sont destinés au employee-vlan sous-réseau :
Définissez les contrôles
tcp-connection-policereticmp-connection-policer:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Définir le filtre
ingress-port-voip-class-limit-tcp-icmpde pare-feu :[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Définissez le terme
voip-high:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Définissez le terme
network-control:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Définissez le terme
tcp-connectionpour configurer les limites de débit pour le trafic TCP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Définissez le terme
icmp-connectionpour configurer des limites de débit pour le trafic ICMP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Définissez le terme
best-effortsans conditions de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondaient à aucun autre terme du filtre de pare-feu :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Appliquez le filtre
ingress-port-voip-class-limit-tcp-icmpde pare-feu en tant que filtre d’entrée aux interfaces de port pouremployee-vlan:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configurez les paramètres souhaités pour les différents planificateurs.
REMARQUE :Lorsque vous configurez les paramètres des planificateurs, définissez les nombres qui correspondent aux schémas de trafic de votre réseau.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Attribuez les classes de transfert aux planificateurs avec un plan de planificateur :
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Associez le plan du planificateur à l’interface sortante :
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Configuration d’un filtre de pare-feu entrant VLAN pour empêcher les équipements non autorisés de perturber le trafic VoIP
Pour configurer et appliquer des filtres de pare-feu pour les interfaces de port, de VLAN et de routeur, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer rapidement un filtre voice-vlan de pare-feu VLAN afin d’empêcher les équipements non autorisés d’utiliser des sessions HTTP pour imiter l’équipement de contrôle qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN afin voice-vlan d’empêcher les équipements non autorisés d’utiliser HTTP pour imiter l’équipement de contrôle qui gère le trafic VoIP :
Définissez le filtre
ingress-vlan-rogue-blockde pare-feu pour spécifier la correspondance du filtre sur le trafic que vous souhaitez autoriser et restreindre :[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Définissez le terme
to-gatekeeperpour accepter les paquets qui correspondent à l’adresse IP de destination du gardien :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Définissez le terme
from-gatekeeperpour accepter les paquets qui correspondent à l’adresse IP source du gardien :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Définissez le terme
not-gatekeeperpour garantir que tout le trafic sur lesvoice-vlanports TCP est destiné à l’équipement de contrôle :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Appliquez le filtre
ingress-vlan-rogue-blockde pare-feu en tant que filtre d’entrée à l’interface VLAN des téléphones VoIP :[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic sortant sur le VLAN des employés
Pour configurer et appliquer des filtres de pare-feu pour les interfaces de port, de VLAN et de routeur, effectuez ces tâches :
Procédure
Configuration rapide cli
Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer employee-vlan le trafic sortant. Le trafic des employés à destination du sous-réseau d’entreprise est accepté, mais non surveillé. Le trafic des employés à destination du Web est compté et analysé.
Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port sortant afin de compter et d’analyser employee-vlan le trafic à destination du Web :
Définir le filtre
egress-vlan-watch-employeede pare-feu :[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Définissez le terme
employee-to-corppour accepter mais ne pas surveiller toutemployee-vlanle trafic destiné au sous-réseau d’entreprise :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Définissez le terme
employee-to-webpour compter et surveiller toutemployee-vlanle trafic à destination du Web :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
REMARQUE :Voir l’exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series pour obtenir des informations sur la configuration de l’analyseur
employee-monitor.Appliquez le filtre
egress-vlan-watch-employeede pare-feu en tant que filtre de sortie aux interfaces de port des téléphones VoIP :[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Configuration d’un filtre de pare-feu VLAN pour restreindre le trafic invité vers l’employé et les applications peer-to-peer sur le VLAN invité
Pour configurer et appliquer des filtres de pare-feu pour les interfaces de port, de VLAN et de routeur, effectuez ces tâches :
Procédure
Configuration rapide cli
Dans l’exemple suivant, le premier terme de filtre permet aux clients de parler avec d’autres invités, mais pas avec les employés le employee-vlan. Le deuxième terme de filtre permet aux invités d’accéder au Web, mais les empêche d’utiliser des applications peer-to-peer sur guest-vlan.
Pour configurer rapidement un filtre de pare-feu VLAN afin de restreindre le trafic d’invité à employé, d’empêcher les visiteurs de parler avec les employés ou les hôtes employee-vlan des employés ou de tenter d’utiliser des applications peer-to-peer sur guest-vlan, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN pour restreindre le trafic invité-employé et les applications peer-to-peer sur guest-vlan:
Définir le filtre
ingress-vlan-limit-guestde pare-feu :[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDéfinissez le terme
guest-to-guestpour permettre aux invités deguest-vlandiscuter avec d’autres invités, mais pas avec les employés sur leemployee-vlan:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Définissez le terme
no-guest-employee-no-peer-to-peerpermettant aux invités d’accéder auguest-vlanWeb, mais empêchez-les d’utiliser des applications peer-to-peer sur leguest-vlan.REMARQUE :Il
destination-mac-addresss’agit de la passerelle par défaut, qui pour n’importe quel hôte d’un VLAN est le routeur de saut suivant.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Appliquez le filtre
ingress-vlan-limit-guestde pare-feu comme filtre d’entrée à l’interface pourguest-vlan:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic sortant destiné au sous-réseau d’entreprise
Pour configurer et appliquer des filtres de pare-feu pour les interfaces de port, de VLAN et de routeur, effectuez ces tâches :
Procédure
Configuration rapide cli
Pour configurer rapidement un filtre de pare-feu pour un port routé (module de liaison montante de couche 3) afin de filtrer employee-vlan le trafic, en donnant la priorité au trafic destiné au sous-réseau d’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu à un port routé (module de liaison montante de couche 3) afin de donner la priorité la plus haute au trafic destiné au employee-vlan sous-réseau d’entreprise :
Définir le filtre
egress-router-corp-classde pare-feu :[edit] user@switch# set firewall family inet filter egress-router-corp-class
Définissez le terme
corp-expedite:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Définissez le terme
not-to-corp:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Appliquez le filtre
egress-router-corp-classde pare-feu comme filtre de sortie pour le port du module de liaison montante du commutateur, qui fournit une connexion de couche 3 à un routeur :[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Vérification
Pour vérifier que les filtres de pare-feu fonctionnent correctement, effectuez les tâches suivantes :
- Vérifier que les filtres et les polices de pare-feu sont opérationnels
- Vérifier que les planificateurs et les planificateurs sont opérationnels
Vérifier que les filtres et les polices de pare-feu sont opérationnels
But
Vérifiez l’état opérationnel des filtres et des polices de pare-feu configurés sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Sens
La show firewall commande affiche les noms des filtres de pare-feu, des polices et des compteurs configurés sur le commutateur. Les champs de sortie affichent le nombre d’octets et de paquets pour tous les compteurs configurés et le nombre de paquets pour tous les polices.
Vérifier que les planificateurs et les planificateurs sont opérationnels
But
Vérifiez que les planificateurs et les cartes des planificateurs sont opérationnels sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Sens
Affiche des statistiques sur les planificateurs et les planificateurs-cartes configurés.