Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration des filtres de pare-feu pour le trafic des ports, VLAN et routeurs EX Series commutateurs

Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port du commutateur, d’un VLAN sur le réseau et d’une interface de couche 3 sur le commutateur. Les filtres de pare-feu définissent les règles qui déterminent si le trafic doit être transmis ou refuser des paquets au niveau de points de traitement spécifiques du flux de paquets.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Junos OS version 9.0 ou ultérieure pour les EX Series commutateurs.

  • Deux Juniper Networks ex3200-48T: d’un commutateur d’accès, l’autre comme commutateur de distribution

  • Un module Juniper Networks de liaison uplink EX-UM-4SFP

  • Un routeur Juniper Networks de la gamme J Series

Avant de configurer et d’appliquer les filtres de pare-feu dans cet exemple, assurez-vous d’avoir:

Présentation

Cet exemple de configuration montre comment configurer et appliquer des filtres de pare-feu afin de fournir des règles pour évaluer le contenu des paquets et déterminer quand jeter, avancer, classer, compter et analyser les paquets destinés ou originaires des commutateurs EX Series qui gèrent tous les , et du trafic. indique les filtres de pare-feu configurés pour les commutateurs EX Series dans cet voice-vlanemployee-vlanguest-vlanTableau 1 exemple.

Tableau 1 : Composants de configuration: Filtres de pare-feu
Composant Objet/Description

filtre de pare-feu de port, ingress-port-voip-class-limit-tcp-icmp

Ce filtre de pare-feu exécute deux fonctions:

  • Assigne la file d’attente prioritaire aux paquets avec une adresse MAC source qui correspond aux adresses MAC du téléphone. La classe de forwarding fournit une faible perte, un faible délai, une faible gigue, une bande passante assurée et un service de bout en bout pour expedited-forwarding l’ensemble du voice-vlan trafic.

  • Effectue une limitation de la vitesse sur les paquets entrants dans les ports pour employee-vlan . Le taux de trafic des paquets TCP et ICMP est limité à 1 Mbps avec une taille d’accès jusqu’à 30 000 octets.

Ce filtre de pare-feu est appliqué aux interfaces de port du commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-rogue-block

Empêche les équipements non malveillants d’utiliser les sessions HTTP pour imitent l’équipement gate première qui gère l’enregistrement d’appel, l’admission et l’état d’appel pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés. et utilise uniquement HTTP. Autrement dit, tout le trafic sur les ports TCP doit voice-vlan être destiné à l’équipement gate première. Ce filtre de pare-feu s’applique à tous les téléphones connectés, y compris aux communications entre les deux téléphones du VLAN et à toutes les communications entre le périphérique gate et les voice-vlan téléphones VLAN.

Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès.

filtre de pare-feu VLAN, egress-vlan-watch-employee

Accepte le employee-vlan trafic destiné au sous-réseau de l’entreprise, mais ne surveille pas ce trafic. Le trafic des employés destiné au Web est comptabilisé et analysé.

Ce filtre de pare-feu est appliqué aux interfaces vlan du commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-limit-guest

Empêche les invités (non employés) de discuter avec les employés ou les hôtes des employés sur employee-vlan . Empêche également les invités d’utiliser les applications pair à pair sur le réseau, tout en permettant aux guest-vlan invités d’accéder au Web.

Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès.

Filtre de pare-feu de routeur, egress-router-corp-class

Hiérarchise le trafic, en donnant la priorité la plus élevée au trafic des employés employee-vlan destiné au sous-réseau de l’entreprise.

Ce filtre de pare-feu est appliqué à un port acheminé (module de liaison de couche 3) du commutateur de distribution.

Figure 1 affiche l’application de filtres de pare-feu à itinéraire de couche 3 et de ports VLAN sur le commutateur.

Figure 1 : Application des filtres de port, VLAN et de pare-feu à itinéraire de couche 3Application des filtres de port, VLAN et de pare-feu à itinéraire de couche 3

Topologie de réseau

La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison est configuré pour prendre en charge une connexion de couche 3 à un routeur de la gamme J Series.

Les EX Series sont configurés pour prendre en charge l’adhésion au VLAN. Tableau 2 affiche les composants de configuration VLAN pour les réseaux VLAN.

Tableau 2 : Composants de configuration: VLAN

Nom du VLAN

VLAN ID

Sous-réseau VLAN et adresses IP disponibles

VLAN Description

voice-vlan

10

192.0.2.0/28 192.0.2.1Par 192.0.2.14

192.0.2.15 est l’adresse de diffusion du sous-réseau

VLAN vocal utilisé pour le trafic VoIP des employés

employee-vlan

20

192.0.2.16/28 192.0.2.17 via 192.0.2.30 192.0.2.31 l’adresse de diffusion du sous-réseau

Les PC VLAN autonomes, les PC connectés au réseau via le hub des téléphones VoIP, des points d’accès sans fil et des imprimantes. Ce VLAN inclut entièrement le VLAN vocal. Deux VLAN et ) doivent être configurés sur les ports qui se connectent (voice-vlanemployee-vlan aux téléphones.

guest-vlan

30

192.0.2.32/28 192.0.2.33 via 192.0.2.46 192.0.2.47 l’adresse de diffusion du sous-réseau

VLAN pour les équipements de données des invités (PC). Le scénario suppose que l’entreprise dispose d’une zone ouverte aux visiteurs, dans l’accueil ou dans une salle de conférence, qui dispose d’un hub sur lequel les visiteurs peuvent brancher leurs PC pour se connecter au Web et au VPN de leur entreprise.

camera-vlan

40

192.0.2.48/28 192.0.2.49 via 192.0.2.62 192.0.2.63 l’adresse de diffusion du sous-réseau

VLAN pour les caméras de sécurité d’entreprise.

Les ports du EX Series sont Power over Ethernet (PoE) afin d’assurer à la fois la connectivité réseau et l’alimentation des téléphones VoIP connectés aux ports. indique les ports de commuter assignés aux VLAN et les adresses IP et MAC des Tableau 3 équipements connectés aux ports du commutateur:

Tableau 3 : Composants de configuration: Ports de commuter sur un commutateur 48 ports PoE 48 ports

Numéro de commutateur et de port

Adhésion au VLAN

Adresses IP et MAC

Équipements de port

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Adresses IP: 192.0.2.1 Par 192.0.2.2

Adresses MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Deux téléphones VoIP connectés à un PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Par 192.0.2.18

Imprimantes, points d’accès sans fil

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Par 192.0.2.35

Deux hubs dans lesquels les visiteurs peuvent brancher leurs PC. Les hubs sont situés dans une zone ouverte aux visiteurs, par exemple dans un hall d’accueil ou une salle de conférence.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Par 192.0.2.50

Deux caméras de sécurité

ge-0/0/9

voice-vlan

Adresse IP: 192.0.2.14

Adresse MAC:00.05.5E.00.53.0E

Gate première. Cette dernier gère l’enregistrement d’appel, l’admission et l’état d’appel des téléphones VoIP.

ge-0/1/0

Adresse IP: 192.0.2.65

connexion de couche 3 à un routeur ; il s’agit d’un port du module de liaison

Configuration d’un filtre de pare-feu de port d’entrée pour hiérarchiser le trafic voix et limiter le trafic TCP et ICMP

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, VLAN et routeur, effectuez ces tâches:

Procédure

CLI configuration rapide

Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic voix et les paquets à limite de vitesse à destination du sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre de borne du employee-vlan commutateur:

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port afin de hiérarchiser le trafic voix et de limiter le nombre de paquets à destination du employee-vlan sous-réseau:

  1. Définissez les policers tcp-connection-policericmp-connection-policer et:

  2. Définir le filtre de pare-feu: ingress-port-voip-class-limit-tcp-icmp

  3. Définir le voip-high terme:

  4. Définir le network-control terme:

  5. Définir le terme tcp-connection pour configurer les limites de taux du trafic TCP:

  6. Définir le terme icmp-connection pour configurer les limites de taux du trafic ICMP:

  7. Définissez le terme sans conditions de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondent à aucune autre expression dans le filtre best-effort de pare-feu:

  8. Appliquez le filtre de ingress-port-voip-class-limit-tcp-icmp pare-feu comme filtre d’entrée sur les interfaces de port employee-vlan pour:

  9. Configurez les paramètres souhaités pour les différents scheduleurs.

    Remarque :

    Lorsque vous configurez les paramètres des plannings, définissez les numéros qui correspondent à vos modèles de trafic réseau.

  10. Attribuez les classes de forwarding aux planningurs avec une carte de planning:

  11. Associer la carte du planning à l’interface sortante:

Résultats

Afficher les résultats de la configuration:

Configuration d’un filtre de pare-feu d’entrée VLAN pour empêcher que les équipements non malveillants perturbent le trafic VoIP

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, VLAN et routeur, effectuez ces tâches:

Procédure

CLI configuration rapide

Pour configurer rapidement un filtre de pare-feu VLAN afin d’empêcher les équipements non malveillants d’utiliser des sessions HTTP pour imitez l’équipement gate rogue qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre de borne du voice-vlan commutateur:

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu VLAN afin d’empêcher les équipements non malveillants d’utiliser HTTP pour imiter l’équipement gate rogue qui gère le trafic voice-vlan VoIP:

  1. Définissez le filtre de pare-feu pour spécifier le filtrage correspondant au trafic que vous ingress-vlan-rogue-block souhaitez autoriser et restreindre:

  2. Définir le terme pour accepter les paquets qui correspondent à to-gatekeeper l’adresse IP de destination de la gate entrent en jeu:

  3. Définissez le terme pour accepter les paquets qui correspondent à from-gatekeeper l’adresse IP source de la porte:

  4. Définir le terme afin de garantir que l’ensemble du trafic sur not-gatekeepervoice-vlan les ports TCP est destiné à l’équipement gate première:

  5. Appliquez le filtre de ingress-vlan-rogue-block pare-feu comme filtre d’entrée à l’interface VLAN des téléphones VoIP:

Résultats

Afficher les résultats de la configuration:

Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic de sortie sur le réseau VLAN des employés

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, VLAN et routeur, effectuez ces tâches:

Procédure

CLI configuration rapide

Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer le employee-vlan trafic de sortie. Le trafic des salariés destiné au sous-réseau d’entreprise est accepté mais non surveillé. Le trafic des employés destiné au Web est comptabilisé et analysé.

Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre de borne du commutateur:

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port de sortie pour compter et analyser le trafic employee-vlan destiné au Web:

  1. Définir le filtre de pare-feu: egress-vlan-watch-employee

  2. Définissez le terme à accepter mais sans surveiller tout le employee-to-corpemployee-vlan trafic destiné au sous-réseau d’entreprise:

  3. Définissez le terme de compte et de surveillance de l’ensemble du trafic destiné employee-to-webemployee-vlan au Web:

  4. Appliquez le filtre de pare-feu comme filtre de sortie aux egress-vlan-watch-employee interfaces de port des téléphones VoIP:

Résultats

Afficher les résultats de la configuration:

Configuration d’un filtre de pare-feu VLAN pour limiter le trafic de l’invité vers l’employé et les applications de pair à pair sur le VLAN invité

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, VLAN et routeur, effectuez ces tâches:

Procédure

CLI configuration rapide

Dans l’exemple suivant, le premier terme filtre permet aux invités de parler avec d’autres invités, mais pas avec des employés sur employee-vlan . Le deuxième terme filtre permet aux invités d’accéder au Web, mais les empêche d’utiliser des applications pair à pair sur guest-vlan .

Pour configurer rapidement un filtre de pare-feu VLAN afin de limiter le trafic des invités vers les employés, les invités ne peuvent pas discuter avec les employés ou les hôtes des employés sur les applications P2I ou tenter d’y utiliser des applications pair à pair, copiez les commandes suivantes et collez-les dans la fenêtre de terminaux du employee-vlanguest-vlan commutateur:

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu VLAN afin de limiter le trafic des invités à l’employé et les applications peer-to-peer guest-vlan sur:

  1. Définir le filtre de pare-feu: ingress-vlan-limit-guest

  2. Définissez le terme pour autoriser les invités à discuter avec d’autres guest-to-guest invités, mais pas avec des employés sur guest-vlanemployee-vlan le:

  3. Définissez le terme pour autoriser les invités à accéder au Web, mais l’empêchent d’utiliser des no-guest-employee-no-peer-to-peerguest-vlan applications P2D sur le guest-vlan .

    Remarque :

    Il s’agit de la passerelle par défaut, qui, pour tous les hôtes d’un destination-mac-address VLAN, est le routeur du saut suivant.

  4. Appliquez le filtre de ingress-vlan-limit-guest pare-feu comme filtre d’entrée à l’interface guest-vlan pour:

Résultats

Afficher les résultats de la configuration:

Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic de sortie destiné au sous-réseau d’entreprise

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, VLAN et routeur, effectuez ces tâches:

Procédure

CLI configuration rapide

Pour configurer rapidement un filtre de pare-feu pour un port acheminé (module de liaison de couche 3) afin de filtrer le trafic, donnant la priorité de transfert la plus élevée au trafic destiné au sous-réseau de l’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du employee-vlan commutateur:

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu à un port acheminé (module de liaison de couche 3) afin de donner la priorité au trafic destiné au employee-vlan sous-réseau de l’entreprise:

  1. Définir le filtre de pare-feu: egress-router-corp-class

  2. Définir le corp-expedite terme:

  3. Définir le not-to-corp terme:

  4. Appliquez le filtre de pare-feu comme filtre de sortie pour le port du module de liaison du commutateur, qui fournit une connexion de couche egress-router-corp-class 3 à un routeur:

Résultats

Afficher les résultats de la configuration:

Vérification

Pour vérifier que les filtres de pare-feu fonctionnent correctement, exécutez les tâches suivantes:

Vérification du fonctionnement des filtres de pare-feu et des policers

But

Vérifier l’état opérationnel des filtres et policers de pare-feu configurés sur le commutateur.

Action

Utilisez la commande mode opérationnel:

Sens

La commande affiche les noms des filtres de pare-feu, des policers et des show firewall compteurs configurés sur le commutateur. Les champs de sortie indiquent le nombre d’heures et de paquets pour tous les compteurs configurés, ainsi que le nombre de paquets pour tous les policers.

Vérification du fonctionnement des planningurs et des cartes de planning

But

Vérifiez que les plannings et cartes sont opérationnels sur le commutateur.

Action

Utilisez la commande mode opérationnel:

Sens

Affiche les statistiques sur les planningurs configurés et les plans des plannings.