Sur cette page
Exemple : Configuration des filtres de pare-feu pour le trafic de port, VLAN et routeur sur les commutateurs EX Series
Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port du commutateur, d’un VLAN du réseau et d’une interface de couche 3 du commutateur. Les filtres de pare-feu définissent les règles qui déterminent s’il faut transférer ou refuser des paquets à des points de traitement spécifiques dans le flux de paquets.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series.
Deux commutateurs EX3200-48T de Juniper Networks : l’un devant servir de commutateur d’accès, l’autre de commutateur de distribution
Un module de liaison montante EX-UM-4SFP de Juniper Networks
Un routeur J-series de Juniper Networks
Avant de configurer et d’appliquer les filtres de pare-feu de cet exemple, assurez-vous d’avoir :
Compréhension des concepts de filtres de pare-feu, des mécanismes de contrôle et des CoS
Installez le module de liaison montante dans le commutateur de distribution - effectué. Reportez-vous à la section Installation d’un module de liaison montante dans un commutateur EX3200.
Présentation
Cet exemple de configuration montre comment configurer et appliquer des filtres de pare-feu afin de fournir des règles permettant d’évaluer le contenu des paquets et de déterminer quand rejeter, transférer, classer, compter et analyser les paquets à destination ou en provenance des commutateurs EX Series qui gèrent tout le voice-vlan
employee-vlan
guest-vlan
trafic. montre les filtres de pare-feu configurés pour les commutateurs EX Series dans cet exemple. Tableau 1
Composant | Objectif/Description |
---|---|
Filtre de pare-feu de port, |
Ce filtre de pare-feu remplit deux fonctions :
Ce filtre de pare-feu est appliqué aux interfaces de port sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les appareils non autorisés d’utiliser les sessions HTTP pour imiter le dispositif de contrôle d’accès qui gère l’enregistrement, l’admission et l’état des appels pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés ; et seul le contrôleur d’accès utilise HTTP. En d’autres termes, tout le Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Accepte le Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les invités (non-employés) de parler avec les employés ou les hôtes des employés sur Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
Filtre de pare-feu de routeur, |
Hiérarchise le Ce filtre de pare-feu est appliqué à un port routé (module de liaison montante de couche 3) sur le commutateur de distribution. |
Figure 1 montre l’application des filtres de port, de VLAN et de pare-feu routé de couche 3 sur le commutateur.
Topologie du réseau
La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison montante du commutateur de distribution est configuré pour prendre en charge une connexion de couche 3 à un routeur de la série J.
Les commutateurs EX Series sont configurés pour prendre en charge l’appartenance VLAN. Tableau 2 affiche les composants de configuration VLAN pour les VLAN.
Nom du VLAN |
VLAN ID |
Sous-réseau VLAN et adresses IP disponibles |
VLAN Description |
---|---|---|---|
|
|
|
VLAN vocal utilisé pour le trafic VoIP des employés |
|
|
|
PC autonomes VLAN, PC connectés au réseau via le hub dans les téléphones VoIP, les points d’accès sans fil et les imprimantes. Ce VLAN inclut entièrement le VLAN vocal. Deux VLAN et |
|
|
|
VLAN pour les appareils de données (PC) des invités. Le scénario suppose que l’entreprise dispose d’un espace ouvert aux visiteurs, soit dans le hall d’entrée, soit dans une salle de conférence, qui dispose d’un hub auquel les visiteurs peuvent brancher leur PC pour se connecter au Web et au VPN de leur entreprise. |
|
|
|
VLAN pour les caméras de sécurité d’entreprise. |
Les ports des commutateurs EX Series prennent en charge PoE (Power over Ethernet) pour fournir à la fois la connectivité réseau et l’alimentation des téléphones VoIP connectés aux ports. Tableau 3 affiche les ports de commutateur attribués aux VLAN, ainsi que les adresses IP et MAC des périphériques connectés aux ports de commutateur :
Commutateur et numéro de port |
Adhésion VLAN |
Adresses IP et MAC |
Périphériques de port |
---|---|---|---|
GE-0/0/0, GE-0/0/1 |
|
Adresses IP : Adresses MAC : |
Deux téléphones VoIP, chacun connecté à un PC. |
GE-0/0/2, GE-0/0/3 |
|
|
Imprimante, points d’accès sans fil |
GE-0/0/4, GE-0/0/5 |
|
|
Deux hubs sur lesquels les visiteurs peuvent brancher leur PC. Les hubs sont situés dans une zone ouverte aux visiteurs, comme un hall d’entrée ou une salle de conférence |
GE-0/0/6, GE-0/0/7 |
|
|
Deux caméras de sécurité |
ge-0/0/9 |
|
Adresse IP : Adresse MAC : |
Dispositif Gatekeeper. Le contrôleur d’accès gère l’enregistrement, l’admission et l’état des appels pour les téléphones VoIP. |
GE-0/1/0 |
Adresse IP : |
Connexion de couche 3 à un routeur ; Notez qu’il s’agit d’un port du module de liaison montante du commutateur |
Configuration d’un filtre de pare-feu de port entrant pour donner la priorité au trafic vocal et limiter le débit du trafic TCP et ICMP
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic vocal et les paquets de limite de débit destinés au employee-vlan
sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer tcp-connection-policer then discard set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer icmp-connection-policer then discard set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set class-of-service schedulers voice-high buffer-size percent 15 set class-of-service schedulers voice-high priority high set class-of-service schedulers net-control buffer-size percent 10 set class-of-service schedulers net-control priority high set class-of-service schedulers best-effort buffer-size percent 75 set class-of-service schedulers best-effort priority low set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port afin de donner la priorité au trafic vocal et aux paquets à débit limité destinés au employee-vlan
sous-réseau :
Définissez les mécanismes de contrôle
tcp-connection-policer
eticmp-connection-policer
:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Définir le filtre
ingress-port-voip-class-limit-tcp-icmp
du pare-feu :[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Définir le terme
voip-high
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Définir le terme
network-control
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Définissez le terme
tcp-connection
pour configurer les limites de débit pour le trafic TCP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Définissez le terme
icmp-connection
de configuration des limites de débit pour le trafic ICMP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Définissez le terme sans condition de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondent à aucun autre terme
best-effort
dans le filtre de pare-feu :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Appliquez le filtre de pare-feu comme filtre
ingress-port-voip-class-limit-tcp-icmp
d’entrée aux interfaces de port pouremployee-vlan
:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configurez les paramètres souhaités pour les différents planificateurs.
REMARQUE :Lorsque vous configurez les paramètres des planificateurs, définissez les nombres qui correspondent à vos modèles de trafic réseau.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Affectez les classes de transfert aux planificateurs à l’aide d’une carte de planificateur :
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Associez la carte du planificateur à l’interface sortante :
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Résultats
Affichez les résultats de la configuration :
user@switch# show firewall { policer tcp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } policer icmp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } family ethernet-switching { filter ingress-port-voip-class-limit-tcp-icmp { term voip-high { from { destination-mac-address 00.00.5E.00.53.01; destination-mac-address 00.00.5E.00.53.02; protocol udp; } then { forwarding-class expedited-forwarding; loss-priority low; } } term network-control { from { precedence net-control ; } then { forwarding-class network-control; loss-priority low; } } term tcp-connection { from { destination-address 192.0.2.16/28; protocol tcp; } then { policer tcp-connection-policer; count tcp-counter; forwarding-class best-effort; loss-priority high; } } term icmp-connection from { protocol icmp; } then { policer icmp-connection-policer; count icmp-counter; forwarding-class best-effort; loss-priority high; } } term best-effort { then { forwarding-class best-effort; loss-priority high; } } } } } interfaces { ge-0/0/0 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } ge-0/0/1 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } } scheduler-maps { ethernet-diffsrv-cos-map { forwarding-class expedited-forwarding scheduler voice-high; forwarding-class network-control scheduler net-control; forwarding-class best-effort scheduler best-effort; } } interfaces { ge/0/1/0 { scheduler-map ethernet-diffsrv-cos-map; } }
Configuration d’un filtre de pare-feu d’entrée VLAN pour empêcher les appareils non autorisés de perturber le trafic VoIP
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un filtre de pare-feu VLAN afin voice-vlan
d’empêcher les périphériques non autorisés d’utiliser des sessions HTTP pour imiter le périphérique de contrôle d’accès qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard set vlans voice-vlan description "block rogue devices on voice-vlan" set vlans voice-vlan filter input ingress-vlan-rogue-block
Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN afin voice-vlan
d’empêcher les périphériques non autorisés d’utiliser le protocole HTTP pour imiter le périphérique contrôleur d’accès qui gère le trafic VoIP :
Définissez le filtre de pare-feu pour spécifier la correspondance de filtre
ingress-vlan-rogue-block
sur le trafic que vous souhaitez autoriser et restreindre :[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Définissez le terme
to-gatekeeper
d’acceptation des paquets qui correspondent à l’adresse IP de destination du contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Définissez le terme
from-gatekeeper
d’acceptation des paquets qui correspondent à l’adresse IP source du contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Définissez le terme
not-gatekeeper
pour vous assurer que toutvoice-vlan
le trafic sur les ports TCP est destiné à l’équipement contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Appliquez le filtre de pare-feu comme filtre
ingress-vlan-rogue-block
d’entrée à l’interface VLAN pour les téléphones VoIP :[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Résultats
Affichez les résultats de la configuration :
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-rogue-block { term to-gatekeeper { from { destination-address 192.0.2.14/32 destination-port 80; } then { accept; } } term from-gatekeeper { from { source-address 192.0.2.14/32 source-port 80; } then { accept; } } term not-gatekeeper { from { destination-port 80; } then { count rogue-counter; discard; } } } vlans { voice-vlan { description "block rogue devices on voice-vlan"; filter { input ingress-vlan-rogue-block; } } }
Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic sortant sur le VLAN employé
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer employee-vlan
le trafic sortant. Le trafic des employés destiné au sous-réseau de l’entreprise est accepté, mais n’est pas surveillé. Le trafic des employés destiné au Web est compté et analysé.
Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" set vlans employee-vlan filter output egress-vlan-watch-employee
Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port sortant afin de compter et d’analyser employee-vlan
le trafic destiné au Web :
Définir le filtre
egress-vlan-watch-employee
du pare-feu :[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Définissez le terme
employee-to-corp
d’acceptation, mais pas de surveillance, de tout leemployee-vlan
trafic destiné au sous-réseau d’entreprise :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Définissez le terme
employee-to-web
pour compter et surveiller tout leemployee-vlan
trafic destiné au Web :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
REMARQUE :Voir l’exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series pour plus d’informations sur la configuration de l’analyseur
employee-monitor
.Appliquez le filtre de pare-feu comme filtre
egress-vlan-watch-employee
de sortie aux interfaces de port des téléphones VoIP :[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Résultats
Affichez les résultats de la configuration :
user@switch# show firewall { family ethernet-switching { filter egress-vlan-watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/28 } then { accept; } } term employee-to-web { from { destination-port 80; } then { count employee-web-counter: analyzer employee-monitor; } } } } } vlans { employee-vlan { description "filter at egress VLAN to count and analyze employee to Web traffic"; filter { output egress-vlan-watch-employee; } } }
Configuration d’un filtre de pare-feu VLAN pour restreindre le trafic invité-employé et les applications pair-à-pair sur le VLAN invité
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Dans l’exemple suivant, le premier terme de filtre permet aux invités de parler avec d’autres clients, mais pas avec les employés sur employee-vlan
. Le deuxième terme de filtre autorise les invités à accéder au Web, mais les empêche d’utiliser des applications peer-to-peer sur guest-vlan
.
Pour configurer rapidement un filtre de pare-feu VLAN afin de restreindre le trafic des invités vers les employés, en empêchant les invités de parler avec les employés ou les hôtes des employés sur ou en tentant d’utiliser des applications d’égal à égal sur employee-vlan
guest-vlan
, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28 set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN afin de restreindre le trafic invité-employé et les applications pair-à-pair sur guest-vlan
:
Définir le filtre
ingress-vlan-limit-guest
du pare-feu :[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guest
Définissez le terme
guest-to-guest
pour permettre aux invités deguest-vlan
parler avec d’autres clients mais pas avec les employés sur leemployee-vlan
:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Définissez le terme
no-guest-employee-no-peer-to-peer
pour autoriser les invités à accéder auguest-vlan
Web, mais les empêcher d’utiliser des applications peer-to-peer sur leguest-vlan
.REMARQUE :Il
destination-mac-address
s’agit de la passerelle par défaut, qui, pour tout hôte d’un VLAN, est le routeur de saut suivant.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Appliquez le filtre de pare-feu comme filtre
ingress-vlan-limit-guest
d’entrée à l’interface pourguest-vlan
:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Résultats
Affichez les résultats de la configuration :
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-limit-guest { term guest-to-guest { from { destination-address 192.0.2.33/28; } then { accept; } } term no-guest-employee-no-peer-to-peer { from { destination-mac-address 00.05.5E.00.00.DF; } then { accept; } } } } } vlans { guest-vlan { description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"; filter { input ingress-vlan-limit-guest; } } }
Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic sortant destiné au sous-réseau d’entreprise
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un filtre de pare-feu pour un port routé (module de liaison montante de couche 3) afin de filtrer employee-vlan
le trafic, en accordant la priorité de classe de transfert la plus élevée au trafic destiné au sous-réseau d’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low set firewall family inet filter egress-router-corp-class term not-to-corp then accept set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network" set ge-0/1/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu à un port routé (module de liaison montante de couche 3) afin d’accorder la priorité la plus élevée au trafic destiné au employee-vlan
sous-réseau d’entreprise :
Définir le filtre
egress-router-corp-class
du pare-feu :[edit] user@switch# set firewall family inet filter egress-router-corp-class
Définir le terme
corp-expedite
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Définir le terme
not-to-corp
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Appliquez le filtre de pare-feu comme filtre
egress-router-corp-class
de sortie pour le port du module de liaison montante du commutateur, qui fournit une connexion de couche 3 à un routeur :[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Résultats
Affichez les résultats de la configuration :
user@switch# show firewall { family inet { filter egress-router-corp-class { term corp-expedite { from { destination-address 192.0.2.16/28; } then { forwarding-class expedited-forwarding; loss-priority low; } } term not-to-corp { then { accept; } } } } } interfaces { ge-0/1/0 { unit 0 { description "filter at egress router interface to expedite employee traffic destined for corporate network"; family inet { source-address 203.0.113.0 filter { output egress-router-corp-class; } } } } }
Vérification
Pour vérifier que les filtres du pare-feu fonctionnent correctement, effectuez les opérations suivantes :
- Vérification du bon fonctionnement des filtres et mécanismes de contrôle du pare-feu
- Vérification du fonctionnement des planificateurs et des cartes d’ordonnancement
Vérification du bon fonctionnement des filtres et mécanismes de contrôle du pare-feu
But
Vérifiez l’état de fonctionnement des filtres et mécanismes de contrôle du pare-feu configurés sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Sens
La show firewall
commande affiche les noms des filtres, des mécanismes de contrôle et des compteurs de pare-feu configurés sur le commutateur. Les champs de sortie indiquent le nombre d’octets et de paquets pour tous les compteurs configurés, ainsi que le nombre de paquets pour tous les mécanismes de contrôle.
Vérification du fonctionnement des planificateurs et des cartes d’ordonnancement
But
Vérifiez que les planificateurs et les cartes des planificateurs sont opérationnels sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show class-of-service scheduler-map Scheduler map: default, Index: 2 Scheduler: default-be, Forwarding class: best-effort, Index: 20 Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profile Scheduler: default-nc, Forwarding class: network-control, Index: 22 Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657 Scheduler: best-effort, Forwarding class: best-effort, Index: 61257 Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123 Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: net-control, Forwarding class: network-control, Index: 2451 Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile>
Sens
Affiche des statistiques sur les planificateurs et les planificateurs-cartes configurés.