Sur cette page
Exemple : Configuration des filtres de pare-feu pour le trafic de port, VLAN et routeur sur les commutateurs EX Series
Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port du commutateur, d’un VLAN du réseau et d’une interface de couche 3 du commutateur. Les filtres de pare-feu définissent les règles qui déterminent s’il faut transférer ou refuser des paquets à des points de traitement spécifiques dans le flux de paquets.
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series.
Deux commutateurs EX3200-48T de Juniper Networks : l’un devant servir de commutateur d’accès, l’autre de commutateur de distribution
Un module de liaison montante EX-UM-4SFP de Juniper Networks
Un routeur J-series de Juniper Networks
Avant de configurer et d’appliquer les filtres de pare-feu de cet exemple, assurez-vous d’avoir :
Compréhension des concepts de filtres de pare-feu, des mécanismes de contrôle et des CoS
Installez le module de liaison montante dans le commutateur de distribution - effectué. Reportez-vous à la section Installation d’un module de liaison montante dans un commutateur EX3200.
Présentation
Cet exemple de configuration montre comment configurer et appliquer des filtres de pare-feu afin de fournir des règles permettant d’évaluer le contenu des paquets et de déterminer quand rejeter, transférer, classer, compter et analyser les paquets à destination ou en provenance des commutateurs EX Series qui gèrent tout le voice-vlanemployee-vlanguest-vlan trafic. Tableau 1 montre les filtres de pare-feu configurés pour les commutateurs EX Series dans cet exemple.
| Composant | Objectif/Description |
|---|---|
Filtre de pare-feu de port, |
Ce filtre de pare-feu remplit deux fonctions :
Ce filtre de pare-feu est appliqué aux interfaces de port sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les appareils non autorisés d’utiliser les sessions HTTP pour imiter le dispositif de contrôle d’accès qui gère l’enregistrement, l’admission et l’état des appels pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés ; et seul le contrôleur d’accès utilise HTTP. En d’autres termes, tout le Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Accepte le Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
filtre de pare-feu VLAN, |
Empêche les invités (non-employés) de parler avec les employés ou les hôtes des employés sur Ce filtre de pare-feu est appliqué aux interfaces VLAN sur le commutateur d’accès. |
Filtre de pare-feu de routeur, |
Hiérarchise le Ce filtre de pare-feu est appliqué à un port routé (module de liaison montante de couche 3) sur le commutateur de distribution. |
Figure 1 montre l’application des filtres de port, de VLAN et de pare-feu routé de couche 3 sur le commutateur.
Topologie de réseau
La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison montante du commutateur de distribution est configuré pour prendre en charge une connexion de couche 3 à un routeur de la série J.
Les commutateurs EX Series sont configurés pour prendre en charge l’appartenance VLAN. Tableau 2 affiche les composants de configuration VLAN pour les VLAN.
Nom du VLAN |
VLAN ID |
Sous-réseau VLAN et adresses IP disponibles |
VLAN Description |
|---|---|---|---|
|
|
|
VLAN vocal utilisé pour le trafic VoIP des employés |
|
|
|
PC autonomes VLAN, PC connectés au réseau via le hub dans les téléphones VoIP, les points d’accès sans fil et les imprimantes. Ce VLAN inclut entièrement le VLAN vocal. Deux VLAN et |
|
|
|
VLAN pour les appareils de données (PC) des invités. Le scénario suppose que l’entreprise dispose d’un espace ouvert aux visiteurs, soit dans le hall d’entrée, soit dans une salle de conférence, qui dispose d’un hub auquel les visiteurs peuvent brancher leur PC pour se connecter au Web et au VPN de leur entreprise. |
|
|
|
VLAN pour les caméras de sécurité d’entreprise. |
Les ports des commutateurs EX Series prennent en charge PoE (Power over Ethernet) pour fournir à la fois la connectivité réseau et l’alimentation des téléphones VoIP connectés aux ports. Tableau 3 affiche les ports de commutateur attribués aux VLAN, ainsi que les adresses IP et MAC des périphériques connectés aux ports de commutateur :
Commutateur et numéro de port |
Adhésion VLAN |
Adresses IP et MAC |
Périphériques de port |
|---|---|---|---|
GE-0/0/0, GE-0/0/1 |
|
Adresses IP : Adresses MAC : |
Deux téléphones VoIP, chacun connecté à un PC. |
GE-0/0/2, GE-0/0/3 |
|
|
Imprimante, points d’accès sans fil |
GE-0/0/4, GE-0/0/5 |
|
|
Deux hubs sur lesquels les visiteurs peuvent brancher leur PC. Les hubs sont situés dans une zone ouverte aux visiteurs, comme un hall d’entrée ou une salle de conférence |
GE-0/0/6, GE-0/0/7 |
|
|
Deux caméras de sécurité |
ge-0/0/9 |
|
Adresse IP: Adresse MAC: |
Dispositif Gatekeeper. Le contrôleur d’accès gère l’enregistrement, l’admission et l’état des appels pour les téléphones VoIP. |
GE-0/1/0 |
Adresse IP: |
Connexion de couche 3 à un routeur ; Notez qu’il s’agit d’un port du module de liaison montante du commutateur |
Configuration d’un filtre de pare-feu de port entrant pour donner la priorité au trafic vocal et limiter le débit du trafic TCP et ICMP
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic vocal et les paquets de limite de débit destinés au employee-vlan sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port afin de donner la priorité au trafic vocal et aux paquets à débit limité destinés au employee-vlan sous-réseau :
Définissez les mécanismes de contrôle
tcp-connection-policereticmp-connection-policer:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Définir le filtre
ingress-port-voip-class-limit-tcp-icmpdu pare-feu :[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Définir le terme
voip-high:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Définir le terme
network-control:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Définissez le terme
tcp-connectionpour configurer les limites de débit pour le trafic TCP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Définissez le terme
icmp-connectionde configuration des limites de débit pour le trafic ICMP :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Définissez le terme
best-effortsans condition de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondent à aucun autre terme dans le filtre de pare-feu :[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Appliquez le filtre
ingress-port-voip-class-limit-tcp-icmpde pare-feu comme filtre d’entrée aux interfaces de port pouremployee-vlan:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configurez les paramètres souhaités pour les différents planificateurs.
REMARQUE :Lorsque vous configurez les paramètres des planificateurs, définissez les nombres qui correspondent à vos modèles de trafic réseau.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Affectez les classes de transfert aux planificateurs à l’aide d’une carte de planificateur :
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Associez la carte du planificateur à l’interface sortante :
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Configuration d’un filtre de pare-feu d’entrée VLAN pour empêcher les appareils non autorisés de perturber le trafic VoIP
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un filtre de pare-feu VLAN afin voice-vlan d’empêcher les périphériques non autorisés d’utiliser des sessions HTTP pour imiter le périphérique de contrôle d’accès qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN afin voice-vlan d’empêcher les périphériques non autorisés d’utiliser le protocole HTTP pour imiter le périphérique contrôleur d’accès qui gère le trafic VoIP :
Définissez le filtre
ingress-vlan-rogue-blockde pare-feu pour spécifier la correspondance de filtre sur le trafic que vous souhaitez autoriser et restreindre :[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Définissez le terme
to-gatekeeperd’acceptation des paquets qui correspondent à l’adresse IP de destination du contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Définissez le terme
from-gatekeeperd’acceptation des paquets qui correspondent à l’adresse IP source du contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Définissez le terme
not-gatekeeperpour vous assurer que toutvoice-vlanle trafic sur les ports TCP est destiné à l’équipement contrôleur d’accès :[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Appliquez le filtre
ingress-vlan-rogue-blockde pare-feu comme filtre d’entrée à l’interface VLAN pour les téléphones VoIP :[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic sortant sur le VLAN employé
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer employee-vlan le trafic sortant. Le trafic des employés destiné au sous-réseau de l’entreprise est accepté, mais n’est pas surveillé. Le trafic des employés destiné au Web est compté et analysé.
Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu de port sortant afin de compter et d’analyser employee-vlan le trafic destiné au Web :
Définir le filtre
egress-vlan-watch-employeedu pare-feu :[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Définissez le terme
employee-to-corpd’acceptation, mais pas de surveillance, de tout leemployee-vlantrafic destiné au sous-réseau d’entreprise :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Définissez le terme
employee-to-webpour compter et surveiller tout leemployee-vlantrafic destiné au Web :[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
REMARQUE :Voir l’exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series pour plus d’informations sur la configuration de l’analyseur
employee-monitor.Appliquez le filtre
egress-vlan-watch-employeede pare-feu comme filtre de sortie aux interfaces de port des téléphones VoIP :[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Configuration d’un filtre de pare-feu VLAN pour restreindre le trafic invité-employé et les applications pair-à-pair sur le VLAN invité
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Dans l’exemple suivant, le premier terme de filtre permet aux invités de parler avec d’autres clients, mais pas avec les employés sur employee-vlan. Le deuxième terme de filtre autorise les invités à accéder au Web, mais les empêche d’utiliser des applications peer-to-peer sur guest-vlan.
Pour configurer rapidement un filtre de pare-feu VLAN afin de restreindre le trafic des invités vers les employés, en empêchant les invités de parler avec les employés ou les hôtes des employés sur employee-vlan ou en tentant d’utiliser des applications d’égal à égal sur guest-vlan, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu VLAN afin de restreindre le trafic invité-employé et les applications pair-à-pair sur guest-vlan:
Définir le filtre
ingress-vlan-limit-guestdu pare-feu :[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDéfinissez le terme
guest-to-guestpour permettre aux invités deguest-vlanparler avec d’autres clients mais pas avec les employés sur leemployee-vlan:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Définissez le terme
no-guest-employee-no-peer-to-peerpour autoriser les invités à accéder auguest-vlanWeb, mais les empêcher d’utiliser des applications peer-to-peer sur leguest-vlan.REMARQUE :Il
destination-mac-addresss’agit de la passerelle par défaut, qui, pour tout hôte d’un VLAN, est le routeur de saut suivant.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Appliquez le filtre
ingress-vlan-limit-guestde pare-feu comme filtre d’entrée à l’interface pourguest-vlan:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic sortant destiné au sous-réseau d’entreprise
Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un filtre de pare-feu pour un port routé (module de liaison montante de couche 3) afin de filtrer employee-vlan le trafic, en accordant la priorité de classe de transfert la plus élevée au trafic destiné au sous-réseau d’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Procédure étape par étape
Pour configurer et appliquer un filtre de pare-feu à un port routé (module de liaison montante de couche 3) afin d’accorder la priorité la plus élevée au employee-vlan trafic destiné au sous-réseau d’entreprise :
Définir le filtre
egress-router-corp-classdu pare-feu :[edit] user@switch# set firewall family inet filter egress-router-corp-class
Définir le terme
corp-expedite:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Définir le terme
not-to-corp:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Appliquez le filtre
egress-router-corp-classde pare-feu comme filtre de sortie pour le port du module de liaison montante du commutateur, qui fournit une connexion de couche 3 à un routeur :[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Résultats
Affichez les résultats de la configuration :
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Vérification
Pour vérifier que les filtres du pare-feu fonctionnent correctement, effectuez les opérations suivantes :
- Vérification du bon fonctionnement des filtres et mécanismes de contrôle du pare-feu
- Vérification du fonctionnement des planificateurs et des cartes d’ordonnancement
Vérification du bon fonctionnement des filtres et mécanismes de contrôle du pare-feu
But
Vérifiez l’état de fonctionnement des filtres et mécanismes de contrôle du pare-feu configurés sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Sens
La show firewall commande affiche les noms des filtres, des mécanismes de contrôle et des compteurs de pare-feu configurés sur le commutateur. Les champs de sortie indiquent le nombre d’octets et de paquets pour tous les compteurs configurés, ainsi que le nombre de paquets pour tous les mécanismes de contrôle.
Vérification du fonctionnement des planificateurs et des cartes d’ordonnancement
But
Vérifiez que les planificateurs et les cartes des planificateurs sont opérationnels sur le commutateur.
Action
Utilisez la commande du mode opérationnel :
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Sens
Affiche des statistiques sur les planificateurs et les planificateurs-cartes configurés.