Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration des filtres de pare-feu pour le trafic des ports, des VLAN et des routeurs sur les commutateurs EX Series

Cet exemple montre comment configurer et appliquer des filtres de pare-feu pour contrôler le trafic entrant ou sortant d’un port du commutateur, d’un VLAN sur le réseau et d’une interface de couche 3 sur le commutateur. Les filtres de pare-feu définissent les règles qui déterminent s’il faut transférer ou refuser des paquets à des points de traitement spécifiques du flux de paquets.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 9.0 ou ultérieure pour les commutateurs EX Series.

  • Deux commutateurs EX3200-48T de Juniper Networks : l’un utilisé comme commutateur d’accès, l’autre comme commutateur de distribution

  • Un module de liaison montante EX-UM-4SFP de Juniper Networks

  • Un routeur Juniper Networks J Series

Avant de configurer et d’appliquer les filtres de pare-feu dans cet exemple, assurez-vous de disposer des éléments suivants :

Présentation

Cet exemple de configuration montre comment configurer et appliquer les filtres de pare-feu afin de fournir des règles permettant d’évaluer le contenu des paquets et de déterminer quand jeter, transférer, classer, compter et analyser les paquets destinés aux commutateurs EX Series ou sortant des commutateurs EX Series qui gèrent tout voice-vlan, employee-vlanet guest-vlan le trafic. Tableau 1 indique les filtres de pare-feu configurés pour les commutateurs EX Series dans cet exemple.

Tableau 1 : Composants de configuration : Filtres de pare-feu
Composant Objet/Description

Filtre de pare-feu de port, ingress-port-voip-class-limit-tcp-icmp

Ce filtre de pare-feu exécute deux fonctions :

  • Affecte la mise en file d’attente prioritaire aux paquets à l’aide d’une adresse MAC source correspondant aux adresses MAC du téléphone. La classe expedited-forwarding de transfert offre un faible niveau de perte, un faible délai, une faible gigue, une bande passante garantie et un service de bout en bout pour l’ensemble voice-vlan du trafic.

  • Effectue une limitation du débit sur les paquets qui entrent dans les ports pour employee-vlan. Le débit du trafic des paquets TCP et ICMP est limité à 1 Mbit/s pour une taille d’rafale pouvant atteindre 30 000 octets.

Ce filtre de pare-feu est appliqué aux interfaces de port du commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-rogue-block

Empêche les équipements non autorisés d’utiliser les sessions HTTP pour imiter l’équipement gatekeeper qui gère l’enregistrement d’appel, l’admission et l’état des appels pour les appels VoIP. Seuls les ports TCP ou UDP doivent être utilisés ; et seul le portier utilise HTTP. Autrement dit, tout voice-vlan le trafic sur les ports TCP doit être destiné à l’équipement gatekeeper. Ce filtre de pare-feu s’applique à tous les téléphones sur voice-vlan, y compris la communication entre deux téléphones sur le VLAN et toutes les communications entre l’équipement gatekeeper et les téléphones VLAN.

Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès.

filtre de pare-feu VLAN, egress-vlan-watch-employee

Accepte employee-vlan le trafic destiné au sous-réseau de l’entreprise, mais ne surveille pas ce trafic. Le trafic des employés à destination du Web est compté et analysé.

Ce filtre de pare-feu est appliqué aux interfaces vlan du commutateur d’accès.

filtre de pare-feu VLAN, ingress-vlan-limit-guest

Empêche les invités (non employés) de parler avec les employés ou les hôtes des employés sur employee-vlan. Empêche également les invités d’utiliser des applications peer-to-peer sur guest-vlan, mais permet aux invités d’accéder au Web.

Ce filtre de pare-feu est appliqué aux interfaces VLAN du commutateur d’accès.

Filtre de pare-feu de routeur, egress-router-corp-class

Donne la employee-vlan priorité au trafic, donnant la priorité la plus élevée au trafic des employés destiné au sous-réseau de l’entreprise.

Ce filtre de pare-feu est appliqué à un port roué (module de liaison montante de couche 3) sur le commutateur de distribution.

Figure 1 affiche l’application des filtres de pare-feu rougés de couche 3, de VLAN et de port sur le commutateur.

Figure 1 : Application des filtres de pare-feu à routage de port, VLAN et de couche 3Application des filtres de pare-feu à routage de port, VLAN et de couche 3

Topologie de réseau

La topologie de cet exemple de configuration se compose d’un commutateur EX-3200-48T au niveau de la couche d’accès et d’un commutateur EX-3200-48T au niveau de la couche de distribution. Le module de liaison montante du commutateur de distribution est configuré pour prendre en charge une connexion de couche 3 à un routeur de la gamme J Series.

Les commutateurs EX Series sont configurés pour prendre en charge l’appartenance au VLAN. Tableau 2 affiche les composants de configuration VLAN des VLAN.

Tableau 2 : Composants de configuration : VLAN

Nom du VLAN

VLAN ID

Sous-réseau VLAN et adresses IP disponibles

VLAN Description

voice-vlan

10

192.0.2.0/28 192.0.2.1Par 192.0.2.14

192.0.2.15 est l’adresse de diffusion du sous-réseau

VLAN vocal utilisé pour le trafic VoIP des employés

employee-vlan

20

192.0.2.16/28 192.0.2.17 via 192.0.2.30 192.0.2.31 l’adresse de diffusion du sous-réseau

Pc autonomes VLAN, PC connectés au réseau via le concentrateur des téléphones VoIP, des points d’accès sans fil et des imprimantes. Ce VLAN inclut entièrement le VLAN voix. Deux VLAN (voice-vlan et employee-vlan) doivent être configurés sur les ports qui se connectent aux téléphones.

guest-vlan

30

192.0.2.32/28 192.0.2.33 via 192.0.2.46 192.0.2.47 l’adresse de diffusion du sous-réseau

VLAN pour les équipements de données des invités (PC). Le scénario suppose que l’entreprise dispose d’une zone ouverte aux visiteurs, soit dans le hall d’accueil, soit dans une salle de conférence, avec un hub auquel les visiteurs peuvent brancher leurs PC pour se connecter au Web et au VPN de leur entreprise.

camera-vlan

40

192.0.2.48/28 192.0.2.49 via 192.0.2.62 192.0.2.63 l’adresse de diffusion du sous-réseau

VLAN pour les caméras de sécurité d’entreprise.

Les ports des commutateurs EX Series prennent en charge power over Ethernet (PoE) pour fournir à la fois la connectivité réseau et l’alimentation des téléphones VoIP qui se connectent aux ports. Tableau 3 affiche les ports de commutation affectés aux VLAN et les adresses IP et MAC pour les équipements connectés aux ports du commutateur :

Tableau 3 : Composants de configuration : Ports de commutation sur un commutateur 48 ports Tout PoE

Numéro de commutateur et de port

Adhésion au VLAN

Adresses IP et MAC

Équipements de port

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Adresses IP : 192.0.2.1 Par 192.0.2.2

Adresses MAC : 00.00.5E.00.53.01, 00.00.5E.00.53.02

Deux téléphones VoIP connectés à un PC chacun.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Par 192.0.2.18

Imprimante, points d’accès sans fil

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Par 192.0.2.35

Deux hubs dans lesquels les visiteurs peuvent brancher leurs PC. Les hubs sont situés dans une zone ouverte aux visiteurs, par exemple un hall d’accueil ou une salle de conférence

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Par 192.0.2.50

Deux caméras de sécurité

ge-0/0/9

voice-vlan

Adresse IP : 192.0.2.14

Adresse MAC :00.05.5E.00.53.0E

Dispositif Gatekeeper. Le portier gère l’enregistrement d’appel, l’admission et le statut de l’appel pour les téléphones VoIP.

ge-0/1/0

Adresse IP : 192.0.2.65

connexion de couche 3 à un routeur ; notez qu’il s’agit d’un port sur le module de liaison montante du commutateur

Configuration d’un filtre de pare-feu de port d’entrée pour prioriser le trafic voix et le trafic TCP et ICMP limité par le débit

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide CLI

Pour configurer et appliquer rapidement un filtre de pare-feu de port afin de hiérarchiser le trafic voix et les paquets de limitation de débit destinés au employee-vlan sous-réseau, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port afin de hiérarchiser le trafic voix et les paquets à débit limité qui sont destinés au employee-vlan sous-réseau :

  1. Définissez les mécanismes de tcp-connection-policer contrôle et icmp-connection-policer:

  2. Définir le filtre ingress-port-voip-class-limit-tcp-icmpde pare-feu :

  3. Définissez le terme voip-high:

  4. Définissez le terme network-control:

  5. Définir le terme tcp-connection pour configurer les limites de débit pour le trafic TCP :

  6. Définir le terme icmp-connection pour configurer les limites de débit pour le trafic ICMP :

  7. Définir le terme best-effort sans conditions de correspondance pour une correspondance implicite sur tous les paquets qui ne correspondaient à aucun autre terme dans le filtre de pare-feu :

  8. Appliquez le filtre ingress-port-voip-class-limit-tcp-icmp de pare-feu comme filtre d’entrée aux interfaces de port pour employee-vlan:

  9. Configurez les paramètres souhaités pour les différents planificateurs.

    Remarque :

    Lorsque vous configurez les paramètres des planificateurs, définissez les numéros correspondant à vos modèles de trafic réseau.

  10. Attribuez les classes de transfert aux planificateurs à l’aide d’un plan de planificateur :

  11. Associer la carte du planificateur à l’interface sortante :

Résultats

Afficher les résultats de la configuration :

Configuration d’un filtre de pare-feu entrant VLAN pour empêcher les équipements non autorisés de perturber le trafic VoIP

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide CLI

Pour configurer rapidement un filtre de pare-feu VLAN afin voice-vlan d’empêcher les équipements non autorisés d’utiliser des sessions HTTP afin d’imiter l’équipement gatekeeper qui gère le trafic VoIP, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre voice-vlan de pare-feu VLAN afin d’empêcher les équipements non autorisés d’utiliser HTTP afin d’imiter l’équipement gatekeeper qui gère le trafic VoIP :

  1. Définissez le filtre ingress-vlan-rogue-block de pare-feu pour spécifier la correspondance de filtres sur le trafic que vous souhaitez autoriser et restreindre :

  2. Définir le terme to-gatekeeper permettant d’accepter des paquets correspondant à l’adresse IP de destination du portier :

  3. Définissez le terme from-gatekeeper permettant d’accepter des paquets correspondant à l’adresse IP source du portier :

  4. Définir le terme not-gatekeeper pour s’assurer que tout le trafic sur les voice-vlan ports TCP est destiné à l’équipement gatekeeper :

  5. Appliquez le filtre ingress-vlan-rogue-block de pare-feu comme filtre d’entrée à l’interface VLAN des téléphones VoIP :

Résultats

Afficher les résultats de la configuration :

Configuration d’un filtre de pare-feu VLAN pour compter, surveiller et analyser le trafic sortant sur le VLAN des employés

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide CLI

Un filtre de pare-feu est configuré et appliqué aux interfaces VLAN pour filtrer employee-vlan le trafic sortant. Le trafic des employés destiné au sous-réseau de l’entreprise est accepté mais n’est pas surveillé. Le trafic des employés à destination du Web est compté et analysé.

Pour configurer et appliquer rapidement un filtre de pare-feu VLAN, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu de port de sortie pour compter et analyser employee-vlan le trafic destiné au Web :

  1. Définir le filtre egress-vlan-watch-employeede pare-feu :

  2. Définissez le terme employee-to-corp à accepter, mais ne surveillez pas tout employee-vlan le trafic destiné au sous-réseau de l’entreprise :

  3. Définissez le terme employee-to-web pour compter et surveiller tout employee-vlan le trafic destiné au Web :

    Remarque :

    Voir l’exemple : Configuration de la mise en miroir des ports pour la surveillance locale de l’utilisation des ressources des employés sur les commutateurs EX Series pour obtenir des informations sur la configuration de l’outil d’analyse employee-monitor .

  4. Appliquez le filtre egress-vlan-watch-employee de pare-feu comme filtre de sortie aux interfaces de port des téléphones VoIP :

Résultats

Afficher les résultats de la configuration :

Configuration d’un filtre de pare-feu VLAN pour restreindre le trafic invité à employé et les applications peer-to-peer sur le VLAN invité

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide CLI

Dans l’exemple suivant, le premier terme filtre permet aux invités de parler avec d’autres invités, mais pas avec les employés le employee-vlan. Le deuxième terme de filtre permet aux invités d’accéder au Web, mais les empêche d’utiliser des applications peer-to-peer sur guest-vlan.

Pour configurer rapidement un filtre de pare-feu VLAN afin de restreindre le trafic des invités à employés, ce qui empêche les invités de parler avec des employés ou des hôtes employee-vlan d’employés ou d’utiliser des applications peer-to-peer sur guest-vlan, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu VLAN afin de restreindre le trafic des invités à employés et les applications peer-to-peer sur guest-vlan:

  1. Définir le filtre ingress-vlan-limit-guestde pare-feu :

  2. Définissez le terme guest-to-guest pour permettre aux invités sur le guest-vlan de discuter avec d’autres invités, mais pas les employés sur le employee-vlan:

  3. Définissez le terme no-guest-employee-no-peer-to-peer permettant aux invités d’accéder guest-vlan au Web, mais en les empêchant d’utiliser des applications peer-to-peer sur le guest-vlan.

    Remarque :

    Il destination-mac-address s’agit de la passerelle par défaut, qui pour tout hôte d’un VLAN est le routeur du saut suivant.

  4. Appliquez le filtre ingress-vlan-limit-guest de pare-feu comme filtre d’entrée à l’interface pour guest-vlan :

Résultats

Afficher les résultats de la configuration :

Configuration d’un filtre de pare-feu de routeur pour donner la priorité au trafic sortant destiné au sous-réseau d’entreprise

Pour configurer et appliquer des filtres de pare-feu aux interfaces de port, de VLAN et de routeur, effectuez les tâches suivantes :

Procédure

Configuration rapide CLI

Pour configurer rapidement un filtre de pare-feu pour un port roulé (module de liaison montante de couche 3) afin de filtrer employee-vlan le trafic, donnant la priorité de classe de transfert la plus élevée au trafic destiné au sous-réseau de l’entreprise, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :

Procédure étape par étape

Pour configurer et appliquer un filtre de pare-feu à un port routiné (module de liaison montante de couche 3) afin d’accorder la plus grande priorité au employee-vlan trafic destiné au sous-réseau de l’entreprise :

  1. Définir le filtre egress-router-corp-classde pare-feu :

  2. Définissez le terme corp-expedite:

  3. Définissez le terme not-to-corp:

  4. Appliquez le filtre egress-router-corp-class de pare-feu comme filtre de sortie pour le port du module de liaison montante du commutateur, qui fournit une connexion de couche 3 à un routeur :

Résultats

Afficher les résultats de la configuration :

Vérification

Pour vérifier que les filtres de pare-feu fonctionnent correctement, effectuez les tâches suivantes :

Vérification du fonctionnement des filtres et mécanismes de contrôle de pare-feu

But

Vérifiez l’état opérationnel des filtres de pare-feu et des mécanismes de contrôle configurés sur le commutateur.

Action

Utilisez la commande du mode opérationnel :

Sens

La show firewall commande affiche les noms des filtres de pare-feu, des mécanismes de contrôle et des compteurs configurés sur le commutateur. Les champs de sortie affichent le nombre d’octets et de paquets pour tous les compteurs configurés, ainsi que le nombre de paquets pour tous les mécanismes de contrôle.

Vérification du fonctionnement des planificateurs et des planificateurs-maps

But

Vérifiez que les planificateurs et les plans des planificateurs sont opérationnels sur le commutateur.

Action

Utilisez la commande du mode opérationnel :

Sens

Affiche les statistiques sur les planificateurs configurés et les planificateurs-maps.