Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres de pare-feu (procédure CLI)

Vous configurez des filtres de pare-feu sur les commutateurs EX Series pour contrôler le trafic entrant dans les ports du commutateur ou entrant et sortant des VLAN sur le réseau et les interfaces de couche 3 (routé). Pour configurer un filtre de pare-feu, vous devez le configurer, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Configuration d’un filtre de pare-feu

Avant de pouvoir appliquer un filtre de pare-feu à un port, un VLAN ou une interface de couche 3, vous devez configurer un filtre de pare-feu avec les détails requis, tels que le type de famille du filtre de pare-feu, le nom du filtre de pare-feu et les conditions de correspondance. Une condition de correspondance dans la configuration du filtre de pare-feu peut contenir plusieurs termes qui définissent les critères de la condition de correspondance. Pour chaque terme, vous devez spécifier une action à effectuer si un paquet correspond aux conditions du terme. Pour plus d’informations sur les différentes conditions et actions de correspondance, voir Conditions de correspondance des filtres de pare-feu, Actions et Modificateurs d’action pour les commutateurs EX Series.

Pour configurer un filtre de pare-feu :

  1. Configurez le type d’adresse de la famille pour le filtre de pare-feu :
    • Pour un filtre de pare-feu appliqué à un port ou un VLAN, spécifiez le type ethernet-switching d’adresse de la famille pour filtrer les paquets de couche 2 (Ethernet) et les paquets de couche 3 (IP), par exemple :

    • Pour un filtre de pare-feu appliqué à une interface de couche 3 (routée) :

      • Pour filtrer les paquets IPv4, spécifiez le type inetd’adresse de la famille, par exemple :

      • Pour filtrer les paquets IPv6, spécifiez le type inet6d’adresse de la famille, par exemple :

      REMARQUE :

      Vous pouvez configurer des filtres de pare-feu pour le trafic IPv4 et IPv6 sur la même interface de couche 3.

  2. Spécifiez le nom du filtre :

    Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter un maximum de 64 caractères. Chaque nom de filtre doit être unique.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et nommer des compteurs de pare-feu individuels spécifiques à chaque interface, configurez l’option interface-specific :
  4. Spécifiez un nom de terme :

    Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter un maximum de 64 caractères.

    Un filtre de pare-feu peut contenir un ou plusieurs termes. Chaque nom de terme doit être unique dans un filtre.

    REMARQUE :

    Le nombre maximal de termes autorisés par filtre de pare-feu pour les commutateurs EX Series est :

    • 512 pour les commutateurs EX2200

    • 1 436 pour les commutateurs EX3300

      REMARQUE :

      Sur les commutateurs EX3300, si vous ajoutez et supprimez des filtres avec un grand nombre de termes (de l’ordre de 1000 ou plus) dans la même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres dans une opération de validation et supprimer les filtres dans une opération de validation distincte.

    • 7 168 pour les commutateurs EX3200 et EX4200

    • Sur les commutateurs EX4300, voici le nombre de termes pris en charge pour le trafic entrant et sortant, pour les fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

      • Pour le trafic entrant :

        • 3 500 termes pour les filtres de pare-feu configurés sur un port

        • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

        • 7 000 termes pour les filtres de pare-feu configurés sur des interfaces de couche 3 pour le trafic IPv4

        • 3 500 termes pour les fichiers de pare-feu configurés sur des interfaces de couche 3 pour le trafic IPv6

      • Pour le trafic sortant :

        • 512 termes pour les filtres de pare-feu configurés sur un port

        • 256 termes pour les filtres de pare-feu configurés sur un VLAN

        • 512 termes pour les filtres de pare-feu configurés sur des interfaces de couche 3 pour le trafic IPv4

        • 512 termes pour les fichiers de pare-feu configurés sur des interfaces de couche 3 pour le trafic IPv6

      REMARQUE :

      Vous pouvez configurer ce nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (filtre de pare-feu de port, VLAN ou routeur (couche 3) sur le commutateur, et lorsque le contrôle de tempête n’est pas activé sur toutes les interfaces du commutateur.

    • 1 200 pour les commutateurs EX4500 et EX4550

    • 1 400 pour les commutateurs EX6200

    • 32 768 pour les commutateurs EX8200

    Si vous tentez de configurer un filtre de pare-feu qui dépasse ces limites, le commutateur renvoie un message d’erreur lorsque vous validez la configuration.

  5. Pour chaque terme de filtre de pare-feu, spécifiez la ou les conditions de correspondance que vous souhaitez inclure. L’exemple ci-dessous montre comment faire correspondre des paquets à partir d’une adresse IP et d’un port donnés :

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule et même from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme.

    L’instruction from est facultative, mais si elle est incluse dans un terme, elle from ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondant.

  6. Pour chaque terme de filtre de pare-feu, spécifiez l’action à entreprendre si le paquet correspond à toutes les conditions de ce terme.

    Vous pouvez spécifier une action et/ou des modificateurs d’action :

    • Pour spécifier une action de filtre, par exemple, pour supprimer des paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez spécifier qu’une action par terme de filtre.

    • Pour spécifier un modificateur d’action, par exemple, pour compter et classer les paquets dans une classe de transfert :

      Dans une then instruction, vous pouvez spécifier les modificateurs d’action suivants :

      • analyzer analyzer-name: mettre en miroir le trafic de port vers un port de destination ou un VLAN spécifié connecté à une application d’analyse de protocole. Un analyzer doit être configuré sous le type d’adresse de la ethernet-switching famille. Voir Configuration de la mise en miroir de port pour analyser le trafic (procédure CLI).

      • count counter-name— Comptez le nombre de paquets qui passent ce terme de filtre.

        REMARQUE :

        Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

      • forwarding-class class: classez les paquets dans une classe de transfert.

      • loss-priority priority— Définissez la priorité de l’abandon d’un paquet.

      • policer policer-name: appliquez une limitation de débit au trafic.

      • interface interface-name— Transfèrez le trafic vers l’interface spécifiée en contournant la recherche de commutation.

      • log— Consignez les informations d’en-tête du paquet dans le moteur de routage.

    Si vous omettez l’instruction then ou que vous ne spécifiez pas d’action, les paquets qui correspondent à toutes les conditions de l’instruction from sont acceptés. Toutefois, vous devez toujours configurer explicitement une action et/ou un modificateur d’action dans l’instruction then . Vous ne pouvez pas inclure plus d’une action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    La suppression implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

    Sur les commutateurs Ethernet EX8200 de Juniper Networks, si une action implicite ou explicite discard est configurée sur une interface de bouclage pour le trafic IPv4, les paquets de résolution du saut suivant sont acceptés et autorisés à passer par le commutateur. Toutefois, pour le trafic IPv6, vous devez configurer explicitement une règle pour permettre au saut suivant de résoudre les paquets IPv6 de passer par le commutateur.

Configuration d’un terme spécifiquement pour le trafic IPv4 ou IPv6

Pour configurer un terme dans une configuration de filtre de pare-feu spécifiquement pour le trafic IPv4 :

  1. Vérifiez que ni n’est ether-type ipv6ip-version ipv6 spécifié dans le terme dans la configuration. Par défaut, une configuration qui ne contient ether-type ipv6 pas ni ip-version ipv6 dans un terme s’applique au trafic IPv4.
  2. (Facultatif) Effectuez l’une de ces tâches :
    • Définissez ether-type ipv4 dans un terme de la configuration.

    • Définissez ip-version ipv4 dans un terme de la configuration.

    • Définissez à la fois ether-type ipv4 et ip-version ipv4 dans un terme dans la configuration.

    • Vérifiez que ni n’est spécifié dans un terme de la configuration (par défaut, une configuration qui ne contient ether-type ipv6ip-version ipv6 ni dans un terme ni dans un terme s’applique au trafic IPv4 s’il ne contient ether-type ipv6 pas ou ip-version ipv6.ether-type ipv6ip-version ipv6

  3. Assurez-vous que les autres conditions de correspondance du terme sont valables pour le trafic IPv4.

Pour configurer un terme dans une configuration de filtre de pare-feu spécifiquement pour le trafic IPv6 :

  1. Effectuez l’une de ces tâches :

    • Définissez ether-type ipv6 dans un terme de la configuration.

    • Définissez ip-version ipv6 dans un terme de la configuration.

    • Définissez à la fois ether-type ipv6 et ip-version ipv4 dans un terme dans la configuration.

      REMARQUE :

      Par défaut, une configuration qui ne contient ether-type ipv6 pas ni ip-version ipv6 dans un terme s’applique au trafic IPv4.

  2. Assurez-vous que les autres conditions de correspondance dans le terme sont valables pour le trafic IPv6.

REMARQUE :

Si le terme contient l’une des conditions ether-type ipv6 de correspondance ou ip-version ipv6, sans aucune autre condition de correspondance IPv6 spécifiée, tout le trafic IPv6 est correspondant.

REMARQUE :

Pour configurer un filtre de pare-feu pour le trafic IPv4 et IPv6, vous devez inclure deux termes distincts, l’un pour le trafic IPv4 et l’autre pour le trafic IPv6.

Application d’un filtre de pare-feu à un port sur un commutateur

Vous pouvez appliquer un filtre de pare-feu à un port d’un commutateur pour filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition, action et modificateurs d’action spécifiés dans conditions de correspondance du filtre de pare-feu, Actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action des paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un port pour filtrer le trafic entrant ou sortant :

REMARQUE :

Pour appliquer un filtre de pare-feu à une interface de gestion, voir Application d’un filtre de pare-feu à une interface de gestion sur un commutateur

  1. Spécifiez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro d’unité et le type d’adresse de la famille pour l’interface :

    Pour les filtres de pare-feu appliqués aux ports, le type d’adresse de la famille doit être ethernet-switching.

  3. Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans un port :

    Pour appliquer un filtre de pare-feu pour filtrer les paquets qui sortent d’un port :

    REMARQUE :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par port et par direction.

Application d’un filtre de pare-feu à une interface de gestion sur un commutateur

Vous pouvez configurer et appliquer un filtre de pare-feu à une interface de gestion pour contrôler le trafic entrant ou sortant de l’interface sur un commutateur. Vous pouvez utiliser des utilitaires tels que SSH ou Telnet pour vous connecter à l’interface de gestion sur le réseau, puis utiliser des protocoles de gestion comme SNMP pour collecter des données statistiques à partir du commutateur. Comme pour configurer un filtre de pare-feu sur d’autres types d’interfaces, vous pouvez configurer un filtre de pare-feu sur une interface de gestion en utilisant n’importe quelle condition de correspondance, action et modificateur d’action spécifié dans conditions de correspondance du filtre de pare-feu, actions et modificateurs d’action pour les commutateurs EX Series, à l’exception des modificateurs d’action suivants :

  • loss-priority

  • forwarding-class

Vous pouvez appliquer un filtre de pare-feu à l’interface Ethernet de gestion sur n’importe quel commutateur EX Series. Vous pouvez également appliquer un filtre de pare-feu à l’interface Ethernet de gestion virtuelle (VME) du commutateur EX4200. Pour plus d’informations sur l’interface Ethernet de gestion et l’interface VME, voir Présentation des interfaces pour les commutateurs.

Pour appliquer un filtre de pare-feu sur l’interface de gestion afin de filtrer le trafic entrant ou sortant :

  1. Spécifiez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro d’unité et le type d’adresse de la famille pour l’interface de gestion :
    REMARQUE :

    Pour les filtres de pare-feu appliqués aux interfaces de gestion, le type d’adresse de la famille peut être soit inetinet6ou .

  3. Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans une interface de gestion :

    Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant d’une interface de gestion :

    REMARQUE :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par interface de gestion et par direction.

Application d’un filtre de pare-feu à un VLAN sur un réseau

Vous pouvez appliquer un filtre de pare-feu à un VLAN sur un réseau pour filtrer le trafic entrant ou sortant sur le réseau. Pour appliquer un filtre de pare-feu à un VLAN, spécifiez le nom et l’ID du VLAN, puis appliquez le filtre de pare-feu au VLAN. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition, action et modificateurs d’action spécifiés dans conditions de correspondance du filtre de pare-feu, Actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action des paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un VLAN :

  1. Spécifiez le nom du VLAN et l’ID VLAN et fournissez une description significative du filtre de pare-feu et du VLAN auquel le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrants ou sortants du VLAN :
    • Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans le VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans le VLAN :

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets qui sortent du VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu pour filtrer les paquets qui sortent du VLAN :

    REMARQUE :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par VLAN, par direction.

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Vous pouvez appliquer un filtre de pare-feu à une interface de couche 3 (routée) pour filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition, action et modificateurs d’action spécifiés dans conditions de correspondance du filtre de pare-feu, Actions et modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action des paquets correspondants dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à une interface de couche 3 sur un commutateur :

  1. Spécifiez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    REMARQUE :

    La description est facultative.

  2. Spécifiez le numéro de l’unité, le type d’adresse de la famille et l’adresse de l’interface :

    Pour les filtres de pare-feu appliqués aux interfaces de couche 3, le type d’adresse de la famille doit être inet (pour le trafic IPv4) ou inet6 (pour le trafic IPv6).

  3. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets entrants ou sortants d’une interface de couche 3 (routée) :
    • Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant d’une interface de couche 3 :

    REMARQUE :

    Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre est exécuté sur n’importe quelle interface de couche 3 avec un ID VLAN correspondant. En effet, le filtre correspond à toutes les interfaces de couche 3 avec la balise VLAN correspondante.

    REMARQUE :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par interface de couche 3, par direction.