Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres de pare-feu (procédure CLI)

Vous configurez les filtres de pare-feu sur les commutateurs EX Series pour contrôler le trafic entrant les ports du commutateur ou entrant et sortant des VLAN sur le réseau et les interfaces de couche 3 (routés). Pour configurer un filtre de pare-feu, vous devez le configurer, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Configuration d’un filtre de pare-feu

Avant de pouvoir appliquer un filtre de pare-feu à un port, un VLAN ou une interface de couche 3, vous devez configurer un filtre de pare-feu avec les détails requis, tels que le type de famille du filtre de pare-feu, le nom du filtre de pare-feu et les conditions de correspondance. Une condition de correspondance dans la configuration du filtre de pare-feu peut contenir plusieurs termes qui définissent les critères de la condition de correspondance. Pour chaque terme, vous devez spécifier une action à exécuter si un paquet correspond aux conditions du terme. Pour plus d’informations sur les différentes conditions et actions de correspondance, reportez-vous aux conditions de correspondance des filtres de pare-feu, aux actions et aux modificateurs d’action pour les commutateurs EX Series.

Pour configurer un filtre de pare-feu :

  1. Configurez le type d’adresse de la famille pour le filtre de pare-feu :
    • Pour un filtre de pare-feu appliqué à un port ou à un VLAN, indiquez le type ethernet-switching d’adresse de la famille pour filtrer les paquets (Ethernet) de couche 2 et les paquets de couche 3 (IP), par exemple :

    • Pour un filtre de pare-feu appliqué à une interface de couche 3 (routée) :

      • Pour filtrer les paquets IPv4, spécifiez le type inetd’adresse de la famille , par exemple :

      • Pour filtrer les paquets IPv6, spécifiez le type inet6d’adresse de la famille , par exemple :

      Remarque :

      Vous pouvez configurer des filtres de pare-feu pour le trafic IPv4 et IPv6 sur la même interface de couche 3.

  2. Indiquez le nom du filtre :

    Le nom du filtre peut contenir des lettres, des nombres et des traits d’union (-) et peut comporter un maximum de 64 caractères. Chaque nom de filtre doit être unique.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et nommer des compteurs de pare-feu individuels spécifiques à chaque interface, configurez l’option interface-specific :
  4. Indiquez un nom de terme :

    Le nom du terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut comporter un maximum de 64 caractères.

    Un filtre de pare-feu peut contenir un ou plusieurs termes. Chaque nom de terme doit être unique dans un filtre.

    Remarque :

    Le nombre maximum de termes autorisés par filtre de pare-feu pour les commutateurs EX Series est :

    • 512 pour commutateurs EX2200

    • 1 436 pour les commutateurs EX3300

      Remarque :

      Sur les commutateurs EX3300, si vous ajoutez et supprimez des filtres comportant un grand nombre de termes (de l’ordre de 1 000 ou plus) dans la même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres en une seule opération de validation et supprimer les filtres dans une opération de validation séparée.

    • 7 168 pour les commutateurs EX3200 et EX4200

    • Sur les commutateurs EX4300, voici le nombre de termes pris en charge pour le trafic entrant et sortant, pour les fichiers de pare-feu configurés sur un port, un VLAN et une interface de couche 3 :

      • Pour le trafic entrant :

        • 3 500 conditions pour les filtres de pare-feu configurés sur un port

        • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

        • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 3 500 termes pour les fichiers de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      • Pour le trafic sortant :

        • 512 termes pour les filtres de pare-feu configurés sur un port

        • 256 termes pour les filtres de pare-feu configurés sur un VLAN

        • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 512 termes pour les fichiers de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      Remarque :

      Vous pouvez configurer ce nombre maximal de termes uniquement lorsque vous configurez un type de filtre de pare-feu (filtre de pare-feu de port, VLAN ou routeur (couche 3) sur le commutateur, et lorsque storm control n’est pas activé sur toutes les interfaces du commutateur.

    • 1 200 pour les commutateurs EX4500 et EX4550

    • 1 400 pour les commutateurs EX6200

    • 32 768 pour les commutateurs EX8200

    Si vous tentez de configurer un filtre de pare-feu qui dépasse ces limites, le commutateur renvoie un message d’erreur lorsque vous validez la configuration.

  5. Pour chaque terme de filtre de pare-feu, indiquez les conditions de correspondance à inclure. L’exemple ci-dessous montre comment faire correspondre les paquets d’une adresse IP et d’un port donnés :

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme.

    L’instruction from est facultative, mais si elle est incluse dans un terme, elle from ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondant.

  6. Pour chaque terme du filtre de pare-feu, spécifiez l’action à entreprendre si le paquet correspond à toutes les conditions de ce terme.

    Vous pouvez spécifier une action et/ou des modificateurs d’action :

    • Pour spécifier une action de filtre, par exemple, pour écarter les paquets qui correspondent aux conditions du terme du filtre :

      Vous ne pouvez spécifier pas plus d’une action par terme de filtre.

    • Pour spécifier un modifier d’action, par exemple, pour compter et classer les paquets dans une classe de transfert :

      Dans une then instruction, vous pouvez spécifier les modification d’action suivantes :

      • analyzer analyzer-name: met en miroir le trafic des ports vers un port de destination ou un VLAN spécifié connecté à une application d’analyse de protocole. Un analyzer fichier doit être configuré sous le type d’adresse de la ethernet-switching famille. Voir Configuration de la mise en miroir des ports pour analyser le trafic (procédure CLI).

      • count counter-name— Comptez le nombre de paquets qui passent ce terme de filtre.

        Remarque :

        Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets correspondant aux conditions spécifiées dans chaque terme de filtre.

      • forwarding-class class— Classification des paquets dans une classe de transfert.

      • loss-priority priority: définissez la priorité pour le rejet d’un paquet.

      • policer policer-name: applique une limitation du débit au trafic.

      • interface interface-name— Transfert du trafic vers l’interface spécifiée, dérivant ainsi de la recherche de commutation.

      • log— Consigner les informations d’en-tête du paquet dans le moteur de routage.

    Si vous omettez l’instruction then ou ne spécifiez pas d’action, les paquets correspondant à toutes les conditions de l’énoncé from sont acceptés. Toutefois, vous devez toujours configurer explicitement une action et/ou un modificateur d’action dans l’instruction then . Vous ne pouvez pas inclure plus d’une action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de la from déclaration doivent correspondre.

    Remarque :

    La suppression implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

    Sur les commutateurs Ethernet EX8200 de Juniper Networks, si une action implicite ou explicite discard est configurée sur une interface de bouclage pour le trafic IPv4, les paquets de résolution du saut suivant sont acceptés et autorisés à passer par le commutateur. Toutefois, pour le trafic IPv6, vous devez configurer explicitement une règle afin que le prochain saut IPv6 résolve les paquets à travers le commutateur.

Configuration d’un terme spécifique au trafic IPv4 ou IPv6

Pour configurer un terme dans une configuration de filtre de pare-feu spécifique au trafic IPv4 :

  1. Vérifiez que ni le ether-type ipv6ip-version ipv6 terme n’est spécifié dans la configuration. Par défaut, une configuration qui ne contient ni l’un ni ether-type ipv6ip-version ipv6 l’autre terme s’applique au trafic IPv4.
  2. (Facultatif) Effectuez l’une des tâches suivantes :
    • Définissez ether-type ipv4 en un terme dans la configuration.

    • Définissez ip-version ipv4 en un terme dans la configuration.

    • Définissez à la fois ether-type ipv4 et ip-version ipv4 en un terme dans la configuration.

    • Vérifiez que ni ni ether-type ipv6ip-version ipv6 n’est spécifié dans un terme de la configuration : par défaut, une configuration qui ne contient ether-type ipv6 pas ou ip-version ipv6 dans un terme s’applique au trafic IPv4 si elle ne contient ether-type ipv6 pas ou ip-version ipv6.

  3. Assurez-vous que d’autres conditions du terme sont valides pour le trafic IPv4.

Pour configurer un terme dans une configuration de filtre de pare-feu spécifique au trafic IPv6 :

  1. Effectuez l’une des tâches suivantes :

    • Définissez ether-type ipv6 en un terme dans la configuration.

    • Définissez ip-version ipv6 en un terme dans la configuration.

    • Définissez à la fois ether-type ipv6 et ip-version ipv4 en un terme dans la configuration.

      Remarque :

      Par défaut, une configuration qui ne contient ni l’un ni ether-type ipv6ip-version ipv6 l’autre terme s’applique au trafic IPv4.

  2. Assurez-vous que les autres conditions du terme sont valides pour le trafic IPv6.

Remarque :

Si le terme contient l’une des conditions ether-type ipv6 de correspondance ou ip-version ipv6, avec aucune autre condition de correspondance IPv6 spécifiée, tout le trafic IPv6 est correspondant.

Remarque :

Pour configurer un filtre de pare-feu pour le trafic IPv4 et IPv6, vous devez inclure deux termes distincts, l’un pour le trafic IPv4 et l’autre pour le trafic IPv6.

Application d’un filtre de pare-feu à un port d’un commutateur

Vous pouvez appliquer un filtre de pare-feu à un port d’un commutateur pour filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modification d’action spécifiée dans les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action pour les paquets correspondant dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un port afin de filtrer le trafic entrant ou sortant :

Remarque :

Pour appliquer un filtre de pare-feu à une interface de gestion, voir Application d’un filtre de pare-feu à une interface de gestion d’un commutateur

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    Remarque :

    La description est disponible en option.

  2. Indiquez le numéro d’unité et le type d’adresse de la famille pour l’interface :

    Pour les filtres de pare-feu appliqués aux ports, le type d’adresse de la famille doit être ethernet-switching.

  3. Pour appliquer un filtre de pare-feu aux paquets entrant dans un port :

    Pour appliquer un filtre de pare-feu aux paquets sortant d’un port :

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par port, par direction.

Application d’un filtre de pare-feu à une interface de gestion d’un commutateur

Vous pouvez configurer et appliquer un filtre de pare-feu à une interface de gestion afin de contrôler le trafic entrant ou sortant de l’interface d’un commutateur. Vous pouvez utiliser des utilitaires tels que SSH ou Telnet pour vous connecter à l’interface de gestion sur le réseau, puis utiliser des protocoles de gestion tels que SNMP pour collecter des données statistiques sur le commutateur. À l’instar de la configuration d’un filtre de pare-feu sur d’autres types d’interfaces, vous pouvez configurer un filtre de pare-feu sur une interface de gestion en utilisant n’importe quelle condition de correspondance, action et modificateur d’action spécifié dans les conditions de correspondance des filtres de pare-feu, les actions et les modifications d’action pour les commutateurs EX Series, à l’exception des modifications d’action suivantes :

  • loss-priority

  • forwarding-class

Vous pouvez appliquer un filtre de pare-feu à l’interface Ethernet de gestion de n’importe quel commutateur EX Series. Vous pouvez également appliquer un filtre de pare-feu à l’interface Ethernet de gestion virtuelle (VME) du commutateur EX4200. Pour plus d’informations sur l’interface Ethernet de gestion et l’interface VME, consultez la présentation des interfaces pour les commutateurs.

Pour appliquer un filtre de pare-feu sur l’interface de gestion afin de filtrer le trafic entrant ou sortant :

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    Remarque :

    La description est disponible en option.

  2. Indiquez le numéro d’unité et le type d’adresse de la famille pour l’interface de gestion :
    Remarque :

    Pour les filtres de pare-feu appliqués aux interfaces de gestion, le type d’adresse de la famille peut être ou inetinet6.

  3. Pour appliquer un filtre de pare-feu aux paquets entrant dans une interface de gestion :

    Pour appliquer un filtre de pare-feu aux paquets sortant d’une interface de gestion :

    Remarque :

    Vous ne pouvez pas appliquer plus d’un filtre de pare-feu par interface de gestion, par direction.

Appliquer un filtre de pare-feu à un VLAN sur un réseau

Vous pouvez appliquer un filtre de pare-feu à un VLAN sur un réseau pour filtrer le trafic entrant ou sortant sur le réseau. Pour appliquer un filtre de pare-feu à un VLAN, spécifiez le nom et l’ID du VLAN, puis appliquez le filtre de pare-feu au VLAN. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modification d’action spécifiée dans les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action pour les paquets correspondant dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à un VLAN :

  1. Indiquez le nom du VLAN et l’ID VLAN et fournissez une description significative du filtre de pare-feu et du VLAN auquel le filtre est appliqué :
    Remarque :

    La description est disponible en option.

  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrant ou sortant du VLAN :
    • Pour appliquer un filtre de pare-feu aux paquets entrant dans le VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu aux paquets entrant dans le VLAN :

    • Pour appliquer un filtre de pare-feu aux paquets sortant du VLAN :

      (Sur les commutateurs EX4300) Pour appliquer un filtre de pare-feu aux paquets sortant du VLAN :

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par VLAN, par direction.

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Vous pouvez appliquer un filtre de pare-feu à une interface de couche 3 (routée) pour filtrer le trafic entrant ou sortant sur le commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier n’importe quelle condition de correspondance, action et modification d’action spécifiée dans les conditions de correspondance des filtres de pare-feu, les actions et les modificateurs d’action pour les commutateurs EX Series. L’action spécifiée dans la condition de correspondance indique l’action pour les paquets correspondant dans le trafic entrant ou sortant.

Pour appliquer un filtre de pare-feu à une interface de couche 3 d’un commutateur :

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué :
    Remarque :

    La description est disponible en option.

  2. Indiquez le numéro de l’unité, le type d’adresse de la famille et l’adresse de l’interface :

    Pour les filtres de pare-feu appliqués aux interfaces de couche 3, le type d’adresse de la famille doit être inet (pour le trafic IPv4) ou inet6 (pour le trafic IPv6).

  3. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets entrant ou sortant d’une interface de couche 3 (routée) :
    • Pour appliquer un filtre de pare-feu aux paquets entrant dans une interface de couche 3 :

    • Pour appliquer un filtre de pare-feu aux paquets sortant d’une interface de couche 3 :

    Remarque :

    Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre s’exécute sur n’importe quelle interface de couche 3 avec un ID VLAN correspondant. En effet, le filtre correspond à toutes les interfaces de couche 3 avec la balise VLAN correspondante.

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par interface de couche 3, par direction.