Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres de pare-feu (CLI)

Vous configurez des filtres de pare-feu sur les commutateurs EX Series pour contrôler le trafic entrant des ports du commutateur ou entrant et sortant des réseaux VLAN sur le réseau et les interfaces de couche 3 (routed). Pour configurer un filtre de pare-feu, vous devez configurer le filtre, puis l’appliquer à un port, un VLAN ou une interface de couche 3.

Configuration d’un filtre de pare-feu

Avant d’appliquer un filtre de pare-feu à un port, un VLAN ou une interface de couche 3, vous devez configurer un filtre de pare-feu avec les détails requis, tels que le type de famille pour le filtre de pare-feu, le nom de filtre de pare-feu et les conditions de correspondance. Une condition de correspondance dans la configuration du filtre de pare-feu peut contenir plusieurs termes qui définissent les critères de la condition de correspondance. Pour chaque terme, vous devez spécifier une action à exécuter si un paquet correspond aux conditions du terme. Pour plus d’informations sur les différentes conditions et actions, consultez les conditions de correspondance des filtres de pare-feu, les actions et les modifiers d’action pour EX Series commutateurs.

Pour configurer un filtre de pare-feu:

  1. Configurez le type d’adresse de la famille pour le filtre de pare-feu:
    • Pour un filtre de pare-feu appliqué à un port ou un VLAN, spécifiez le type d’adresse de la famille pour filtrer les ethernet-switching paquets Ethernet de couche 2 et les paquets de couche 3 (IP), par exemple:

    • Pour un filtre de pare-feu appliqué à une interface de couche 3 (routeur):

      • Pour filtrer les paquets IPv4, spécifiez le type d’adresse de la inet famille, par exemple:

      • Pour filtrer les paquets IPv6, spécifiez le type d’adresse de la inet6 famille, par exemple:

      Remarque :

      Vous pouvez configurer des filtres de pare-feu pour le trafic IPv4 et IPv6 sur la même interface de couche 3.

  2. Indiquez le nom du filtre:

    Le nom du filtre peut contenir des lettres, des chiffres et des traits d’union (-) et peut contenir un maximum de 64 caractères. Chaque nom de filtre doit être unique.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et nommer des compteurs de pare-feu individuels spécifiques à chaque interface, configurez interface-specific l’option:
  4. Indiquez un nom de terme:

    Le terme peut contenir des lettres, des chiffres et des traits d’union (-) et peut contenir un maximum de 64 caractères.

    Un filtre de pare-feu contient un ou plusieurs termes. Chaque nom de terme doit être unique au sein d’un filtre.

    Remarque :

    Le nombre maximal de termes autorisés par filtre de pare-feu pour EX Series commutateurs est:

    • 512 pour les EX2200 commutateurs

    • 1 436 pour les EX3300 commutateurs

      Remarque :

      Sur EX3300, si vous ajoutez et supprimez des filtres avec un grand nombre de termes (de l’ordre de 1 000 ou plus) dans une même opération de validation, tous les filtres ne sont pas installés. Vous devez ajouter des filtres dans une opération de validation et supprimer des filtres dans une opération de validation distincte.

    • 7 168 pour les commutateurs de EX4200 EX3200

    • Sur EX4300 commutateurs, les termes suivants sont pris en charge pour le trafic d’entrée et de sortie, pour les serveurs de pare-feu configurés sur un port, un VLAN et une interface de couche 3:

      • Pour le trafic d’entrée:

        • 3 500 termes pour les filtres de pare-feu configurés sur un port

        • 3 500 termes pour les filtres de pare-feu configurés sur un VLAN

        • 7 000 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 3 500 termes pour les serveurs de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      • Pour le trafic de sortie:

        • 512 termes pour les filtres de pare-feu configurés sur un port

        • 256 termes pour les filtres de pare-feu configurés sur un VLAN

        • 512 termes pour les filtres de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv4

        • 512 termes pour les serveurs de pare-feu configurés sur les interfaces de couche 3 pour le trafic IPv6

      Remarque :

      Vous pouvez configurer ces termes maximum uniquement lorsque vous configurez un type de filtre de pare-feu (port, VLAN ou filtre de pare-feu de couche 3) sur le commutateur, et lorsque le storm control n’est pas activé sur toutes les interfaces du commutateur.

    • 1 200 pour les commutateurs EX4500 et EX4550 commutateurs

    • 1 400 pour les EX6200 commutateurs

    • 32 768 pour les EX8200 commutateurs

    Si vous tentez de configurer un filtre de pare-feu qui dépasse ces limites, le commutateur renvoie un message d’erreur lorsque vous mettez en place la configuration.

  5. Dans chaque terme de filtre de pare-feu, spécifiez les conditions de correspondance à utiliser pour faire correspondre les composants d’un paquet.

    Pour spécifier des conditions de correspondance pour correspondre aux paquets contenant une adresse source et un port source spécifiques( par exemple:

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions dans la durée.

    fromL’instruction est facultative, mais si elle est incluse dans un terme, elle ne from doit pas être vide. Si vous omettez from l’énoncé, tous les paquets sont considérés comme correspondre.

  6. Dans chaque terme de filtre de pare-feu, indiquez l’action à prendre si le paquet correspond à toutes les conditions dans ce terme.

    Vous pouvez spécifier une action et/ou des modifiers d’action:

    • Pour spécifier une action de filtre, par exemple pour jeter des paquets qui correspondent aux conditions du terme de filtre:

      Vous ne pouvez spécifier aucune action de plus d’une action par terme de filtre.

    • Pour spécifier une action modifier, par exemple, pour compter et classer les paquets dans une classe de forwarding:

      Dans une then déclaration, vous pouvez spécifier les modifiers d’action suivants:

      • analyzer analyzer-name—Mettre en miroir le trafic de port vers un port de destination ou un VLAN connecté à une application d’analyse de protocole. Un analyzer doit être configuré sous le type d’adresse de la ethernet-switching famille. Voir La mise en miroir des ports pour analyser le trafic (CLI).

      • count counter-name—Comptez le nombre de paquets qui passent ce terme de filtre.

        Remarque :

        Il est recommandé de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

      • forwarding-class class— Classez les paquets dans une classe de forwarding.

      • loss-priority priority—Définissez la priorité pour le abandon d’un paquet.

      • policer policer-name—Appliquez une limitation du taux au trafic.

      • interface nom de l’interface:transfert du trafic vers l’interface spécifiée, contourner la recherche de commutation.

      • log— Connectez les informations d’en-tête du paquet dans l’moteur de routage.

    Si vous omettez l’énoncé ou ne spécifiez pas d’action, les paquets qui correspondent à toutes les conditions de thenfrom l’énoncé sont acceptés. Cependant, vous devez toujours configurer explicitement un modifier d’action et/ou d’action dans then l’énoncé. Vous ne pouvez inclure qu’une seule action, mais vous pouvez utiliser n’importe quelle combinaison de modifier l’action. Pour qu’une action ou un modifier d’action prenne effet, toutes les conditions de from l’énoncé doivent correspondre.

    Remarque :

    L’écart implicite s’applique également à un filtre de pare-feu appliqué à l’interface de bouclation, lo0

    Le Juniper Networks EX8200 Commutateurs Ethernet, si une action implicite ou explicite est configurée sur une interface de loopback pour le trafic IPv4, les paquets de résolution du saut suivant sont acceptés et autorisés à passer par le discard commutateur. Toutefois, pour le trafic IPv6, vous devez configurer une règle pour permettre au prochain saut IPv6 de résoudre les paquets de passer par le commutateur.

Configuration d’un terme spécifiquement pour le trafic IPv4 ou IPv6

Pour configurer un terme dans une configuration de filtre de pare-feu spécifique au trafic IPv4:

  1. Vérifiez que ni ether-type ipv6ip-version ipv6 l’un ni l’autre n’est spécifié dans le terme de la configuration. Par défaut, une configuration qui ne contient ni l’une ni l’autre des configurations s’applique au trafic ether-type ipv6ip-version ipv6 IPv4.
  2. (Facultatif) Effectuez l’une de ces tâches:
    • Définir ether-type ipv4 le terme dans la configuration.

    • Définir ip-version ipv4 le terme dans la configuration.

    • Définir à ether-type ipv4 la fois et dans un terme la ip-version ipv4 configuration.

    • Vérifiez que ni l’un ni l’autre n’est spécifié dans un terme de la configuration: par défaut, une configuration qui ne contient pas l’une ou l’autre des conditions s’applique au trafic ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6 IPv4 ether-type ipv6 s’il ne le contient pas ou ip-version ipv6 .

  3. Assurez-vous que les autres conditions de correspondance du terme sont valides pour le trafic IPv4.

Pour configurer un terme dans une configuration de filtre de pare-feu spécifique au trafic IPv6:

  1. Effectuez l’une de ces tâches:

    • Définir ether-type ipv6 le terme dans la configuration.

    • Définir ip-version ipv6 le terme dans la configuration.

    • Définir à ether-type ipv6 la fois et dans un terme la ip-version ipv4 configuration.

      Remarque :

      Par défaut, une configuration qui ne contient ni l’une ni l’autre des configurations s’applique au trafic ether-type ipv6ip-version ipv6 IPv4.

  2. Assurez-vous que les autres conditions de correspondance du terme sont valides pour le trafic IPv6.

Remarque :

Si le terme contient l’une ou l’autre des conditions de correspondance ou, sans aucune autre condition de ether-type ipv6 correspondance IPv6 spécifiée, tout le trafic ip-version ipv6 IPv6 est assorti.

Remarque :

Pour configurer un filtre de pare-feu pour le trafic IPv4 et IPv6, vous devez inclure deux termes distincts, un pour le trafic IPv4 et l’autre pour le trafic IPv6.

Appliquer un filtre de pare-feu à un port d’un commutateur

Vous pouvez appliquer un filtre de pare-feu à un port d’un commutateur pour filtrer le trafic d’entrée ou de sortie du commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier une condition de correspondance, une action et des modifiers d’action spécifiés dans les Conditions de correspondance des filtres de pare-feu, actions et modifiers d’action pour EX Series commutateurs. L’action indiquée dans la condition de correspondance indique l’action pour les paquets correspondance dans le trafic d’entrée ou de sortie.

Pour appliquer un filtre de pare-feu à un port pour filtrer le trafic d’entrée ou de sortie:

Remarque :

Pour appliquer un filtre de pare-feu à une interface de gestion, consultez la Appliquer un filtre de pare-feu à une interface de gestion sur un commutateur

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué:
    Remarque :

    Cette description est disponible en option.

  2. Indiquez le numéro d’unité et le type d’adresse de la famille pour l’interface:

    Pour les filtres de pare-feu appliqués aux ports, le type d’adresse de la famille doit être. ethernet-switching

  3. Pour appliquer un filtre de pare-feu pour filtrer les paquets qui pénètrent dans un port:

    Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant d’un port:

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par port et par direction.

Appliquer un filtre de pare-feu à une interface de gestion sur un commutateur

Vous pouvez configurer et appliquer un filtre de pare-feu à une interface de gestion pour contrôler le trafic entrant ou sortant de l’interface d’un commutateur. Vous pouvez utiliser des services publics tels que SSH ou Telnet pour vous connecter à l’interface de gestion sur le réseau, puis utiliser des protocoles de gestion comme SNMP pour recueillir des données statistiques sur le commutateur. À l’exception de la configuration d’un filtre de pare-feu sur d’autres types d’interfaces, vous pouvez configurer un filtre de pare-feu sur une interface de gestion en utilisant n’importe quelle condition de correspondance, action et modification d’action spécifiée dans les conditions de correspondance des filtres de pare-feu, actions et modifiers d’action pour les commutateurs EX Series, à l’exception des changements d’action suivants:

  • loss-priority

  • forwarding-class

Vous pouvez appliquer un filtre de pare-feu à l’interface Ethernet de gestion sur n’EX Series commutateur. Vous pouvez également appliquer un filtre de pare-feu à l’interface Ethernet de gestion virtuelle (VME) du commutateur EX4200 réseau. Pour plus d’informations sur l’interface Ethernet de gestion et l’interface VME, consultez la présentation des interfaces pour les commutateurs.

Pour appliquer un filtre de pare-feu à l’interface de gestion pour filtrer le trafic d’entrée ou de sortie:

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué:
    Remarque :

    Cette description est disponible en option.

  2. Indiquez le numéro d’unité et le type d’adresse de la famille pour l’interface de gestion:
    Remarque :

    Pour les filtres de pare-feu appliqués aux interfaces de gestion, le type d’adresse de la famille peut être l’un ou inet l’autre. inet6

  3. Pour appliquer un filtre de pare-feu pour filtrer les paquets qui pénètrent dans une interface de gestion:

    Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant d’une interface de gestion:

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par interface de gestion, par direction.

Appliquer un filtre de pare-feu à un VLAN sur un réseau

Vous pouvez appliquer un filtre de pare-feu à un VLAN sur un réseau pour filtrer le trafic d’entrée ou de sortie du réseau. Pour appliquer un filtre de pare-feu à un VLAN, spécifiez le nom et l’ID du VLAN, puis appliquez ce filtre au VLAN. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier une condition de correspondance, une action et des modifiers d’action spécifiés dans les Conditions de correspondance des filtres de pare-feu, actions et modifiers d’action pour EX Series commutateurs. L’action indiquée dans la condition de correspondance indique l’action pour les paquets correspondance dans le trafic d’entrée ou de sortie.

Pour appliquer un filtre de pare-feu à un VLAN:

  1. Indiquez le nom du VLAN et l’ID VLAN et fournissez une description significative du filtre de pare-feu et du VLAN auquel le filtre est appliqué:
    Remarque :

    Cette description est disponible en option.

  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrants ou sortants du VLAN:
    • Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans le VLAN:

      (Sur EX4300 commutateurs) Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans le VLAN:

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant du VLAN:

      (Sur EX4300 commutateurs) Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant du VLAN:

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par VLAN, par direction.

Appliquer un filtre de pare-feu à une interface de couche 3 (routed)

Vous pouvez appliquer un filtre de pare-feu à une interface de couche 3 (routed) pour filtrer le trafic d’entrée ou de sortie du commutateur. Lorsque vous configurez le filtre de pare-feu, vous pouvez spécifier une condition de correspondance, une action et des modifiers d’action spécifiés dans les Conditions de correspondance des filtres de pare-feu, actions et modifiers d’action pour EX Series commutateurs. L’action indiquée dans la condition de correspondance indique l’action pour les paquets correspondance dans le trafic d’entrée ou de sortie.

Pour appliquer un filtre de pare-feu à une interface de couche 3 sur un commutateur:

  1. Indiquez le nom de l’interface et fournissez une description significative du filtre de pare-feu et de l’interface à laquelle le filtre est appliqué:
    Remarque :

    Cette description est disponible en option.

  2. Indiquez le numéro d’unité, le type d’adresse de la famille et l’adresse de l’interface:

    Pour les filtres de pare-feu appliqués aux interfaces de couche 3, le type d’adresse de la famille doit être (pour le trafic inet IPv4) ou inet6 (pour le trafic IPv6).

  3. Vous pouvez appliquer des filtres de pare-feu pour filtrer les paquets entrants ou sortants d’une interface de couche 3 (routeur):
    • Pour appliquer un filtre de pare-feu pour filtrer les paquets entrant dans une interface de couche 3:

    • Pour appliquer un filtre de pare-feu pour filtrer les paquets sortant d’une interface de couche 3:

    Remarque :

    Vous ne pouvez appliquer pas plus d’un filtre de pare-feu par interface de couche 3, par direction.