Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres de pare-feu

Suivez les étapes des sections suivantes pour configurer et appliquer un filtre de pare-feu sur votre commutateur.

Configuration d’un filtre de pare-feu

Pour configurer un filtre de pare-feu, procédez comme suit :

  1. Configurez le type d’adresse de la famille, le nom du filtre, le nom du terme et au moins une condition de correspondance (par exemple, la correspondance sur les paquets qui contiennent une adresse source spécifique).

    • Pour filtrer le trafic de couche 2 (port ou VLAN), spécifiez le type ethernet-switchingd’adresse de la famille .

    • Pour filtrer le trafic de couche 3 (routé), spécifiez le type d’adresse de famille ( pour IPv4) ou (inetinet6 pour IPv6).

    • Pour filtrer le trafic de l’interface de circuit de couche 2, spécifiez le type cccd’adresse de famille .

    Les noms de filtre et de terme peuvent contenir des lettres, des chiffres et des traits d’union (-) et peuvent comporter jusqu’à 64 caractères. Chaque nom de filtre doit être unique. Un filtre peut contenir un ou plusieurs termes, et chaque nom de terme doit être unique au sein d’un filtre.

  2. Configurez des conditions de correspondance supplémentaires. Par exemple :

    Dans cette configuration, le filtre correspond aux paquets de couche 2 qui contiennent le port source 80.

    Dans cette configuration, le filtre correspond sur les VLAN qui contiennent l’interface ge-0/0/6.0.

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. L’instruction from est facultative, mais si vous l’incluez dans un terme, elle ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondants.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et être en mesure de voir les compteurs spécifiques à chaque interface, configurez l’option interface-specific :
  4. Dans chaque terme de filtre de pare-feu, spécifiez les actions à effectuer si le paquet répond à toutes les conditions de ce terme. Vous pouvez spécifier une action et des modificateurs d’action :

    • Pour spécifier une action de filtrage, par exemple, pour ignorer les paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez spécifier qu’une seule action par terme (accept, , , , rejectrouting-instancediscardfloodou ).vlan

    • Pour spécifier une action de filtrage, par exemple, pour inonder des paquets qui correspondent à la adresse MAC sur QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210 :

      Vous pouvez configurer les filtres de pare-feu basés sur les ports d’entrée pour inonder ou ignorer les BPDU suivants en utilisant l’adresse MAC de destination comme condition de correspondance.

      Protocoles

      Adresse DMAC (Destination Media Access Control)

      Mesure du pare-feu

      Protocole LACP (Link Aggregation Control Protocol)

      01 :80 :C2 :00 :00 :02

      Inondation/Rejet/Dénombrement

      Protocole LLDP (Link Layer Discovery Protocol)

      01 :80 :c2 :00 :00 :0E

      Inondation/Rejet/Dénombrement

      EAPOL (Extensible Authentication Protocol over LAN)

      01 :80 :C2 :00 :00 :03

      Inondation/Rejet/Dénombrement

      Protocole Spanning Tree (STP)

      01 :80 :C2 :00 :00 :00

      Inondation/Rejet/Avis

      Protocole VSTP (VLAN Spanning Tree Protocol)

      01 :00 :0c :cc :cc :cd

      Inondation/Rejet/Dénombrement

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01 :00 :0C :cc :cc :cc

      Rejeter/Compter

      ISIS L1

      01 :80 :C2 :00 :00 :14

      Rejeter/Compter

      ISIS L2

      01 :80 :C2 :00 :00 :15

      Rejeter/Compter
      REMARQUE :

      • CDP/VTP, LES PROTOCOLES ISIS L1/L2 sont inondés à l’aide du filtre dynamique par défaut. Par conséquent, il n’est pas nécessaire de configurer des filtres supplémentaires pour ces protocoles.

      • Étant donné que des filtres de pare-feu basés sur les ports d’entrée sont appliqués au niveau du port, un seul filtre peut être appliqué pour une interface physique dans la configuration de type fournisseur de services.

      • Le VLAN natif doit être configuré pour assurer le flooding des BPDU non étiquetés reçus sur le port trunk. Si le VLAN natif n’est pas configuré, les BPDU non balisés seront inondés sur toutes les interfaces du FPC local.

      • Lorsque la surveillance IGMP ou la surveillance MLD (Multicast Listener Discovery) est activée, la fonctionnalité de saturation ne fonctionne pas.

      • Lorsque le filtre de pare-feu avec action flood est appliqué sur une interface et ultérieurement si l’interface tombe en panne, les BPDU reçus sur cette interface sont inondés si elle satisfait aux conditions de correspondance.

    • Pour spécifier des modificateurs d’action, par exemple, pour compter et classer les paquets dans une classe de transfert :

      Vous pouvez spécifier l’un des modificateurs d’action suivants dans une then instruction :

      • analyzer analyzer-name: met en miroir le trafic de port vers un analyseur spécifié, que vous devez configurer au [ethernet-switching-options] niveau.

      • count counter-name: compte le nombre de paquets qui passent ce terme de filtre.

        REMARQUE :

        Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

        REMARQUE :

        Sur les commutateurs QFX3500 et QFX3600, les filtres comptent automatiquement les paquets qui ont été abandonnés dans le sens entrant en raison d’erreurs de contrôle de redondance cyclique (CRC).

      • forwarding-class class: assigner des paquets à une classe de transfert.

      • log—Consigner les informations d’en-tête de paquet dans le moteur de routage.

      • loss-priority priority: définit la priorité de suppression d’un paquet.

      • policer policer-name: applique une limitation de débit au trafic.

      • flood: inonder les paquets.

      • syslog: consigne une alerte pour ce paquet.

    Si vous omettez l’instruction ou si vous ne spécifiez pas d’action, les paquets correspondant à toutes les conditions de l’instruction thenfrom sont acceptés. Mais assurez-vous de toujours configurer une action dans l’instruction then . Vous ne pouvez inclure qu’une seule instruction d’action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    Action implicit discard applicable à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

Configuration des filtres de pare-feu de sortie améliorés (commutateurs QFX5110 et QFX5220 )

En raison d’une limitation matérielle, les commutateurs QFX5110 et QFX5220 ne peuvent prendre en charge qu’un maximum de 1000 filtres de pare-feu de sortie (eRACL). Vous pouvez augmenter ce nombre jusqu’à 2000, en configurant le commutateur en mode mis à l’échelle. Dans ce mode, le commutateur utilise l’espace TCAM d’entrée (IFP) pour atteindre l’échelle la plus élevée.

Pour configurer le filtre de sortie, spécifiez le type d’adresse de famille ( pour IPv4) ou (inetinet6 pour IPv6), le nom du filtre et le nom du terme. Incluez l’option de mise à l’échelle applicable à votre commutateur et spécifiez une condition de correspondance et une action à effectuer si une correspondance se produit. Appliquez ensuite le filtre dans le sens de sortie sur l’interface.

Après avoir configuré, modifié ou supprimé une option de mise à l’échelle, vous devez valider la configuration et le moteur de transfert de paquets (PFE) doit être redémarré.

Pour augmenter le nombre de filtres de sortie sur le QFX5110, incluez l’option dans votre egress-to-ingress configuration. Vous pouvez ajouter cette option sous n’importe quelle durée. Voici un exemple de configuration :

Pour augmenter le nombre de filtres de sortie sur le QFX5220, incluez l’option sous l’instruction eracl-scaleegress-profile . Voici un exemple de configuration :

REMARQUE :

L’option eracl-scale est configurée en mode global. Lorsqu’ils sont activés, les filtres de sortie existants sont automatiquement réinstallés en mode mis à l’échelle.

Lorsque vous activez le mode mis à l’échelle, les limitations suivantes s’appliquent :

  • Vous ne pouvez appliquer un filtre que dans la direction sortante (trafic sortant du VLAN).

  • Seules les inet familles de protocoles et inet6 sont prises en charge.

  • Les interfaces GRE (Generic Routing Encapsulation) ne sont pas prises en charge.

  • Utilisez uniquement les options de mise à l’échelle des filtres de pare-feu de sortie.

  • Vous ne pouvez pas appliquer des filtres avec la même condition de correspondance à différents VLAN de sortie ou interfaces de couche 3. Les seules actions prises en charge sont accept, discard, et count.

  • Les conditions de correspondance sont programmées dans le filtre TCAM du pare-feu d’entrée. Cela signifie que tous les compteurs attachés au filtre comptabilisent le trafic sur tous les VLAN entrants.

Application d’un filtre de pare-feu à un port

Pour appliquer un filtre de pare-feu à un port :

  1. Donnez un nom significatif et descriptif au filtre de pare-feu. Le nom est celui que vous utilisez pour appliquer le filtre au port.
  2. Appliquez le filtre à l’interface, en spécifiant le numéro d’unité, le type d’adresse de famille (), la direction du filtre (ethernet-switchingpour les paquets entrant dans le port) et le nom du filtre :
    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à un port dans le sens entrant.

Application d’un filtre de pare-feu à un VLAN

REMARQUE :

Les filtres de pare-feu VLAN ne sont pas pris en charge sur les commutateurs QFX5100, QFX5100 Virtual Chassis, QFX5110 et QFX5120 dans un environnement EVPN-VXLAN.

Pour appliquer un filtre de pare-feu à un VLAN :

  1. Donnez un nom significatif et descriptif au filtre de pare-feu. Ce nom est celui que vous utilisez pour appliquer le filtre au VLAN.
  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrant ou sortant du VLAN :

    • Pour appliquer un filtre afin de faire correspondre les paquets entrant dans le VLAN :

    • Pour appliquer un filtre de pare-feu aux paquets sortant du VLAN :

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à un VLAN pour une direction donnée (entrée ou sortie).

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Vous pouvez appliquer un filtre de pare-feu aux interfaces IPv4 et IPv6, aux interfaces VLAN routées (RVI) (également appelées interfaces de routage et de pontage intégrées (IRB)) et à l’interface de bouclage. Elles sont toutes considérées comme des interfaces routées de couche 3.

REMARQUE :

(Commutateurs QFX5100 et QFX5110) Dans un environnement EVPN-VXLAN, vous pouvez utiliser une interface IRB pour fournir une connectivité de couche 3 au commutateur. Pour configurer une interface IRB, reportez-vous à la section Exemple : Configuration des interfaces IRB dans un environnement EVPN-VXLAN pour fournir une connectivité de couche 3 aux hôtes d’un centre de données. Vous pouvez ensuite appliquer un filtre de pare-feu à l’interface IRB en suivant les étapes ci-dessous (seul le sens d’entrée est pris en charge). Pour obtenir la liste des conditions de correspondance prises en charge, reportez-vous à la section Conditions de correspondance et actions du filtre de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
REMARQUE :

Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre est exécuté sur n’importe quelle interface de couche 3 avec un ID de VLAN correspondant. En effet, le filtre correspond sur toutes les interfaces de couche 3 avec la balise VLAN correspondante.

Pour appliquer un filtre de pare-feu à une interface de couche 3 :

  1. Donnez un nom significatif et descriptif au filtre de pare-feu. Ce nom est celui que vous utilisez pour appliquer le filtre à l’interface.
  2. Appliquez les filtres de pare-feu.

    • Pour filtrer les paquets entrant dans l’interface :

    • Pour filtrer les paquets sortant de l’interface :

      Le type d’adresse de famille peut être ( pour IPv4) ou (inetinet6 pour IPv6).

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à une interface pour une direction donnée (entrée ou sortie).

Application d’un filtre de pare-feu à un CCC de couche 2 (QFX10000 commutateurs)

Vous pouvez appliquer des filtres de pare-feu avec des actions de comptage et de contrôle sur le trafic CCC (layer 2 circuit crossconnect) sur QFX10000 commutateurs. Cela vous permet de compter et de surveiller l’activité du mécanisme de contrôle définie au niveau de la [edit firewall family ccc] hiérarchie.

Dans cet exemple, count il s’agit de l’action de contrôleur.

Dans cet exemple, discard il s’agit de l’action de contrôleur.

Rubriques connexes