Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des filtres de pare-feu

Suivez les étapes des sections suivantes pour configurer et appliquer un filtre de pare-feu sur votre commutateur.

Configuration d’un filtre de pare-feu

Pour configurer un filtre de pare-feu:

  1. Configurez le type d’adresse de la famille, le nom du filtre, le nom d’un terme et au moins une condition de correspondance( par exemple, s’assortir sur des paquets contenant une adresse source spécifique.
    • Pour filtrer le trafic de couche 2 (port ou VLAN), spécifiez le type d’adresse de la ethernet-switching famille.

    • Pour filtrer le trafic de couche 3 (routeur), spécifiez le type d’adresse de la famille (pour inet IPv4) ou ( inet6 pour IPv6).

    • Pour filtrer le trafic de l’interface de circuit de couche 2, spécifiez le type d’adresse de la ccc famille.

    Le filtre et les noms des termes peuvent contenir des lettres, des chiffres et des traits d’union (-) et peuvent contenir jusqu’à 64 caractères. Chaque nom de filtre doit être unique. Un filtre peut contenir un ou plusieurs termes, et chaque nom de terme doit être unique dans un filtre.

  2. Configurez des conditions de correspondance supplémentaires. Quelques chiffres clés :

    Dans cette configuration, le filtre correspond aux paquets de couche 2 contenant le port source 80.

    Dans cette configuration, le filtre correspond aux VLAN contenant l’interface ge-0/0/6.0.

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions dans la durée. fromL’énoncé est facultatif, mais si vous l’ajoutez à un terme, il ne peut pas être vide. Si vous omettez from l’énoncé, tous les paquets sont considérés comme correspondre.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et voir des compteurs spécifiques à chaque interface, configurez interface-specific l’option:
  4. Dans chaque terme de filtre de pare-feu, spécifiez les actions à prendre si le paquet correspond à toutes les conditions dans ce terme. Vous pouvez spécifier une action et des modifiers d’action:
    • Pour spécifier une action de filtre, par exemple pour jeter des paquets qui correspondent aux conditions du terme de filtre:

      Vous pouvez spécifier une seule action par terme ( acceptdiscard , , ou floodrejectrouting-instancevlan ).

    • Pour spécifier une action de filtre, par exemple pour inonder les paquets qui correspondent à l’adresse MAC sur QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:

      Vous pouvez configurer les filtres de pare-feu basés sur les ports d’entrée pour inonder ou éliminer les BPUS suivants en utilisant l’adresse MAC de destination comme condition de correspondance.

      Protocoles

      Adresse DMAC (Destination Media Access Control)

      Mesure du pare-feu

      Protocole LACP (Link Aggregation Control Protocol)

      01:80:c2:00:00:02

      Flood/Discard/Count

      Protocole LLDP (Link Layer Discovery Protocol)

      01:80:c2:00:00:0E

      Flood/Discard/Count

      Protocole EAPOL (Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      Flood/Discard/Count

      Spanning Tree Protocol (STP)

      01:80:c2:00:00:00

      Flood/Discard/Coun

      Protocole VSTP (VLAN Spanning Tree Protocol)

      01:00:0c:cc:cc:cd

      Flood/Discard/Count

      Protocole Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Jeter/compter

      ISIS L1

      01:80:c2:00:00:14

      Jeter/compter

      ISIS L2

      01:80:c2:00:00:15

      Jeter/compter

      Remarque :
      • CDP/VTP, protocoles ISIS L1/L2 inondent en utilisant le filtre dynamique par défaut. Par conséquent, il n’est pas nécessaire de configurer des filtres supplémentaires pour ces protocoles.

      • Les filtres de pare-feu basés sur les ports d’entrée sont appliqués au niveau des ports, un seul filtre peut être appliqué pour une interface physique de type fournisseur de services.

      • Le VLAN natif doit être configuré de manière à assurer l’inondabilité des BPUS non reçus sur le port d’tronc. Si le VLAN natif n’est pas configuré, les BPUS non configurés seront submergés sur toutes les interfaces du FPC local.

      • Lorsque la snooping IGMP ou la détection d’listener multicast (MLD) est activée, la fonctionnalité flood n’est pas fonctionnée.

      • Lorsque le filtre de pare-feu avec action d’inondable est appliqué sur une interface et plus tard, si l’interface s’en trouve submergée, les 44.442.142.14.24.199.

    • Pour spécifier, par exemple, les modifiers d’action pour compter et classer les paquets dans une classe de forwarding:

      Vous pouvez spécifier l’un des modifiers d’action suivants dans un then communiqué:

      • analyzer analyzer-name—Mettre en miroir le trafic de port sur un analyseur spécifié, que vous devez configurer au [ethernet-switching-options] niveau.

      • count counter-name—Comptez le nombre de paquets qui passent ce terme de filtre.

        Remarque :

        Il est recommandé de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

        Remarque :

        Sur QFX3500 et QFX3600, les filtres comptent automatiquement les paquets qui ont été abandonnés dans la direction de l’entrée en raison d’erreurs de vérification de redondance cyclique (CRC).

      • forwarding-class class—Attribuer des paquets à une classe de forwarding.

      • log— Connectez les informations d’en-tête des paquets dans l moteur de routage.

      • loss-priority priority—Définissez la priorité du abandon d’un paquet.

      • policer policer-name—Appliquez une limitation du taux au trafic.

      • flood— Inondons les paquets.

      • syslog— Connectez une alerte pour ce paquet.

    Si vous omettez l’énoncé ou ne spécifiez pas d’action, les paquets correspondant à toutes les conditions de thenfrom l’énoncé sont acceptés. Mais assurez-vous de toujours configurer une action dans then l’énoncé. Vous ne pouvez inclure qu’une seule instruction d’action, mais pouvez utiliser n’importe quelle combinaison de modifier l’action. Pour qu’une action ou un modifier d’action prenne effet, toutes les conditions de from l’énoncé doivent correspondre.

    Remarque :

    implicit discardL’action s’applique à un filtre de pare-feu appliqué à l’interface de bouclation, lo0 .

Configuration des filtres de pare-feu de sortie améliorés (QFX5110 et QFX5220 de sortie)

En raison d’une limitation matérielle, les QFX5110 et QFX5220 ne peuvent prendre en charge qu’un maximum de 1 000 filtres de pare-feu de sortie (eRACLs). Vous pouvez augmenter ce nombre à 2 000 en configurant le commutateur en mode à échelle. Dans ce mode, le commutateur utilise l’espace TCAM (IFP) d’entrée pour obtenir une plus grande échelle.

Pour configurer le filtre de sortie, spécifiez le type d’adresse de la famille ( pour IPv4) ou ( pour inet IPv6), le nom du filtre et le nom inet6 du terme. Inclure l’option de mise à l’échelle applicable pour votre commutateur et spécifier une condition de correspondance et une action à prendre en cas de correspondance. Puis appliquez le filtre dans la direction de sortie de l’interface.

Après avoir configuré, modifié ou supprimé une option de mise à l’échelle, vous devez valider la configuration et le moteur de paquets (PFE) doit être redémarré.

Pour augmenter le nombre de filtres de sortie sur le QFX5110, inclure egress-to-ingress l’option dans votre configuration. Vous pouvez ajouter cette option à tout moment. Voici un exemple de configuration:

Pour augmenter le nombre de filtres de sortie sur le QFX5220, inclure eracl-scale l’option dans egress-profile l’énoncé. Voici un exemple de configuration:

Remarque :

eracl-scaleL’option est configurée en mode global. Une fois activés, les filtres de sortie existants seront automatiquement réinstallés en mode à grande échelle.

Lorsque vous activez le mode à grande échelle, ces limites s’appliquent:

  • Vous pouvez uniquement appliquer un filtre dans la direction de sortie (trafic sortant du VLAN).

  • Seules inet les inet6 familles de protocoles sont prise en charge.

  • Les interfaces GRE (Generic Routing Encapsulation) ne sont pas prise en charge.

  • Utilisez uniquement les options d’évolutation pour les filtres de pare-feu de sortie.

  • Vous ne pouvez pas appliquer des filtres avec la même condition de correspondance aux différentes interfaces VLAN de sortie ou de couche 3. Seules les actions prises en accept charge sont , et discardcount .

  • Les conditions de correspondance sont programmées dans le filtre de pare-feu d’entrée TCAM. Cela signifie que les compteurs connectés au filtre comptent le trafic sur tous les VLAN entrants.

Application d’un filtre de pare-feu sur un port

Pour appliquer un filtre de pare-feu à un port:

  1. Fournir un nom significatif et descriptif pour le filtre de pare-feu. Vous utilisez le nom pour appliquer le filtre au port.
  2. Appliquez le filtre à l’interface en spécifiant le numéro d’unité, le type d’adresse de la famille ( ), la direction du filtre (pour les paquets entrant dans le port) et le nom ethernet-switching du filtre:
    Remarque :

    Vous pouvez appliquer un seul filtre à un port dans la direction d’entrée.

Appliquer un filtre de pare-feu à un VLAN

Remarque :

Les filtres de pare-feu VLAN ne sont pas pris en charge QFX5100, QFX5100 Virtual Chassis et QFX5110 commutateurs dans un environnement EVPN-VXLAN réseau.

Pour appliquer un filtre de pare-feu à un VLAN:

  1. Fournir un nom significatif et descriptif pour le filtre de pare-feu. C’est ce que vous utilisez pour appliquer le filtre au VLAN.
  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrants ou sortants du VLAN:
    • Pour appliquer un filtre qui correspond aux paquets entrant dans le VLAN:

    • Pour appliquer un filtre de pare-feu qui correspond aux paquets sortant du VLAN:

    Remarque :

    Vous pouvez appliquer un seul filtre à un VLAN pour une direction donnée (entrée ou sortie).

Appliquer un filtre de pare-feu à une interface de couche 3 (routed)

Vous pouvez appliquer un filtre de pare-feu aux interfaces IPv4 et IPv6, aux interfaces VLAN acheminées (RVI) et à l’interface de bouclation. Toutes ces interfaces sont considérées comme étant des interfaces à routeurs de couche 3.

Remarque :

(QFX5100 et QFX5110) Dans un environnement EVPN-VXLAN, vous pouvez utiliser une interface IRB pour fournir une connectivité de couche 3 au commutateur. Pour configurer une interface IRB, consultez l’exemple: Configuration des interfaces IRB dans un environnement EVPN-VXLAN pour fournir une connectivité de couche 3 aux hôtes d’un centre de données . Vous pouvez ensuite appliquer un filtre de pare-feu à l’interface IRB en suivant les étapes ci-dessous (seule la direction d’entrée est prise en charge). Pour une liste des conditions de correspondance prises en charge, consultez la liste des conditions et actions de correspondance des filtres de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Pour appliquer un filtre de pare-feu à une interface de couche 3:

  1. Fournir un nom significatif et descriptif pour le filtre de pare-feu. C’est ce que vous utilisez pour appliquer le filtre à l’interface.
  2. Appliquez les filtres de pare-feu.
    • Pour filtrer les paquets entrant dans l’interface:

    • Pour filtrer les paquets sortant de l’interface:

      Le type d’adresse de la famille peut être ( inet pour IPv4) ou ( inet6 pour IPv6).

    Remarque :

    Vous pouvez appliquer un seul filtre à une interface pour une direction donnée (entrée ou sortie).

Appliquer un filtre de pare-feu à un CCC QFX10000 de couche 2

Vous pouvez appliquer des filtres de pare-feu avec des actions de compte et de policer sur le trafic de couche 2 cross-connect (CCC) sur QFX10000 commutateurs. Vous pouvez ainsi compter et surveiller l’activité du policer au niveau [edit firewall family ccc] de la hiérarchie.

Dans cet exemple, count il s’agit de l’action de policer.

Dans cet exemple, discard il s’agit de l’action de policer.