Configuration des filtres de pare-feu
Suivez les étapes des sections suivantes pour configurer et appliquer un filtre de pare-feu sur votre commutateur.
Configuration d’un filtre de pare-feu
Pour configurer un filtre de pare-feu, procédez comme suit :
Configuration des filtres de pare-feu de sortie améliorés (commutateurs QFX5110 et QFX5220 )
En raison d’une limitation matérielle, les commutateurs QFX5110 et QFX5220 ne peuvent prendre en charge qu’un maximum de 1000 filtres de pare-feu de sortie (eRACL). Vous pouvez augmenter ce nombre jusqu’à 2000, en configurant le commutateur en mode mis à l’échelle. Dans ce mode, le commutateur utilise l’espace TCAM d’entrée (IFP) pour atteindre l’échelle la plus élevée.
Pour configurer le filtre de sortie, spécifiez le type d’adresse de famille ( pour IPv4) ou (inet
inet6
pour IPv6), le nom du filtre et le nom du terme. Incluez l’option de mise à l’échelle applicable à votre commutateur et spécifiez une condition de correspondance et une action à effectuer si une correspondance se produit. Appliquez ensuite le filtre dans le sens de sortie sur l’interface.
Après avoir configuré, modifié ou supprimé une option de mise à l’échelle, vous devez valider la configuration et le moteur de transfert de paquets (PFE) doit être redémarré.
Pour augmenter le nombre de filtres de sortie sur le QFX5110, incluez l’option dans votre egress-to-ingress
configuration. Vous pouvez ajouter cette option sous n’importe quelle durée. Voici un exemple de configuration :
set firewall family inet filter f1 term t1 from egress-to-ingress set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
Pour augmenter le nombre de filtres de sortie sur le QFX5220, incluez l’option sous l’instruction eracl-scale
egress-profile
. Voici un exemple de configuration :
L’option eracl-scale
est configurée en mode global. Lorsqu’ils sont activés, les filtres de sortie existants sont automatiquement réinstallés en mode mis à l’échelle.
set system packet-forwarding-options firewall eracl-profile eracl-scale set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
Lorsque vous activez le mode mis à l’échelle, les limitations suivantes s’appliquent :
-
Vous ne pouvez appliquer un filtre que dans la direction sortante (trafic sortant du VLAN).
-
Seules les
inet
familles de protocoles etinet6
sont prises en charge. -
Les interfaces GRE (Generic Routing Encapsulation) ne sont pas prises en charge.
-
Utilisez uniquement les options de mise à l’échelle des filtres de pare-feu de sortie.
-
Vous ne pouvez pas appliquer des filtres avec la même condition de correspondance à différents VLAN de sortie ou interfaces de couche 3. Les seules actions prises en charge sont
accept
,discard
, etcount
. -
Les conditions de correspondance sont programmées dans le filtre TCAM du pare-feu d’entrée. Cela signifie que tous les compteurs attachés au filtre comptabilisent le trafic sur tous les VLAN entrants.
Application d’un filtre de pare-feu à un port
Pour appliquer un filtre de pare-feu à un port :
Application d’un filtre de pare-feu à un VLAN
Les filtres de pare-feu VLAN ne sont pas pris en charge sur les commutateurs QFX5100, QFX5100 Virtual Chassis, QFX5110 et QFX5120 dans un environnement EVPN-VXLAN.
Pour appliquer un filtre de pare-feu à un VLAN :
Application d’un filtre de pare-feu à une interface de couche 3 (routée)
Vous pouvez appliquer un filtre de pare-feu aux interfaces IPv4 et IPv6, aux interfaces VLAN routées (RVI) (également appelées interfaces de routage et de pontage intégrées (IRB)) et à l’interface de bouclage. Elles sont toutes considérées comme des interfaces routées de couche 3.
(Commutateurs QFX5100 et QFX5110) Dans un environnement EVPN-VXLAN, vous pouvez utiliser une interface IRB pour fournir une connectivité de couche 3 au commutateur. Pour configurer une interface IRB, reportez-vous à la section Exemple : Configuration des interfaces IRB dans un environnement EVPN-VXLAN pour fournir une connectivité de couche 3 aux hôtes d’un centre de données. Vous pouvez ensuite appliquer un filtre de pare-feu à l’interface IRB en suivant les étapes ci-dessous (seul le sens d’entrée est pris en charge). Pour obtenir la liste des conditions de correspondance prises en charge, reportez-vous à la section Conditions de correspondance et actions du filtre de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre est exécuté sur n’importe quelle interface de couche 3 avec un ID de VLAN correspondant. En effet, le filtre correspond sur toutes les interfaces de couche 3 avec la balise VLAN correspondante.
Pour appliquer un filtre de pare-feu à une interface de couche 3 :
Application d’un filtre de pare-feu à un CCC de couche 2 (QFX10000 commutateurs)
Vous pouvez appliquer des filtres de pare-feu avec des actions de comptage et de contrôle sur le trafic CCC (layer 2 circuit crossconnect) sur QFX10000 commutateurs. Cela vous permet de compter et de surveiller l’activité du mécanisme de contrôle définie au niveau de la [edit firewall family ccc]
hiérarchie.
Dans cet exemple, count
il s’agit de l’action de contrôleur.
set firewall policer traffic-cnt if-exceeding bandwidth-limit 1g set firewall policer traffic-cnt if-exceeding burst-size-limit 100m set firewall policer traffic-cnt then loss-priority low set firewall family ccc filter srTCM-cnt term t1 then policer traffic-cnt set firewall family ccc filter srTCM-cnt term t1 then count traffic-counter
Dans cet exemple, discard
il s’agit de l’action de contrôleur.
set firewall policer discard-traffic if-exceeding bandwidth-limit 1g set firewall policer discard-traffic if-exceeding burst-size-limit 500m set firewall policer discard-traffic then discard set firewall family ccc filter srTCM1 term t1 then policer discard-traffic