Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Configuration des filtres de pare-feu

Suivez les étapes des sections suivantes pour configurer et appliquer un filtre de pare-feu sur votre commutateur.

Configuration d’un filtre de pare-feu

Pour configurer un filtre de pare-feu :

  1. Configurez le type d’adresse de la famille, le nom du filtre, le nom du terme et au moins une condition de correspondance, par exemple sur les paquets qui contiennent une adresse source spécifique.

    • Pour filtrer le trafic de couche 2 (port ou VLAN), spécifiez le type ethernet-switchingd’adresse de la famille .

    • Pour filtrer le trafic de couche 3 (routé), spécifiez le type d’adresse de la famille (inet pour IPv4) ou (inet6 pour IPv6).

    • Pour filtrer le trafic d’interface de circuit de couche 2, spécifiez le type cccd’adresse de la famille .

    Les noms de filtre et de terme peuvent contenir des lettres, des chiffres et des traits d’union (-) et peuvent contenir jusqu’à 64 caractères. Chaque nom de filtre doit être unique. Un filtre peut contenir un ou plusieurs termes, et chaque nom de terme doit être unique dans un filtre.

  2. Configurez des conditions de correspondance supplémentaires. Par exemple :

    Dans cette configuration, le filtre correspond aux paquets de couche 2 qui contiennent le port source 80.

    Dans cette configuration, le filtre correspond sur les VLAN qui contiennent l’interface ge-0/0/6.0.

    Vous pouvez spécifier une ou plusieurs conditions de correspondance dans une seule et même from instruction. Pour qu’une correspondance se produise, le paquet doit correspondre à toutes les conditions du terme. L’instruction from est facultative, mais si vous l’incluez dans un terme, elle ne peut pas être vide. Si vous omettez l’instruction from , tous les paquets sont considérés comme correspondant.

  3. Si vous souhaitez appliquer un filtre de pare-feu à plusieurs interfaces et voir les compteurs spécifiques à chaque interface, configurez l’option interface-specific :
  4. Dans chaque terme de filtre de pare-feu, spécifiez les actions à entreprendre si le paquet correspond à toutes les conditions de ce terme. Vous pouvez spécifier des modificateurs d’action et d’action :

    • Pour spécifier une action de filtre, par exemple, pour supprimer des paquets qui correspondent aux conditions du terme de filtre :

      Vous ne pouvez spécifier qu’une seule action par terme (accept, discard, flood, rejectou routing-instancevlan).

    • Pour spécifier une action de filtre, par exemple, pour inonder des paquets qui correspondent à l’adresse MAC sur QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210 :

      Vous pouvez configurer les filtres de pare-feu basés sur les ports d’entrée pour inonder ou rejeter les BPDU suivants en utilisant l’adresse MAC de destination comme condition de correspondance.

      Protocoles

      Adresse DMAC (Destination Media Access Control)

      Mesure du pare-feu

      Protocole LACP (Link Aggregation Control Protocol)

      01:80:c2:00:00:02

      Inondation/Rejet/Comptage

      Protocole LLDP (Link Layer Discovery Protocol)

      01:80:c2:00:00:0E

      Inondation/Rejet/Comptage

      Protocole d’authentification extensible sur LAN (EAPOL)

      01:80:c2:00:00:03

      Inondation/Rejet/Comptage

      Spanning Tree Protocol (STP)

      01:80:c2:00:00:00

      Inondation/Rejet/Coun

      Protocole VSTP (VLAN Spanning Tree Protocol)

      01:00:0c:cc:cc:cd

      Inondation/Rejet/Comptage

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Rejet/Nombre

      ISIS L1

      01:80:c2:00:00:14

      Rejet/Nombre

      ISIS L2

      01:80:c2:00:00:15

      Rejet/Nombre
      REMARQUE :

      • Les protocoles CDP/VTP et ISIS L1/L2 inondent à l’aide du filtre dynamique par défaut. Par conséquent, la configuration de filtres supplémentaires pour ces protocoles n’est pas nécessaire.

      • Comme les filtres de pare-feu entrants sont appliqués au niveau des ports, un seul filtre peut être appliqué pour une interface physique dans la configuration de type fournisseur de services.

      • Le VLAN natif doit être configuré pour assurer l’inondation des BPDU non identifiés reçus sur le port trunk. Si le VLAN natif n’est pas configuré, les BPDU non identifiés seront inondés sur toutes les interfaces du FPC local.

      • Lorsque la surveillance IGMP ou la détection d’écoute multicast (MLD) est alors activée, la fonctionnalité d’inondation ne fonctionne pas.

      • Lorsque le filtre de pare-feu avec action d’inondation est appliqué sur une interface et plus tard si l’interface tombe en panne, les BPDU reçus sur cette interface sont inondés s’ils répondent aux conditions de correspondance.

    • Pour spécifier des modificateurs d’action, par exemple, pour compter et classer les paquets dans une classe de transfert :

      Vous pouvez spécifier l’un des modificateurs d’action suivants dans une then instruction :

      • analyzer analyzer-name: mettre en miroir le trafic de port vers un analyseur spécifié, que vous devez configurer au [ethernet-switching-options] niveau.

      • count counter-name— Comptez le nombre de paquets qui passent ce terme de filtre.

        REMARQUE :

        Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.

        REMARQUE :

        Sur les commutateurs QFX3500 et QFX3600, les filtres comptent automatiquement les paquets qui ont été abandonnés dans le sens d’entrée en raison d’erreurs de vérification de redondance cyclique (CRC).

      • forwarding-class class— Attribuez des paquets à une classe de transfert.

      • log— Consignez les informations d’en-tête du paquet dans le moteur de routage.

      • loss-priority priority— Définissez la priorité de l’abandon d’un paquet.

      • policer policer-name: appliquez une limitation de débit au trafic.

      • flood— Inondez les paquets.

      • syslog— Consignez une alerte pour ce paquet.

    Si vous omettez l’instruction then ou que vous ne spécifiez pas d’action, les paquets correspondant à toutes les conditions de l’instruction from sont acceptés. Mais assurez-vous de toujours configurer une action dans l’instruction then . Vous ne pouvez inclure qu’une seule déclaration d’action, mais vous pouvez utiliser n’importe quelle combinaison de modificateurs d’action. Pour qu’une action ou un modificateur d’action prenne effet, toutes les conditions de l’instruction from doivent correspondre.

    REMARQUE :

    Action implicit discard applicable à un filtre de pare-feu appliqué à l’interface de bouclage, lo0.

Configuration des filtres de pare-feu sortant améliorés (commutateurs QFX5110 et QFX5220)

En raison d’une limitation matérielle, les QFX5110 et QFX5220 ne peuvent prendre en charge qu’un maximum de 1 000 filtres de pare-feu sortants (eRACLs). Vous pouvez augmenter ce nombre à 2000, en configurant le commutateur en mode évolutif. Dans ce mode, le commutateur utilise l’espace TCAM entrant (IFP) pour atteindre une plus grande échelle.

Pour configurer le filtre de sortie, spécifiez le type d’adresse de la famille (inet pour IPv4) ou (inet6 pour IPv6), le nom du filtre et le nom du terme. Incluez l’option de mise à l’échelle applicable pour votre commutateur et spécifiez une condition de correspondance et les mesures à prendre en cas de correspondance. Puis appliquez le filtre dans le sens de sortie sur l’interface.

Après avoir configuré, modifié ou supprimé une option de mise à l’échelle, vous devez valider la configuration, et le moteur de transfert de paquets (PFE) doit être redémarré.

Pour augmenter le nombre de filtres sortants sur le QFX5110, incluez l’option egress-to-ingress dans votre configuration. Vous pouvez ajouter cette option sous n’importe quel terme. Voici un exemple de configuration :

Pour augmenter le nombre de filtres sortants sur le QFX5220, incluez l’option eracl-scale sous l’instructionegress-profile . Voici un exemple de configuration :

REMARQUE :

L’option eracl-scale est configurée en mode global. Une fois activés, les filtres sortants existants seront automatiquement réinstallés en mode évolutif.

Lorsque vous activez le mode évolutif, ces limitations s’appliquent :

  • Vous ne pouvez appliquer un filtre que dans le sens sortant (trafic sortant du VLAN).

  • Seules inet et inet6 les familles de protocoles sont prises en charge.

  • Les interfaces GRE (Generic Routing Encapsulation) ne sont pas prises en charge.

  • Utilisez uniquement les options d’évolutivité pour les filtres de pare-feu sortants.

  • Vous ne pouvez pas appliquer de filtres avec la même condition de correspondance à différents VLAN sortants ou interfaces de couche 3. Les seules actions prises en charge sont accept, discardet count.

  • Les conditions de correspondance sont programmées dans le filtre de pare-feu entrant TCAM. Cela signifie que les compteurs connectés au filtre comptent le trafic sur les VLAN entrants.

Application d’un filtre de pare-feu à un port

Pour appliquer un filtre de pare-feu à un port :

  1. Fournissez un nom significatif et descriptif pour le filtre de pare-feu. Le nom est ce que vous utilisez pour appliquer le filtre au port.
  2. Appliquez le filtre à l’interface en spécifiant le numéro de l’unité, le type d’adresse de la famille (ethernet-switching), la direction du filtre (pour les paquets entrant dans le port) et le nom du filtre :
    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à un port dans le sens d’entrée.

Application d’un filtre de pare-feu à un VLAN

REMARQUE :

Les filtres de pare-feu VLAN ne sont pas pris en charge sur les commutateurs QFX5100, QFX5100 Virtual Chassis, QFX5110 et QFX5120 dans un environnement EVPN-VXLAN.

Pour appliquer un filtre de pare-feu à un VLAN :

  1. Fournissez un nom significatif et descriptif pour le filtre de pare-feu. Ce nom est celui que vous utilisez pour appliquer le filtre au VLAN.
  2. Appliquez des filtres de pare-feu pour filtrer les paquets entrants ou sortants du VLAN :

    • Pour appliquer un filtre correspondant aux paquets entrant dans le VLAN :

    • Pour appliquer un filtre de pare-feu aux paquets sortant du VLAN :

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à un VLAN pour une direction donnée (entrant ou sortant).

Application d’un filtre de pare-feu à une interface de couche 3 (routée)

Vous pouvez appliquer un filtre de pare-feu aux interfaces IPv4 et IPv6, aux interfaces VLAN routées (RVI) (également appelée interface de routage et de pontage intégrés (IRB) et à l’interface de bouclage. Celles-ci sont toutes considérées comme des interfaces routés de couche 3.

REMARQUE :

(commutateurs QFX5100 et QFX5110) Dans un environnement EVPN-VXLAN, vous pouvez utiliser une interface IRB pour fournir une connectivité de couche 3 au commutateur. Pour configurer une interface IRB, consultez l’exemple : Configuration des interfaces IRB dans un environnement EVPN-VXLAN pour fournir une connectivité de couche 3 aux hôtes d’un centre de données. Vous pouvez ensuite appliquer un filtre de pare-feu à l’interface IRB en suivant les étapes ci-dessous (seule la direction entrante est prise en charge). Pour obtenir la liste des conditions de correspondance prises en charge, voir Conditions et actions de correspondance des filtres de pare-feu (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
REMARQUE :

Lorsque vous appliquez un filtre à une interface IRB associée à un VLAN donné, le filtre est exécuté sur n’importe quelle interface de couche 3 avec un ID VLAN correspondant. En effet, le filtre correspond à toutes les interfaces de couche 3 avec la balise VLAN correspondante.

Pour appliquer un filtre de pare-feu à une interface de couche 3 :

  1. Fournissez un nom significatif et descriptif pour le filtre de pare-feu. C’est ce nom que vous utilisez pour appliquer le filtre à l’interface.
  2. Appliquez les filtres de pare-feu.

    • Pour filtrer les paquets entrant dans l’interface :

    • Pour filtrer les paquets sortant de l’interface :

      Le type d’adresse de la famille peut être (inet pour IPv4) ou (inet6 pour IPv6).

    REMARQUE :

    Vous ne pouvez appliquer qu’un seul filtre à une interface pour une direction donnée (entrant ou sortant).

Application d’un filtre de pare-feu à un CCC de couche 2 (commutateurs QFX10000)

Vous pouvez appliquer des filtres de pare-feu avec des actions de comptage et de contrôle sur le trafic CCC de couche 2 sur les commutateurs QFX10000. Cela vous permet de compter et de surveiller l’activité de police définie au niveau de la [edit firewall family ccc] hiérarchie.

Dans cet exemple, count il s’agit de l’action de police.

Dans cet exemple, discard il s’agit de l’action de police.

Rubriques connexes