Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Définition d’un filtre de pare-feu de mise en miroir des ports

À partir de la version 14.2, sur les routeurs contenant un circuit intégré spécifique à l’application (ASIC) d’Internet Processor II ou un processeur Internet T Series, vous pouvez envoyer une copie d’un paquet IP version 4 (IPv4) ou IP version 6 (IPv6) du routeur à une adresse hôte externe ou à un outil d’analyse des paquets pour analyse. C’est ce qu’on appelle la mise en miroir des ports.

La mise en miroir des ports est différente de l’échantillonnage du trafic. Dans l’échantillonnage du trafic, une clé déchantillonnage basée sur l’en-tête IPv4 est envoyée au moteur de routage. Là, la clé peut être placée dans un fichier, ou des paquets cflowd basés sur la clé peuvent être envoyés à un serveur cflowd. Dans la mise en miroir de ports, l’intégralité du paquet est copiée et envoyée via une interface next-hop.

Vous pouvez configurer l’utilisation simultanée de l’échantillonnage et de la mise en miroir des ports, et définir une fréquence d’échantillonnage et une durée d’exécution indépendantes pour les paquets mis en miroir des ports. Toutefois, si un paquet est sélectionné à la fois pour l’échantillonnage et la mise en miroir des ports, une seule action peut être effectuée et la mise en miroir des ports est prioritaire. Par exemple, si vous configurez une interface pour échantillonner chaque paquet d’entrée de l’interface et qu’un filtre sélectionne également le paquet à mettre en miroir sur une autre interface, seule la mise en miroir des ports prendra effet. Tous les autres paquets qui ne correspondent pas aux critères explicites de mise en miroir des ports du filtre continuent d’être échantillonnés lorsqu’ils sont transférés à leur destination finale.

Les filtres de pare-feu permettent de protéger votre routeur contre le trafic excessif transitant par le routeur vers une destination réseau ou à destination du moteur de routage. Les filtres de pare-feu qui contrôlent les paquets locaux peuvent également protéger votre routeur contre les incidents externes.

Vous pouvez configurer un filtre de pare-feu pour qu’il effectue les opérations suivantes :

  • Limitez le trafic destiné au moteur de routage en fonction de sa source, de son protocole et de son application.

  • Limitez le débit de trafic des paquets destinés au moteur de routage pour vous protéger contre les attaques par flooding ou par déni de service (DoS).

  • Traiter les circonstances particulières associées aux paquets fragmentés destinés au moteur de routage. Étant donné que l’équipement évalue chaque paquet par rapport à un filtre de pare-feu (y compris les fragments), vous devez configurer le filtre pour qu’il accepte les fragments qui ne contiennent pas d’informations d’en-tête de paquet. Dans le cas contraire, le filtre rejette tous les paquets fragmentés, à l’exception du premier.

Pour plus d’informations sur la configuration générale des filtres de pare-feu (y compris dans un environnement de couche 3), consultez Présentation des filtres de pare-feu sans état et Guide de l’utilisateur des filtres de pare-feu standard pour évaluer les paquets dans le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic.

Pour définir un filtre de pare-feu avec une action de mise en miroir des ports :

  1. Préparez le trafic pour la mise en miroir des ports en incluant l’instruction filter au niveau de la [edit firewall family (inet | inet6)] hiérarchie.

    Au niveau de la [edit firewall family (inet | inet6)] hiérarchie, ce filtre sélectionne le trafic à mettre en miroir :

  2. Activez la configuration des filtres de pare-feu.

    La valeur de l’option family peut être inet ou inet6.

  3. Activez la configuration d’un filtre filter-namede pare-feu .
  4. Activez la configuration d’un terme filter-term-namede filtre de pare-feu .

    Pour plus d’informations sur les termes de filtre de pare-feu, reportez-vous à la section Instructions de configuration des filtres de pare-feu dans le Guide de l’utilisateur des stratégies de routage, des filtres de pare-feu et des mécanismes de contrôle du trafic de Junos OS pour les périphériques de routage.

  5. Spécifiez les conditions de correspondance du filtre de pare-feu en fonction de l’adresse de la source de route pour mettre en miroir un sous-ensemble des paquets échantillonnés.

    Pour plus d’informations sur la configuration des conditions de correspondance du filtre de pare-feu, voir Conditions de correspondance du filtre du pare-feu basées sur des nombres ou des alias de texte, Conditions de correspondance du filtre du pare-feu basées sur les valeurs de champ binaire, Conditions de correspondance du filtre du pare-feu basées sur les champs d’adresse et Conditions de correspondance du filtre du pare-feu basées sur les classes d’adressesdans le Guide de l’utilisateur des stratégies de routage Junos OS, des filtres de pare-feu et des mécanismes de contrôle du trafic pour les périphériques de routage.

  6. Activez la action configuration du et action-modifier pour l’appliquer aux paquets correspondants.
  7. Spécifiez les actions à effectuer sur les paquets correspondants.

    La valeur recommandée pour le action est accept. Si vous ne spécifiez pas d’action ou si vous omettez complètement l’instruction then , tous les paquets qui correspondent aux conditions de l’instruction from sont acceptés.

  8. Spécifiez port-mirror en tant que action-modifierfichier .

    Lorsque l’action de filtrage est port-mirror, le paquet est copié vers une interface locale pour une surveillance locale ou distante.

  9. Vérifiez la configuration minimale du filtre du pare-feu.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Description
14.2
À partir de la version 14.2, sur les routeurs contenant un circuit intégré spécifique à l’application (ASIC) d’Internet Processor II ou un processeur Internet T Series, vous pouvez envoyer une copie d’un paquet IP version 4 (IPv4) ou IP version 6 (IPv6) du routeur à une adresse hôte externe ou à un outil d’analyse des paquets pour analyse.