Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX シリーズスイッチでのポート、VLAN、およびルータートラフィックのファイアウォールフィルターの構成

 

この例では、ファイアウォールフィルタを設定して適用し、スイッチ上のポートに出入りするトラフィック、ネットワーク上の VLAN、およびスイッチ上の レイヤー3インターフェイスを制御する方法を示します。ファイアウォールフィルターは、パケットフロー内の特定の処理ポイントでパケットを転送または拒否するかどうかを決定するルールを定義します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

  • EX シリーズスイッチのリリース9.0 以降を Junos OS します。

  • ジュニパーネットワークス EX3200-48T スイッチ2台: 1つはアクセススイッチとして使用し、もう一方はディストリビューションスイッチとして使用されます。

  • 1つのジュニパーネットワークス EX-4SFP アップリンクモジュール

  • 1つのジュニパーネットワークス J シリーズルーター

この例でファイアウォールフィルターを構成して適用する前に、以下のものがあることを確認してください。

  • ファイアウォールフィルタの概念、ポリサー、および CoS について理解していること

  • ディストリビューションスイッチにアップリンクモジュールをインストール。Installing an Uplink Module in an EX3200 Switch参照してください。

概要

この構成例では、ファイアウォールフィルターを構成して適用する方法を示し、パケットの内容を評価し、すべてvoice-vlanemployee-vlanguest-vlanトラフィックを処理する EX シリーズスイッチに送信または配信されるパケットをいつ廃棄、転送、分類、カウント、分析するかを決定する方法について説明します。表 1は、この例で EX シリーズスイッチに設定されているファイアウォールフィルターを示しています。

表 1: 構成コンポーネント: ファイアウォールフィルター

コンポーネント目的/説明

ポートファイアウォールフィルター、 ingress-port-voip-class-limit-tcp-icmp

このファイアウォールフィルターは、次の2つの機能を実行します。

  • 電話 MAC アドレスと一致する送信元 MAC アドレスを使用して、優先キューイングをパケットに割り当てます。転送クラスexpedited-forwardingは、すべてvoice-vlanのトラフィックの低損失、低遅延、低ジッター、確実な帯域幅、エンドツーエンドのサービスを提供します。

  • ポートに入るパケットのレート制限を実行employee-vlanします。TCP および ICMP パケットのトラフィックレートは、1 Mbps までに制限され、最大3万バイトのバーストサイズが可能です。

このファイアウォールフィルターは、アクセススイッチ上のポートインターフェイスに適用されます。

VLAN ファイアウォールフィルター、 ingress-vlan-rogue-block

不正デバイスが HTTP セッションを使用して、VoIP 通話の通話登録、受付、通話ステータスを管理するゲートキーパーデバイスを模倣できないようにします。TCP または UDP ポートのみを使用する必要があります。ゲートキーパーのみが HTTP を使用しています。つまり、TCP ポートvoice-vlan上のすべてのトラフィックにはゲートキーパーデバイスを宛先にする必要があります。このファイアウォールフィルターは、VLAN 上voice-vlanの任意の2つの電話間の通信、ゲートキーパーデバイスと vlan 電話間のすべての通信など、すべての電話に適用されます。

このファイアウォールフィルタは、アクセススイッチ上の VLAN インターフェイスに適用されます。

VLAN ファイアウォールフィルター、 egress-vlan-watch-employee

コーポレートemployee-vlanサブネット宛てのトラフィックを受け付けますが、このトラフィックを監視しません。Web への従業員トラフィックはカウントおよび分析されます。

このファイアウォールフィルタは、アクセススイッチ上の vlan インターフェイスに適用されます。

VLAN ファイアウォールフィルター、 ingress-vlan-limit-guest

従業員以外のゲストが、上で従業員や従業員のホストとemployee-vlan通信できないようにします。またguest-vlan、ゲストはピアツーピアアプリケーションを使用できなくなりますが、ゲストは Web にアクセスできます。

このファイアウォールフィルタは、アクセススイッチ上の VLAN インターフェイスに適用されます。

ルーターファイアウォールフィルター、 egress-router-corp-class

トラフィックemployee-vlanの優先順位を付け、企業のサブネットへの従業員トラフィックに対して、転送クラスに対する最高の優先順位を提供します。

このファイアウォールフィルターは、ディストリビューションスイッチ上のルーティングポート (レイヤー3アップリンクモジュール) に適用されます。

図 1は、ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターをスイッチに適用したものを示しています。

図 1: ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターの適用
ポート、VLAN、レイヤー3ルーティングファイアウォールフィルターの適用

ネットワークトポロジー

この構成例のトポロジは、1つの EX-3200-48-48T スイッチと、1つの EX-3200-48T スイッチをディストリビューションレイヤーに備えたもので構成されています。ディストリビューションスイッチのアップリンクモジュールは、J シリーズルーターへのレイヤー3接続をサポートするように設定されています。

EX シリーズスイッチは、VLAN メンバーシップをサポートするように設定されています。表 2は、VLAN の vlan 構成コンポーネントを示しています。

表 2: 構成コンポーネント: VLAN

VLAN 名

VLAN ID

VLAN サブネットと利用可能な IP アドレス

VLAN の説明

voice-vlan

10

192.0.2.0/28 192.0.2.1から 192.0.2.14

192.0.2.15 サブネット’s ブロードキャストアドレス

従業員の VoIP トラフィックに使用されるボイス VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17from はサブネット192.0.2.30 192.0.2.31s ブロードキャストアドレス’

ネットワークに接続されている Pc は、VoIP 電話、無線アクセスポイント、およびプリンターのハブを介して、VLAN のスタンドアロン Pc です。この VLAN には、音声 VLAN が完全に含まれています。2個(voice-vlanemployee-vlanvlan と) は、電話機に接続するポートで設定する必要があります。

guest-vlan

30

192.0.2.32/28 192.0.2.33from はサブネット192.0.2.46 192.0.2.47s ブロードキャストアドレス’

ゲスト’データデバイス (pc) 用の VLAN このシナリオでは、読者がロビーまたは会議室で訪問者に対してオープンな領域を持っていることを前提としています。このハブは、訪問者が自分の Pc’に接続して、Web や企業の VPN にアクセスできるようにするための拠点を持っています。

camera-vlan

40

192.0.2.48/28 192.0.2.49from はサブネット192.0.2.62 192.0.2.63s ブロードキャストアドレス’

企業のセキュリティカメラ用の VLAN

EX シリーズスイッチのポートは、Power over Ethernet (PoE) をサポートしており、ネットワーク接続と電源の両方を提供して、VoIP 電話がポートに接続することを可能にします。表 3は、vlan に割り当てられているスイッチポートと、スイッチポートに接続されているデバイスの IP および MAC アドレスを示しています。

表 3: 構成コンポーネント: 48ポートの全 PoE スイッチでポートをスイッチ

スイッチとポート番号

VLAN メンバーシップ

IP および MAC アドレス

ポートデバイス

ge-0/0/0, ge-0/0/1

voice-vlanemployee-vlan

IP アドレス:192.0.2.1 から 192.0.2.2

MAC アドレス:00.00.5E.00.53.0100.00.5E.00.53.02

2つの VoIP 電話が1台の PC に接続されています。

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 から 192.0.2.18

プリンター、無線アクセスポイント

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 から 192.0.2.35

2台のハブで、訪問者が Pc に接続できます。ロビーや会議室など、訪問者がアクセスする領域にハブが配置されている

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 から 192.0.2.50

2つのセキュリティカメラ

ge-0/0/9

voice-vlan

IP アドレス: 192.0.2.14

MAC アドレス:00.05.5E.00.53.0E

Gatekeeper デバイスです。ゲートキーパーは、VoIP 電話の通話登録、受付、およびコール状態を管理します。

ge-0/1/0

IP アドレス: 192.0.2.65

ルーターへのレイヤー3接続。これはスイッチ’のアップリンクモジュールのポートであることに注意してください。

受信ポートファイアウォールフィルターを構成してボイストラフィックとレート制限 TCP および ICMP トラフィックを優先度を設定する

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

CLI 簡単構成

ボイストラフィックとemployee-vlanサブネットを宛先とするレート制限パケットに優先度を設定するには、ポートファイアウォールフィルターを迅速に構成して適用するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort

ステップごとの手順

次のように、ポートファイアウォールフィルターを構成および適用して、 employee-vlan音声トラフィックとサブネットに送信されるレート制限パケットの優先度を設定します。

  1. ポリサー tcp-connection-policerと次のicmp-connection-policerものを定義します。
    [edit]

    user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m

    user@switch# set firewall policer tcp-connection-policer then discard

    user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m

    user@switch# set firewall policer icmp-connection-policer then discard
  2. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmpを定義します。
    [edit firewall]

    user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
  3. 条件voip-highを定義します。
    [edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ]

    user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01

    user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02

    user@switch# set term voip-high from protocol udp

    user@switch# set term voip-high then forwarding-class expedited-forwarding

    user@switch# set term voip-high then loss-priority low
  4. 条件network-controlを定義します。
    [edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ]

    user@switch# set term network-control from precedence net-control

    user@switch# set term network-control then forwarding-class network-control

    user@switch# set term network-control then loss-priority low
  5. TCP トラフィックのtcp-connectionレート制限を構成する条件を定義します。
    [edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp]

    user@switch# set term tcp-connection from destination-address 192.0.2.16/28

    user@switch# set term tcp-connection from protocol tcp

    user@switch# set term tcp-connection then policer tcp-connection-policer

    user@switch# set term tcp-connection then count tcp-counter

    user@switch# set term tcp-connection then forwarding-class best-effort

    user@switch# set term tcp-connection then loss-priority high
  6. ICMP トラフィックのicmp-connectionレート制限を構成する条件を定義します。
    [edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp]

    user@switch# set term icmp-connection from destination-address 192.0.2.16/28

    user@switch# set term icmp-connection from protocol icmp

    user@switch# set term icmp-connection then policer icmp-policer

    user@switch# set term icmp-connection then count icmp-counter

    user@switch# set term icmp-connection then forwarding-class best-effort

    user@switch# set term icmp-connection then loss-priority high
  7. ファイアウォールフィルター best-effort内の他の条件に一致しなかったすべてのパケットに対して暗黙のマッチが行われないように、match 条件なしで用語を定義します。
    [edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp]

    user@switch# set term best-effort then forwarding-class best-effort

    user@switch# set term best-effort then loss-priority high
  8. ファイアウォールフィルター ingress-port-voip-class-limit-tcp-icmpを入力フィルターとして、次のようemployee-vlanなポートインターフェイスに適用します。
    [edit interfaces]

    user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"

    user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp

    user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"

    user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
  9. さまざまなスケジューラに必要なパラメーターを構成します。

    スケジューラのパラメーターを設定する場合は、ネットワークトラフィックパターンに合わせて番号を定義します。

    [edit class-of-service]

    user@switch# set schedulers voice-high buffer-size percent 15

    user@switch# set schedulers voice-high priority high

    user@switch# set schedulers network—control buffer-size percent 10

    user@switch# set schedulers network—control priority high

    user@switch# set schedulers best-effort buffer-size percent 75

    user@switch# set schedulers best-effort priority low
  10. スケジューラマップを使用して、転送クラスをスケジューラに割り当てます。
    [edit class-of-service]

    user@switch# set scheduler-maps ethernet-diffsrv-cos-map

    user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high

    user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control

    user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
  11. スケジューラマップとアウトゴーイングインターフェイスを関連付けます。
    [edit class-of-service]

    user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map

結果

構成の結果を表示するには、以下のようにします。

不正デバイスによる VoIP トラフィックの中断を防止するための VLAN 入口ファイアウォールフィルターの構成

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

CLI 簡単構成

不正なデバイスによる HTTP セッションのvoice-vlan使用を許可して、VoIP トラフィックを管理する gatekeeper デバイスの模倣を防止するために、VLAN ファイアウォールを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block

ステップごとの手順

不正デバイスが HTTP を使用して VoIP voice-vlanトラフィックを管理するゲートキーパーデバイスを模倣できないようにするために、VLAN ファイアウォールを構成して適用するには、以下のようにします。

  1. ファイアウォールフィルター ingress-vlan-rogue-blockを定義して、許可または制限するトラフィックにフィルターの一致を指定します。
    [edit firewall]

    user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
  2. ゲートキーパーのto-gatekeeper宛先 IP アドレスに一致するパケットを受け入れる条件を定義します。
    [edit firewall family ethernet-switching filter ingress-vlan-rogue-block]

    user@switch# set term to-gatekeeper from destination-address 192.0.2.14

    user@switch# set term to-gatekeeper from destination-port 80

    user@switch# set term to-gatekeeper then accept
  3. ゲートキーパーのfrom-gatekeeper送信元 IP アドレスに一致するパケットを受け入れる条件を定義します。
    [edit firewall family ethernet-switching filter ingress-vlan-rogue-block]

    user@switch# set term from-gatekeeper from source-address 192.0.2.14

    user@switch# set term from-gatekeeper from source-port 80

    user@switch# set term from-gatekeeper then accept
  4. TCP ポート上not-gatekeeperのすべてvoice-vlanのトラフィックが gatekeeper デバイスに送信されるようにするための条件を定義します。
    [edit firewall family ethernet-switching filter ingress-vlan-rogue-block]

    user@switch# set term not-gatekeeper from destination-port 80

    user@switch# set term not-gatekeeper then count rogue-counter

    user@switch# set term not-gatekeeper then discard
  5. ファイアウォールフィルター ingress-vlan-rogue-blockを入力フィルターとして、次のように、VoIP 電話用の VLAN インターフェイスに適用します。
    [edit]

    user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan"

    user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block

結果

構成の結果を表示するには、以下のようにします。

VLAN ファイアウォールフィルターを構成して、従業員 VLAN 上の送信トラフィックのカウント、監視、分析を行います。

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

CLI 簡単構成

送信トラフィックをフィルタリングemployee-vlanするために、ファイアウォールフィルタが構成され、VLAN インターフェイスに適用されます。企業のサブネットに向けた従業員トラフィックは受け入れられますが、監視はされません。Web への従業員トラフィックはカウントおよび分析されます。

VLAN ファイアウォールフィルターを迅速に構成して適用するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee

ステップごとの手順

送信ポートファイアウォールフィルターを構成して適用し、Web employee-vlanに送信されるトラフィックのカウントと分析を行うには、以下のようにします。

  1. ファイアウォールフィルター egress-vlan-watch-employeeを定義します。
    [edit firewall]

    user@switch# set family ethernet-switching filter egress-vlan-watch-employee
  2. 企業のサブemployee-to-corpネットを宛先とするすべてemployee-vlanのトラフィックを許可し、監視しないようにするには、以下の条件を定義します。
    [edit firewall family ethernet-switching filter egress-vlan-watch-employee]

    user@switch# set term employee-to-corp from destination-address 192.0.2.16/28

    user@switch# set term employee-to-corp then accept
  3. Web に配信employee-to-webされるすべてemployee-vlanのトラフィックをカウントし、監視するための条件を定義します。
    [edit firewall family ethernet-switching filter egress-vlan-watch-employee]

    user@switch# set term employee-to-web from destination-port 80

    user@switch# set term employee-to-web then count employee-web-counter

    user@switch# set term employee-to-web then analyzer employee-monitor

    をご覧ください。、employee-monitor EX シリーズスイッチでの従業員リソースの使用状況をローカルで監視するためのポートミラーリングの構成 analyzer の設定に関する情報を参照できます。

  4. 次のようにegress-vlan-watch-employee 、ファイアウォールフィルターを出力フィルタとして、VoIP 電話用のポートインタフェースに適用します。
    [edit]

    user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"

    user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee

結果

構成の結果を表示するには、以下のようにします。

VLAN ファイアウォールを構成して、ゲスト VLAN のゲストツー従業員のトラフィックとピアツーピアアプリケーションを制限します。

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

CLI 簡単構成

次の例では、最初のフィルタ条件によって、ゲストは他のゲストとemployee-vlan話すことはできますが、従業員を含むことはできません。2つ目のフィルタ用語は、ゲスト Web アクセスを許可しますが、でguest-vlanピアツーピアアプリケーションを使用することはできません。

VLAN ファイアウォールフィルターをすばやく構成して、ゲストツー従業員のトラフィックを制限し、ピアツーピアアプリケーションを使用しemployee-vlanているときに従業員や従業員のホストとのguest-vlan会話をブロックするには、以下のコマンドをコピーしてスイッチ端末のウィンドウに貼り付けます。

[edit]

set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan filter input ingress-vlan-limit-guest

ステップごとの手順

次のguest-vlanような場合、VLAN ファイアウォールフィルターを構成および適用して、ゲスト対従業員のトラフィックとピアツーピアアプリケーションを制限することができます。

  1. ファイアウォールフィルター ingress-vlan-limit-guestを定義します。
    [edit firewall]

    set firewall family ethernet-switching filter ingress-vlan-limit-guest
  2. のゲストがguest-to-guest他のゲストと通信guest-vlanすることを許可するという条件を定義employee-vlanします。従業員以外は、以下のことを行います。
    [edit firewall family ethernet-switching filter ingress-vlan-limit-guest]

    user@switch# set term guest-to-guest from destination-address 192.0.2.33/28

    user@switch# set term guest-to-guest then accept
  3. Web アクセスをno-guest-employee-no-peer-to-peer許可するという条件を定義しますが、 guest-vlanでピアツーピアアプリケーションを使用できないようにします。 guest-vlan

    destination-mac-addressデフォルトゲートウェイは、VLAN 内のすべてのホストに次ホップのルーターとして使用されます。

    [edit firewall family ethernet-switching filter ingress-vlan-limit-guest]

    user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF

    user@switch# set term no-guest-employee-no-peer-to-peer then accept
  4. ファイアウォールフィルター ingress-vlan-limit-guestを入力フィルターとして、次のguest-vlan ようなインターフェイスに適用します。
    [edit]

    user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"

    user@switch# set vlans guest-vlan filter input ingress-vlan-limit-guest

結果

構成の結果を表示するには、以下のようにします。

ルーターファイアウォールフィルターを構成して、送信されたトラフィックが企業のサブネットを宛先とすることを優先する

ポート、VLAN、ルーターの各インターフェイスのファイアウォールフィルターを構成して適用するには、以下のタスクを実行します。

CLI 簡単構成

ルーティングポート (レイヤー3アップリンクモジュール) のファイアウォールフィルタを迅速に設定しemployee-vlanてトラフィックをフィルタリングし、企業サブネットへのトラフィックに転送クラスの優先順位を上げるには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class

ステップごとの手順

ファイアウォールフィルタを構成し、ルーティングされたポート (レイヤー3アップリンクモジュール) に適用しemployee-vlanて、企業のサブネットに向かうトラフィックに最高の優先度を与えるには、次のようにします。

  1. ファイアウォールフィルター egress-router-corp-classを定義します。
    [edit]

    user@switch# set firewall family inet filter egress-router-corp-class
  2. 条件corp-expediteを定義します。
    [edit firewall]

    user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28

    user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding

    user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
  3. 条件not-to-corpを定義します。
    [edit firewall]

    user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
  4. ファイアウォールフィルター egress-router-corp-classを、スイッチのアップリンクモジュール上のポートの出力フィルターとして適用します。これにより、レイヤー3接続がルーターに提供されます。
    [edit interfaces]

    user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network"

    user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0

    user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class

結果

構成の結果を表示するには、以下のようにします。

検証

ファイアウォールフィルターが正常に機能していることを確認するには、以下のタスクを実行します。

ファイアウォールフィルターとポリサーが動作していることを確認します。

目的

スイッチに設定されているファイアウォールフィルターとポリサーの動作状態を検証します。

アクション

運用モードのコマンドを使用します。

user@switch> show firewall

意味

このshow firewallコマンドは、スイッチ上で構成されているファイアウォールフィルター、ポリサー、カウンターの名前を表示します。出力フィールドには、すべての構成済みカウンターのバイト数およびパケット数と、すべてのポリサーのパケットカウントが表示されます。

スケジューラとスケジューラマップが機能していることを確認する

目的

スイッチでスケジューラとスケジューラマップが機能していることを確認します。

アクション

運用モードのコマンドを使用します。

user@switch> show class-of-service scheduler-map

意味

構成済みのスケジューラおよびスケジューラマップに関する統計を表示します。