Listas de control de acceso (filtros de firewall)
Lea este tema para obtener información sobre las listas de control de acceso de capa 2 (filtros de firewall) en el enrutador nativo de la nube.
Listas de control de acceso (filtros de firewall)
A partir de la versión 22.2 del enrutador nativo de la nube de Juniper, incluimos una capacidad limitada de filtro de firewall. Puede configurar los filtros mediante la CLI de Junos OS dentro del controlador del enrutador nativo de la nube, mediante NETCONF o las API del enrutador nativo de la nube. A partir de la versión 23.2 del enrutador nativo de la nube de Juniper, también puede configurar filtros de firewall mediante anotaciones de nodo y plantillas de configuración personalizadas en el momento de la implementación del enrutador nativo de la nube. Revise la guía de implementación para obtener más detalles.
Durante el despliegue, el sistema define y aplica filtros de firewall para impedir que el tráfico pase directamente entre las interfaces del enrutador. Puede definir y aplicar dinámicamente más filtros. Utilice los filtros del firewall para:
-
Defina filtros de firewall para el tráfico de la familia de puentes.
-
Defina filtros basados en uno o más de los siguientes campos: dirección MAC de origen, dirección MAC de destino o EtherType.
-
Defina varios términos dentro de cada filtro.
-
Descarte el tráfico que coincida con el filtro.
-
Aplicar filtros a los dominios de puente.
Ejemplo de configuración
A continuación, puede ver un ejemplo de una configuración de filtro de firewall de una implementación de enrutador nativo de la nube:
root@jcnr01> show configuration firewall firewall { family { bridge { filter example { term t1 { from { destination-mac-address 10:10:10:10:10:11; source-mac-address 10:10:10:10:10:10; ether-type arp; } then { discard; } } } } } }
discard
acción.
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1
configuración. A continuación, debe confirmar la configuración para que el filtro de firewall surta efecto.
Para ver cuántos paquetes coinciden con el filtro (por VLAN), puede ejecutar el show firewall filter filter1
comando en la CLI del controlador. Por ejemplo:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
En el ejemplo anterior, aplicamos el filtro al dominio bd3001
de puente . El filtro aún no ha coincidido con ningún paquete.
Solución de problemas
En la tabla siguiente se enumeran algunos de los posibles problemas que puede enfrentar al implementar reglas de firewall o ACL en el enrutador nativo de la nube. La mayoría de estos comandos se ejecutan en el servidor host.
Comando de | posibles causas problemáticas y resolución | |
---|---|---|
Los filtros de firewall o las ACL no funcionan | La conexión gRPC (puerto 50052) al vRouter está inactiva. Compruebe la conexión gRPC. | netstat -antp|grep 50052 |
El ui-pubd proceso no se está ejecutando. Compruebe si ui-pubd se está ejecutando. |
ps aux|grep ui-pubd |
|
El filtro de firewall o la ACL muestran comandos que no funcionan | La conexión gRPC (puerto 50052) al vRouter está inactiva. Compruebe la conexión gRPC. | netstat -antp|grep 50052 |
El servicio de firewall no se está ejecutando. | ps aux|grep firewall |
|
show log filter.logDebe ejecutar este comando en la CLI del controlador JCNR (cRPD). |