Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Listas de control de acceso (filtros de firewall)

RESUMEN Lea este tema para obtener información sobre las listas de control de acceso de capa 2 (filtros de firewall) en el enrutador nativo de la nube.

Listas de control de acceso (filtros de firewall)

A partir de la versión 22.2 del enrutador nativo de la nube de Juniper, incluimos una capacidad limitada de filtro de firewall. Puede configurar los filtros mediante la CLI de Junos OS dentro del controlador del enrutador nativo de la nube, mediante NETCONF o las API del enrutador nativo de la nube. A partir de la versión 23.2 del enrutador nativo de la nube de Juniper, también puede configurar filtros de firewall mediante anotaciones de nodo y plantillas de configuración personalizadas en el momento del despliegue de JCNR. Revise la guía de implementación para obtener más detalles.

Durante el despliegue, el sistema define y aplica filtros de firewall para impedir que el tráfico pase directamente entre las interfaces del enrutador. Puede definir y aplicar dinámicamente más filtros. Utilice los filtros del firewall para:

  • Defina filtros de firewall para el tráfico de la familia de puentes.

  • Defina filtros basados en uno o más de los siguientes campos: dirección MAC de origen, dirección MAC de destino o EtherType.

  • Defina varios términos dentro de cada filtro.

  • Descarte el tráfico que coincida con el filtro.

  • Aplicar filtros a los dominios de puente.

Ejemplo de configuración

A continuación, puede ver un ejemplo de una configuración de filtro de firewall de una implementación de enrutador nativo de la nube:

Nota: Puede configurar hasta 16 términos en un solo filtro de firewall. La única acción que puede configurar en un filtro de firewall es la discard acción.
Después de la configuración, debe aplicar los filtros de firewall a un dominio de puente mediante el comando de set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1 configuración. A continuación, debe confirmar la configuración para que el filtro de firewall surta efecto.

Para ver cuántos paquetes coinciden con el filtro (por VLAN), puede ejecutar el show firewall filter filter1 comando en la CLI del controlador. Por ejemplo:

En el ejemplo anterior, aplicamos el filtro al dominio bd3001de puente . El filtro aún no ha coincidido con ningún paquete.

Solución de problemas

En la tabla siguiente se enumeran algunos de los posibles problemas que puede enfrentar al implementar reglas de firewall o ACL en el enrutador nativo de la nube. La mayoría de estos comandos se ejecutan en el servidor host.

Tabla 1: Solución de problemas de ACL o filtro de firewall L2
Comando de posibles causas problemáticas y resolución
Los filtros de firewall o las ACL no funcionan La conexión gRPC (puerto 50052) al vRouter está inactiva. Compruebe la conexión gRPC. 
netstat -antp|grep 50052
El ui-pubd proceso no se está ejecutando. Compruebe si ui-pubd se está ejecutando. 
ps aux|grep ui-pubd
El filtro de firewall o la ACL muestran comandos que no funcionan La conexión gRPC (puerto 50052) al vRouter está inactiva. Compruebe la conexión gRPC. 
netstat -antp|grep 50052
El servicio de firewall no se está ejecutando. 
ps aux|grep firewall
 
show log filter.log
Debe ejecutar este comando en la CLI del controlador JCNR (cRPD).