Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de filtros de cortafuegos para conmutadores de la serie EX

Los filtros de cortafuegos proporcionan reglas que definen si se permitirán, denegarán o reenviarán paquetes que estén transfieren una interfaz en un conmutador Ethernet de Juniper Networks serie EX desde una dirección de origen a una dirección de destino. Los filtros de firewall se configuran para determinar si se permite, niega o reenvía el tráfico antes de que ingrese o salga de una interfaz de puerto, VLAN o capa 3 (enrutada) a la cual se aplica el filtro de firewall. Para aplicar un filtro de cortafuegos, primero debe configurar el filtro y, a continuación, aplicarlo a una interfaz de puerto, VLAN o capa 3.

Puede aplicar filtros de Firewall a interfaces de red, interfaces Ethernet agregadas (también conocidos como grupos de agregación de enlaces (retardos)), interfaces de bucle invertido, interfaces de administración, interfaces Ethernet de administración virtual (VMEs) e interfaces VLAN enrutadas (RVIs ). Para obtener más información sobre los conmutadores de la serie EX que admiten filtros de cortafuegos en estas interfaces, consulte Descripción de las características del software de conmutador de serie ex.

Un filtro de Firewall de entrada es un filtro que se aplica a paquetes que entran en una red. Un filtro de Firewall de salida es un filtro que se aplica a paquetes que están saliendo de una red. Puede configurar filtros del cortafuegos para que los paquetes se sometan al filtrado, clase de servicio (CoS) (agrupación de tipos de tráfico similares, y tratando cada tipo de tráfico como una clase con su propio nivel de prioridad de servicio) y control de tráfico (que la velocidad máxima de tráfico enviado o recibido en una interfaz).

Tipos de filtro de Firewall

Los siguientes tipos de filtros del cortafuegos son compatibles con los conmutadores de la serie EX:

  • Filtro de firewall de puerto (capa 2): los filtros de firewall de puerto se aplican a los puertos del conmutador de capa 2. Puede aplicar filtros de cortafuegos de puertos en las direcciones de entrada y salida de un puerto físico.

  • Filtro de firewall VLAN: los filtros de firewall VLAN proporcionan control de acceso para los paquetes que ingresan a una VLAN, se une dentro de una VLAN o dejan una VLAN. Puede aplicar filtros de cortafuegos VLAN en las direcciones de entrada y salida de una VLAN. Los filtros de cortafuegos VLAN se aplican a todos los paquetes que se reenvían o reenvían desde la VLAN.

  • Filtro de firewall de enrutador (capa 3): puede aplicar un filtro de firewall de enrutador en las direcciones de entrada y salida en interfaces de capa 3 (enrutadas) e interfaces VLAN enrutadas ( RVI). También puede aplicar un filtro de firewall de enrutador en la dirección de entrada en la interfaz de circuito cerrado ( lo0 ). Los filtros de Firewall configurados en interfaces de bucle invertido sólo se aplican a los paquetes que se envían al motor de enrutamiento CPU para su procesamiento posterior.

Puede aplicar filtros de puerto, VLAN o firewall de enrutador al tráfico de IPv4 e IPv6 en estos conmutadores:

  • Conmutador EX2200

  • Conmutador EX3300

  • Conmutadores super3200

  • Conmutador EX4200

  • Conmutador EX4300

  • Conmutador EX4500

  • Conmutador EX4550

  • Conmutador EX6200

  • Conmutador EX8200

Para obtener información sobre los filtros de cortafuegos que se admiten en distintos conmutadores, consulte la compatibilidad de la plataforma para condiciones de coincidencia de filtro firewall, acciones y modificadores de acciones en los conmutadores de la serie ex.

Componentes de filtro de Firewall

En un filtro de firewall, primero se define el tipo de dirección de familia ( , o ), y, luego, se definen uno o varios términos que especifican los criterios de filtrado (especificados como términos con condiciones de coincidencia) y la acción (especificada como acciones o modificadores de acción) para llevar a cabo si se produce una ethernet-switchinginetinet6 coincidencia.

El número máximo de términos permitidos por firewall para los conmutadores de la serie EX es:

  • 512 conmutadores EX2200

  • 1436 conmutadores EX3300

    Nota:

    En los conmutadores EX3300, si agrega y elimina filtros con una gran cantidad de términos (en el orden 1000 o superior) de la misma operación, no se instalan todos los filtros. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

  • 7.042 para conmutadores EX3200 y EX4200, según la asignación dinámica de memoria ternaria direccionable de contenido (TCAM) para filtros de firewall.

  • En los conmutadores EX4300, se admite el siguiente número máximo de términos para el tráfico de entrada y salida, para los archivadores Firewall configurados en una interfaz de puerto, VLAN y capa 3:

    • Para el tráfico de entrada:

      • 3500 términos para filtros de cortafuegos configurados en un puerto

      • 3500 términos para filtros de cortafuegos configurados en una VLAN

      • 7000 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 3500 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    • Para el tráfico de salida:

      • 512 términos para filtros de cortafuegos configurados en un puerto

      • 256 términos para filtros de cortafuegos configurados en una VLAN

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv4

      • 512 términos para filtros de Firewall configurados en interfaces de capa 3 para tráfico IPv6

    Nota:

    Sólo puede configurar el número máximo de términos al configurar un tipo de filtro de cortafuegos (puerto, VLAN o enrutador (Layer 3) Firewall Filter) en el conmutador y cuando no está activado el control de tormentas en ninguna interfaz del conmutador.

  • 1200 para conmutadores EX4500 y EX4550

  • 1400 conmutadores EX6200

  • 32.768 conmutadores EX8200

Nota:

La asignación dinámica a pedido del espacio compartido TCAM en EX8200 conmutadores se consigue asignando bloques de espacio libre a filtros del cortafuegos. Los filtros del cortafuegos se clasifican en dos grupos diferentes. Los filtros de puerto y VLAN se agrupan (el umbral de memoria de este grupo es 22K), mientras que los filtros de firewall del enrutador se agrupan por separado (el umbral de este grupo es 32K). La asignación se realiza basándose en el tipo de grupo de filtros. Los bloques de espacio libre se pueden compartir solo entre los filtros del firewall que pertenecen al mismo tipo de grupo de filtros. Se genera un mensaje de error cuando se intenta configurar un filtro de Firewall más allá del umbral TCAM.

Cada término consta de los siguientes componentes:

  • Condiciones de coincidencia: especifique los valores o campos que debe contener el paquete. Puede definir varias condiciones de coincidencia, como el campo de dirección IP de origen, el campo de dirección IP de destino, el campo de protocolo de control de transporte (TCP) o el puerto de origen del Protocolo de datagramas de usuario (UDP), campo de protocolo IP, protocolo de mensajes de control de Internet (ICMP) tipo de paquete, indicadores TCP e interfaces.

  • Acción: especifica qué hacer si un paquete coincide con las condiciones de coincidencia. Las acciones posibles son aceptar o descartar el paquete o enviar el paquete a una interfaz de enrutamiento virtual específica. Además, se pueden contar paquetes para recopilar información estadística. Si no se especifica ninguna acción para un término, la acción predeterminada es aceptar el paquete.

  • Modificador de acción: especifica una o más acciones para el conmutador si un paquete cumple las condiciones de coincidencia. Puede especificar modificadores de acciones como cuenta, espejo, límite de velocidad y paquetes de clasificación.

Procesamiento de filtros de Firewall

El orden de los términos en la configuración de un filtro de Firewall es importante. Los paquetes se prueban para cada término en el orden en el que se enumeran en la configuración del filtro del firewall. Para obtener más información sobre cómo los filtros de Firewall procesan los paquetes, consulte Descripción de cómo se evalúan los filtros de Firewall.