Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Configuración de filtros de cortafuegos para puertos, VLAN y tráfico de enrutadores en conmutadores de la serie EX

En este ejemplo, se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto del conmutador, una VLAN en la red y una interfaz de capa 3 en el conmutador. Los filtros de cortafuegos definen las reglas que determinan si deben reenviarse o denegarse paquetes en puntos de procesamiento específicos del flujo de paquetes.

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9,0 o posterior para los conmutadores de la serie EX.

  • Dos conmutadores Juniper Networks 48T: una para utilizarla como conmutador de acceso, la otra que se utilizará como un conmutador de distribución

  • Un módulo de enlace ascendente Juniper Networks EX-UM-4SFP

  • Un enrutador Juniper Networks serie J

Antes de configurar y aplicar los filtros del firewall en este ejemplo, asegúrese de que tiene:

Descripción general

Este ejemplo de configuración muestra cómo configurar y aplicar filtros de Firewall para proporcionar reglas que evalúen el contenido de paquetes y determinen Cuándo descartar, reenviar, clasificar, contar y analizar los paquetes destinados a los conmutadores de la serie ex voice-vlanque employee-vlanse dirigen a todos, y el tráfico, y guest-vlan a los que se originan. Tabla 1 muestra los filtros del firewall que están configurados para los conmutadores de la serie ex de este ejemplo.

Tabla 1: Componentes de configuración: Filtros de cortafuegos
Component Propósito/Descripción

Filtro de cortafuegos de puertos, ingress-port-voip-class-limit-tcp-icmp

Este filtro de Firewall realiza dos funciones:

  • Asigna prioridad en cola a paquetes con una dirección MAC de origen que coincide con las direcciones MAC del teléfono. La clase expedited-forwarding de reenvío ofrece baja pérdida, menor retardo, vibración baja, ancho de banda garantizado y servicio de extremo a extremo voice-vlan para todo el tráfico.

  • Realiza la limitación de velocidad en paquetes que entran en employee-vlanlos puertos de. La velocidad de tráfico de los paquetes TCP e ICMP está limitada a 1 Mbps con un tamaño de ráfagas de 30.000 bytes.

Este filtro de cortafuegos se aplica a las interfaces del puerto en el conmutador de acceso.

Filtro de cortafuegos VLAN, ingress-vlan-rogue-block

Evita que los dispositivos no fiables utilicen sesiones HTTP para imitar el dispositivo Gatekeeper que administra el registro de llamadas, la admisión y el estado de llamadas de las llamadas de VoIP. Solo se deben utilizar puertos TCP o UDP; y solo el equipo selector utiliza HTTP. Es decir, todo voice-vlan el tráfico de los puertos TCP debe destinarse al dispositivo selector. Este filtro de cortafuegos se aplica a voice-vlantodos los teléfonos de, incluida la comunicación entre dos teléfonos cualesquiera de la VLAN y toda la comunicación entre el dispositivo Gatekeeper y los teléfonos VLAN.

Este filtro de cortafuegos se aplica a las interfaces VLAN del conmutador de acceso.

Filtro de cortafuegos VLAN, egress-vlan-watch-employee

Acepta employee-vlan tráfico destinado a la subred corporativa, pero no supervisa este tráfico. El tráfico de los empleados destinados al Web se cuenta y analiza.

Este filtro de cortafuegos se aplica a las interfaces VLAN del conmutador de acceso.

Filtro de cortafuegos VLAN, ingress-vlan-limit-guest

Impide que los invitados (no empleados) hablen con los empleados o con employee-vlanlos anfitriones de los empleados de. También impide que los invitados utilicen aplicaciones de guest-vlanigual a igual, pero permite que los invitados tengan acceso a la Web.

Este filtro de cortafuegos se aplica a las interfaces VLAN del conmutador de acceso.

Filtro firewall del enrutador, egress-router-corp-class

Da prioridad employee-vlan al tráfico, con lo que la prioridad de clase de reenvío es más alta para el tráfico de empleados destinado a la subred corporativa.

Este filtro de cortafuegos se aplica a un puerto ruteado (módulo de vínculo superior capa 3) del conmutador de distribución.

Figura 1muestra la aplicación de filtros de cortafuegos enrutados, VLAN y capa 3 en el conmutador.

Figura 1: Aplicación de filtros de cortafuegos enrutados de capa 3, VLAN o puertosAplicación de filtros de cortafuegos enrutados de capa 3, VLAN o puertos

Topología de red

La topología de este ejemplo de configuración consiste en un conmutador EX 3200-48T en la capa de acceso y un conmutador EX 3200-48T en la capa de distribución. El módulo ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 a un enrutador de la serie J.

Los conmutadores de la serie EX se configuran para admitir la pertenencia a VLAN. Tabla 2 muestra los componentes de configuración de VLAN para las VLAN.

Tabla 2: Componentes de configuración: Redes VLAN

Nombre de VLAN

ID. DE VLAN

Subred VLAN y direcciones IP disponibles

Descripción de VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1acceso192.0.2.14

192.0.2.15 es la dirección de difusión de la subred

Voz VLAN utilizada para el tráfico de VoIP de empleados

employee-vlan

20

192.0.2.16/28 192.0.2.17 a 192.0.2.30 192.0.2.31 través de la dirección de difusión de la subred

VLAN: equipos independientes, equipos conectados a la red a través del concentrador en teléfonos VoIP, puntos de acceso inalámbrico e impresoras. Esta VLAN incluye completamente la VLAN de voz. Dos redes VLAN (voice-vlan y employee-vlan) deben estar configuradas en los puertos que se conectan a los teléfonos.

guest-vlan

30

192.0.2.32/28 192.0.2.33 a 192.0.2.46 192.0.2.47 través de la dirección de difusión de la subred

VLAN para dispositivos de datos (PC) de los invitados. El escenario asume que la corporación tiene un área abierta a los visitantes, ya sea en el lobby o en una sala de conferencias, que tiene un hub al cual los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su compañía.

camera-vlan

40

192.0.2.48/28 192.0.2.49 a 192.0.2.62 192.0.2.63 través de la dirección de difusión de la subred

VLAN para las cámaras de seguridad corporativas.

Los conmutadores de la serie EX soportan Power over Ethernet (PoE) para proporcionar alimentación y conectividad de red para teléfonos VoIP que se conecten a los puertos. Tabla 3 muestra los puertos de conmutación asignados a las VLAN y las direcciones IP y Mac para los dispositivos conectados a los puertos del conmutador:

Tabla 3: Componentes de configuración: Puertos de conmutación en un conmutador de 48 "All-Port-All-PoE"

Conmutador y número de Puerto

Pertenencia a VLAN

Direcciones IP y MAC

Dispositivos de Puerto

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Direcciones IP: 192.0.2.1acceso192.0.2.2

Direcciones MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Dos teléfonos VoIP, cada uno de ellos conectado a un PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17acceso192.0.2.18

Impresora, puntos de acceso inalámbrico

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34acceso192.0.2.35

Dos concentradores en los que los visitantes pueden conectar sus PC. Los concentradores se encuentran en una zona abierta a los visitantes, como un vestíbulo o una sala de conferencias

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49acceso192.0.2.50

Dos cámaras de seguridad

ge-0/0/9

voice-vlan

Dirección IP: 192.0.2.14

Dirección MAC:00.05.5E.00.53.0E

Dispositivo Gatekeeper. El equipo selector administra el registro de llamadas, la admisión y el estado de llamadas de teléfonos VoIP.

ge-0/1/0

Dirección IP: 192.0.2.65

Conexión de capa 3 a un enrutador; tenga en cuenta que este es un puerto del módulo de enlace ascendente del conmutador

Configuración de un filtro de Firewall de puerto de entrada para priorizar el tráfico de voz y limitar el tráfico TCP e ICMP

Para configurar y aplicar filtros de cortafuegos para interfaces de puertos, VLAN e enrutadores, realice estas tareas:

Modalidades

Configuración rápida de CLI

Para configurar rápidamente y aplicar un filtro de Firewall de puertos para asignar prioridad al tráfico de voz y a los paquetes de límite de employee-vlan velocidad que están destinados a la subred, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de Firewall de puertos para asignar prioridad al tráfico de voz y a los paquetes de límite de employee-vlan velocidad que están destinados a la subred:

  1. Definir las políticas tcp-connection-policer y icmp-connection-policer:

  2. Defina el filtro ingress-port-voip-class-limit-tcp-icmpde Firewall:

  3. Defina el término voip-high:

  4. Defina el término network-control:

  5. Defina el término tcp-connection para configurar límites de velocidad para el tráfico TCP:

  6. Defina el término icmp-connection para configurar límites de velocidad para tráfico ICMP:

  7. Defina el término best-effort sin condiciones de coincidencia para una coincidencia implícita de todos los paquetes que no coincidían con ningún otro término en el filtro del firewall:

  8. Aplique el filtro ingress-port-voip-class-limit-tcp-icmp de Firewall como filtro de entrada a las interfaces de employee-vlanpuerto para:

  9. Configure los parámetros que desee para los distintos programadores.

    Nota:

    Cuando configure los parámetros para los programadores, defina los números que coincidan con los patrones de tráfico de la red.

  10. Asignar las clases de reenvío a los programadores con un mapa del programador:

  11. Asociar el mapa del programador con la interfaz de salida:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de Firewall de entrada de VLAN para evitar que los dispositivos no fiables interrumpan el tráfico de VoIP

Para configurar y aplicar filtros de cortafuegos para interfaces de puertos, VLAN e enrutadores, realice estas tareas:

Modalidades

Configuración rápida de CLI

Para configurar rápidamente un filtro de cortafuegos voice-vlan de VLAN para evitar que los dispositivos no fiables utilicen sesiones http para imitar el dispositivo Gatekeeper que administra el tráfico de VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de cortafuegos voice-vlan de VLAN para impedir que los dispositivos no autorizados utilicen http para imitar el dispositivo Gatekeeper que administra el tráfico de VoIP:

  1. Defina el filtro ingress-vlan-rogue-block de Firewall para especificar la coincidencia de filtros en el tráfico que desea permitir y restringir:

  2. Defina el término to-gatekeeper para aceptar paquetes que coincidan con la dirección IP de destino del equipo selector:

  3. Defina el término from-gatekeeper para aceptar paquetes que coincidan con la dirección IP de origen del equipo selector:

  4. Defina el término not-gatekeeper para garantizar que voice-vlan todo el tráfico en los puertos TCP está destinado al dispositivo Gatekeeper:

  5. Aplique el filtro ingress-vlan-rogue-block de cortafuegos como filtro de entrada a la interfaz VLAN para el teléfono VoIP:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de Firewall de VLAN para contar, supervisar y analizar el tráfico de salida de la VLAN de empleados

Para configurar y aplicar filtros de cortafuegos para interfaces de puertos, VLAN e enrutadores, realice estas tareas:

Modalidades

Configuración rápida de CLI

Se configura un filtro de firewall y se aplica a las interfaces employee-vlan VLAN para filtrar el tráfico de salida. El tráfico de los empleados destinados a la subred corporativa se acepta pero no se supervisa. El tráfico de los empleados destinados al Web se cuenta y analiza.

Para configurar y aplicar rápidamente un filtro de Firewall de VLAN, copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar y aplicar un filtro de Firewall de puerto de salida para contar employee-vlan y analizar el tráfico destinado al Web:

  1. Defina el filtro egress-vlan-watch-employeede Firewall:

  2. Defina el término employee-to-corp que se va a aceptar pero employee-vlan que no supervisa todo el tráfico destinado a la subred corporativa:

  3. Definir el término employee-to-web que se va a contar employee-vlan y supervisar todo el tráfico destinado a la web:

    Nota:

    Consulte ejemplo: Configuración del duplicado de puertos para el monitorado local del uso de recursos de empleados en conmutadores employee-monitor de la serie ex para obtener información acerca de cómo configurar el analizador.

  4. Aplique el filtro egress-vlan-watch-employee de cortafuegos como filtro de salida a las interfaces de puertos para los teléfonos VoIP:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de Firewall de VLAN para restringir el tráfico de invitado a empleado y aplicaciones de punto a punto en la VLAN invitada

Para configurar y aplicar filtros de cortafuegos para interfaces de puertos, VLAN e enrutadores, realice estas tareas:

Modalidades

Configuración rápida de CLI

En el siguiente ejemplo, el primer término de filtro permite que los invitados se comuniquen con otros invitados employee-vlan, pero no con los empleados de. El segundo término de filtro permite el acceso web a los invitados pero les impide usar aplicaciones de igual a guest-vlanigual en el.

Para configurar rápidamente un filtro de servidor de seguridad de VLAN para restringir el tráfico de cliente a empleado, bloquear a los invitados para employee-vlan que no hablen con los empleados o los anfitriones de guest-vlanlos empleados o intenten usar aplicaciones punto a punto en, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar y aplicar un filtro de Firewall de VLAN para restringir el tráfico de invitado a empleado y aplicaciones de punto a guest-vlanpunto en:

  1. Defina el filtro ingress-vlan-limit-guestde Firewall:

  2. Definir el término guest-to-guest que permitirá a los guest-vlan invitados que se comuniquen con otros invitados, pero no employee-vlana los empleados de:

  3. Definir el término no-guest-employee-no-peer-to-peer para permitir los invitados guest-vlan en el acceso a la web, pero evitar que usen aplicaciones de igual a guest-vlanigual en el.

    Nota:

    destination-mac-address Es la puerta de enlace predeterminada, que para cualquier host de una VLAN es el enrutador de próximo salto.

  4. Aplique el filtro ingress-vlan-limit-guest de Firewall como filtro de entrada a la interfaz guest-vlan de:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de Firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa

Para configurar y aplicar filtros de cortafuegos para interfaces de puertos, VLAN e enrutadores, realice estas tareas:

Modalidades

Configuración rápida de CLI

Para configurar rápidamente un filtro de Firewall para un puerto enrutado (módulo de vínculo ascendente de capa employee-vlan 3) para filtrar el tráfico, con lo que la prioridad de clase de reenvío es el tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar y aplicar un filtro de Firewall a un puerto enrutado (módulo de vínculo ascendente de capa 3) con employee-vlan el fin de asignar la mayor prioridad al tráfico destinado a la subred corporativa:

  1. Defina el filtro egress-router-corp-classde Firewall:

  2. Defina el término corp-expedite:

  3. Defina el término not-to-corp:

  4. Aplique el filtro de firewall como filtro de salida para el puerto del módulo ascendente del conmutador, el cual proporciona una conexión de capa egress-router-corp-class 3 a un enrutador:

Resultados

Mostrar los resultados de la configuración:

Comproba

Para confirmar que los filtros del firewall funcionan correctamente, realice las siguientes tareas:

Verificación de que los filtros y los policía de cortafuegos están operativos

Purpose

Compruebe el estado operativo de los filtros y las políticas del firewall que se configuran en el conmutador.

Intervención

Utilice el comando modo de operación:

Efectos

El show firewall comando muestra los nombres de los filtros de firewall, los de seguridad y los contadores que se configuran en el conmutador. Los campos de resultados muestran el recuento de bytes y paquetes para todos los contadores configurados y el recuento de paquetes para todas las políticas.

Comprobar que los programadores y las asignaciones del programador son operativos

Purpose

Compruebe que los programadores y las asignaciones del programador son operativos en el conmutador.

Intervención

Utilice el comando modo de operación:

Efectos

Muestra estadísticas sobre los programadores y las asignaciones de programadores configurados.