Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX

En este ejemplo se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto del conmutador, una VLAN de la red y una interfaz de capa 3 del conmutador. Los filtros de firewall definen las reglas que determinan si se deben reenviar o denegar paquetes en puntos de procesamiento específicos del flujo de paquetes.

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX.

  • Dos conmutadores EX3200-48T de Juniper Networks: uno para ser utilizado como un conmutador de acceso, el otro para ser utilizado como un conmutador de distribución

  • Un módulo de enlace ascendente EX-UM-4SFP de Juniper Networks

  • Un enrutador de la serie J de Juniper Networks

Antes de configurar y aplicar los filtros de firewall en este ejemplo, asegúrese de tener:

Descripción general

En este ejemplo de configuración, se muestra cómo configurar y aplicar filtros de firewall para proporcionar reglas que permitan evaluar el contenido de los paquetes y determinar cuándo descartar, reenviar, clasificar, contar y analizar paquetes destinados o que se originan en los conmutadores de la serie EX que controlan todo voice-vlanel tráfico Tabla 1 , employee-vlany guest-vlan . muestra los filtros de firewall configurados para los conmutadores de la serie EX en este ejemplo.

Tabla 1: Componentes de configuración: Filtros de firewall
Componente Propósito/Descripción

Filtro de firewall de puertos, ingress-port-voip-class-limit-tcp-icmp

Este filtro de firewall realiza dos funciones:

  • Asigna colas de prioridad a los paquetes con una dirección MAC de origen que coincida con las direcciones MAC del teléfono. La clase expedited-forwarding de reenvío proporciona baja pérdida, bajo retraso, baja fluctuación, ancho de banda garantizado y servicio de extremo a extremo para todo el voice-vlan tráfico.

  • Realiza la limitación de velocidad en los paquetes que entran en los puertos para employee-vlan. La velocidad de tráfico para los paquetes TCP e ICMP está limitada a 1 Mbps con un tamaño de ráfaga de hasta 30.000 bytes.

Este filtro de firewall se aplica a las interfaces de puerto en el conmutador de acceso.

Filtro de firewall VLAN, ingress-vlan-rogue-block

Evita que los dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo guardián que administra el registro de llamadas, la admisión y el estado de las llamadas VoIP. Solo se deben usar puertos TCP o UDP; y solo el guardián usa HTTP. Es decir, todo voice-vlan el tráfico en los puertos TCP debe estar destinado al dispositivo gatekeeper. Este filtro de firewall se aplica a todos los teléfonos de voice-vlan, incluida la comunicación entre dos teléfonos cualesquiera de la VLAN y toda la comunicación entre el dispositivo gatekeeper y los teléfonos VLAN.

Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso.

Filtro de firewall VLAN, egress-vlan-watch-employee

Acepta employee-vlan el tráfico destinado a la subred corporativa, pero no supervisa este tráfico. Se cuenta y analiza el tráfico de empleados destinado a la Web.

Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso.

Filtro de firewall VLAN, ingress-vlan-limit-guest

Impide que los invitados (que no son empleados) hablen con los empleados o los anfitriones de los empleados en employee-vlan. También impide que los invitados utilicen aplicaciones punto a punto en guest-vlan, pero permite a los invitados acceder a la Web.

Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso.

Filtro de firewall del enrutador, egress-router-corp-class

Prioriza el employee-vlan tráfico, dando la máxima prioridad de clase de reenvío al tráfico de empleados destinado a la subred corporativa.

Este filtro de firewall se aplica a un puerto enrutado (módulo de enlace ascendente de capa 3) en el conmutador de distribución.

Figura 1 muestra la aplicación de filtros de firewall enrutado de puerto, VLAN y capa 3 en el conmutador.

Figura 1: Aplicación de filtros de firewall enrutado de puerto, VLAN y capa 3Aplicación de filtros de firewall enrutado de puerto, VLAN y capa 3

Topología de red

La topología de este ejemplo de configuración consta de un conmutador EX-3200-48T en la capa de acceso y un conmutador EX-3200-48T en la capa de distribución. El módulo de enlace ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 con un enrutador de la serie J.

Los conmutadores de la serie EX están configurados para admitir la membresía VLAN. Tabla 2 muestra los componentes de configuración de VLAN para las VLAN.

Tabla 2: Componentes de configuración: VLAN

Nombre de VLAN

VLAN ID

Subred VLAN y direcciones IP disponibles

Descripción de VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1a través de 192.0.2.14

192.0.2.15 es la dirección de difusión de la subred

VLAN de voz utilizada para el tráfico VoIP de los empleados

employee-vlan

20

192.0.2.16/28 192.0.2.17 through 192.0.2.30 192.0.2.31 es la dirección de difusión de la subred

PC independientes VLAN, PC conectados a la red a través del concentrador en teléfonos VoIP, puntos de acceso inalámbricos e impresoras. Esta VLAN incluye completamente la VLAN de voz. Se deben configurar dos VLAN (voice-vlan y employee-vlan) en los puertos que se conectan a los teléfonos.

guest-vlan

30

192.0.2.32/28 192.0.2.33 through 192.0.2.46 192.0.2.47 es la dirección de difusión de la subred

VLAN para dispositivos de datos (PC) de invitados. El escenario supone que la corporación tiene un área abierta a los visitantes, ya sea en el vestíbulo o en una sala de conferencias, que tiene un concentrador al que los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su empresa.

camera-vlan

40

192.0.2.48/28 192.0.2.49 through 192.0.2.62 192.0.2.63 es la dirección de difusión de la subred

VLAN para las cámaras de seguridad corporativas.

Los puertos de los conmutadores de la serie EX admiten alimentación por Ethernet (PoE) para proporcionar conectividad de red y alimentación para teléfonos VoIP que se conectan a los puertos. Tabla 3 muestra los puertos del conmutador asignados a las VLAN y las direcciones IP y MAC de los dispositivos conectados a los puertos del conmutador:

Tabla 3: Componentes de configuración: Puertos de conmutación en un conmutador All-PoE de 48 puertos

Número de conmutador y puerto

Membresía de VLAN

Direcciones IP y MAC

Dispositivos portuarios

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Direcciones IP: 192.0.2.1 a través de 192.0.2.2

Direcciones MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Dos teléfonos VoIP, cada uno conectado a una PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 a través de 192.0.2.18

Impresora, puntos de acceso inalámbricos

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 a través de 192.0.2.35

Dos hubs en los que los visitantes pueden conectar sus PCs. Los centros están ubicados en un área abierta a los visitantes, como un vestíbulo o una sala de conferencias

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 a través de 192.0.2.50

Dos cámaras de seguridad

ge-0/0/9

voice-vlan

Dirección IP: 192.0.2.14

Dirección MAC:00.05.5E.00.53.0E

Dispositivo Gatekeeper. El guardián gestiona el registro de llamadas, la admisión y el estado de las llamadas para los teléfonos VoIP.

ge-0/1/0

Dirección IP: 192.0.2.65

Conexión de capa 3 a un enrutador; Tenga en cuenta que se trata de un puerto del módulo de vínculo ascendente del conmutador

Configuración de un filtro de firewall del puerto de entrada para priorizar el tráfico de voz y limitar la velocidad del tráfico TCP e ICMP

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar y aplicar rápidamente un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred:

  1. Defina los aplicadores tcp-connection-policer y icmp-connection-policer:

  2. Defina el filtro ingress-port-voip-class-limit-tcp-icmpdel firewall:

  3. Defina el término voip-high:

  4. Defina el término network-control:

  5. Defina el término tcp-connection para configurar los límites de velocidad para el tráfico TCP:

  6. Defina el término icmp-connection para configurar los límites de velocidad para el tráfico ICMP:

  7. Defina el término best-effort sin condiciones de coincidencia para una coincidencia implícita en todos los paquetes que no coincidan con ningún otro término del filtro de firewall:

  8. Aplique el filtro ingress-port-voip-class-limit-tcp-icmp de firewall como filtro de entrada a las interfaces de puerto para employee-vlan:

  9. Configure los parámetros que se deseen para los diferentes programadores.

    Nota:

    Cuando configure parámetros para los programadores, defina los números para que coincidan con sus patrones de tráfico de red.

  10. Asigne las clases de reenvío a los programadores con una asignación de programador:

  11. Asocie el mapa del programador con la interfaz de salida:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de firewall de entrada de VLAN para evitar que dispositivos no autorizados interrumpan el tráfico de VoIP

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un filtro de firewall VLAN para voice-vlan evitar que dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo gatekeeper que administra el tráfico VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall VLAN para voice-vlan evitar que dispositivos no autorizados utilicen HTTP para imitar al dispositivo guardián que administra el tráfico VoIP:

  1. Defina el filtro ingress-vlan-rogue-block de firewall para especificar la coincidencia de filtros en el tráfico que desea permitir y restringir:

  2. Defina el término to-gatekeeper para aceptar paquetes que coincidan con la dirección IP de destino del guardián:

  3. Defina el término from-gatekeeper para aceptar paquetes que coincidan con la dirección IP de origen del guardián:

  4. Defina el término not-gatekeeper para asegurarse de que todo voice-vlan el tráfico en los puertos TCP está destinado al dispositivo gatekeeper:

  5. Aplique el filtro ingress-vlan-rogue-block de firewall como filtro de entrada a la interfaz VLAN para los teléfonos VoIP:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de firewall VLAN para contar, monitorear y analizar el tráfico de salida en la VLAN del empleado

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Se configura un filtro de firewall y se aplica a las interfaces VLAN para filtrar employee-vlan el tráfico de salida. El tráfico de empleados destinado a la subred corporativa se acepta, pero no se supervisa. Se cuenta y analiza el tráfico de empleados destinado a la Web.

Para configurar y aplicar rápidamente un filtro de firewall VLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall de puerto de salida para contar y analizar employee-vlan el tráfico destinado a la Web:

  1. Defina el filtro egress-vlan-watch-employeedel firewall:

  2. Defina el término employee-to-corp para aceptar, pero no supervisar, todo employee-vlan el tráfico destinado a la subred corporativa:

  3. Defina el término employee-to-web para contar y monitorear todo employee-vlan el tráfico destinado a la Web:

    Nota:

    Consulte Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados en los conmutadores de la serie EX para obtener información acerca de la configuración del employee-monitor analizador.

  4. Aplique el filtro egress-vlan-watch-employee de firewall como filtro de salida a las interfaces de puerto para los teléfonos VoIP:

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en la VLAN de invitado

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

En el ejemplo siguiente, el primer término de filtro permite a los invitados hablar con otros huéspedes, pero no con los empleados de employee-vlan. El segundo término de filtro permite a los invitados acceder a la Web, pero les impide utilizar aplicaciones punto a punto en guest-vlan.

Para configurar rápidamente un filtro de firewall VLAN para restringir el tráfico de invitado a empleado, bloqueando a los invitados para que no hablen con los empleados o los anfitriones de los empleados o employee-vlan intenten utilizar aplicaciones punto a punto en guest-vlan, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en guest-vlan:

  1. Defina el filtro ingress-vlan-limit-guestdel firewall:

  2. Defina el término guest-to-guest para permitir que los invitados hablen con guest-vlan otros huéspedes pero no con los empleados en el employee-vlan:

  3. Defina el término no-guest-employee-no-peer-to-peer para permitir el acceso a los invitados en guest-vlan Web, pero evitar que utilicen aplicaciones punto a punto en el guest-vlan.

    Nota:

    El destination-mac-address es la puerta de enlace predeterminada, que para cualquier host en una VLAN es el enrutador del próximo salto.

  4. Aplique el filtro ingress-vlan-limit-guest de firewall como filtro de entrada a la interfaz para guest-vlan :

Resultados

Mostrar los resultados de la configuración:

Configuración de un filtro de firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un filtro de firewall para un puerto enrutado (módulo de enlace ascendente de capa 3) para filtrar employee-vlan el tráfico, dando la máxima prioridad de clase de reenvío al tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall a un puerto enrutado (módulo de vínculo ascendente de capa 3) para dar la máxima prioridad al employee-vlan tráfico destinado a la subred corporativa:

  1. Defina el filtro egress-router-corp-classdel firewall:

  2. Defina el término corp-expedite:

  3. Defina el término not-to-corp:

  4. Aplique el filtro egress-router-corp-class de firewall como filtro de salida para el puerto del módulo de enlace ascendente del conmutador, que proporciona una conexión de capa 3 a un enrutador:

Resultados

Mostrar los resultados de la configuración:

Verificación

Para confirmar que los filtros del firewall funcionan correctamente, realice las siguientes tareas:

Comprobación de que los filtros y las políticas de firewall estén operativos

Propósito

Compruebe el estado operativo de los filtros y políticas de firewall configurados en el conmutador.

Acción

Utilice el comando del modo operativo:

Significado

El show firewall comando muestra los nombres de los filtros, políticas y contadores de firewall configurados en el conmutador. Los campos de salida muestran los recuentos de bytes y paquetes para todos los contadores configurados y el recuento de paquetes para todos los aplicadores de políticas.

Verificar que los programadores y los mapas del programador estén operativos

Propósito

Verifique que los programadores y los mapas del programador estén operativos en el conmutador.

Acción

Utilice el comando del modo operativo:

Significado

Muestra estadísticas sobre los programadores y los mapas de programadores configurados.