Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de filtros de firewall para tráfico de puerto, VLAN y enrutador en conmutadores de la serie EX

En este ejemplo, se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto en el conmutador, una VLAN en la red y una interfaz de capa 3 en el conmutador. Los filtros de firewall definen las reglas que determinan si reenviar o denegar paquetes en puntos de procesamiento específicos del flujo de paquetes.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9.0 o posterior para conmutadores de la serie EX.

  • Dos conmutadores EX3200-48T de Juniper Networks: uno que se utilizará como conmutador de acceso, el otro como conmutador de distribución

  • Un módulo de enlace ascendente EX-UM-4SFP de Juniper Networks

  • Un enrutador de la serie J de Juniper Networks

Antes de configurar y aplicar los filtros de firewall en este ejemplo, asegúrese de tener lo siguiente:

Descripción general

En este ejemplo de configuración, se muestra cómo configurar y aplicar filtros de firewall para proporcionar reglas para evaluar el contenido de los paquetes y determinar cuándo descartar, reenviar, clasificar, contar y analizar paquetes destinados o originados en los conmutadores de la serie EX que manejan todo voice-vlanel employee-vlantráfico Tabla 1 y guest-vlan muestran los filtros de firewall configurados para los conmutadores de la serie EX en este ejemplo.

Tabla 1: Componentes de configuración: Filtros de firewall
Componente Propósito/descripción

Filtro de firewall de puerto, ingress-port-voip-class-limit-tcp-icmp

Este filtro de firewall realiza dos funciones:

  • Asigna colas de prioridad a paquetes con una dirección MAC de origen que coincida con las direcciones MAC del teléfono. La clase expedited-forwarding de reenvío ofrece baja pérdida, retraso bajo, fluctuación baja, ancho de banda garantizado y servicio de extremo a extremo para todo voice-vlan el tráfico.

  • Realiza la limitación de velocidad en los paquetes que ingresan a los puertos para employee-vlan. La velocidad de tráfico de los paquetes TCP e ICMP está limitada a 1 Mbps con un tamaño de ráfaga de hasta 30 000 bytes.

Este filtro de firewall se aplica a las interfaces de puerto del conmutador de acceso.

Filtro de firewall VLAN, ingress-vlan-rogue-block

Impide que los dispositivos no autorizados utilicen sesiones HTTP para imitar el dispositivo de guardián que administra el registro de llamadas, la admisión y el estado de llamada para las llamadas VoIP. Solo se deben usar puertos TCP o UDP; y solo el portero usa HTTP. Es decir, todo el voice-vlan tráfico de los puertos TCP debe estar destinado al dispositivo de portero. Este filtro de firewall se aplica a todos los teléfonos en voice-vlan, incluida la comunicación entre dos teléfonos en la VLAN y toda la comunicación entre el dispositivo de portero y los teléfonos VLAN.

Este filtro de firewall se aplica a las interfaces VLAN del conmutador de acceso.

Filtro de firewall VLAN, egress-vlan-watch-employee

employee-vlan Acepta el tráfico destinado a la subred corporativa, pero no supervisa este tráfico. El tráfico de empleados destinado a la Web se cuenta y se analiza.

Este filtro de firewall se aplica a las interfaces vlan del conmutador de acceso.

Filtro de firewall VLAN, ingress-vlan-limit-guest

Evita que los invitados (no empleados) hablen con empleados o anfitriones de empleados en employee-vlan. También evita que los invitados usen aplicaciones par a par en guest-vlan, pero permite que los invitados accedan a la Web.

Este filtro de firewall se aplica a las interfaces VLAN del conmutador de acceso.

Filtro de firewall de enrutador, egress-router-corp-class

Prioriza el tráfico, lo que da prioridad a la clase de reenvío más alta al tráfico de los empleados employee-vlan destinado a la subred corporativa.

Este filtro de firewall se aplica a un puerto enrutado (módulo de enlace ascendente de capa 3) en el conmutador de distribución.

Figura 1 muestra la aplicación de los filtros de firewall enrutado de puerto, VLAN y capa 3 en el conmutador.

Figura 1: Aplicación de filtros de puerto, VLAN y firewall enrutado de capa 3Aplicación de filtros de puerto, VLAN y firewall enrutado de capa 3

Topología de red

La topología de este ejemplo de configuración consta de un conmutador EX-3200-48T en la capa de acceso y un conmutador EX-3200-48T en la capa de distribución. El módulo de enlace ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 a un enrutador de la serie J.

Los conmutadores de la serie EX están configurados para admitir la pertenencia a VLAN. Tabla 2 muestra los componentes de configuración de VLAN para las VLAN.

Tabla 2: Componentes de configuración: Vlan

Nombre de VLAN

VLAN ID

Subred VLAN y direcciones IP disponibles

Descripción de VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1a través de 192.0.2.14

192.0.2.15 es la dirección de difusión de la subred

VLAN de voz utilizada para el tráfico VoIP de los empleados

employee-vlan

20

192.0.2.16/28 192.0.2.17 a través 192.0.2.30 192.0.2.31 de la dirección de difusión de la subred

PCs independientes VLAN, PC conectados a la red a través del hub en teléfonos VoIP, puntos de acceso inalámbricos e impresoras. Esta VLAN incluye completamente la VLAN de voz. Se deben configurar dos VLAN (voice-vlan y employee-vlan) en los puertos que se conectan a los teléfonos.

guest-vlan

30

192.0.2.32/28 192.0.2.33 a través 192.0.2.46 192.0.2.47 de la dirección de difusión de la subred

VLAN para dispositivos de datos (PC) invitados. El escenario asume que la corporación tiene un área abierta a los visitantes, ya sea en el lobby o en una sala de conferencias, que tiene un hub al que los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su empresa.

camera-vlan

40

192.0.2.48/28 192.0.2.49 a través 192.0.2.62 192.0.2.63 de la dirección de difusión de la subred

VLAN para las cámaras de seguridad corporativas.

Los puertos de los conmutadores de la serie EX admiten alimentación por Ethernet (PoE) para proporcionar conectividad de red y alimentación para teléfonos VoIP que se conectan a los puertos. Tabla 3 muestra los puertos de conmutador asignados a las VLAN y las direcciones IP y MAC de los dispositivos conectados a los puertos del conmutador:

Tabla 3: Componentes de configuración: Puertos de conmutador en un conmutador All-PoE de 48 puertos

Número de conmutador y puerto

Membresía de VLAN

Direcciones IP y MAC

Dispositivos de puerto

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

Direcciones IP: 192.0.2.1 a través de 192.0.2.2

Direcciones MAC: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Dos teléfonos VoIP, cada uno conectado a una PC.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 a través de 192.0.2.18

Impresora, puntos de acceso inalámbricos

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 a través de 192.0.2.35

Dos hubs en los que los visitantes pueden conectar sus PC. Los hubs se encuentran en una zona abierta a los visitantes, como un vestíbulo o una sala de conferencias

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 a través de 192.0.2.50

Dos cámaras de seguridad

ge-0/0/9

voice-vlan

Dirección IP: 192.0.2.14

Dirección MAC:00.05.5E.00.53.0E

Dispositivo De guardián. El guardián administra el registro de llamadas, la admisión y el estado de llamada para los teléfonos VoIP.

ge-0/1/0

Dirección IP: 192.0.2.65

Conexión de capa 3 a un enrutador; tenga en cuenta que este es un puerto en el módulo de enlace ascendente del conmutador

Configuración de un filtro de firewall de puerto de entrada para priorizar el tráfico de voz y el límite de velocidad del tráfico TCP y ICMP

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar y aplicar rápidamente un filtro de firewall de puerto para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall de puerto para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred:

  1. Defina los agentes tcp-connection-policer de policía y icmp-connection-policer:

  2. Defina el filtro ingress-port-voip-class-limit-tcp-icmpde firewall :

  3. Defina el término voip-high:

  4. Defina el término network-control:

  5. Defina el término tcp-connection para configurar límites de velocidad para el tráfico TCP:

  6. Defina el término icmp-connection para configurar límites de velocidad para el tráfico ICMP:

  7. Defina el término best-effort sin condiciones de coincidencia para una coincidencia implícita en todos los paquetes que no coincidan con ningún otro término del filtro de firewall:

  8. Aplique el filtro ingress-port-voip-class-limit-tcp-icmp de firewall como filtro de entrada a las interfaces de puerto para employee-vlan:

  9. Configure los parámetros que se desean para los diferentes programadores.

    Nota:

    Cuando configure parámetros para los programadores, defina los números para que coincidan con los patrones de tráfico de red.

  10. Asigne las clases de reenvío a los programadores con una asignación de programador:

  11. Asocie la asignación del programador con la interfaz de salida:

Resultados

Muestra los resultados de la configuración:

Configuración de un filtro de firewall de entrada de VLAN para evitar que los dispositivos no autorizados interrumpan el tráfico VoIP

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un filtro voice-vlan de firewall VLAN para evitar que los dispositivos no autorizados usen sesiones HTTP para imitar el dispositivo de portero que administra el tráfico VoIP, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall VLAN para voice-vlan evitar que los dispositivos no autorizados usen HTTP para imitar el dispositivo de portero que administra el tráfico VoIP:

  1. Defina el filtro ingress-vlan-rogue-block de firewall para especificar la coincidencia de filtros en el tráfico que desea permitir y restringir:

  2. Defina el término to-gatekeeper para aceptar paquetes que coincidan con la dirección IP de destino del portero:

  3. Defina el término from-gatekeeper para aceptar paquetes que coincidan con la dirección IP de origen del portero:

  4. Defina el término not-gatekeeper para garantizar que todo el tráfico de los voice-vlan puertos TCP esté destinado al dispositivo de portero:

  5. Aplique el filtro ingress-vlan-rogue-block de firewall como filtro de entrada a la interfaz VLAN para los teléfonos VoIP:

Resultados

Muestra los resultados de la configuración:

Configuración de un filtro de firewall vlan para contar, supervisar y analizar el tráfico de salida en la VLAN del empleado

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Un filtro de firewall se configura y se aplica a las interfaces VLAN para filtrar employee-vlan el tráfico de salida. El tráfico de empleados destinado a la subred corporativa se acepta pero no se supervisa. El tráfico de empleados destinado a la Web se cuenta y se analiza.

Para configurar y aplicar rápidamente un filtro de firewall VLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall de puerto de salida para contar y analizar employee-vlan el tráfico destinado a la Web:

  1. Defina el filtro egress-vlan-watch-employeede firewall :

  2. Defina el término employee-to-corp para aceptar, pero no supervisar todo el employee-vlan tráfico destinado a la subred corporativa:

  3. Defina el término employee-to-web para contar y supervisar todo el employee-vlan tráfico destinado a la Web:

    Nota:

    Consulte Ejemplo: Configurar la duplicación de puertos para la supervisión local del uso de recursos de los empleados en conmutadores de la serie EX para obtener información sobre la configuración del employee-monitor analizador.

  4. Aplique el filtro egress-vlan-watch-employee de firewall como filtro de salida a las interfaces de puerto para los teléfonos VoIP:

Resultados

Muestra los resultados de la configuración:

Configuración de un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en la VLAN invitada

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

En el siguiente ejemplo, el primer término de filtro permite a los invitados hablar con otros invitados, pero no con empleados en employee-vlan. El segundo término de filtro permite el acceso web a los invitados, pero les impide usar aplicaciones par a par en guest-vlan.

Para configurar rápidamente un filtro de firewall VLAN para restringir el tráfico de invitado a empleado, bloquear a los invitados de hablar con empleados o hosts de empleados en employee-vlan o intentar usar aplicaciones par a par en guest-vlan, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en guest-vlan:

  1. Defina el filtro ingress-vlan-limit-guestde firewall :

  2. Defina el término guest-to-guest para permitir que los invitados en el guest-vlan para hablar con otros invitados, pero no empleados en el employee-vlan:

  3. Defina el término no-guest-employee-no-peer-to-peer para permitir que los invitados en guest-vlan el acceso web, pero evitar que usen aplicaciones par a par en el guest-vlan.

    Nota:

    La destination-mac-address es la puerta de enlace predeterminada, que para cualquier host de una VLAN es el enrutador de salto siguiente.

  4. Aplique el filtro ingress-vlan-limit-guest de firewall como filtro de entrada a la interfaz para guest-vlan :

Resultados

Muestra los resultados de la configuración:

Configuración de un filtro de firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa

Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un filtro de firewall para un puerto enrutado (módulo de enlace ascendente de capa 3) para filtrar employee-vlan el tráfico, dando la mayor prioridad de clase de reenvío al tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar y aplicar un filtro de firewall a un puerto enrutado (módulo de enlace ascendente de capa 3) para dar la máxima prioridad al tráfico destinado a employee-vlan la subred corporativa:

  1. Defina el filtro egress-router-corp-classde firewall :

  2. Defina el término corp-expedite:

  3. Defina el término not-to-corp:

  4. Aplique el filtro egress-router-corp-class de firewall como filtro de salida para el puerto en el módulo de enlace ascendente del conmutador, el cual proporciona una conexión de capa 3 a un enrutador:

Resultados

Muestra los resultados de la configuración:

Verificación

Para confirmar que los filtros de firewall funcionan correctamente, realice las siguientes tareas:

Verificar que los filtros de firewall y los agentes de policía estén operativos

Propósito

Compruebe el estado operativo de los filtros de firewall y los agentes de policía configurados en el conmutador.

Acción

Utilice el comando del modo operativo:

Significado

El show firewall comando muestra los nombres de los filtros de firewall, los agentes de policía y los contadores configurados en el conmutador. Los campos de salida muestran recuentos de bytes y paquetes para todos los contadores configurados y el recuento de paquetes para todos los policías.

Verificar que los programadores y los mapas del programador sean operativos

Propósito

Compruebe que los programadores y los mapas del programador estén operativos en el conmutador.

Acción

Utilice el comando del modo operativo:

Significado

Muestra estadísticas sobre los programadores y los programadores-mapas configurados.