EN ESTA PÁGINA
Ejemplo: Configuración de filtros de firewall para tráfico de puerto, VLAN y enrutador en conmutadores de la serie EX
En este ejemplo, se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto en el conmutador, una VLAN en la red y una interfaz de capa 3 en el conmutador. Los filtros de firewall definen las reglas que determinan si se reenvía o se niegan paquetes en puntos de procesamiento específicos del flujo de paquetes.
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Junos OS versión 9.0 o posterior para conmutadores serie EX.
Dos conmutadores EX3200-48T de Juniper Networks: uno que se utilizará como conmutador de acceso y el otro como conmutador de distribución
Un módulo de enlace ascendente EX-UM-4SFP de Juniper Networks
Un enrutador de la serie J de Juniper Networks
Antes de configurar y aplicar los filtros de firewall en este ejemplo, asegúrese de que dispone de:
Comprensión de los conceptos de filtros de firewall, políticas y CoS
Instalado el módulo uplink en el conmutador de distribución. Consulte Instalación de un módulo uplink en un conmutador EX3200.
Descripción general
En este ejemplo de configuración, se muestra cómo configurar y aplicar filtros de firewall para proporcionar reglas que evalúen el contenido de los paquetes y determinen cuándo descartar, reenviar, clasificar, contar y analizar paquetes destinados a los conmutadores de la serie EX que gestionan todo voice-vlanemployee-vlanel tráfico y guest-vlan el tráfico. Tabla 1 En este ejemplo, se muestran los filtros de firewall configurados para los conmutadores de la serie EX.
| Componente | Propósito/descripción |
|---|---|
Filtro de firewall de puerto, |
Este filtro de firewall realiza dos funciones:
Este filtro de firewall se aplica a las interfaces de puerto del conmutador de acceso. |
Filtro de firewall VLAN, |
Evita que los dispositivos no autorizados usen sesiones HTTP para imitar el dispositivo guardián de puertas que administra el registro, la admisión y el estado de las llamadas de VoIP. Solo se deben usar puertos TCP o UDP; y solo el guardián de puertas usa HTTP. Es decir, todo el tráfico en los Este filtro de firewall se aplica a las interfaces VLAN del conmutador de acceso. |
Filtro de firewall VLAN, |
Este filtro de firewall se aplica a las interfaces vlan en el conmutador de acceso. |
Filtro de firewall VLAN, |
Impide que los invitados (no empleados) hablen con los empleados o los anfitriones de los empleados en Este filtro de firewall se aplica a las interfaces VLAN del conmutador de acceso. |
Filtro de firewall de enrutador, |
Este filtro de firewall se aplica a un puerto enrutado (módulo de enlace ascendente de capa 3) en el conmutador de distribución. |
Figura 1 muestra la aplicación de los filtros de firewall enrutado de puerto, VLAN y capa 3 en el conmutador.
Topología de red
La topología de este ejemplo de configuración consta de un conmutador EX-3200-48T en la capa de acceso y un conmutador EX-3200-48T en la capa de distribución. El módulo de enlace ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 con un enrutador de la serie J.
Los conmutadores de la serie EX están configurados para admitir la membresía de VLAN. Tabla 2 muestra los componentes de configuración de VLAN para las VLAN.
Nombre de VLAN |
VLAN ID |
Subred VLAN y direcciones IP disponibles |
Descripción de VLAN |
|---|---|---|---|
|
|
|
VLAN de voz utilizada para el tráfico VoIP de los empleados |
|
|
|
PCs independientes de VLAN, PC conectadas a la red a través del hub en teléfonos VoIP, puntos de acceso inalámbricos e impresoras. Esta VLAN incluye completamente la VLAN de voz. Se deben configurar dos VLAN |
|
|
|
VLAN para dispositivos de datos de invitados (PC). El escenario supone que la corporación tiene un área abierta a los visitantes, ya sea en el vestíbulo o en una sala de conferencias, que tiene un hub al cual los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su empresa. |
|
|
|
VLAN para las cámaras de seguridad corporativas. |
Los puertos de los conmutadores de la serie EX admiten alimentación por Ethernet (PoE) para proporcionar conectividad de red y alimentación para teléfonos VoIP que se conectan a los puertos. Tabla 3 muestra los puertos de conmutación asignados a las VLAN y las direcciones IP y MAC para los dispositivos conectados a los puertos de conmutación:
Número de conmutador y puerto |
Membresía de VLAN |
Direcciones IP y MAC |
Dispositivos de puerto |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Direcciones IP: Direcciones MAC: |
Dos teléfonos VoIP, cada uno conectado a una PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Impresora, puntos de acceso inalámbricos |
ge-0/0/4, ge-0/0/5 |
|
|
Dos concentradores en los que los visitantes pueden conectar sus PC. Los hubs se encuentran en un área abierta a los visitantes, como un vestíbulo o una sala de conferencias |
ge-0/0/6, ge-0/0/7 |
|
|
Dos cámaras de seguridad |
ge-0/0/9 |
|
Dirección IP: Dirección MAC: |
Dispositivo gatekeeper. El guardián administra el registro de llamadas, la admisión y el estado de las llamadas para teléfonos VoIP. |
ge-0/1/0 |
Dirección IP: |
conexión de capa 3 a un enrutador; tenga en cuenta que este es un puerto en el módulo de enlace ascendente del conmutador |
Configurar un filtro de firewall de puerto de entrada para priorizar el tráfico de voz y el tráfico TCP e ICMP de límite de velocidad
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN e enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar y aplicar rápidamente un filtro de firewall de puerto para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puerto para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan subred:
Defina los agentes de
tcp-connection-policerpolíticas yicmp-connection-policer:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Defina el filtro
ingress-port-voip-class-limit-tcp-icmpde firewall:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Defina el término
voip-high:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Defina el término
network-control:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Defina el término
tcp-connectionpara configurar límites de velocidad para el tráfico TCP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Defina el término
icmp-connectionpara configurar límites de velocidad para el tráfico ICMP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Defina el término
best-effortsin condiciones de coincidencia para una coincidencia implícita en todos los paquetes que no coincidan con ningún otro término en el filtro de firewall:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Aplique el filtro
ingress-port-voip-class-limit-tcp-icmpde firewall como filtro de entrada a las interfaces de puerto paraemployee-vlan:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configure los parámetros deseados para los distintos programadores.
Nota:Cuando configure parámetros para los programadores, defina los números para que coincidan con los patrones de tráfico de red.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Asigne las clases de reenvío a los programadores con un mapa de programador:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Asocie el mapa del programador con la interfaz de salida:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Configurar un filtro de firewall de entrada VLAN para evitar que los dispositivos no autorizados interrumpan el tráfico de VoIP
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN e enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall VLAN para voice-vlan evitar que los dispositivos no autorizados usen sesiones HTTP para imitar el dispositivo gatekeeper que administra el tráfico de VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Procedimiento paso a paso
Para configurar y aplicar un filtro voice-vlan de firewall VLAN para evitar que dispositivos no autorizados usen HTTP para imitar el dispositivo guardián de puertas que administra el tráfico de VoIP:
Defina el filtro
ingress-vlan-rogue-blockde firewall para especificar que coincida con el tráfico que desea permitir y restringir:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Defina el término
to-gatekeeperpara aceptar paquetes que coincidan con la dirección IP de destino del guardián:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Defina el término
from-gatekeeperpara aceptar paquetes que coincidan con la dirección IP de origen del guardián:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Defina el término
not-gatekeeperpara garantizar que todovoice-vlanel tráfico en los puertos TCP esté destinado al dispositivo guardián de puertas:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Aplique el filtro
ingress-vlan-rogue-blockde firewall como filtro de entrada a la interfaz VLAN para los teléfonos VoIP:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Configurar un filtro de firewall de VLAN para contar, monitorear y analizar el tráfico de salida en la VLAN del empleado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN e enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Se configura un filtro de firewall y se aplica a las interfaces de VLAN para filtrar employee-vlan el tráfico de salida. El tráfico de empleados destinado a la subred corporativa se acepta, pero no se monitorea. El tráfico de empleados destinado a la Web se cuenta y analiza.
Para configurar y aplicar rápidamente un filtro de firewall VLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puerto de salida para contar y analizar employee-vlan el tráfico destinado a la Web:
Defina el filtro
egress-vlan-watch-employeede firewall:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Defina el término
employee-to-corppara aceptar, pero no supervisar, todoemployee-vlanel tráfico destinado a la subred corporativa:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Defina el término
employee-to-webpara contar y monitoree todoemployee-vlanel tráfico destinado a la Web:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Nota:Vea el ejemplo: Configurar la duplicación de puertos para la supervisión local del uso de recursos de los empleados en conmutadores de la serie EX para obtener información acerca de la configuración del
employee-monitoranalizador.Aplique el filtro
egress-vlan-watch-employeede firewall como filtro de salida a las interfaces de puerto para los teléfonos VoIP:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Configuración de un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones par a par en la VLAN de invitado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN e enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
En el siguiente ejemplo, el primer término de filtro permite que los invitados hablen con otros invitados, pero no con los empleados en employee-vlan. El segundo término de filtro permite a los invitados el acceso web, pero les impide usar aplicaciones par a par en guest-vlan.
Para configurar rápidamente un filtro de firewall VLAN para restringir el tráfico de invitado a empleado, bloquear que los invitados hablen con empleados o hosts de empleados en employee-vlan o intenten usar aplicaciones par a par en guest-vlan, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones par a par en guest-vlan:
Defina el filtro
ingress-vlan-limit-guestde firewall:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDefina el término
guest-to-guestpara permitir que los invitados en elguest-vlanpara hablar con otros invitados, pero no empleados en elemployee-vlan:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Defina el término
no-guest-employee-no-peer-to-peerpara permitir a los invitados enguest-vlanel acceso web, pero evite que usen aplicaciones par a par en laguest-vlan.Nota:La
destination-mac-addresses la puerta de enlace predeterminada, que para cualquier host en una VLAN es el enrutador del salto siguiente.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Aplique el filtro
ingress-vlan-limit-guestde firewall como filtro de entrada a la interfaz paraguest-vlan:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Configurar un filtro de firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN e enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall para un puerto enrutado (módulo de enlace ascendente de capa 3) para filtrar employee-vlan el tráfico y dar la máxima prioridad de clase de reenvío al tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall a un puerto enrutado (módulo de enlace ascendente de capa 3) para dar la máxima prioridad al tráfico destinado a employee-vlan la subred corporativa:
Defina el filtro
egress-router-corp-classde firewall:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Defina el término
corp-expedite:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Defina el término
not-to-corp:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Aplique el filtro
egress-router-corp-classde firewall como filtro de salida para el puerto del módulo de enlace ascendente del conmutador, que proporciona una conexión de capa 3 a un enrutador:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Resultados
Mostrar los resultados de la configuración:
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Verificación
Para confirmar que los filtros de firewall funcionen correctamente, realice las siguientes tareas:
- Verificar que los filtros y los policías de firewall estén operativos
- Verificar que los programadores y los mapas de programadores estén operativos
Verificar que los filtros y los policías de firewall estén operativos
Propósito
Compruebe el estado operativo de los filtros y policias de firewall configurados en el conmutador.
Acción
Utilice el comando de modo operativo:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Significado
El show firewall comando muestra los nombres de los filtros de firewall, los agentes de políticas y los contadores configurados en el conmutador. Los campos de salida muestran los recuentos de bytes y paquetes para todos los contadores configurados, y el recuento de paquetes para todos los agentes de políticas.
Verificar que los programadores y los mapas de programadores estén operativos
Propósito
Verifique que los programadores y los mapas de programadores estén operativos en el conmutador.
Acción
Utilice el comando de modo operativo:
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Significado
Muestra estadísticas sobre los programadores y los mapas de programadores configurados.