EN ESTA PÁGINA
Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX
En este ejemplo se muestra cómo configurar y aplicar filtros de firewall para controlar el tráfico que entra o sale de un puerto del conmutador, una VLAN de la red y una interfaz de capa 3 del conmutador. Los filtros de firewall definen las reglas que determinan si se deben reenviar o denegar paquetes en puntos de procesamiento específicos del flujo de paquetes.
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Junos OS versión 9.0 o posterior para conmutadores de la serie EX.
Dos conmutadores EX3200-48T de Juniper Networks: uno para ser utilizado como un conmutador de acceso, el otro para ser utilizado como un conmutador de distribución
Un módulo de enlace ascendente EX-UM-4SFP de Juniper Networks
Un enrutador de la serie J de Juniper Networks
Antes de configurar y aplicar los filtros de firewall en este ejemplo, asegúrese de tener:
Una comprensión de los conceptos de filtro de firewall, los aplicadores de políticas y CoS
Se instaló el módulo de enlace ascendente en el conmutador de distribución. Consulte Instalación de un módulo de enlace ascendente en un conmutador EX3200.
Descripción general
En este ejemplo de configuración, se muestra cómo configurar y aplicar filtros de firewall para proporcionar reglas que permitan evaluar el contenido de los paquetes y determinar cuándo descartar, reenviar, clasificar, contar y analizar paquetes destinados o que se originan en los conmutadores de la serie EX que controlan todo voice-vlan
el tráfico Tabla 1 , employee-vlan
y guest-vlan
. muestra los filtros de firewall configurados para los conmutadores de la serie EX en este ejemplo.
Componente | Propósito/Descripción |
---|---|
Filtro de firewall de puertos, |
Este filtro de firewall realiza dos funciones:
Este filtro de firewall se aplica a las interfaces de puerto en el conmutador de acceso. |
Filtro de firewall VLAN, |
Evita que los dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo guardián que administra el registro de llamadas, la admisión y el estado de las llamadas VoIP. Solo se deben usar puertos TCP o UDP; y solo el guardián usa HTTP. Es decir, todo Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall VLAN, |
Acepta Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall VLAN, |
Impide que los invitados (que no son empleados) hablen con los empleados o los anfitriones de los empleados en Este filtro de firewall se aplica a las interfaces VLAN en el conmutador de acceso. |
Filtro de firewall del enrutador, |
Prioriza el Este filtro de firewall se aplica a un puerto enrutado (módulo de enlace ascendente de capa 3) en el conmutador de distribución. |
Figura 1 muestra la aplicación de filtros de firewall enrutado de puerto, VLAN y capa 3 en el conmutador.
Topología de red
La topología de este ejemplo de configuración consta de un conmutador EX-3200-48T en la capa de acceso y un conmutador EX-3200-48T en la capa de distribución. El módulo de enlace ascendente del conmutador de distribución está configurado para admitir una conexión de capa 3 con un enrutador de la serie J.
Los conmutadores de la serie EX están configurados para admitir la membresía VLAN. Tabla 2 muestra los componentes de configuración de VLAN para las VLAN.
Nombre de VLAN |
VLAN ID |
Subred VLAN y direcciones IP disponibles |
Descripción de VLAN |
---|---|---|---|
|
|
|
VLAN de voz utilizada para el tráfico VoIP de los empleados |
|
|
|
PC independientes VLAN, PC conectados a la red a través del concentrador en teléfonos VoIP, puntos de acceso inalámbricos e impresoras. Esta VLAN incluye completamente la VLAN de voz. Se deben configurar dos VLAN |
|
|
|
VLAN para dispositivos de datos (PC) de invitados. El escenario supone que la corporación tiene un área abierta a los visitantes, ya sea en el vestíbulo o en una sala de conferencias, que tiene un concentrador al que los visitantes pueden conectar sus PC para conectarse a la Web y a la VPN de su empresa. |
|
|
|
VLAN para las cámaras de seguridad corporativas. |
Los puertos de los conmutadores de la serie EX admiten alimentación por Ethernet (PoE) para proporcionar conectividad de red y alimentación para teléfonos VoIP que se conectan a los puertos. Tabla 3 muestra los puertos del conmutador asignados a las VLAN y las direcciones IP y MAC de los dispositivos conectados a los puertos del conmutador:
Número de conmutador y puerto |
Membresía de VLAN |
Direcciones IP y MAC |
Dispositivos portuarios |
---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Direcciones IP: Direcciones MAC: |
Dos teléfonos VoIP, cada uno conectado a una PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Impresora, puntos de acceso inalámbricos |
ge-0/0/4, ge-0/0/5 |
|
|
Dos hubs en los que los visitantes pueden conectar sus PCs. Los centros están ubicados en un área abierta a los visitantes, como un vestíbulo o una sala de conferencias |
ge-0/0/6, ge-0/0/7 |
|
|
Dos cámaras de seguridad |
ge-0/0/9 |
|
Dirección IP: Dirección MAC: |
Dispositivo Gatekeeper. El guardián gestiona el registro de llamadas, la admisión y el estado de las llamadas para los teléfonos VoIP. |
ge-0/1/0 |
Dirección IP: |
Conexión de capa 3 a un enrutador; Tenga en cuenta que se trata de un puerto del módulo de vínculo ascendente del conmutador |
Configuración de un filtro de firewall del puerto de entrada para priorizar el tráfico de voz y limitar la velocidad del tráfico TCP e ICMP
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar y aplicar rápidamente un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan
subred, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer tcp-connection-policer then discard set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer icmp-connection-policer then discard set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set class-of-service schedulers voice-high buffer-size percent 15 set class-of-service schedulers voice-high priority high set class-of-service schedulers net-control buffer-size percent 10 set class-of-service schedulers net-control priority high set class-of-service schedulers best-effort buffer-size percent 75 set class-of-service schedulers best-effort priority low set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puertos para priorizar el tráfico de voz y los paquetes de límite de velocidad destinados a la employee-vlan
subred:
Defina los aplicadores
tcp-connection-policer
yicmp-connection-policer
:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Defina el filtro
ingress-port-voip-class-limit-tcp-icmp
del firewall:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Defina el término
voip-high
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Defina el término
network-control
:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Defina el término
tcp-connection
para configurar los límites de velocidad para el tráfico TCP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Defina el término
icmp-connection
para configurar los límites de velocidad para el tráfico ICMP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Defina el término
best-effort
sin condiciones de coincidencia para una coincidencia implícita en todos los paquetes que no coincidan con ningún otro término del filtro de firewall:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Aplique el filtro
ingress-port-voip-class-limit-tcp-icmp
de firewall como filtro de entrada a las interfaces de puerto paraemployee-vlan
:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configure los parámetros que se deseen para los diferentes programadores.
Nota:Cuando configure parámetros para los programadores, defina los números para que coincidan con sus patrones de tráfico de red.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Asigne las clases de reenvío a los programadores con una asignación de programador:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Asocie el mapa del programador con la interfaz de salida:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Resultados
Mostrar los resultados de la configuración:
user@switch# show firewall { policer tcp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } policer icmp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } family ethernet-switching { filter ingress-port-voip-class-limit-tcp-icmp { term voip-high { from { destination-mac-address 00.00.5E.00.53.01; destination-mac-address 00.00.5E.00.53.02; protocol udp; } then { forwarding-class expedited-forwarding; loss-priority low; } } term network-control { from { precedence net-control ; } then { forwarding-class network-control; loss-priority low; } } term tcp-connection { from { destination-address 192.0.2.16/28; protocol tcp; } then { policer tcp-connection-policer; count tcp-counter; forwarding-class best-effort; loss-priority high; } } term icmp-connection from { protocol icmp; } then { policer icmp-connection-policer; count icmp-counter; forwarding-class best-effort; loss-priority high; } } term best-effort { then { forwarding-class best-effort; loss-priority high; } } } } } interfaces { ge-0/0/0 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } ge-0/0/1 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } } scheduler-maps { ethernet-diffsrv-cos-map { forwarding-class expedited-forwarding scheduler voice-high; forwarding-class network-control scheduler net-control; forwarding-class best-effort scheduler best-effort; } } interfaces { ge/0/1/0 { scheduler-map ethernet-diffsrv-cos-map; } }
Configuración de un filtro de firewall de entrada de VLAN para evitar que dispositivos no autorizados interrumpan el tráfico de VoIP
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall VLAN para voice-vlan
evitar que dispositivos no autorizados utilicen sesiones HTTP para imitar al dispositivo gatekeeper que administra el tráfico VoIP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard set vlans voice-vlan description "block rogue devices on voice-vlan" set vlans voice-vlan filter input ingress-vlan-rogue-block
Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall VLAN para voice-vlan
evitar que dispositivos no autorizados utilicen HTTP para imitar al dispositivo guardián que administra el tráfico VoIP:
Defina el filtro
ingress-vlan-rogue-block
de firewall para especificar la coincidencia de filtros en el tráfico que desea permitir y restringir:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Defina el término
to-gatekeeper
para aceptar paquetes que coincidan con la dirección IP de destino del guardián:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Defina el término
from-gatekeeper
para aceptar paquetes que coincidan con la dirección IP de origen del guardián:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Defina el término
not-gatekeeper
para asegurarse de que todovoice-vlan
el tráfico en los puertos TCP está destinado al dispositivo gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Aplique el filtro
ingress-vlan-rogue-block
de firewall como filtro de entrada a la interfaz VLAN para los teléfonos VoIP:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Resultados
Mostrar los resultados de la configuración:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-rogue-block { term to-gatekeeper { from { destination-address 192.0.2.14/32 destination-port 80; } then { accept; } } term from-gatekeeper { from { source-address 192.0.2.14/32 source-port 80; } then { accept; } } term not-gatekeeper { from { destination-port 80; } then { count rogue-counter; discard; } } } vlans { voice-vlan { description "block rogue devices on voice-vlan"; filter { input ingress-vlan-rogue-block; } } }
Configuración de un filtro de firewall VLAN para contar, monitorear y analizar el tráfico de salida en la VLAN del empleado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Se configura un filtro de firewall y se aplica a las interfaces VLAN para filtrar employee-vlan
el tráfico de salida. El tráfico de empleados destinado a la subred corporativa se acepta, pero no se supervisa. Se cuenta y analiza el tráfico de empleados destinado a la Web.
Para configurar y aplicar rápidamente un filtro de firewall VLAN, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" set vlans employee-vlan filter output egress-vlan-watch-employee
Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall de puerto de salida para contar y analizar employee-vlan
el tráfico destinado a la Web:
Defina el filtro
egress-vlan-watch-employee
del firewall:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Defina el término
employee-to-corp
para aceptar, pero no supervisar, todoemployee-vlan
el tráfico destinado a la subred corporativa:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Defina el término
employee-to-web
para contar y monitorear todoemployee-vlan
el tráfico destinado a la Web:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Nota:Consulte Ejemplo: Configuración de la creación de reflejo de puertos para la supervisión local del uso de recursos de los empleados en los conmutadores de la serie EX para obtener información acerca de la configuración del
employee-monitor
analizador.Aplique el filtro
egress-vlan-watch-employee
de firewall como filtro de salida a las interfaces de puerto para los teléfonos VoIP:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Resultados
Mostrar los resultados de la configuración:
user@switch# show firewall { family ethernet-switching { filter egress-vlan-watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/28 } then { accept; } } term employee-to-web { from { destination-port 80; } then { count employee-web-counter: analyzer employee-monitor; } } } } } vlans { employee-vlan { description "filter at egress VLAN to count and analyze employee to Web traffic"; filter { output egress-vlan-watch-employee; } } }
Configuración de un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en la VLAN de invitado
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
En el ejemplo siguiente, el primer término de filtro permite a los invitados hablar con otros huéspedes, pero no con los empleados de employee-vlan
. El segundo término de filtro permite a los invitados acceder a la Web, pero les impide utilizar aplicaciones punto a punto en guest-vlan
.
Para configurar rápidamente un filtro de firewall VLAN para restringir el tráfico de invitado a empleado, bloqueando a los invitados para que no hablen con los empleados o los anfitriones de los empleados o employee-vlan
intenten utilizar aplicaciones punto a punto en guest-vlan
, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28 set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall VLAN para restringir el tráfico de invitado a empleado y las aplicaciones punto a punto en guest-vlan
:
Defina el filtro
ingress-vlan-limit-guest
del firewall:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guest
Defina el término
guest-to-guest
para permitir que los invitados hablen conguest-vlan
otros huéspedes pero no con los empleados en elemployee-vlan
:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Defina el término
no-guest-employee-no-peer-to-peer
para permitir el acceso a los invitados enguest-vlan
Web, pero evitar que utilicen aplicaciones punto a punto en elguest-vlan
.Nota:El
destination-mac-address
es la puerta de enlace predeterminada, que para cualquier host en una VLAN es el enrutador del próximo salto.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Aplique el filtro
ingress-vlan-limit-guest
de firewall como filtro de entrada a la interfaz paraguest-vlan
:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Resultados
Mostrar los resultados de la configuración:
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-limit-guest { term guest-to-guest { from { destination-address 192.0.2.33/28; } then { accept; } } term no-guest-employee-no-peer-to-peer { from { destination-mac-address 00.05.5E.00.00.DF; } then { accept; } } } } } vlans { guest-vlan { description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"; filter { input ingress-vlan-limit-guest; } } }
Configuración de un filtro de firewall de enrutador para dar prioridad al tráfico de salida destinado a la subred corporativa
Para configurar y aplicar filtros de firewall para interfaces de puerto, VLAN y enrutador, realice estas tareas:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall para un puerto enrutado (módulo de enlace ascendente de capa 3) para filtrar employee-vlan
el tráfico, dando la máxima prioridad de clase de reenvío al tráfico destinado a la subred corporativa, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low set firewall family inet filter egress-router-corp-class term not-to-corp then accept set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network" set ge-0/1/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Procedimiento paso a paso
Para configurar y aplicar un filtro de firewall a un puerto enrutado (módulo de vínculo ascendente de capa 3) para dar la máxima prioridad al employee-vlan
tráfico destinado a la subred corporativa:
Defina el filtro
egress-router-corp-class
del firewall:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Defina el término
corp-expedite
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Defina el término
not-to-corp
:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Aplique el filtro
egress-router-corp-class
de firewall como filtro de salida para el puerto del módulo de enlace ascendente del conmutador, que proporciona una conexión de capa 3 a un enrutador:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Resultados
Mostrar los resultados de la configuración:
user@switch# show firewall { family inet { filter egress-router-corp-class { term corp-expedite { from { destination-address 192.0.2.16/28; } then { forwarding-class expedited-forwarding; loss-priority low; } } term not-to-corp { then { accept; } } } } } interfaces { ge-0/1/0 { unit 0 { description "filter at egress router interface to expedite employee traffic destined for corporate network"; family inet { source-address 203.0.113.0 filter { output egress-router-corp-class; } } } } }
Verificación
Para confirmar que los filtros del firewall funcionan correctamente, realice las siguientes tareas:
- Comprobación de que los filtros y las políticas de firewall estén operativos
- Verificar que los programadores y los mapas del programador estén operativos
Comprobación de que los filtros y las políticas de firewall estén operativos
Propósito
Compruebe el estado operativo de los filtros y políticas de firewall configurados en el conmutador.
Acción
Utilice el comando del modo operativo:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Significado
El show firewall
comando muestra los nombres de los filtros, políticas y contadores de firewall configurados en el conmutador. Los campos de salida muestran los recuentos de bytes y paquetes para todos los contadores configurados y el recuento de paquetes para todos los aplicadores de políticas.
Verificar que los programadores y los mapas del programador estén operativos
Propósito
Verifique que los programadores y los mapas del programador estén operativos en el conmutador.
Acción
Utilice el comando del modo operativo:
user@switch> show class-of-service scheduler-map Scheduler map: default, Index: 2 Scheduler: default-be, Forwarding class: best-effort, Index: 20 Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profile Scheduler: default-nc, Forwarding class: network-control, Index: 22 Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657 Scheduler: best-effort, Forwarding class: best-effort, Index: 61257 Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123 Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: net-control, Forwarding class: network-control, Index: 2451 Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile>
Significado
Muestra estadísticas sobre los programadores y los mapas de programadores configurados.