Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros de firewall (procedimiento de la CLI)

Los filtros de firewall se configuran en los conmutadores de la serie EX para controlar el tráfico que entra en los puertos del conmutador o que entra y sale de VLAN en la red y en las interfaces de capa 3 (enrutadas). Para configurar un filtro de firewall, debe configurar el filtro y, luego, aplicarlo a un puerto, VLAN o interfaz de capa 3.

Configuración de un filtro de firewall

Antes de poder aplicar un filtro de firewall a una interfaz de puerto, VLAN o capa 3, debe configurar un filtro de firewall con los detalles necesarios, como el tipo de familia para el filtro de firewall, el nombre del filtro de firewall y las condiciones de coincidencia. Una condición de coincidencia en la configuración del filtro de firewall puede contener varios términos que definen los criterios para la condición de coincidencia. Para cada término, debe especificar una acción que se llevará a cabo si un paquete coincide con las condiciones del término. Para obtener información sobre diferentes condiciones y acciones de coincidencia, consulte Condiciones de coincidencia, acciones y modificadores de acción del filtro de firewall para serie EX Conmutadores.

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia para el filtro de firewall:

    • Para un filtro de firewall que se aplica a un puerto o VLAN, especifique el tipo de dirección de familia Ethernet-switching para filtrar los paquetes de capa 2 (Ethernet) y los paquetes de capa 3 (IP), por ejemplo:

    • Para un filtro de firewall que se aplica a una interfaz de capa 3 (enrutada):

      • Para filtrar paquetes IPv4, especifique el tipo de dirección de familia inet, por ejemplo:

      • Para filtrar paquetes IPv6, especifique el tipo de dirección de familia inet6, por ejemplo:

      Nota:

      Puede configurar filtros de firewall para el tráfico IPv4 e IPv6 en la misma interfaz de capa 3.

  2. Especifique el nombre del filtro:

    El nombre del filtro puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres. Cada nombre de filtro debe ser único.

  3. Si desea aplicar un filtro de firewall a varias interfaces y asignar un nombre específico a los contadores de firewall de cada interfaz, configure la opción específica de la interfaz :
  4. Especifique un nombre de término:

    El término name puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres.

    Un filtro de firewall puede contener uno o más términos. El nombre de cada término debe ser único dentro de un filtro.

    Nota:

    La cantidad máxima de términos permitidos por filtro de firewall para conmutadores de la serie EX es:

    • En los conmutadores EX4300, a continuación se muestra la cantidad de términos admitidos para el tráfico de entrada y salida para archivadores de firewall configurados en un puerto, VLAN e interfaz de capa 3:

      • Para tráfico de entrada:

        • 3500 términos para filtros de firewall configurados en un puerto

        • 3500 términos para filtros de firewall configurados en una VLAN

        • 7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 3500 términos para archivadores de firewall configurados en interfaces de capa 3 para tráfico IPv6

      • Para tráfico de salida:

        • Términos 512 para filtros de firewall configurados en un puerto

        • 256 términos para filtros de firewall configurados en una VLAN

        • Términos 512 para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • Términos 512 para archivadores de firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      Puede configurar este número máximo de términos solo cuando configure un tipo de filtro de firewall (filtro de firewall de puerto, VLAN o enrutador (capa 3)) en el conmutador y cuando el control de tormentas no esté habilitado en todas las interfaces del conmutador.

    Si intenta configurar un filtro de firewall que supera estos límites, el conmutador devuelve un mensaje de error cuando confirma la configuración.
  5. Para cada término de filtro de firewall, especifique las condiciones de coincidencia que desea incluir. En el siguiente ejemplo, se muestra cómo hacer coincidir paquetes desde una dirección IP y un puerto dados:

    Puede especificar una o varias condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término.

    La from instrucción es opcional, pero si se incluye en un término, la from instrucción no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  6. Para cada término de filtro de firewall, especifique la acción que se debe realizar si el paquete cumple con todas las condiciones de ese término.

    Puede especificar una acción y/o modificadores de acción:

    • Para especificar una acción de filtro, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      No puede especificar más de una acción por término de filtro.

    • Para especificar un modificador de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      En una then instrucción, puede especificar los siguientes modificadores de acción:

      • analyzer-nameanalizador: duplicar el tráfico del puerto a un puerto de destino especificado o una VLAN que esté conectada a una aplicación de análisis de protocolos. Se debe configurar un analizador con el tipo de dirección de familia de conmutación Ethernet. Consulte Configuración de la duplicación de puertos para analizar tráfico (procedimiento de la CLI).

      • Recuento counter-name: cuente el número de paquetes que pasan este término de filtro.

        Nota:

        Se recomienda configurar un contador para cada término de un filtro de firewall, de modo que pueda supervisar el número de paquetes que coinciden con las condiciones especificadas en cada término de filtro.

      • clase classde envío: clasifica los paquetes en una clase de reenvío.

      • prioridad priorityde pérdida: establezca la prioridad para descartar un paquete.

      • policer-namepolicía—Aplicar limitación de velocidad al tráfico.

      • interfaz interface-name: reenvíe el tráfico a la interfaz especificada, sin pasar por la búsqueda de conmutación.

      • log: registre la información del encabezado del paquete en el motor de enrutamiento.

    Si omite la then instrucción o no especifica una acción, se aceptarán los paquetes que coincidan con todas las condiciones de la from instrucción. Sin embargo, siempre debe configurar explícitamente una acción o un modificador de acción en la then instrucción. No puede incluir más de una acción, pero puede usar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción surta efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    El descarte implícito también se aplica a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Configurar un término específicamente para el tráfico IPv4 o IPv6

Para configurar un término en una configuración de filtro de firewall específicamente para el tráfico IPv4:

  1. Compruebe que no se especifica ni ether-type ipv6 ip-version ipv6 en el término de la configuración. De forma predeterminada, una configuración que no contiene uno ether-type ipv6 o ip-version ipv6 en un término se aplica al tráfico IPv4.
  2. (Opcional) Realice una de estas tareas:

    • Defina ether-type ipv4 un término en la configuración.

    • Defina ip-version ipv4 un término en la configuración.

    • Defina ambos ether-type ipv4 y ip-version ipv4 en un término de la configuración.

    • Compruebe que no se especifica ni ether-type ipv6 ip-version ipv6 nor en un término de la configuración: de forma predeterminada, una configuración que no contiene either ether-type ipv6 or ip-version ipv6 en un término se aplica al tráfico IPv4 si no contiene ether-type ipv6 o ip-version ipv6.

  3. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv4.

Para configurar un término en una configuración de filtro de firewall específicamente para el tráfico IPv6:

  1. Realice una de estas tareas:

    • Defina ether-type ipv6 un término en la configuración.

    • Defina ip-version ipv6 un término en la configuración.

    • Defina ambos ether-type ipv6 y ip-version ipv4 en un término de la configuración.

      Nota:

      De forma predeterminada, una configuración que no contiene uno ether-type ipv6 o ip-version ipv6 en un término se aplica al tráfico IPv4.

  2. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv6.

Nota:

Si el término contiene cualquiera de las condiciones ether-type ipv6 de coincidencia o ip-version ipv6, sin ninguna otra condición de coincidencia IPv6 especificada, todo el tráfico IPv6 coincide.
Nota:

Para configurar un filtro de firewall para el tráfico IPv4 e IPv6, debe incluir dos términos distintos, uno para el tráfico IPv4 y el otro para el tráfico IPv6.

Aplicación de un filtro de firewall a un puerto de un conmutador

Puede aplicar un filtro de firewall a un puerto de un conmutador para filtrar el tráfico de entrada o salida en el conmutador. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para serie EX Conmutadores. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a un puerto para filtrar el tráfico de entrada o salida:

Nota:

Para aplicar un filtro de firewall a una interfaz de administración, consulte Aplicación de un filtro de firewall a una interfaz de administración en un conmutador
  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.
  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz:

    Para los filtros de firewall que se aplican a puertos, el tipo de dirección de familia debe ser conmutación Ethernet.

  3. Para aplicar un filtro de firewall a los paquetes de filtro que entran en un puerto:

    Para aplicar un filtro de firewall a los paquetes que salen de un puerto:

    Nota:

    No puede aplicar más de un filtro de firewall por puerto y por dirección.

Aplicación de un filtro de firewall a una interfaz de administración en un conmutador

Puede configurar y aplicar un filtro de firewall a una interfaz de administración para controlar el tráfico que entra o sale de la interfaz en un conmutador. Puede usar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, luego, usar protocolos de administración como SNMP para recopilar datos estadísticos del conmutador. De manera similar a la configuración de un filtro de firewall en otros tipos de interfaces, puede configurar un filtro de firewall en una interfaz de administración mediante cualquier condición de coincidencia, acción y modificador de acción especificados en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX, excepto por los siguientes modificadores de acción:

  • prioridad de pérdida

  • clase de envío

Puede aplicar un filtro de firewall a la interfaz Ethernet de administración en cualquier conmutador de la serie EX. Para obtener más información acerca de la interfaz Ethernet de administración, consulte Descripción general de interfaces para conmutadores.

Para aplicar un filtro de firewall en la interfaz de administración para filtrar el tráfico de entrada o salida:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.
  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz de administración:
    Nota:

    En el caso de los filtros de firewall que se aplican a las interfaces de administración, el tipo de dirección de familia puede ser inet o inet6.
  3. Para aplicar un filtro de firewall a los paquetes de filtro que entran en una interfaz de administración:

    Para aplicar un filtro de firewall a paquetes de filtro que salen de una interfaz de administración:

    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de administración y por dirección.

Aplicación de un filtro de firewall a una VLAN en una red

Puede aplicar un filtro de firewall a una VLAN en una red para filtrar el tráfico de entrada o salida en la red. Para aplicar un filtro de firewall a una VLAN, especifique el nombre y el ID de VLAN y, luego, aplique el filtro de firewall a la VLAN. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para serie EX Conmutadores. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una VLAN:

  1. Especifique el nombre y el ID de VLAN, y proporcione una descripción significativa del filtro de firewall y la VLAN a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.
  2. Aplique filtros de firewall para filtrar los paquetes que entran o salen de la VLAN:

    • Para aplicar un filtro de firewall a los paquetes que entran en la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall a los paquetes que entran en la VLAN:

    • Para aplicar un filtro de firewall a los paquetes que salen de la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall a los paquetes que salen de la VLAN:

    Nota:

    No puede aplicar más de un filtro de firewall por VLAN y por dirección.

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a una interfaz de capa 3 (enrutada) para filtrar el tráfico de entrada o salida en el conmutador. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para serie EX Conmutadores. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una interfaz de capa 3 en un conmutador:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.
  2. Especifique el número de unidad, el tipo de dirección de familia y la dirección de la interfaz:

    Para los filtros de firewall aplicados a interfaces de capa 3, el tipo de dirección de familia debe ser inet (para tráfico IPv4) o inet6 (para tráfico IPv6).

  3. Puede aplicar filtros de firewall a los paquetes de filtro que entran o salen de una interfaz de capa 3 (enrutada):

    • Para aplicar un filtro de firewall a los paquetes de filtro que entran en una interfaz de capa 3:

    • Para aplicar un filtro de firewall a paquetes de filtro que salen de una interfaz de capa 3:

    Nota:

    Cuando se aplica un filtro a una interfaz IRB asociada con una VLAN dada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.
    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de capa 3 y por dirección.

Documentación relacionada