Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros de firewall (procedimiento de CLI)

Configure filtros de firewall en conmutadores de la serie EX para controlar el tráfico que entra en los puertos del conmutador o entra y sale de las VLAN en las interfaces de red y de capa 3 (enrutadas). Para configurar un filtro de firewall, debe configurar el filtro y, luego, aplicarlo a una interfaz de puerto, VLAN o capa 3.

Configuración de un filtro de firewall

Antes de poder aplicar un filtro de firewall a una interfaz de puerto, VLAN o capa 3, debe configurar un filtro de firewall con los detalles necesarios, como el tipo de familia para el filtro de firewall, el nombre del filtro de firewall y las condiciones de coincidencia. Una condición de coincidencia en la configuración del filtro de firewall puede contener varios términos que definen los criterios para la condición de coincidencia. Para cada término, debe especificar una acción que se realizará si un paquete coincide con las condiciones del término. Para obtener información sobre diferentes condiciones y acciones de coincidencia, consulte Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX.

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia para el filtro de firewall:
    • Para un filtro de firewall que se aplique a un puerto o VLAN, especifique el tipo ethernet-switching de dirección de familia para filtrar paquetes de capa 2 (Ethernet) y paquetes de capa 3 (IP), por ejemplo:

    • Para un filtro de firewall que se aplica a una interfaz de capa 3 (enrutada):

      • Para filtrar paquetes IPv4, especifique el tipo inetde dirección de familia, por ejemplo:

      • Para filtrar paquetes IPv6, especifique el tipo inet6de dirección de familia, por ejemplo:

      Nota:

      Puede configurar filtros de firewall para tráfico IPv4 e IPv6 en la misma interfaz de capa 3.

  2. Especifique el nombre del filtro:

    El nombre del filtro puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres. Cada nombre de filtro debe ser único.

  3. Si desea aplicar un filtro de firewall a varias interfaces y nombrar contadores de firewall individuales específicos para cada interfaz, configure la interface-specific opción:
  4. Especifique un nombre de término:

    El nombre del término puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres.

    Un filtro de firewall puede contener uno o más términos. Cada nombre de término debe ser único dentro de un filtro.

    Nota:

    El número máximo de términos permitidos por filtro de firewall para conmutadores de la serie EX es:

    • 512 para conmutadores EX2200

    • 1436 para conmutadores EX3300

      Nota:

      En los conmutadores EX3300, si agrega y elimina filtros con un gran número de términos (en el orden de 1000 o más) en la misma operación de confirmación, no todos los filtros están instalados. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

    • 7168 para conmutadores EX3200 y EX4200

    • En los conmutadores EX4300, a continuación se muestran la cantidad de términos admitidos para el tráfico de entrada y salida, para los filers de firewall configurados en una interfaz de puerto, VLAN y capa 3:

      • Para el tráfico de entrada:

        • 3500 términos para filtros de firewall configurados en un puerto

        • 3500 términos para filtros de firewall configurados en una VLAN

        • 7000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 3500 términos para filers de firewall configurados en interfaces de capa 3 para tráfico IPv6

      • Para el tráfico de salida:

        • 512 términos para filtros de firewall configurados en un puerto

        • 256 términos para filtros de firewall configurados en una VLAN

        • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 512 términos para filers de firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      Solo puede configurar estos términos máximos cuando configure un tipo de filtro de firewall (filtro de firewall de puerto, VLAN o enrutador (capa 3) en el conmutador, y cuando el control de tormentas no está habilitado en todas las interfaces del conmutador.

    • 1200 para conmutadores EX4500 y EX4550

    • 1400 para conmutadores EX6200

    • 32 768 para conmutadores EX8200

    Si intenta configurar un filtro de firewall que supere estos límites, el conmutador devuelve un mensaje de error cuando confirma la configuración.

  5. Para cada término de filtro de firewall, especifique las condiciones de coincidencia que desea incluir. En el ejemplo siguiente se muestra cómo hacer coincidir paquetes de una dirección IP y un puerto determinados:

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término.

    La from instrucción es opcional, pero si se incluye en un término, la from instrucción no puede estar vacía. Si omite la from instrucción, todos los paquetes se consideran coincidentes.

  6. Para cada término de filtro de firewall, especifique la acción que debe realizar si el paquete coincide con todas las condiciones de ese término.

    Puede especificar una acción o modificadores de acción:

    • Para especificar una acción de filtro, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      No puede especificar más de una acción por término de filtro.

    • Para especificar un modificador de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      En una then instrucción, puede especificar los siguientes modificadores de acción:

      • analyzer analyzer-name— Duplicación del tráfico de puerto a un puerto de destino o VLAN especificado que está conectado a una aplicación de analizador de protocolos. Debe analyzer configurarse una en el tipo de dirección de ethernet-switching familia. Consulte Configurar la duplicación de puertos para analizar el tráfico (procedimiento de CLI).

      • count counter-name: cuente la cantidad de paquetes que pasan este término de filtro.

        Nota:

        Recomendamos que configure un contador para cada término en un filtro de firewall, de modo que pueda supervisar el número de paquetes que coincidan con las condiciones especificadas en cada término de filtro.

      • forwarding-class class: clasifique los paquetes en una clase de reenvío.

      • loss-priority priority: establezca la prioridad para soltar un paquete.

      • policer policer-name: aplique la limitación de velocidad al tráfico.

      • interface interface-name: reenvía el tráfico a la interfaz especificada, evitando la búsqueda de conmutación.

      • log: registre la información de encabezado del paquete en el motor de enrutamiento.

    Si omite la then instrucción o no especifica una acción, se aceptan paquetes que coincidan con todas las condiciones de la from instrucción. Sin embargo, siempre debe configurar explícitamente un modificador de acción o acción en la then instrucción. No puede incluir más de una acción, pero puede usar cualquier combinación de modificadores de acción. Para que un modificador de acción o acción surtan efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    El descarte implícito también se aplica a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

    En los conmutadores Ethernet EX8200 de Juniper Networks, si se configura una acción implícita o explícita discard en una interfaz de circuito cerrado para tráfico IPv4, se aceptan paquetes de resolución de salto siguiente y se les permite pasar por el conmutador. Sin embargo, para el tráfico IPv6, debe configurar explícitamente una regla para permitir que los paquetes de resolución IPv6 del próximo salto pasen por el conmutador.

Configuración de un término específicamente para tráfico IPv4 o IPv6

Para configurar un término en una configuración de filtro de firewall específicamente para el tráfico IPv4:

  1. Compruebe que ni ether-type ipv6ip-version ipv6 se especifica ni en el término en la configuración. De forma predeterminada, una configuración que no contiene ni ether-type ipv6ip-version ipv6 en un término se aplica al tráfico IPv4.
  2. (Opcional) Realice una de estas tareas:
    • Definir ether-type ipv4 en un término en la configuración.

    • Definir ip-version ipv4 en un término en la configuración.

    • Defina tanto como ether-type ipv4ip-version ipv4 en un término en la configuración.

    • Compruebe que ni ether-type ipv6ip-version ipv6 se especifica ni se especifica en un término en la configuración: de forma predeterminada, una configuración que no contiene ni ether-type ipv6ip-version ipv6 en un término se aplica al tráfico IPv4 si no contiene ether-type ipv6 o ip-version ipv6.

  3. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv4.

Para configurar un término en una configuración de filtro de firewall específicamente para el tráfico IPv6:

  1. Realice una de estas tareas:

    • Definir ether-type ipv6 en un término en la configuración.

    • Definir ip-version ipv6 en un término en la configuración.

    • Defina tanto como ether-type ipv6ip-version ipv4 en un término en la configuración.

      Nota:

      De forma predeterminada, una configuración que no contiene ni ether-type ipv6ip-version ipv6 en un término se aplica al tráfico IPv4.

  2. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv6.

Nota:

Si el término contiene cualquiera de las condiciones ether-type ipv6 de coincidencia o ip-version ipv6, sin ninguna otra condición de coincidencia IPv6 especificada, se hace coincidir todo el tráfico IPv6.

Nota:

Para configurar un filtro de firewall para tráfico IPv4 e IPv6, debe incluir dos términos independientes, uno para el tráfico IPv4 y el otro para el tráfico IPv6.

Aplicación de un filtro de firewall a un puerto en un conmutador

Puede aplicar un filtro de firewall a un puerto de un conmutador para filtrar el tráfico de entrada o salida del conmutador. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a un puerto para filtrar el tráfico de entrada o salida:

Nota:

Para aplicar un filtro de firewall a una interfaz de administración, consulte Aplicación de un filtro de firewall a una interfaz de administración en un conmutador

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz:

    Para los filtros de firewall que se aplican a los puertos, el tipo de dirección de familia debe ser ethernet-switching.

  3. Para aplicar un filtro de firewall para filtrar paquetes que ingresan a un puerto:

    Para aplicar un filtro de firewall para filtrar paquetes que salen de un puerto:

    Nota:

    No puede aplicar más de un filtro de firewall por puerto y dirección.

Aplicación de un filtro de firewall a una interfaz de administración en un conmutador

Puede configurar y aplicar un filtro de firewall a una interfaz de administración para controlar el tráfico que entra o sale de la interfaz en un conmutador. Puede usar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, luego, usar protocolos de administración como SNMP para recopilar datos estadísticos del conmutador. De manera similar a configurar un filtro de firewall en otros tipos de interfaces, puede configurar un filtro de firewall en una interfaz de administración mediante cualquier condición de coincidencia, acción y modificador de acción especificado en condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX , excepto para los siguientes modificadores de acción:

  • loss-priority

  • forwarding-class

Puede aplicar un filtro de firewall a la interfaz Ethernet de administración en cualquier conmutador de la serie EX. También puede aplicar un filtro de firewall a la interfaz de Ethernet de administración virtual (VME) en el conmutador EX4200. Para obtener más información sobre la interfaz Ethernet de administración y la interfaz VME, consulte Descripción general de interfaces para conmutadores.

Para aplicar un filtro de firewall en la interfaz de administración para filtrar el tráfico de entrada o salida:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz de administración:
    Nota:

    Para los filtros de firewall que se aplican a las interfaces de administración, el tipo de dirección de familia puede ser o inetinet6.

  3. Para aplicar un filtro de firewall para filtrar paquetes que ingresan a una interfaz de administración:

    Para aplicar un filtro de firewall para filtrar paquetes que salen de una interfaz de administración:

    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de administración, por dirección.

Aplicación de un filtro de firewall a una VLAN en una red

Puede aplicar un filtro de firewall a una VLAN de una red para filtrar el tráfico de entrada o salida de la red. Para aplicar un filtro de firewall a una VLAN, especifique el nombre y el ID de VLAN y, a continuación, aplique el filtro de firewall a la VLAN. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una VLAN:

  1. Especifique el nombre de VLAN y el ID de VLAN y proporcione una descripción significativa del filtro de firewall y la VLAN a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Aplique filtros de firewall para filtrar paquetes que ingresan o salen de la VLAN:
    • Para aplicar un filtro de firewall para filtrar paquetes que ingresan a la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall para filtrar paquetes que ingresan a la VLAN:

    • Para aplicar un filtro de firewall para filtrar paquetes que salen de la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall para filtrar paquetes que salen de la VLAN:

    Nota:

    No puede aplicar más de un filtro de firewall por VLAN y por dirección.

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a una interfaz de capa 3 (enrutada) para filtrar el tráfico de entrada o salida en el conmutador. Cuando configure el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una interfaz de capa 3 en un conmutador:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad, el tipo de dirección de familia y la dirección de la interfaz:

    Para los filtros de firewall aplicados a interfaces de capa 3, el tipo de dirección de familia debe ser inet (para tráfico IPv4) o inet6 (para tráfico IPv6).

  3. Puede aplicar filtros de firewall para filtrar paquetes que ingresan o salen de una interfaz de capa 3 (enrutada):
    • Para aplicar un filtro de firewall para filtrar paquetes que ingresan a una interfaz de capa 3:

    • Para aplicar un filtro de firewall para filtrar paquetes que salen de una interfaz de capa 3:

    Nota:

    Cuando se aplica un filtro a una interfaz IRB asociada con una VLAN dada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.

    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de capa 3, por dirección.