EN ESTA PÁGINA
Configuración de filtros de firewall (procedimiento de la CLI)
Los filtros de firewall se configuran en los conmutadores de la serie EX para controlar el tráfico que entra en los puertos del conmutador o que entra y sale de las VLAN de la red y de las interfaces de capa 3 (enrutadas). Para configurar un filtro de firewall, debe configurarlo y, a continuación, aplicarlo a un puerto, VLAN o interfaz de capa 3.
Configuración de un filtro de firewall
Antes de poder aplicar un filtro de firewall a un puerto, VLAN o interfaz de capa 3, debe configurar un filtro de firewall con los detalles necesarios, como el tipo de familia para el filtro de firewall, el nombre del filtro de firewall y las condiciones de coincidencia. Una condición de coincidencia en la configuración del filtro de firewall puede contener varios términos que definen los criterios para la condición de coincidencia. Para cada término, debe especificar una acción que se realizará si un paquete cumple las condiciones del término. Para obtener información sobre las diferentes condiciones y acciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall, acciones y modificadores de acción para conmutadores de la serie EX.
Para configurar un filtro de firewall:
Configuración de un término específicamente para tráfico IPv4 o IPv6
Para configurar un término en una configuración de filtro de firewall específicamente para tráfico IPv4:
Para configurar un término en una configuración de filtro de firewall específicamente para tráfico IPv6:
Realice una de estas tareas:
Definir
ether-type ipv6
en un término de la configuración.Definir
ip-version ipv6
en un término de la configuración.Defina ambos
ether-type ipv6
yip-version ipv4
en un término de la configuración.Nota:De forma predeterminada, una configuración que no contiene ninguno de los
ether-type ipv6
términos oip-version ipv6
en un término se aplica al tráfico IPv4.
Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv6.
Si el término contiene una de las condiciones ether-type ipv6
de coincidencia o ip-version ipv6
, sin ninguna otra condición de coincidencia IPv6 especificada, todo el tráfico IPv6 coincide.
Para configurar un filtro de firewall para el tráfico IPv4 e IPv6, debe incluir dos términos independientes, uno para el tráfico IPv4 y el otro para el tráfico IPv6.
Aplicación de un filtro de firewall a un puerto de un conmutador
Puede aplicar un filtro de firewall a un puerto de un conmutador para filtrar el tráfico de entrada o salida del conmutador. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.
Para aplicar un filtro de firewall a un puerto para filtrar el tráfico de entrada o salida:
Para aplicar un filtro de firewall a una interfaz de administración, consulte Aplicación de un filtro de firewall a una interfaz de administración en un conmutador
Aplicación de un filtro de firewall a una interfaz de administración en un conmutador
Puede configurar y aplicar un filtro de firewall a una interfaz de administración para controlar el tráfico que entra o sale de la interfaz en un conmutador. Puede utilizar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, a continuación, utilizar protocolos de administración como SNMP para recopilar datos estadísticos del conmutador. De manera similar a configurar un filtro de firewall en otros tipos de interfaces, puede configurar un filtro de firewall en una interfaz de administración utilizando cualquier modificador de condición, acción y acción de coincidencia especificado en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX , excepto para los siguientes modificadores de acción:
loss-priority
forwarding-class
Puede aplicar un filtro de firewall a la interfaz Ethernet de administración en cualquier conmutador de la serie EX. También puede aplicar un filtro de firewall a la interfaz Ethernet de administración virtual (VME) en el conmutador EX4200. Para obtener más información sobre la interfaz Ethernet de administración y la interfaz VME, consulte Descripción general de interfaces para conmutadores.
Para aplicar un filtro de firewall en la interfaz de administración para filtrar el tráfico de entrada o salida:
Aplicación de un filtro de firewall a una VLAN en una red
Puede aplicar un filtro de firewall a una VLAN de una red para filtrar el tráfico de entrada o salida de la red. Para aplicar un filtro de firewall a una VLAN, especifique el nombre y el identificador de VLAN y, a continuación, aplique el filtro de firewall a la VLAN. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.
Para aplicar un filtro de firewall a una VLAN:
Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)
Puede aplicar un filtro de firewall a una interfaz de capa 3 (enrutada) para filtrar el tráfico de entrada o salida del conmutador. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX. La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.
Para aplicar un filtro de firewall a una interfaz de capa 3 en un conmutador: