Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros de firewall (procedimiento de la CLI)

Los filtros de firewall se configuran en los conmutadores de la serie EX para controlar el tráfico que entra en los puertos del conmutador o que entra y sale de las VLAN de la red y de las interfaces de capa 3 (enrutadas). Para configurar un filtro de firewall, debe configurarlo y, a continuación, aplicarlo a un puerto, VLAN o interfaz de capa 3.

Configuración de un filtro de firewall

Antes de poder aplicar un filtro de firewall a un puerto, VLAN o interfaz de capa 3, debe configurar un filtro de firewall con los detalles necesarios, como el tipo de familia para el filtro de firewall, el nombre del filtro de firewall y las condiciones de coincidencia. Una condición de coincidencia en la configuración del filtro de firewall puede contener varios términos que definen los criterios para la condición de coincidencia. Para cada término, debe especificar una acción que se realizará si un paquete cumple las condiciones del término. Para obtener información sobre las diferentes condiciones y acciones de coincidencia, consulte Condiciones de coincidencia de filtros de firewall, acciones y modificadores de acción para conmutadores de la serie EX.El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia para el filtro de firewall:

    • Para un filtro de firewall que se aplica a un puerto o VLAN, especifique el tipo de dirección de familia para filtrar los paquetes de capa 2 (Ethernet) y los paquetes de capa 3 (IP), por ejemplo:ethernet-switching

    • Para un filtro de firewall que se aplica a una interfaz de capa 3 (enrutada):

      • Para filtrar paquetes IPv4, especifique el tipo de dirección de familia , por ejemplo:inet

      • Para filtrar paquetes IPv6, especifique el tipo de dirección de familia , por ejemplo:inet6

      Nota:

      Puede configurar filtros de firewall para el tráfico IPv4 e IPv6 en la misma interfaz de capa 3.

  2. Especifique el nombre del filtro:

    El nombre del filtro puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres. Cada nombre de filtro debe ser único.

  3. Si desea aplicar un filtro de firewall a varias interfaces y asignar a contadores de firewall individuales específicos para cada interfaz, configure la opción:interface-specific
  4. Especifique un nombre de término:

    El nombre del término puede contener letras, números y guiones (-) y puede tener un máximo de 64 caracteres.

    Un filtro de firewall puede contener uno o varios términos. Cada nombre de término debe ser único dentro de un filtro.

    Nota:

    El número máximo de términos permitidos por filtro de firewall para los conmutadores de la serie EX es:

    • 512 para conmutadores EX2200

    • 1.436 para conmutadores EX3300

      Nota:

      En los conmutadores EX3300, si agrega y elimina filtros con un gran número de términos (del orden de 1000 o más) en la misma operación de confirmación, no se instalan todos los filtros. Debe agregar filtros en una operación de confirmación y eliminar filtros en una operación de confirmación independiente.

    • 7.168 para conmutadores EX3200 y EX4200

    • En los conmutadores EX4300, a continuación se muestra la cantidad de términos admitidos para el tráfico de entrada y salida, para los archivadores de firewall configurados en un puerto, VLAN e interfaz de capa 3:

      • Para el tráfico de entrada:

        • 3.500 términos para filtros de firewall configurados en un puerto

        • 3.500 términos para filtros de firewall configurados en una VLAN

        • 7.000 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 3.500 términos para archivadores de firewall configurados en interfaces de capa 3 para tráfico IPv6

      • Para el tráfico de salida:

        • 512 términos para filtros de firewall configurados en un puerto

        • 256 términos para filtros de firewall configurados en una VLAN

        • 512 términos para filtros de firewall configurados en interfaces de capa 3 para tráfico IPv4

        • 512 términos para los archivadores de firewall configurados en interfaces de capa 3 para tráfico IPv6

      Nota:

      Puede configurar este número máximo de términos solo cuando configure un tipo de filtro de firewall (filtro de firewall de puerto, VLAN o enrutador (capa 3)) en el conmutador y cuando el control de tormentas no esté habilitado en todas las interfaces del conmutador.

    • 1.200 para conmutadores EX4500 y EX4550

    • 1.400 para conmutadores EX6200

    • 32.768 para conmutadores EX8200

    Si intenta configurar un filtro de firewall que supere estos límites, el conmutador devuelve un mensaje de error al confirmar la configuración.

  5. Para cada término de filtro de firewall, especifique las condiciones de coincidencia que desea incluir. El siguiente ejemplo muestra cómo hacer coincidir paquetes de una dirección IP y un puerto determinados:

    Puede especificar una o más condiciones de coincidencia en una sola instrucción.from Para que se produzca una coincidencia, el paquete debe cumplir todas las condiciones del término.

    La instrucción es opcional, pero si se incluye en un término, la instrucción no puede estar vacía.fromfrom Si omite la instrucción, se considera que todos los paquetes coinciden.from

  6. Para cada término de filtro de firewall, especifique la acción que se debe realizar si el paquete cumple todas las condiciones de ese término.

    Puede especificar una acción y/o modificadores de acción:

    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      No puede especificar más de una acción por término de filtro.

    • Para especificar un modificador de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      En una instrucción, puede especificar los siguientes modificadores de acción:then

      • analyzer analyzer-name: refleja el tráfico del puerto a un puerto de destino especificado o a una VLAN que esté conectada a una aplicación de analizador de protocolos. Se debe configurar un bajo el tipo de dirección de familia.analyzerethernet-switching Consulte Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI).Configuración de la creación de reflejo de puertos para analizar el tráfico (procedimiento de la CLI)

      • count counter-name: cuente el número de paquetes que pasan este término de filtro.

        Nota:

        Se recomienda configurar un contador para cada término en un filtro de firewall, de modo que pueda supervisar el número de paquetes que coinciden con las condiciones especificadas en cada término de filtro.

      • forwarding-class class: clasifica los paquetes en una clase de reenvío.

      • loss-priority priority: establece la prioridad para descartar un paquete.

      • policer policer-name: aplica límites de velocidad al tráfico.

      • interface interface-name: reenvía el tráfico a la interfaz especificada, omitiendo la búsqueda de conmutación.

      • log: registre la información del encabezado del paquete en el motor de enrutamiento.

    Si omite la instrucción o no especifica una acción, se aceptarán los paquetes que coincidan con todas las condiciones de la instrucción.thenfrom Sin embargo, siempre debe configurar explícitamente una acción o un modificador de acción en la instrucción.then No puede incluir más de una acción, pero puede utilizar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción surta efecto, todas las condiciones de la instrucción deben coincidir.from

    Nota:

    El descarte implícito también se aplica a un filtro de firewall aplicado a la interfaz de circuito cerrado, .lo0

    En los conmutadores Ethernet EX8200 de Juniper Networks, si se configura una acción implícita o explícita en una interfaz de circuito cerrado para el tráfico IPv4, se aceptan los paquetes de resolución del siguiente salto y se les permite pasar a través del conmutador.discard Sin embargo, para el tráfico IPv6, debe configurar explícitamente una regla para permitir que los paquetes de resolución IPv6 del siguiente salto pasen por el conmutador.

Configuración de un término específicamente para tráfico IPv4 o IPv6

Para configurar un término en una configuración de filtro de firewall específicamente para tráfico IPv4:

  1. Compruebe que ni ni está especificado en el término en la configuración.ether-type ipv6ip-version ipv6 De forma predeterminada, una configuración que no contiene ninguno de los términos o en un término se aplica al tráfico IPv4.ether-type ipv6ip-version ipv6
  2. (Opcional) Realice una de estas tareas:

    • Definir en un término de la configuración.ether-type ipv4

    • Definir en un término de la configuración.ip-version ipv4

    • Defina ambos y en un término de la configuración.ether-type ipv4ip-version ipv4

    • Compruebe que ni ni se especifica en un término de la configuración; de forma predeterminada, una configuración que no contiene ninguno de los términos o en un término se aplica al tráfico IPv4 si no contiene o .ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6

  3. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv4.

Para configurar un término en una configuración de filtro de firewall específicamente para tráfico IPv6:

  1. Realice una de estas tareas:

    • Definir en un término de la configuración.ether-type ipv6

    • Definir en un término de la configuración.ip-version ipv6

    • Defina ambos y en un término de la configuración.ether-type ipv6ip-version ipv4

      Nota:

      De forma predeterminada, una configuración que no contiene ninguno de los términos o en un término se aplica al tráfico IPv4.ether-type ipv6ip-version ipv6

  2. Asegúrese de que otras condiciones de coincidencia del término sean válidas para el tráfico IPv6.

Nota:

Si el término contiene una de las condiciones de coincidencia o , sin ninguna otra condición de coincidencia IPv6 especificada, todo el tráfico IPv6 coincide.ether-type ipv6ip-version ipv6

Nota:

Para configurar un filtro de firewall para el tráfico IPv4 e IPv6, debe incluir dos términos independientes, uno para el tráfico IPv4 y el otro para el tráfico IPv6.

Aplicación de un filtro de firewall a un puerto de un conmutador

Puede aplicar un filtro de firewall a un puerto de un conmutador para filtrar el tráfico de entrada o salida del conmutador. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX.El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a un puerto para filtrar el tráfico de entrada o salida:

Nota:

Para aplicar un filtro de firewall a una interfaz de administración, consulte Aplicación de un filtro de firewall a una interfaz de administración en un conmutador

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz:

    Para los filtros de firewall que se aplican a los puertos, el tipo de dirección de familia debe ser .ethernet-switching

  3. Para aplicar un filtro de firewall a los paquetes de filtro que ingresan a un puerto:

    Para aplicar un filtro de firewall a los paquetes que salen de un puerto:

    Nota:

    No puede aplicar más de un filtro de firewall por puerto, por dirección.

Aplicación de un filtro de firewall a una interfaz de administración en un conmutador

Puede configurar y aplicar un filtro de firewall a una interfaz de administración para controlar el tráfico que entra o sale de la interfaz en un conmutador. Puede utilizar utilidades como SSH o Telnet para conectarse a la interfaz de administración a través de la red y, a continuación, utilizar protocolos de administración como SNMP para recopilar datos estadísticos del conmutador. De manera similar a configurar un filtro de firewall en otros tipos de interfaces, puede configurar un filtro de firewall en una interfaz de administración utilizando cualquier modificador de condición, acción y acción de coincidencia especificado en Condiciones de coincidencia de filtro de firewall, acciones y modificadores de acción para conmutadores de la serie EX, excepto para los siguientes modificadores de acción :El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX

  • loss-priority

  • forwarding-class

Puede aplicar un filtro de firewall a la interfaz Ethernet de administración en cualquier conmutador de la serie EX. También puede aplicar un filtro de firewall a la interfaz Ethernet de administración virtual (VME) en el conmutador EX4200. Para obtener más información sobre la interfaz Ethernet de administración y la interfaz VME, consulte Descripción general de interfaces para conmutadores.Interfaces Overview for Switches

Para aplicar un filtro de firewall en la interfaz de administración para filtrar el tráfico de entrada o salida:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad y el tipo de dirección de familia para la interfaz de administración:
    Nota:

    Para los filtros de firewall que se aplican a las interfaces de administración, el tipo de dirección de familia puede ser o .inetinet6

  3. Para aplicar un filtro de firewall a los paquetes de filtro que ingresan a una interfaz de administración:

    Para aplicar un filtro de firewall a los paquetes de filtro que salen de una interfaz de administración:

    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de administración, por dirección.

Aplicación de un filtro de firewall a una VLAN en una red

Puede aplicar un filtro de firewall a una VLAN de una red para filtrar el tráfico de entrada o salida de la red. Para aplicar un filtro de firewall a una VLAN, especifique el nombre y el identificador de VLAN y, a continuación, aplique el filtro de firewall a la VLAN. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX.El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una VLAN:

  1. Especifique el nombre y el ID de VLAN, y proporcione una descripción significativa del filtro de firewall y de la VLAN a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Aplique filtros de firewall a los paquetes de filtro que entran o salen de la VLAN:

    • Para aplicar un filtro de firewall a los paquetes de filtro que ingresan a la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall a los paquetes de filtro que ingresan a la VLAN:

    • Para aplicar un filtro de firewall a los paquetes de filtro que salen de la VLAN:

      (En conmutadores EX4300) Para aplicar un filtro de firewall a los paquetes de filtro que salen de la VLAN:

    Nota:

    No puede aplicar más de un filtro de firewall por VLAN, por dirección.

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a una interfaz de capa 3 (enrutada) para filtrar el tráfico de entrada o salida del conmutador. Al configurar el filtro de firewall, puede especificar cualquier condición de coincidencia, acción y modificadores de acción especificados en Condiciones de coincidencia del filtro de firewall, Acciones y Modificadores de acción para conmutadores de la serie EX.El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX La acción especificada en la condición de coincidencia indica la acción para los paquetes coincidentes en el tráfico de entrada o salida.

Para aplicar un filtro de firewall a una interfaz de capa 3 en un conmutador:

  1. Especifique el nombre de la interfaz y proporcione una descripción significativa del filtro de firewall y de la interfaz a la que se aplica el filtro:
    Nota:

    Proporcionar la descripción es opcional.

  2. Especifique el número de unidad, el tipo de dirección de familia y la dirección de la interfaz:

    Para los filtros de firewall aplicados a las interfaces de capa 3, el tipo de dirección de familia debe ser (para tráfico IPv4) o (para tráfico IPv6).inetinet6

  3. Puede aplicar filtros de firewall para filtrar paquetes que entren o salgan de una interfaz de capa 3 (enrutada):

    • Para aplicar un filtro de firewall a los paquetes de filtro que entran en una interfaz de capa 3:

    • Para aplicar un filtro de firewall a los paquetes de filtro que salen de una interfaz de capa 3:

    Nota:

    Cuando se aplica un filtro a una interfaz IRB asociada a una VLAN determinada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.

    Nota:

    No puede aplicar más de un filtro de firewall por interfaz de capa 3, por dirección.

Temas relacionados