Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros del cortafuegos

Siga los pasos de las secciones siguientes para configurar y aplicar un filtro de firewall en el conmutador.

Configuración de un filtro de Firewall

Para configurar un filtro de Firewall:

  1. Configure el tipo de dirección de familia, el nombre del filtro, el nombre del término y al menos una condición de coincidencia; por ejemplo, hacer coincidir en paquetes que contengan una dirección de origen específica.
    • Para filtrar el tráfico de capa 2 (puerto o VLAN), especifique el ethernet-switchingtipo de dirección de familia.

    • Para filtrar el tráfico de capa 3 (enrutado), especifique elinet tipo de dirección de familiainet6 (para IPv4) o (para IPv6).

    • Para filtrar el tráfico de la interfaz de circuitos de la capa ccc2, especifique el tipo de dirección de familia.

    Los nombres de los términos y los filtros pueden contener letras, números y guiones (-), y pueden tener hasta 64 caracteres. Cada nombre de filtro debe ser único. Un filtro puede contener uno o varios términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo:

    En esta configuración, el filtro coincide con los paquetes de la capa 2 que contienen el puerto de origen 80.

    En esta configuración, el filtro coincide con las VLAN que contienen la interfaz GE-0/0/6.0.

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. La from instrucción es opcional, pero si la incluye en un término, no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de Firewall a varias interfaces y poder ver los contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben llevar a cabo si el paquete coincide con todas las condiciones en ese término. Puede especificar una acción y modificadores de acciones:
    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que cumplan las condiciones del término de filtro:

      Solo puede especificar una acción por término ( accept , , , , o discardfloodrejectrouting-instancevlan ).

    • Para especificar una acción de filtro, por ejemplo, para inundar paquetes que coincidan con la dirección MAC en QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210:

      Puede configurar los filtros de firewall basados en puertos de entrada para inundar o descartar las siguientes BPDU utilizando la dirección MAC de destino como condición de coincidencia.

      Protocol

      Dirección DMAC (Destination Media Access Control)

      Acción de firewall

      Protocolo de control de agregación de vínculos (LACP)

      01:80:c2:00:00:02

      Inundación,descarte/cuenta

      Protocolo de detección de nivel de vínculo (LLDP)

      01:80:c2:00:00:0E

      Inundación,descarte/cuenta

      Protocolo de autenticación extensible mediante LAN (EAPOL)

      01:80:c2:00:00:03

      Inundación,descarte/cuenta

      Protocolo de árbol de expansión (STP)

      01:80:c2:00:00:00

      Inundación/descarte/coun

      Protocolo de árbol de expansión de VLAN (VSTP)

      01:00:0c:cc:cc:cd

      Inundación,descarte/cuenta

      Protocolo de descubrimiento de Cisco (CDP)/Protocolo de troncalización de VLAN (VTP)

      01:00:0C:cc:cc:cc

      Descarte/Recuento

      ISIS L1

      01:80:c2:00:00:14

      Descarte/Recuento

      ISIS L2

      01:80:c2:00:00:15

      Descarte/Recuento

      Nota:
      • Los protocolos L1/L2 ISIS de LA SERIE SE inundan mediante el filtro dinámico predeterminado. Por lo tanto, no es necesario configurar filtros adicionales para estos protocolos.

      • A medida que se aplican filtros de firewall basados en puertos de entrada en el nivel del puerto, solo se puede aplicar un filtro para una interfaz física en la configuración del estilo del proveedor de servicios.

      • La VLAN nativa se debe configurar para garantizar la inundación de las BPDU sin etiqueta recibidas en el puerto de troncalización. Si la VLAN nativa no está configurada, las BPDU sin etiqueta se inundarán en todas las interfaces de la FPC local.

      • Cuando se habilita el espionaje IGMP o el descubrimiento del agente de escucha de multidifusión (MLD), entonces, la funcionalidad de inundación no funciona.

      • Cuando se aplica el filtro de firewall con acción de inundación en una interfaz y, posteriormente, si la interfaz se bloquea, las BPDU recibidas en esa interfaz se inundarán si cumplen las condiciones de coincidencia.

    • Por ejemplo, para especificar modificadores de acciones para contar y clasificar paquetes en una clase de reenvío:

      Puede especificar cualquiera de los siguientes modificadores de acciones en una then instrucción:

      • analyzer analyzer-name: refleja el tráfico de puertos en un analizador especificado, el cual debe configurar en el [ethernet-switching-options] nivel.

      • count counter-name: cuente la cantidad de paquetes que pasan este término de filtro.

        Nota:

        Le recomendamos que configure un contador para cada término en un filtro de firewall, para poder supervisar el número de paquetes que coincidan con las condiciones especificadas en cada término de filtro.

        Nota:

        En los conmutadores QFX3500 y QFX3600, los filtros cuentan automáticamente los paquetes que se quitaron en la dirección de entrada debido a errores de comprobación de redundancia cíclicas (CRC).

      • forwarding-class class: asigna paquetes a una clase de reenvío.

      • log: permite registrar la información del encabezado del paquete en la motor de enrutamiento.

      • loss-priority priority: establezca la prioridad de dejar caer un paquete.

      • policer policer-name: permite aplicar limitación de velocidad al tráfico.

      • flood: permite inundar los paquetes.

      • syslog: registre una alerta para este paquete.

    Si omite la instrucción o no especifica ninguna acción, se aceptan paquetes que coincidan con todas las then condiciones from de la instrucción. Pero asegúrese de que siempre configure una acción en la then instrucción. Solo se puede incluir una instrucción de acción, pero puede utilizar cualquier combinación de modificadores de acciones. Para que una acción o modificador de acción surtan efecto, deben coincidir todas las condiciones de la from instrucción.

    Nota:

    implicit discard Acción aplicable a un filtro de Firewall aplicado a la interfaz de bucle lo0de retroceso,.

Configuración de filtros de Firewall de salida mejorados (conmutadores QFX5110 y QFX5220)

Debido a una limitación del hardware, QFX5110 y QFX5220 solo admiten un máximo de 1000 filtros de Firewall de salida (eRACLs). Puede aumentar este número a 2000, configurando el conmutador en modo escalado. En este modo, el modificador utiliza un espacio TCAM de entrada (IFP) para lograr la mayor escala.

Para configurar el filtro de salida, especifique el tipo de dirección deinet familia (para IPv4)inet6 o (para IPv6), el nombre de filtro y el nombre de término. Incluye la opción de escalado aplicable para el conmutador y especifica una condición de coincidencia y acción que llevar a cabo si se produce una coincidencia. A continuación, aplique el filtro en la dirección de salida de la interfaz.

Después de configurar, modificar o eliminar una opción de escalado, debe confirmar la configuración y se debe reiniciar el motor de reenvío de paquetes (PFE).

Para aumentar el número de filtros de salida en el QFX5110, incluya la egress-to-ingress opción en su configuración. Puede Agregar esta opción bajo cualquier término. La siguiente es una configuración de ejemplo:

Para aumentar el número de filtros de salida en QFX5220, incluya la eracl-scale opción en la egress-profile instrucción. La siguiente es una configuración de ejemplo:

Nota:

La eracl-scale opción viene configurada en el modo global. Cuando está habilitada, los filtros de salida existentes se volverán a instalar automáticamente en modo escalado.

Al activar el modo escalado, se aplican estas limitaciones:

  • Sólo puede aplicar un filtro en la dirección de salida (tráfico que sale de la VLAN).

  • Solo inet se inet6 admiten familias y protocolos.

  • No se admiten las interfaces de encapsulación de enrutamiento genérico (GRE).

  • Utilice únicamente las opciones de escala para filtros de Firewall de salida.

  • No puede aplicar filtros con la misma condición de coincidencia a distintas VLAN de salida o interfaces de la capa 3. Las únicas medidas admitidas acceptson discard, y count.

  • Las condiciones de coincidencia se programan en la TCAM filtro de Firewall de entrada. Esto significa que cualquier contador asociado al filtro cuenta el tráfico en las redes VLAN entrantes.

Aplicación de un filtro de cortafuegos a un puerto

Para aplicar un filtro de cortafuegos a un puerto:

  1. Proporcione un nombre descriptivo y significativo para el filtro de Firewall. El nombre es el que se utiliza para aplicar el filtro al puerto.
  2. Aplique el filtro a la interfaz, especificando el número de unidad, el tipo deethernet-switchingdirección de familia (), la dirección del filtro (para paquetes que entren en el puerto) y el nombre de filtro:
    Nota:

    Solo puede aplicar un filtro a un puerto en la dirección de entrada.

Aplicación de un filtro de Firewall a una VLAN

Nota:

Los filtros de cortafuegos VLAN no se admiten en los conmutadores QFX5100, QFX5100 Virtual Chassis y QFX5110 en un entorno de EVPN VXLAN.

Para aplicar un filtro de Firewall a una VLAN:

  1. Proporcione un nombre descriptivo y significativo para el filtro de Firewall. Este nombre es el que se utiliza para aplicar el filtro a la VLAN.
  2. Aplicar filtros de Firewall para filtrar paquetes entrando o saliendo de la VLAN:
    • Para aplicar un filtro que coincida con los paquetes que entran en la VLAN:

    • Para aplicar un filtro de firewall que coincida con los paquetes que salen de la VLAN:

    Nota:

    Solo puede aplicar un filtro a una VLAN para una dirección determinada (entrada o salida).

Aplicación de un filtro de cortafuegos a una interfaz de capa 3 (enrutado)

Puede aplicar un filtro de Firewall a las interfaces IPv4 e IPv6, las interfaces VLAN enrutadas (RVI) y la interfaz de bucle invertido. Todas se consideran interfaces enrutadas de la capa 3.

Nota:

(Conmutadores QFX5100 y QFX5110) En un entorno de VXLAN EVPN, puede usar una interfaz IRB para proporcionar conectividad de la capa 3 al conmutador. Para configurar una interfaz IRB, consulte ejemplo: La configuración de interfaces IRB en un entorno de EVPN VXLAN para proporcionar conectividad de capa 3 para los hosts de un centrode datos. A continuación, puede aplicar un filtro de Firewall a la interfaz IRB siguiendo los pasos que se indican a continuación (solo se admite la dirección de entrada). Para obtener una lista de condiciones de coincidencia compatibles, consulte condiciones y acciones de coincidencia de filtro de Firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Para aplicar un filtro de cortafuegos a una interfaz de capa 3:

  1. Proporcione un nombre descriptivo y significativo para el filtro de Firewall. Este nombre es el que se utiliza para aplicar el filtro a la interfaz.
  2. Aplique los filtros del cortafuegos.
    • Para filtrar paquetes que entran en la interfaz:

    • Para filtrar paquetes que salen de la interfaz:

      El tipo de dirección de familia puede serinet (para IPv4) oinet6 (para IPv6).

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).

Aplicación de un filtro de cortafuegos a una capa 2 CCC (conmutadores QFX10000)

Puede aplicar filtros de cortafuegos con el recuento y las acciones de la policía al tráfico de conexión cruzada (CCC) del circuito 2 en los conmutadores QFX10000. Esto le permite contar y supervisar la actividad de policíaismo en el [edit firewall family ccc] nivel de jerarquía.

En este ejemplo, count se trata de la acción de policía.

En este ejemplo, discard se trata de la acción de policía.