Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros de firewall

Siga los pasos de las siguientes secciones para configurar y aplicar un filtro de firewall en su conmutador.

Configuración de un filtro de firewall

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia, el nombre del filtro, el nombre del término y al menos una condición de coincidencia: por ejemplo, coincidencia en paquetes que contienen una dirección de origen específica.
    • Para filtrar el tráfico de capa 2 (puerto o VLAN), especifique el tipo ethernet-switchingde dirección de familia.

    • Para filtrar el tráfico de capa 3 (enrutado), especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6).

    • Para filtrar el tráfico de interfaz de circuito de capa 2, especifique el tipo cccde dirección de familia .

    Los nombres de filtro y término pueden contener letras, números y guiones (-) y pueden tener hasta 64 caracteres. Cada nombre de filtro debe ser único. Un filtro puede contener uno o más términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo:

    En esta configuración, el filtro coincide en paquetes de capa 2 que contienen el puerto de origen 80.

    En esta configuración, el filtro coincide con las VLAN que contienen la interfaz ge-0/0/6.0.

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. La from instrucción es opcional, pero si la incluye en un término, no puede estar vacía. Si omite la from instrucción, todos los paquetes se consideran coincidentes.

  3. Si desea aplicar un filtro de firewall a varias interfaces y poder ver contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete coincide con todas las condiciones de ese término. Puede especificar un modificador de acción y acción:
    • Para especificar una acción de filtro, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      Solo puede especificar una acción por término (accept, discard, flood, reject, routing-instance, o vlan).

    • Para especificar una acción de filtro, por ejemplo, para inundar paquetes que coincidan con la dirección MAC en QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210:

      Puede configurar los filtros de firewall basados en puertos de entrada para inundar o descartar las siguientes BPDU mediante la dirección MAC de destino como condición de coincidencia.

      Protocolos

      Dirección de control de acceso de medios de destino (DMAC)

      Acción de firewall

      Protocolo de control de agregación de vínculos (LACP)

      01:80:c2:00:00:02

      Inundación/descarte/recuento

      Protocolo de descubrimiento de capa de vínculo (LLDP)

      01:80:c2:00:00:0E

      Inundación/descarte/recuento

      Protocolo de autenticación extensible a través de LAN (EAPOL)

      01:80:c2:00:00:03

      Inundación/descarte/recuento

      Protocolo de árbol de expansión (STP)

      01:80:c2:00:00:00

      Inundación/descarte/coun

      Protocolo de árbol de expansión de VLAN (VSTP)

      01:00:0c:cc:cc:cd

      Inundación/descarte/recuento

      Protocolo de descubrimiento de Cisco (CDP)/Protocolo de troncalización de VLAN (VTP)

      01:00:0C:cc:cc:cc

      Descarte/recuento

      ISIS L1

      01:80:c2:00:00:14

      Descarte/recuento

      ISIS L2

      01:80:c2:00:00:15

      Descarte/recuento

      Nota:
      • Los protocolos CDP/VTP, ISIS L1/L2 se inundan mediante el filtro dinámico predeterminado. Por lo tanto, no es necesario configurar filtros adicionales para estos protocolos.

      • Como los filtros de firewall basados en puertos de entrada se aplican a nivel de puerto, solo se puede aplicar un filtro para una interfaz física en la configuración de estilo del proveedor de servicios.

      • La VLAN nativa se debe configurar para garantizar la inundación de las BPDU no etiquetadas recibidas en el puerto de troncalización. Si la VLAN nativa no está configurada, las BPDU sin etiqueta se inundarán en todas las interfaces de la FPC local.

      • Cuando la supervisión igmp o la detección de escucha de multidifusión (MLD) se habilitan entonces, la funcionalidad de inundación no funciona.

      • Cuando se aplica el filtro de firewall con acción de inundación en una interfaz y, posteriormente, si la interfaz se cae, las BPDU recibidas en esa interfaz se inundarán si cumplen las condiciones de coincidencia.

    • Para especificar modificadores de acción, por ejemplo, para contar y clasificar paquetes a una clase de reenvío:

      Puede especificar cualquiera de los siguientes modificadores de acción en una then instrucción:

      • analyzer analyzer-name: duplicación del tráfico de puerto a un analizador especificado, que debe configurar en el [ethernet-switching-options] nivel.

      • count counter-name: cuente la cantidad de paquetes que pasan este término de filtro.

        Nota:

        Recomendamos que configure un contador para cada término en un filtro de firewall, de modo que pueda supervisar el número de paquetes que coincidan con las condiciones especificadas en cada término de filtro.

        Nota:

        En los conmutadores QFX3500 y QFX3600, los filtros cuentan automáticamente los paquetes que se han caído en la dirección de entrada debido a errores de comprobación cíclica de redundancia (CRC).

      • forwarding-class class: asigne paquetes a una clase de reenvío.

      • log: registre la información del encabezado del paquete en el motor de enrutamiento.

      • loss-priority priority: establezca la prioridad de dejar caer un paquete.

      • policer policer-name: aplique la limitación de velocidad al tráfico.

      • flood— Inundar los paquetes.

      • syslog: registre una alerta para este paquete.

    Si omite la then instrucción o no especifica una acción, se aceptan paquetes que coincidan con todas las condiciones de la from instrucción. Pero asegúrese de configurar siempre una acción en la then instrucción. Solo puede incluir una instrucción action, pero puede usar cualquier combinación de modificadores de acción. Para que un modificador de acción o acción surtan efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    La implicit discard acción aplicable a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Configuración de filtros de firewall de salida mejorados (conmutadores QFX5110 y QFX5220)

Debido a una limitación de hardware, los QFX5110 y QFX5220 solo pueden admitir un máximo de 1000 filtros de firewall de salida (eRACLs). Puede aumentar este número a 2000 mediante la configuración del conmutador en modo escalado. En este modo, el conmutador utiliza el espacio TCAM de entrada (IFP) para lograr la escala más alta.

Para configurar el filtro de salida, especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6), el nombre del filtro y el nombre del término. Incluya la opción de escala aplicable para su conmutador y especifique una condición de coincidencia y una acción que debe tomar si se produce una coincidencia. A continuación, aplique el filtro en la dirección de salida en la interfaz.

Después de configurar, modificar o eliminar una opción de escalabilidad, debe confirmar la configuración y se debe reiniciar el motor de reenvío de paquetes (PFE).

Para aumentar la cantidad de filtros de salida en el QFX5110, incluya la egress-to-ingress opción en su configuración. Puede agregar esta opción en cualquier término. A continuación, se muestra una configuración de ejemplo:

Para aumentar el número de filtros de salida en el QFX5220, incluya la eracl-scale opción en la egress-profile instrucción. A continuación, se muestra una configuración de ejemplo:

Nota:

La eracl-scale opción viene configurada en modo global. Cuando está habilitado, los filtros de salida existentes se reinstalarán automáticamente en modo escalado.

Cuando habilita el modo escalado, se aplican estas limitaciones:

  • Solo puede aplicar un filtro en la dirección de salida (tráfico que sale de la VLAN).

  • Solo inet se admiten familias de protocolo.inet6

  • No se admiten interfaces de encapsulación de enrutamiento genérico (GRE).

  • Utilice solo las opciones de escala para los filtros de firewall de salida.

  • No puede aplicar filtros con la misma condición de coincidencia a distintas VLAN de salida o interfaces de capa 3. Las únicas acciones admitidas son accept, discardy count.

  • Las condiciones de coincidencia se programan en el filtro de firewall de entrada TCAM. Esto significa que los contadores conectados al filtro cuentan el tráfico en cualquier VLAN entrante.

Aplicación de un filtro de firewall a un puerto

Para aplicar un filtro de firewall a un puerto:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. El nombre es lo que usa para aplicar el filtro al puerto.
  2. Aplique el filtro a la interfaz, especificando el número de unidad, el tipo de dirección de familia (ethernet-switching), la dirección del filtro (para los paquetes que ingresan al puerto) y el nombre del filtro:
    Nota:

    Solo puede aplicar un filtro a un puerto en la dirección de entrada.

Aplicación de un filtro de firewall a una VLAN

Nota:

Los filtros de firewall VLAN no se admiten en conmutadores QFX5100, QFX5100 Virtual Chassis, QFX5110 y QFX5120 en un entorno EVPN-VXLAN.

Para aplicar un filtro de firewall a una VLAN:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. Este nombre es lo que usa para aplicar el filtro a la VLAN.
  2. Aplique filtros de firewall para filtrar paquetes que entran o salen de la VLAN:
    • Para aplicar un filtro para que coincida con los paquetes que ingresan a la VLAN:

    • Para aplicar un filtro de firewall para que coincida con los paquetes que salen de la VLAN:

    Nota:

    Solo puede aplicar un filtro a una VLAN para una dirección dada (entrada o salida).

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a interfaces IPv4 e IPv6, interfaces VLAN enrutadas (RVI) (también conocidas como interfaz de enrutamiento y puente integrados (IRB) y la interfaz de circuito cerrado. Todas ellas se consideran interfaces enrutadas de capa 3.

Nota:

(Conmutadores QFX5100 y QFX5110) En un entorno EVPN-VXLAN, puede usar una interfaz IRB para proporcionar conectividad de capa 3 al conmutador. Para configurar una interfaz IRB, consulte Ejemplo: Configuración de interfaces IRB en un entorno EVPN-VXLAN para proporcionar conectividad de capa 3 para hosts en un centro de datos. A continuación, puede aplicar un filtro de firewall a la interfaz IRB siguiendo los pasos a continuación (solo se admite la dirección de entrada). Para obtener una lista de condiciones de coincidencia compatibles, consulte Condiciones y acciones de coincidencia de filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Nota:

Cuando se aplica un filtro a una interfaz IRB asociada con una VLAN dada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.

Para aplicar un filtro de firewall a una interfaz de capa 3:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. Este nombre es lo que usa para aplicar el filtro a la interfaz.
  2. Aplique los filtros de firewall.
    • Para filtrar los paquetes que ingresan a la interfaz:

    • Para filtrar paquetes que salen de la interfaz:

      El tipo de dirección de familia puede ser (inet para IPv4) o (inet6 para IPv6).

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección dada (entrada o salida).

Aplicación de un filtro de firewall a una CCC de capa 2 (conmutadores QFX10000)

Puede aplicar filtros de firewall con acciones de recuento y agente de policía en el tráfico de conexión cruzada de circuito de capa 2 (CCC) en conmutadores QFX10000. Esto le permite contar y supervisar la actividad del agente de policía establecida en el [edit firewall family ccc] nivel jerárquico.

En este ejemplo, count es la acción del agente de policía.

En este ejemplo, discard es la acción del agente de policía.