Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Configuración de filtros de firewall

Siga los pasos de las siguientes secciones para configurar y aplicar un filtro de firewall en el conmutador.

Configuración de un filtro de firewall

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia, el nombre de filtro, el nombre de término y al menos una condición de coincidencia( por ejemplo, coincidencia en paquetes que contengan una dirección de origen específica.

    • Para filtrar el tráfico de capa 2 (puerto o VLAN), especifique el tipo ethernet-switchingde dirección de la familia.

    • Para filtrar el tráfico de capa 3 (enrutado), especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6).

    • Para filtrar el tráfico de interfaz de circuito de capa 2, especifique el tipo cccde dirección de familia .

    El filtro y los nombres de términos pueden contener letras, números y guiones (-) y pueden tener hasta 64 caracteres de longitud. Cada nombre de filtro debe ser único. Un filtro puede contener uno o varios términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo:

    En esta configuración, el filtro coincide con los paquetes de capa 2 que contienen el puerto de origen 80.

    En esta configuración, el filtro coincide con las VLAN que contienen la interfaz ge-0/0/6.0.

    Puede especificar una o varias condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe coincidir con todas las condiciones del término. La from instrucción es opcional, pero si se incluye en un término, no se puede vaciar. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de firewall a varias interfaces y poder ver contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete coincide con todas las condiciones en ese término. Puede especificar un modificador de acción y acción:

    • Para especificar una acción de filtro, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      Solo puede especificar una acción por término (accept, discard, flood, reject, routing-instanceo vlan).

    • Para especificar una acción de filtro, por ejemplo, para inundar paquetes que coincidan con la dirección MAC en QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:

      Puede configurar los filtros de firewall basados en puertos de entrada para inundar o descartar las siguientes BPDU mediante el uso de la dirección MAC de destino como condición de coincidencia.

      Protocolos

      Dirección de control de acceso de medios de destino (DMAC)

      Acción de firewall

      Protocolo de control de agregación de vínculos (LACP)

      01:80:c2:00:00:02

      Inundación/Descarte/Recuento

      Protocolo de descubrimiento de capa de vínculo (LLDP)

      01:80:c2:00:00:0E

      Inundación/Descarte/Recuento

      Protocolo de autenticación extensible sobre LAN (EAPOL)

      01:80:c2:00:00:03

      Inundación/Descarte/Recuento

      Protocolo de árbol de expansión (STP)

      01:80:c2:00:00:00

      Inundación/Descarte/Coun

      Protocolo de árbol de expansión de VLAN (VSTP)

      01:00:0c:cc:cc:cd

      Inundación/Descarte/Recuento

      Protocolo Cisco Discovery (CDP)/Protocolo de troncalización VLAN (VTP)

      01:00:0C:cc:cc:cc

      Descartar/Contar

      ISIS L1

      01:80:c2:00:00:14

      Descartar/Contar

      ISIS L2

      01:80:c2:00:00:15

      Descartar/Contar
      Nota:

      • Los protocolos CDP/VTP, ISIS L1/L2 se inundan mediante el filtro dinámico predeterminado. Por lo tanto, no es necesario configurar filtros adicionales para estos protocolos.

      • Dado que los filtros de firewall de entrada basados en puertos se aplican a nivel de puerto, solo se puede aplicar un filtro para una interfaz física en la configuración del estilo del proveedor de servicios.

      • La VLAN nativa debe configurarse para garantizar la inundación de las BPDU sin etiqueta recibidas en el puerto de troncalización. Si la VLAN nativa no está configurada, las BPDU sin etiqueta se inundarán en todas las interfaces de la FPC local.

      • Cuando se habilita la detección de escucha de multidifusión (MLD) de IGMP, la funcionalidad de inundación no funciona.

      • Cuando se aplica el filtro de firewall con acción de inundación en una interfaz y, posteriormente, si la interfaz falla, las BPDU recibidas en esa interfaz se inundarán si cumplen las condiciones de coincidencia.

    • Para especificar modificadores de acciones, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      Puede especificar cualquiera de los modificadores de acción siguientes en una then instrucción:

      • analyzer analyzer-name— Espese el tráfico de puerto en un analizador especificado, que debe configurar en el [ethernet-switching-options] nivel.

      • count counter-name— Cuenta el número de paquetes que pasan este término de filtro.

        Nota:

        Recomendamos que configure un contador para cada término en un filtro de firewall, de modo que pueda supervisar la cantidad de paquetes que coincidan con las condiciones especificadas en cada término de filtro.

        Nota:

        En los conmutadores QFX3500 y QFX3600, los filtros cuentan automáticamente los paquetes que se han caído en la dirección de entrada debido a errores de comprobación cíclica de redundancia (CRC).

      • forwarding-class class— Asigne paquetes a una clase de reenvío.

      • log— Registre la información del encabezado del paquete en el motor de enrutamiento.

      • loss-priority priority: establece la prioridad de soltar un paquete.

      • policer policer-name: aplica una limitación de velocidad al tráfico.

      • flood: inunda los paquetes.

      • syslog— Registre una alerta para este paquete.

    Si omite la then instrucción o no especifica una acción, se aceptarán los paquetes que coincidan con todas las condiciones de la from instrucción. Pero asegúrese de configurar siempre una acción en la then instrucción. Solo puede incluir una instrucción action, pero puede usar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción su efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    La implicit discard acción aplicable a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Configuración de filtros de firewall de salida mejorados (conmutadores QFX5110 y QFX5220)

Debido a una limitación de hardware, los QFX5110 y QFX5220 solo pueden admitir un máximo de 1000 filtros de firewall de salida (eRACL). Puede aumentar este número a 2000 configurando el conmutador en modo escalado. En este modo, el conmutador usa el espacio TCAM de entrada (IFP) para lograr la escala más alta.

Para configurar el filtro de salida, especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6), el nombre del filtro y el nombre de término. Incluya la opción de escala correspondiente para el conmutador y especifique una condición de coincidencia y una acción que se deben realizar si se produce una coincidencia. Luego, aplique el filtro en la dirección de salida en la interfaz.

Después de configurar, modificar o eliminar una opción de escalabilidad, debe confirmar la configuración y el motor de reenvío de paquetes (PFE) debe reiniciarse.

Para aumentar la cantidad de filtros de salida en el QFX5110, incluya la egress-to-ingress opción en su configuración. Puede agregar esta opción bajo cualquier término. La siguiente es una configuración de ejemplo:

Para aumentar el número de filtros de salida en el QFX5220, incluya la eracl-scale opción en la egress-profile instrucción. La siguiente es una configuración de ejemplo:

Nota:

La eracl-scale opción viene configurada en modo global. Cuando se habilita, los filtros de salida existentes se reinstalan automáticamente en modo escalado.

Cuando habilite el modo escalado, se aplican estas limitaciones:

  • Solo puede aplicar un filtro en la dirección de salida (tráfico que sale de la VLAN).

  • Solo inet se admiten familias de protocolos inet6 .

  • No se admiten interfaces de encapsulación de enrutamiento genérico (GRE).

  • Utilice solo las opciones de escala para los filtros de firewall de salida.

  • No puede aplicar filtros con la misma condición de coincidencia a VLAN de salida o interfaces de capa 3 diferentes. Las únicas acciones compatibles son accept, discardy count.

  • Las condiciones de coincidencia se programan en el filtro de firewall de entrada TCAM. Esto significa que cualquier contador conectado al filtro cuenta el tráfico en cualquier VLAN entrante.

Aplicación de un filtro de firewall a un puerto

Para aplicar un filtro de firewall a un puerto:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. El nombre es el que se utiliza para aplicar el filtro al puerto.
  2. Aplique el filtro a la interfaz, especificando el número de unidad, el tipo de dirección de la familia (ethernet-switching), la dirección del filtro (para los paquetes que ingresan en el puerto) y el nombre del filtro:
    Nota:

    Solo puede aplicar un filtro a un puerto en la dirección de entrada.

Aplicación de un filtro de firewall a una VLAN

Nota:

Los filtros de firewall VLAN no son compatibles con los conmutadores QFX5100, Virtual Chassis QFX5100, QFX5110 y QFX5120 en un entorno EVPN-VXLAN.

Para aplicar un filtro de firewall a una VLAN:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. Este nombre es el que se utiliza para aplicar el filtro a la VLAN.
  2. Aplique filtros de firewall para filtrar paquetes que entran o salen de la VLAN:

    • Para aplicar un filtro que coincida con los paquetes que entran en la VLAN:

    • Para aplicar un filtro de firewall para que coincida con los paquetes que salen de la VLAN:

    Nota:

    Puede aplicar solo un filtro a una VLAN para una dirección determinada (de entrada o salida).

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a interfaces IPv4 e IPv6, interfaces VLAN enrutadas (RVI) (también conocida como interfaz de enrutamiento y puentes integrados (IRB) y la interfaz de circuito cerrado. Todas estas se consideran interfaces enrutadas de capa 3.

Nota:

(Conmutadores QFX5100 y QFX5110) En un entorno EVPN-VXLAN, puede usar una interfaz IRB para proporcionar conectividad de capa 3 al conmutador. Para configurar una interfaz IRB, consulte ejemplo: Configuración de interfaces IRB en un entorno EVPN-VXLAN para proporcionar conectividad de capa 3 para hosts en un centro de datos. A continuación, puede aplicar un filtro de firewall a la interfaz IRB siguiendo los pasos a continuación (solo se admite la dirección de entrada). Para obtener una lista de condiciones de coincidencia compatibles, consulte Condiciones y acciones de coincidencia de filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
Nota:

Cuando se aplica un filtro a una interfaz IRB asociada con una VLAN determinada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN correspondiente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.

Para aplicar un filtro de firewall a una interfaz de capa 3:

  1. Proporcione un nombre significativo y descriptivo para el filtro de firewall. Este nombre es el que se utiliza para aplicar el filtro a la interfaz.
  2. Aplique los filtros de firewall.

    • Para filtrar los paquetes que entran en la interfaz:

    • Para filtrar los paquetes que salen de la interfaz:

      El tipo de dirección de familia puede ser (inet para IPv4) o (inet6 para IPv6).

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).

Aplicación de un filtro de firewall a una CCC de capa 2 (conmutadores QFX10000)

Puede aplicar filtros de firewall con acciones de recuento y policía en el tráfico de conexión cruzada de circuito (CCC) de capa 2 en conmutadores QFX10000. Esto le permite contar y supervisar la actividad de policía establecida en el [edit firewall family ccc] nivel jerárquico.

En este ejemplo, count es la acción de policía.

En este ejemplo, discard es la acción de policía.

Temas relacionados