Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de filtros de firewall

Siga los pasos de las secciones siguientes para configurar y aplicar un filtro de firewall en el conmutador.

Configuración de un filtro de firewall

Para configurar un filtro de firewall:

  1. Configure el tipo de dirección de familia, el nombre de filtro, el nombre del término y al menos una condición de coincidencia; por ejemplo, hacer coincidir en paquetes que contengan una dirección de origen específica.
    • Para filtrar el tráfico de capa 2 (puerto o VLAN), especifique el tipo ethernet-switchingde dirección de familia .

    • Para filtrar el tráfico de capa 3 (enrutado), especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6).

    • Para filtrar el tráfico de interfaz de circuito de capa 2, especifique el tipo cccde dirección de familia .

    El filtro y los nombres de términos pueden contener letras, números y guiones (-) y pueden tener hasta 64 caracteres. Cada nombre de filtro debe ser único. Un filtro puede contener uno o más términos, y cada nombre de término debe ser único dentro de un filtro.

  2. Configure condiciones de coincidencia adicionales. Por ejemplo:

    En esta configuración, el filtro coincide con los paquetes de capa 2 que contienen el puerto de origen 80.

    En esta configuración, el filtro coincide en VLAN que contienen la interfaz ge-0/0/6.0.

    Puede especificar una o más condiciones de coincidencia en una sola from instrucción. Para que se produzca una coincidencia, el paquete debe cumplir todas las condiciones del término. La from instrucción es opcional, pero si la incluye en un término, no puede estar vacía. Si omite la from instrucción, se considera que todos los paquetes coinciden.

  3. Si desea aplicar un filtro de firewall a varias interfaces y poder ver contadores específicos de cada interfaz, configure la interface-specific opción:
  4. En cada término de filtro de firewall, especifique las acciones que se deben realizar si el paquete cumple todas las condiciones de ese término. Puede especificar una acción y modificadores de acción:
    • Para especificar una acción de filtrado, por ejemplo, para descartar paquetes que coincidan con las condiciones del término de filtro:

      Sólo puede especificar una acción por término (accept, discard, flood, rejectrouting-instance, , o vlan).

    • Para especificar una acción de filtrado, por ejemplo, para inundar paquetes que coincidan con la dirección MAC en QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:

      Puede configurar los filtros de firewall basados en puertos de entrada para inundar o descartar las siguientes BPDU utilizando la dirección MAC de destino como condición de coincidencia.

      Protocolos

      Dirección del control de acceso a medios de destino (DMAC)

      Acción de firewall

      Protocolo de control de agregación de vínculos (LACP)

      01:80:C2:00:00:02

      Inundación/Descarte/Conteo

      Protocolo de descubrimiento de capa de vínculo (LLDP)

      01:80:C2:00:00:0E

      Inundación/Descarte/Conteo

      Protocolo de autenticación extensible a través de LAN (EAPOL)

      01:80:C2:00:00:03

      Inundación/Descarte/Conteo

      Protocolo de árbol de expansión (STP)

      01:80:C2:00:00:00

      Inundación/Descarte/Coun

      Protocolo de árbol de expansión de VLAN (VSTP)

      01:00:0C:CC:CC:CD

      Inundación/Descarte/Conteo

      Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)

      01:00:0C:cc:cc:cc

      Descartar/Contar

      ISIS L1

      01:80:C2:00:00:14

      Descartar/Contar

      ISIS L2

      01:80:C2:00:00:15

      Descartar/Contar

      Nota:
      • Los protocolos CDP/VTP, ISIS L1/L2 se inundan mediante el filtro dinámico predeterminado. Por lo tanto, no es necesario configurar filtros adicionales para estos protocolos.

      • Como los filtros de firewall basados en puertos de entrada se aplican a nivel de puerto, solo se puede aplicar un filtro para una interfaz física en la configuración de estilo de proveedor de servicios.

      • La VLAN nativa debe configurarse para garantizar la inundación de las BPDU sin etiquetar recibidas en el puerto de troncalización. Si la VLAN nativa no está configurada, las BPDU sin etiquetar se inundarán en todas las interfaces del FPC local.

      • Cuando la supervisión IGMP o la supervisión de escucha de multidifusión (MLD) está habilitada, la funcionalidad de inundación no funciona.

      • Cuando se aplica el filtro de firewall con acción de inundación en una interfaz y, posteriormente, si la interfaz deja de funcionar, las BPDU recibidas en esa interfaz se inundarán si cumple las condiciones de coincidencia.

    • Para especificar modificadores de acción, por ejemplo, para contar y clasificar paquetes en una clase de reenvío:

      Puede especificar cualquiera de los siguientes modificadores de acción en una then instrucción:

      • analyzer analyzer-name: refleja el tráfico del puerto a un analizador especificado, que debe configurar en el [ethernet-switching-options] nivel.

      • count counter-name: cuente el número de paquetes que pasan este término de filtro.

        Nota:

        Se recomienda configurar un contador para cada término en un filtro de firewall, de modo que pueda supervisar el número de paquetes que coinciden con las condiciones especificadas en cada término de filtro.

        Nota:

        En los conmutadores QFX3500 y QFX3600, los filtros cuentan automáticamente los paquetes que se cayeron en la dirección de entrada debido a errores de comprobación de redundancia cíclica (CRC).

      • forwarding-class class: asigna paquetes a una clase de reenvío.

      • log: registra la información del encabezado del paquete en el motor de enrutamiento.

      • loss-priority priority: establezca la prioridad de destituir un paquete.

      • policer policer-name: aplica limitación de velocidad al tráfico.

      • flood: inunde los paquetes.

      • syslog: registre una alerta para este paquete.

    Si omite la then instrucción o no especifica una acción, se aceptarán paquetes que coincidan con todas las condiciones de la from instrucción. Pero asegúrese de configurar siempre una acción en la then instrucción. Sólo puede incluir una instrucción action, pero puede utilizar cualquier combinación de modificadores de acción. Para que una acción o modificador de acción surta efecto, todas las condiciones de la from instrucción deben coincidir.

    Nota:

    Acción implicit discard aplicable a un filtro de firewall aplicado a la interfaz de circuito cerrado, lo0.

Configuración de filtros de firewall de salida mejorados (conmutadores QFX5110 y QFX5220 )

Debido a una limitación de hardware, los conmutadores QFX5110 y QFX5220 sólo pueden admitir un máximo de 1000 filtros de firewall de salida (eRACL). Puede aumentar este número a 2000, configurando el conmutador en modo escalado. En este modo, el conmutador utiliza el espacio TCAM de entrada (IFP) para lograr la escala más alta.

Para configurar el filtro de salida, especifique el tipo de dirección de familia (inet para IPv4) o (inet6 para IPv6), el nombre del filtro y el nombre del término. Incluya la opción de escala aplicable para el conmutador y especifique una condición de coincidencia y la acción que se debe realizar si se produce una coincidencia. A continuación, aplique el filtro en la dirección de salida en la interfaz.

Después de configurar, modificar o eliminar una opción de escalado, debe confirmar la configuración y reiniciar el motor de reenvío de paquetes (PFE).

Para aumentar el número de filtros de salida en el QFX5110, incluya la opción en su egress-to-ingress configuración. Puede agregar esta opción bajo cualquier término. A continuación se muestra un ejemplo de configuración:

Para aumentar el número de filtros de salida en el QFX5220, incluya la eracl-scale opción debajo de la egress-profile instrucción. A continuación se muestra un ejemplo de configuración:

Nota:

La eracl-scale opción viene configurada en modo global. Cuando están habilitados, los filtros de salida existentes se reinstalarán automáticamente en modo escalado.

Cuando habilita el modo escalado, se aplican estas limitaciones:

  • Solo puede aplicar un filtro en la dirección de salida (tráfico que sale de la VLAN).

  • Solo inet se admiten familias de inet6 protocolos.

  • No se admiten interfaces de encapsulación de enrutamiento genérico (GRE).

  • Utilice únicamente las opciones de escala para los filtros de firewall de salida.

  • No puede aplicar filtros con la misma condición de coincidencia a VLAN de salida o interfaces de capa 3 diferentes. Las únicas acciones admitidas son accept, discard, y count.

  • Las condiciones de coincidencia se programan en el filtro TCAM del firewall de entrada. Esto significa que cualquier contador conectado al filtro cuenta el tráfico en cualquier VLAN entrante.

Aplicación de un filtro de firewall a un puerto

Para aplicar un filtro de firewall a un puerto:

  1. Proporcione un nombre descriptivo y significativo para el filtro de firewall. El nombre es lo que se utiliza para aplicar el filtro al puerto.
  2. Aplique el filtro a la interfaz, especificando el número de unidad, el tipo de dirección de familia (ethernet-switching), la dirección del filtro (para los paquetes que entran en el puerto) y el nombre del filtro:
    Nota:

    Solo puede aplicar un filtro a un puerto en la dirección de entrada.

Aplicación de un filtro de firewall a una VLAN

Nota:

Los filtros de firewall VLAN no son compatibles con conmutadores QFX5100, QFX5100 Virtual Chassis, QFX5110 y QFX5120 en un entorno EVPN-VXLAN.

Para aplicar un filtro de firewall a una VLAN:

  1. Proporcione un nombre descriptivo y significativo para el filtro de firewall. Este nombre es lo que se utiliza para aplicar el filtro a la VLAN.
  2. Aplique filtros de firewall a los paquetes de filtro que entran o salen de la VLAN:
    • Para aplicar un filtro para que coincida con los paquetes que entran en la VLAN:

    • Para aplicar un filtro de firewall que coincida con los paquetes que salen de la VLAN:

    Nota:

    Solo puede aplicar un filtro a una VLAN para una dirección determinada (entrada o salida).

Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)

Puede aplicar un filtro de firewall a las interfaces IPv4 e IPv6, a las interfaces VLAN enrutadas (RVI) (también conocidas como interfaz de enrutamiento y puente integrados (IRB)) y a la interfaz de circuito cerrado. Todas estas se consideran interfaces enrutadas de capa 3.

Nota:

(Conmutadores QFX5100 y QFX5110) En un entorno EVPN-VXLAN, puede utilizar una interfaz IRB para proporcionar conectividad de capa 3 al conmutador. Para configurar una interfaz IRB, consulte Ejemplo: Configuración de interfaces IRB en un entorno EVPN-VXLAN para proporcionar conectividad de capa 3 para hosts en un centro de datos. A continuación, puede aplicar un filtro de firewall a la interfaz IRB siguiendo los pasos que se indican a continuación (solo se admite la dirección de entrada). Para obtener una lista de las condiciones de coincidencia admitidas, consulte Condiciones y acciones de coincidencia del filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).

Nota:

Cuando se aplica un filtro a una interfaz IRB asociada a una VLAN determinada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.

Para aplicar un filtro de firewall a una interfaz de capa 3:

  1. Proporcione un nombre descriptivo y significativo para el filtro de firewall. Este nombre es el que se utiliza para aplicar el filtro a la interfaz.
  2. Aplique los filtros del firewall.
    • Para filtrar paquetes que ingresan a la interfaz:

    • Para filtrar paquetes que salen de la interfaz:

      El tipo de dirección de familia puede ser (inet para IPv4) o (inet6 para IPv6).

    Nota:

    Solo puede aplicar un filtro a una interfaz para una dirección determinada (entrada o salida).

Aplicación de un filtro de firewall a un CCC de capa 2 (conmutadores QFX10000)

Puede aplicar filtros de firewall con acciones de recuento y vigilancia en el tráfico de conexión cruzada de circuito (CCC) de capa 2 en conmutadores QFX10000. Esto le permite contar y supervisar la actividad de policía establecida en el nivel jerárquico [edit firewall family ccc] .

En este ejemplo, count es la acción policial.

En este ejemplo, discard es la acción policial.