Configuración de filtros de firewall
Siga los pasos de las secciones siguientes para configurar y aplicar un filtro de firewall en el conmutador.
Configuración de un filtro de firewall
Para configurar un filtro de firewall:
Configuración de filtros de firewall de salida mejorados (conmutadores QFX5110 y QFX5220 )
Debido a una limitación de hardware, los conmutadores QFX5110 y QFX5220 sólo pueden admitir un máximo de 1000 filtros de firewall de salida (eRACL). Puede aumentar este número a 2000, configurando el conmutador en modo escalado. En este modo, el conmutador utiliza el espacio TCAM de entrada (IFP) para lograr la escala más alta.
Para configurar el filtro de salida, especifique el tipo de dirección de familia (inet
para IPv4) o (inet6
para IPv6), el nombre del filtro y el nombre del término. Incluya la opción de escala aplicable para el conmutador y especifique una condición de coincidencia y la acción que se debe realizar si se produce una coincidencia. A continuación, aplique el filtro en la dirección de salida en la interfaz.
Después de configurar, modificar o eliminar una opción de escalado, debe confirmar la configuración y reiniciar el motor de reenvío de paquetes (PFE).
Para aumentar el número de filtros de salida en el QFX5110, incluya la opción en su egress-to-ingress
configuración. Puede agregar esta opción bajo cualquier término. A continuación se muestra un ejemplo de configuración:
set firewall family inet filter f1 term t1 from egress-to-ingress set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
Para aumentar el número de filtros de salida en el QFX5220, incluya la eracl-scale
opción debajo de la egress-profile
instrucción. A continuación se muestra un ejemplo de configuración:
La eracl-scale
opción viene configurada en modo global. Cuando están habilitados, los filtros de salida existentes se reinstalarán automáticamente en modo escalado.
set system packet-forwarding-options firewall eracl-profile eracl-scale set firewall family inet filter f1 term t1 from source-port 1500 set firewall family inet filter f1 term t1 then accept set interfaces irb unit 100 family inet filter output f1
Cuando habilita el modo escalado, se aplican estas limitaciones:
-
Solo puede aplicar un filtro en la dirección de salida (tráfico que sale de la VLAN).
-
Solo
inet
se admiten familias deinet6
protocolos. -
No se admiten interfaces de encapsulación de enrutamiento genérico (GRE).
-
Utilice únicamente las opciones de escala para los filtros de firewall de salida.
-
No puede aplicar filtros con la misma condición de coincidencia a VLAN de salida o interfaces de capa 3 diferentes. Las únicas acciones admitidas son
accept
,discard
, ycount
. -
Las condiciones de coincidencia se programan en el filtro TCAM del firewall de entrada. Esto significa que cualquier contador conectado al filtro cuenta el tráfico en cualquier VLAN entrante.
Aplicación de un filtro de firewall a un puerto
Para aplicar un filtro de firewall a un puerto:
Aplicación de un filtro de firewall a una VLAN
Los filtros de firewall VLAN no son compatibles con conmutadores QFX5100, QFX5100 Virtual Chassis, QFX5110 y QFX5120 en un entorno EVPN-VXLAN.
Para aplicar un filtro de firewall a una VLAN:
Aplicación de un filtro de firewall a una interfaz de capa 3 (enrutada)
Puede aplicar un filtro de firewall a las interfaces IPv4 e IPv6, a las interfaces VLAN enrutadas (RVI) (también conocidas como interfaz de enrutamiento y puente integrados (IRB)) y a la interfaz de circuito cerrado. Todas estas se consideran interfaces enrutadas de capa 3.
(Conmutadores QFX5100 y QFX5110) En un entorno EVPN-VXLAN, puede utilizar una interfaz IRB para proporcionar conectividad de capa 3 al conmutador. Para configurar una interfaz IRB, consulte Ejemplo: Configuración de interfaces IRB en un entorno EVPN-VXLAN para proporcionar conectividad de capa 3 para hosts en un centro de datos. A continuación, puede aplicar un filtro de firewall a la interfaz IRB siguiendo los pasos que se indican a continuación (solo se admite la dirección de entrada). Para obtener una lista de las condiciones de coincidencia admitidas, consulte Condiciones y acciones de coincidencia del filtro de firewall (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
Cuando se aplica un filtro a una interfaz IRB asociada a una VLAN determinada, el filtro se ejecuta en cualquier interfaz de capa 3 con un ID de VLAN coincidente. Esto se debe a que el filtro coincide en todas las interfaces de capa 3 con la etiqueta VLAN correspondiente.
Para aplicar un filtro de firewall a una interfaz de capa 3:
Aplicación de un filtro de firewall a un CCC de capa 2 (conmutadores QFX10000)
Puede aplicar filtros de firewall con acciones de recuento y vigilancia en el tráfico de conexión cruzada de circuito (CCC) de capa 2 en conmutadores QFX10000. Esto le permite contar y supervisar la actividad de policía establecida en el nivel jerárquico [edit firewall family ccc]
.
En este ejemplo, count
es la acción policial.
set firewall policer traffic-cnt if-exceeding bandwidth-limit 1g set firewall policer traffic-cnt if-exceeding burst-size-limit 100m set firewall policer traffic-cnt then loss-priority low set firewall family ccc filter srTCM-cnt term t1 then policer traffic-cnt set firewall family ccc filter srTCM-cnt term t1 then count traffic-counter
En este ejemplo, discard
es la acción policial.
set firewall policer discard-traffic if-exceeding bandwidth-limit 1g set firewall policer discard-traffic if-exceeding burst-size-limit 500m set firewall policer discard-traffic then discard set firewall family ccc filter srTCM1 term t1 then policer discard-traffic