Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка фильтров брандмауэра для трафика портов, VLAN и маршрутизатора на коммутаторах серии EX

В данном примере показано, как настраивать и применять фильтры брандмауэра для управления трафиком, который входит или выходит из порта коммутатора, VLAN в сети и интерфейса уровня 3 на коммутаторе. Фильтры межсетевых экранов определяют правила, определяющие, нужно ли перенастраить или запретить пакеты на определенных точках обработки в поток пакетов.

Требования

В данном примере используются следующие программные и аппаратные компоненты:

  • Junos OS версии 9.0 или более поздней для коммутаторов серии EX.

  • Два Juniper Networks EX3200-48T: один для использования в качестве коммутатора доступа, другой — в качестве распределительного коммутатора.

  • Один Juniper Networks uplink модуль EX-UM-4SFP

  • Один Juniper Networks маршрутизатор серии J

Перед настройкой и применением фильтров межсетевых экранов в этом примере необходимо убедиться в том, что у вас есть:

Обзор

В этом примере конфигурации показано, как настраивать и применять фильтры брандмауэра, чтобы предоставить правила для оценки содержимого пакетов и определения, когда отбрасывать, пересылать, классифицировать, подсчитать и проанализировать пакеты, предназначенные для всех коммутаторов серии EX, которые обрабатывают все, и трафик. Показывает фильтры межсетевых экранов, настроенные для коммутаторов серии EX в этом voice-vlanemployee-vlanguest-vlanТабл. 1 примере.

Табл. 1: Компоненты конфигурации: Фильтры межсетевых экранов
Компонент Цель/описание

Фильтр межсетевых экранов портов, ingress-port-voip-class-limit-tcp-icmp

Этот фильтр межсетевых экранов выполняет две функции:

  • Назначение приоритетной очередности пакетам с исходным MAC-адрес, который соответствует MAC-адресам телефонов. Класс forwarding предоставляет низкий уровень потерь, низкую задержку, низкий джиттер, гарантированную полосу пропускания и конечное обслуживание expedited-forwarding для всего voice-vlan трафика.

  • Выполняет ограничение скорости для пакетов, которые входят в порты employee-vlan для. Скорость трафика для пакетов TCP и ICMP ограничена 1 Мбит/с, размер пакета до 30 000 bytes.

Фильтр межсетевых экранов применяется к интерфейсам портов коммутатора доступа.

Фильтр межсетевых экранов VLAN, ingress-vlan-rogue-block

Предотвращение использования злоумышленниками сеансов HTTP для имитации привратника, который управляет регистрацией, приемом и состоянием вызова для VoIP-вызовов. Следует использовать только порты TCP или UDP; и только привратник использует HTTP. То есть, весь voice-vlan трафик на TCP-портах должен быть предназначен для устройства привратника. Этот фильтр межсетевых экранов применяется ко всем телефонам на, включая связь между любыми двумя телефонами в VLAN и весь канал связи между устройством привратника voice-vlan и телефонами VLAN.

Фильтр межсетевых экранов применяется к интерфейсам VLAN на коммутаторе доступа.

Фильтр межсетевых экранов VLAN, egress-vlan-watch-employee

Принимает employee-vlan трафик, предназначенный для корпоративной подсети, но не отслеживает этот трафик. Учитывается и анализируется трафик сотрудников, направлялся в Интернет.

Фильтр межсетевых экранов применяется к интерфейсам vlan на коммутаторе доступа.

Фильтр межсетевых экранов VLAN, ingress-vlan-limit-guest

Предотвращает беседу гостей (не сотрудников) с сотрудниками или сотрудниками в employee-vlan on. Кроме того, гостевой доступ к Интернету не позволяет при помощи одноранговых приложений использовать приложения для guest-vlan одноранговых пользователей.

Фильтр межсетевых экранов применяется к интерфейсам VLAN на коммутаторе доступа.

Фильтр межсетевых экранов маршрутизатора, egress-router-corp-class

Приоритизует трафик, отдавая высший приоритет классу переадности для трафика сотрудников, предназначенного employee-vlan для корпоративной подсети.

Фильтр межсетевых экранов применяется к маршрутивованным портам (модулем каналов связи уровня 3) на распределительном коммутаторе.

Рис. 1 отображает применение на коммутаторе фильтров маршрутного межсетевых экрана, VLAN и уровня 3.

Рис. 1: Применение фильтров маршрутного межсетевых экрана портов, VLAN и 3-го уровняПрименение фильтров маршрутного межсетевых экрана портов, VLAN и 3-го уровня

Топология сети

Топология для этого примера конфигурации состоит из одного коммутатора EX-3200-48T на уровне доступа и одного коммутатора EX-3200-48T на уровне распределения. Модуль каналов связи коммутатора распределения настроен на поддержку подключения уровня 3 к маршрутизатору серии J.

Коммутаторы серии EX настроены для поддержки членства в VLAN. Табл. 2 отображает компоненты конфигурации VLAN для этих VLAN.

Табл. 2: Компоненты конфигурации: Vlans

Имя сети VLAN

VLAN ID

Подсеть VLAN и доступные IP-адреса

Описание VLAN

voice-vlan

10

192.0.2.0/28 192.0.2.1 Через 192.0.2.14

192.0.2.15 это широковещательный адрес подсети

Голосовая VLAN, используемая для трафика VoIP сотрудника

employee-vlan

20

192.0.2.16/28 192.0.2.17 через 192.0.2.30 192.0.2.31 широковещательный адрес подсети

VLAN автономные ПК, ПК, подключенные к сети через концентратор voIP-телефонов, точек беспроводного доступа и принтеров. Эта VLAN полностью включает голосовую VLAN. Две сети VLANs и) должны (voice-vlanemployee-vlan быть настроены на портах, подключенных к телефонам.

guest-vlan

30

192.0.2.32/28 192.0.2.33 через 192.0.2.46 192.0.2.47 широковещательный адрес подсети

VLAN для гостевых устройств передачи данных (ПК). В сценарии предполагается, что у компании есть область, открытая для посетителей в фойе или конференц-зале, где есть концентратор, к которому посетители могут подключить свои ПК для подключения к Интернету и к VPN своей компании.

camera-vlan

40

192.0.2.48/28 192.0.2.49 через 192.0.2.62 192.0.2.63 широковещательный адрес подсети

VLAN для корпоративных камер безопасности.

Порты коммутаторов серии EX поддерживают питание через Ethernet (PoE) для обеспечения сетевого соединения и питания voIP-телефонов, подключающихся к портам. показывает порты коммутатора, присвоенные VLANs, а также IP-адреса и MAC-адреса устройств, Табл. 3 подключенных к портам коммутатора:

Табл. 3: Компоненты конфигурации: Порты коммутатора на 48-портовом PoE коммутаторе

Номер коммутатора и порта

Членство в VLAN

IP- и MAC-адреса

Устройства портов

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP-адреса: 192.0.2.1 Через 192.0.2.2

MAC-адреса: 00.00.5E.00.53.01, 00.00.5E.00.53.02

Два VoIP-телефона, каждый из которых подключен к одному ПК.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 Через 192.0.2.18

принтер, точки беспроводного доступа

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 Через 192.0.2.35

Два концентратора, в которые посетители могут подключить свои ПК. Концентраторы расположены в области, открытой для посетителей, например в вестибюле или конференц-зале

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 Через 192.0.2.50

Две камеры безопасности

ge-0/0/9

voice-vlan

IP-адрес: 192.0.2.14

MAC-адрес:00.05.5E.00.53.0E

Устройство привратника. Привратник управляет регистрацией, приемом и состоянием вызова для VoIP-телефонов.

ge-0/1/0

IP-адрес: 192.0.2.65

подключение уровня 3 к маршрутизатору; обратите внимание, что это порт в модуле коммутатора, который находится в модуле отключателя

Настройка фильтра межсетевых экранов в пределах веского порта для приоритета голосового трафика и ограничения скорости трафика TCP и ICMP

Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить и применить фильтр брандмауэра порта для приоритета голосового трафика и пакетов с ограничением скорости, предназначенных для подсети, скопируйте следующие команды и вставить их в окно терминала employee-vlan коммутатора:

Пошаговая процедура

Для настройки и применения фильтра брандмауэра порта для приоритизации голосового трафика и пакетов с ограничением скорости, предназначенных для employee-vlan подсети:

  1. Определите органы, которые tcp-connection-policer определяют право на процес icmp-connection-policer и:

  2. Определение фильтра межсетевых ingress-port-voip-class-limit-tcp-icmp экранов:

  3. Определить voip-high термин:

  4. Определить network-control термин:

  5. Определение термина настройки tcp-connection ограничений скорости для TCP-трафика:

  6. Определить термин для icmp-connection настройки ограничений скорости трафика ICMP:

  7. Определите термин без условий совпадения для неявного совпадения со всеми пакетами, несогласованными ни с любым другим термином best-effort фильтра межсетевых экранов:

  8. Примените фильтр межсетевых экранов в ingress-port-voip-class-limit-tcp-icmp качестве входного фильтра к интерфейсам портов employee-vlan для:

  9. Настройте нужные параметры для различных планеров.

    Прим.:

    При настройке параметров для планаторов определите номера, которые будут соответствовать шаблонам сетевого трафика.

  10. Назначьте классы переадрикании планировщикам с картой планировки:

  11. Связывание карты планировщика с исходя большим интерфейсом:

Результаты

Отобразить результаты настройки:

Настройка фильтра взламываемой межсетевой экран VLAN для предотвращения нарушения трафика VoIP злоумышленниками

Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить фильтр межсетевых экранов VLAN, чтобы не допустить использования злоумышленниками сеансов HTTP для имитации привратника, которое управляет voIP-трафиком, скопируйте следующие команды и вденьйте их в окно терминала voice-vlan коммутатора:

Пошаговая процедура

Для настройки и применения фильтра брандмауэра VLAN для предотвращения использования злоумышленниками HTTP для имитации привратника, который voice-vlan управляет voIP-трафиком:

  1. Определите фильтр брандмауэра, чтобы указать соответствие фильтра в трафике, который необходимо ingress-vlan-rogue-block разрешить и ограничить:

  2. Определите термин to-gatekeeper для принятие пакетов, совпадают с IP-адресом назначения привратника:

  3. Определите термин from-gatekeeper прием пакетов, совпадают с исходным IP-адресом привратника:

  4. Определите термин, not-gatekeeper гарантируя, что весь voice-vlan трафик на TCP-портах будет предназначен для устройства привратника:

  5. Применение фильтра межсетевых экранов в качестве входного ingress-vlan-rogue-block фильтра к интерфейсу VLAN для voIP-телефонов:

Результаты

Отобразить результаты настройки:

Настройка фильтра брандмауэра VLAN для подсчета, мониторинга и анализа выпадащего трафика на employee VLAN

Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Фильтр межсетевых экранов настраивается и применяется к интерфейсам VLAN для фильтрации employee-vlan выпадаго трафика. Трафик сотрудников, предназначенный для корпоративной подсети, принимается, но не отслеживается. Учитывается и анализируется трафик сотрудников, направлялся в Интернет.

Чтобы быстро настроить и применить фильтр межсетевых экранов VLAN, скопируйте следующие команды и внесите их в окно терминала коммутатора:

Пошаговая процедура

Для настройки и применения фильтра межсетевых экранов порта для подсчета и анализа трафика, employee-vlan предназначенного для Сети:

  1. Определение фильтра межсетевых egress-vlan-watch-employee экранов:

  2. Определите термин employee-to-corp "принять, но не контролировать весь employee-vlan трафик, предназначенный для корпоративной подсети":

  3. Определить термин employee-to-web подсчитывать и отслеживать весь employee-vlan трафик, предназначенный для Интернета:

  4. Применение фильтра межсетевых экранов в качестве фильтра вывода egress-vlan-watch-employee к интерфейсам портов voIP-телефонов:

Результаты

Отобразить результаты настройки:

Настройка фильтра межсетевых экранов VLAN для ограничения гостевого трафика и одноранговых приложений на гостевой VLAN

Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

В следующем примере первый термин фильтра разрешает гостю общаться с другими гостями, но не employee-vlan сотрудниками. Второй термин фильтра разрешает гостевых гостей доступ к Веб-сайтам, но не позволяет им использовать одноранговых приложений guest-vlan on.

Чтобы быстро настроить фильтр межсетевых экранов VLAN для ограничения гостевого трафика для сотрудников, заблокируйте для гостей разговор с сотрудниками или сотрудниками хостов или попытки использовать одноранговые приложения на, скопировать следующие команды и вкопировать их в окно терминала employee-vlanguest-vlan коммутатора:

Пошаговая процедура

Чтобы настроить и применить фильтр межсетевых экранов VLAN, чтобы ограничить гостевой трафик и одноранговые приложения guest-vlan на:

  1. Определение фильтра межсетевых ingress-vlan-limit-guest экранов:

  2. Определите термин, который позволяет гостевых гостям общаться с другими guest-to-guestguest-vlan гостями, но не сотрудниками employee-vlan в:

  3. Определите термин, позволяющий гостеву получать доступ через Интернет, но не позволяйте им использовать одноранговых приложений no-guest-employee-no-peer-to-peerguest-vlan на guest-vlan сервере.

    Прим.:

    Шлюз по умолчанию, который для любого destination-mac-address хоста в VLAN является маршрутизатором следующего перехода.

  4. Применение фильтра межсетевых экранов в ingress-vlan-limit-guest качестве входного фильтра к интерфейсу guest-vlan для:

Результаты

Отобразить результаты настройки:

Настройка фильтра межсетевых экранов маршрутизатора для приоритизации трафика, предназначенного для корпоративной подсети

Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:

Процедуры

интерфейс командной строки быстрой конфигурации

Для быстрой настройки фильтра межсетевых экранов для маршрутизируемых портов (модуль отгрузки уровня 3) для фильтрации трафика, предоставляя наивысший приоритет класса переад доступа трафику, предназначенном для корпоративной подсети, скопируйте следующие команды и вставить их в окно терминала employee-vlan коммутатора:

Пошаговая процедура

Для настройки и применения фильтра брандмауэра к маршрутизируется порту (модуль uplink уровня 3), чтобы отдать высший приоритет трафику, предназначенного для корпоративной employee-vlan подсети:

  1. Определение фильтра межсетевых egress-router-corp-class экранов:

  2. Определить corp-expedite термин:

  3. Определить not-to-corp термин:

  4. Применение фильтра брандмауэра в качестве фильтра выходных данных для порта на модуле коммутатора с подключением к маршрутизатору на уровне egress-router-corp-class 3:

Результаты

Отобразить результаты настройки:

Проверки

Чтобы подтвердить, что фильтры межсетевых экранов работают должным образом, выполните следующие задачи:

Проверка работы фильтров и фильтров брандмауэра

Цель

Проверьте операционное состояние фильтров и ловулов межсетевых экранов, настроенных на коммутаторе.

Действий

Используйте команду operational mode:

Смысл

Эта show firewall команда отображает имена фильтров межсетевых экранов, policers и счетчиков, настроенных на коммутаторе. Поля выходных данных показывают байт и счетчик пакетов для всех настроенных счетчиков и счетчик пакетов для всех ловучек.

Проверка работы планеров и карт планировщика

Цель

Убедитесь, что планаторы и схемы-планиры работают на коммутаторе.

Действий

Используйте команду operational mode:

Смысл

Отображение статистики по настроенным планирым и планиры-картам.