Nesta página
Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX
Este exemplo mostra como configurar e aplicar filtros de firewall para controlar o tráfego que está entrando ou saindo de uma porta no switch, uma VLAN na rede e uma interface de Camada 3 no switch. Os filtros de firewall definem as regras que determinam se encaminham ou negam pacotes em pontos de processamento específicos no fluxo de pacotes.
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Junos OS Versão 9.0 ou posterior para switches da Série EX.
Dois switches EX3200-48T da Juniper Networks: um para ser usado como um switch de acesso, o outro para ser usado como um switch de distribuição
Um módulo de uplink EX-UM-4SFP da Juniper Networks
Um roteador da série J da Juniper Networks
Antes de configurar e aplicar os filtros de firewall neste exemplo, certifique-se de ter:
Uma compreensão dos conceitos de filtro de firewall, policiais e CoS
Instalou o módulo de uplink no switch de distribuição. Veja a instalação de um módulo uplink em um switch EX3200.
Visão geral
Este exemplo de configuração mostra como configurar e aplicar filtros de firewall para fornecer regras para avaliar o conteúdo dos pacotes e determinar quando descartar, encaminhar, classificar, contar e analisar pacotes destinados ou originados dos switches da Série EX que lidam com todos voice-vlan, employee-vlane guest-vlan o tráfego Tabela 1 mostra os filtros de firewall que estão configurados para os switches da Série EX neste exemplo.
| Componente | Finalidade/descrição |
|---|---|
Filtro de firewall de porta, |
Este filtro de firewall executa duas funções:
Este filtro de firewall é aplicado a interfaces de porta no switch de acesso. |
Filtro de firewall VLAN, |
Impede que dispositivos desonestos usem sessões de HTTP para imitar o dispositivo gatekeeper que gerencia o registro de chamadas, admissão e status de chamadas para chamadas VoIP. Somente as portas TCP ou UDP devem ser usadas; e apenas o gatekeeper usa HTTP. Ou seja, todo o Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso. |
Filtro de firewall VLAN, |
Este filtro de firewall é aplicado a interfaces vlan no switch de acesso. |
Filtro de firewall VLAN, |
Impede que os hóspedes (não funcionários) conversem com funcionários ou funcionários. Este filtro de firewall é aplicado às interfaces VLAN no switch de acesso. |
Filtro de firewall de roteador, |
Este filtro de firewall é aplicado a uma porta roteada (módulo de uplink de Camada 3) no switch de distribuição. |
Figura 1 mostra a aplicação de filtros de firewall roteado de porta, VLAN e Camada 3 no switch.
Topologia de rede
A topologia para este exemplo de configuração consiste em um switch EX-3200-48T na camada de acesso e um switch EX-3200-48T na camada de distribuição. O módulo de uplink do switch de distribuição está configurado para oferecer suporte a uma conexão de Camada 3 a um roteador da série J.
Os switches da Série EX estão configurados para oferecer suporte à associação VLAN. Tabela 2 mostra os componentes de configuração de VLAN para as VLANs.
Nome da VLAN |
VLAN ID |
Sub-rede VLAN e endereços IP disponíveis |
Descrição do VLAN |
|---|---|---|---|
|
|
|
VLAN de voz usado para tráfego VoIP de funcionários |
|
|
|
PCs independentes de VLAN, PCs conectados à rede através do hub em telefones VoIP, pontos de acesso sem fio e impressoras. Esta VLAN inclui completamente a VLAN de voz. Duas VLANs |
|
|
|
VLAN para dispositivos de dados (PCs) dos hóspedes. O cenário pressupõe que a corporação tenha uma área aberta aos visitantes, seja no saguão ou em uma sala de conferência, que tenha um hub ao qual os visitantes podem conectar seus PCs para se conectar à Web e à VPN de sua empresa. |
|
|
|
VLAN para as câmeras de segurança corporativas. |
As portas dos switches da Série EX oferecem suporte ao Power over Ethernet (PoE) para fornecer conectividade de rede e energia para telefones VoIP conectados às portas. Tabela 3 mostra as portas do switch que são atribuídas às VLANs e aos endereços IP e MAC para dispositivos conectados às portas do switch:
Switch e número de porta |
Associação de VLAN |
Endereços IP e MAC |
Dispositivos de porta |
|---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
Endereços IP: Endereços MAC: |
Dois telefones VoIP, cada um conectado a um PC. |
ge-0/0/2, ge-0/0/3 |
|
|
Impressora, pontos de acesso sem fio |
ge-0/0/4, ge-0/0/5 |
|
|
Dois hubs nos quais os visitantes podem conectar seus PCs. Os hubs estão localizados em uma área aberta aos visitantes, como um lobby ou uma sala de conferências |
ge-0/0/6, ge-0/0/7 |
|
|
Duas câmeras de segurança |
ge-0/0/9 |
|
Endereço IP: Endereço MAC: |
Dispositivo gatekeeper. O gatekeeper gerencia o registro de chamadas, admissão e status de chamadas para telefones VoIP. |
ge-0/1/0 |
Endereço IP: |
Conexão de camada 3 a um roteador; observe que esta é uma porta no módulo de uplink do switch |
Configuração de um filtro de firewall de porta de entrada para priorizar o tráfego de voz e o tráfego TCP e ICMP de limite de taxa
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar e aplicar rapidamente um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan sub-rede, copiar os seguintes comandos e cole-os na janela do terminal do switch:
[edit]
set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer tcp-connection-policer then discard
set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m
set firewall policer icmp-connection-policer then discard
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort
set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high
set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"
set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
set class-of-service schedulers voice-high buffer-size percent 15
set class-of-service schedulers voice-high priority high
set class-of-service schedulers net-control buffer-size percent 10
set class-of-service schedulers net-control priority high
set class-of-service schedulers best-effort buffer-size percent 75
set class-of-service schedulers best-effort priority low
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control
set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort Procedimento passo a passo
Configurar e aplicar um filtro de firewall de porta para priorizar o tráfego de voz e pacotes de limite de taxa destinados à employee-vlan sub-rede:
Definir os policiais
tcp-connection-policereicmp-connection-policer:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
Definir o filtro
ingress-port-voip-class-limit-tcp-icmpde firewall:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
Definir o termo
voip-high:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
Definir o termo
network-control:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
Definir o termo
tcp-connectionpara configurar limites de taxa para tráfego TCP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
Definir o termo
icmp-connectionpara configurar limites de taxa para tráfego ICMP:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
Definir o termo
best-effortsem condições de correspondência para uma correspondência implícita em todos os pacotes que não correspondam a nenhum outro termo no filtro de firewall:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
Aplique o filtro
ingress-port-voip-class-limit-tcp-icmpde firewall como filtro de entrada nas interfaces de porta paraemployee-vlan:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
Configure os parâmetros desejados para os diferentes agendadores.
Nota:Ao configurar parâmetros para os agendadores, defina os números para combinar com os padrões de tráfego de sua rede.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
Atribua as aulas de encaminhamento aos agendadores com um mapa do agendador:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
Associe o mapa do agendador com a interface de saída:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
Resultados
Exibir os resultados da configuração:
user@switch# show
firewall {
policer tcp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
policer icmp-connection-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 30k;
}
then {
discard;
}
}
family ethernet-switching {
filter ingress-port-voip-class-limit-tcp-icmp {
term voip-high {
from {
destination-mac-address 00.00.5E.00.53.01;
destination-mac-address 00.00.5E.00.53.02;
protocol udp;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term network-control {
from {
precedence net-control ;
}
then {
forwarding-class network-control;
loss-priority low;
}
}
term tcp-connection {
from {
destination-address 192.0.2.16/28;
protocol tcp;
}
then {
policer tcp-connection-policer;
count tcp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term icmp-connection
from {
protocol icmp;
}
then {
policer icmp-connection-policer;
count icmp-counter;
forwarding-class best-effort;
loss-priority high;
}
}
term best-effort {
then {
forwarding-class best-effort;
loss-priority high;
}
}
}
}
}
interfaces {
ge-0/0/0 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
ge-0/0/1 {
description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port";
unit 0 {
family ethernet-switching {
filter {
input ingress-port-voip-class-limit-tcp-icmp;
}
}
}
}
}
scheduler-maps {
ethernet-diffsrv-cos-map {
forwarding-class expedited-forwarding scheduler voice-high;
forwarding-class network-control scheduler net-control;
forwarding-class best-effort scheduler best-effort;
}
}
interfaces {
ge/0/1/0 {
scheduler-map ethernet-diffsrv-cos-map;
}
}
Configuração de um filtro de firewall de entrada VLAN para evitar que dispositivos desonestos interrompam o tráfego voIP
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um filtro voice-vlan de firewall VLAN para evitar que dispositivos desonestos usem sessões DE HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit]
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter
set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard
set vlans voice-vlan description "block rogue devices on voice-vlan"
set vlans voice-vlan filter input ingress-vlan-rogue-block Procedimento passo a passo
Configurar e aplicar um filtro voice-vlan de firewall VLAN para evitar que dispositivos desonestos usem HTTP para imitar o dispositivo gatekeeper que gerencia o tráfego VoIP:
Defina o filtro
ingress-vlan-rogue-blockde firewall para especificar a correspondência de filtros no tráfego que você deseja permitir e restringir:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
Definir o termo
to-gatekeeperpara aceitar pacotes compatíveis com o endereço IP de destino do gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
Definir o termo
from-gatekeeperpara aceitar pacotes compatíveis com o endereço IP de origem do gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
Defina o termo
not-gatekeeperpara garantir que todo ovoice-vlantráfego nas portas TCP seja destinado ao dispositivo gatekeeper:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
Aplique o filtro
ingress-vlan-rogue-blockde firewall como filtro de entrada na interface VLAN para os telefones VoIP:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
Resultados
Exibir os resultados da configuração:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-rogue-block {
term to-gatekeeper {
from {
destination-address 192.0.2.14/32
destination-port 80;
}
then {
accept;
}
}
term from-gatekeeper {
from {
source-address 192.0.2.14/32
source-port 80;
}
then {
accept;
}
}
term not-gatekeeper {
from {
destination-port 80;
}
then {
count rogue-counter;
discard;
}
}
}
vlans {
voice-vlan {
description "block rogue devices on voice-vlan";
filter {
input ingress-vlan-rogue-block;
}
}
}
Configurando um filtro de firewall VLAN para contar, monitorar e analisar o tráfego de saída na VLAN do funcionário
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Um filtro de firewall é configurado e aplicado a interfaces VLAN para filtrar employee-vlan o tráfego de saída. O tráfego de funcionários destinados à sub-rede corporativa é aceito, mas não monitorado. O tráfego de funcionários destinado à Web é contado e analisado.
Para configurar e aplicar rapidamente um filtro de firewall VLAN, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit]
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter
set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor
set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic"
set vlans employee-vlan filter output egress-vlan-watch-employee Procedimento passo a passo
Para configurar e aplicar um filtro de firewall de porta de saída para contar e analisar employee-vlan o tráfego destinado à Web:
Definir o filtro
egress-vlan-watch-employeede firewall:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
Definir o termo
employee-to-corppara aceitar, mas não monitorar todo oemployee-vlantráfego destinado à sub-rede corporativa:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
Definir o termo
employee-to-webpara contar e monitorar todoemployee-vlano tráfego destinado à Web:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
Nota:Veja exemplo: Configuração do espelhamento de portas para monitoramento local do uso de recursos dos funcionários em switches da Série EX para obter informações sobre a configuração do
employee-monitoranalisador.Aplique o filtro
egress-vlan-watch-employeede firewall como um filtro de saída nas interfaces de porta para os telefones VoIP:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
Resultados
Exibir os resultados da configuração:
user@switch# show
firewall {
family ethernet-switching {
filter egress-vlan-watch-employee {
term employee-to-corp {
from {
destination-address 192.0.2.16/28
}
then {
accept;
}
}
term employee-to-web {
from {
destination-port 80;
}
then {
count employee-web-counter:
analyzer employee-monitor;
}
}
}
}
}
vlans {
employee-vlan {
description "filter at egress VLAN to count and analyze employee to Web traffic";
filter {
output egress-vlan-watch-employee;
}
}
}
Configuração de um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários e aplicativos peer-to-peer na VLAN convidada
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
No exemplo a seguir, o primeiro termo filtro permite que os convidados conversem com outros convidados, mas não com funcionários employee-vlan. O segundo termo filtro permite acesso à Web aos hóspedes, mas os impede de usar aplicativos peer-to-peer em guest-vlan.
Para configurar rapidamente um filtro de firewall VLAN para restringir o tráfego de convidados para funcionários, impedindo que os hóspedes conversem com funcionários ou hosts employee-vlan de funcionários ou tentem usar aplicativos guest-vlanpeer-to-peer, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit]
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28
set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF
set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept
set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"
set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest Procedimento passo a passo
Configurar e aplicar um filtro de firewall VLAN para restringir o tráfego de convidados a funcionários e aplicativos peer-to-peer em guest-vlan:
Definir o filtro
ingress-vlan-limit-guestde firewall:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guestDefinir o termo
guest-to-guestpara permitir que os convidadosguest-vlanconversem com outros convidados, mas não com funcionários noemployee-vlan:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
Defina o termo
no-guest-employee-no-peer-to-peerpara permitir que os hóspedes acessemguest-vlana Web, mas impeça que eles usem aplicativos peer-to-peer naguest-vlan.Nota:Esse
destination-mac-addressé o gateway padrão, que para qualquer host em uma VLAN é o roteador de próximo salto.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
Aplique o filtro
ingress-vlan-limit-guestde firewall como filtro de entrada na interface paraguest-vlan:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
Resultados
Exibir os resultados da configuração:
user@switch# show
firewall {
family ethernet-switching {
filter ingress-vlan-limit-guest {
term guest-to-guest {
from {
destination-address 192.0.2.33/28;
}
then {
accept;
}
}
term no-guest-employee-no-peer-to-peer {
from {
destination-mac-address 00.05.5E.00.00.DF;
}
then {
accept;
}
}
}
}
}
vlans {
guest-vlan {
description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN";
filter {
input ingress-vlan-limit-guest;
}
}
}
Configuração de um filtro de firewall de roteador para dar prioridade ao tráfego de saída destinado à sub-rede corporativa
Para configurar e aplicar filtros de firewall para interfaces de porta, VLAN e roteador, execute essas tarefas:
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um filtro de firewall para uma porta roteada (módulo de uplink de Camada 3) para filtrar employee-vlan o tráfego, dando a maior prioridade da classe de encaminhamento ao tráfego destinado à sub-rede corporativa, copie os seguintes comandos e cole-os na janela do terminal do switch:
[edit]
set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28
set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding
set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low
set firewall family inet filter egress-router-corp-class term not-to-corp then accept
set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network"
set ge-0/1/0 unit 0 family inet address 203.0.113.0
set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class Procedimento passo a passo
Configurar e aplicar um filtro de firewall a uma porta roteada (módulo de uplink de Camada 3) para dar maior prioridade ao employee-vlan tráfego destinado à sub-rede corporativa:
Definir o filtro
egress-router-corp-classde firewall:[edit] user@switch# set firewall family inet filter egress-router-corp-class
Definir o termo
corp-expedite:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
Definir o termo
not-to-corp:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
Aplique o filtro
egress-router-corp-classde firewall como um filtro de saída para a porta no módulo de uplink do switch, que fornece uma conexão de Camada 3 a um roteador:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
Resultados
Exibir os resultados da configuração:
user@switch# show
firewall {
family inet {
filter egress-router-corp-class {
term corp-expedite {
from {
destination-address 192.0.2.16/28;
}
then {
forwarding-class expedited-forwarding;
loss-priority low;
}
}
term not-to-corp {
then {
accept;
}
}
}
}
}
interfaces {
ge-0/1/0 {
unit 0 {
description "filter at egress router interface to expedite employee traffic destined for corporate network";
family inet {
source-address 203.0.113.0
filter {
output egress-router-corp-class;
}
}
}
}
}
Verificação
Para confirmar que os filtros de firewall estão funcionando corretamente, execute as seguintes tarefas:
- Verificando se os filtros de firewall e os policiais estão operacionais
- Verificar se os agendadores e os agendadores-mapas estão operacionais
Verificando se os filtros de firewall e os policiais estão operacionais
Propósito
Verifique o estado operacional dos filtros de firewall e dos policiais que estão configurados no switch.
Ação
Use o comando do modo operacional:
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
Significado
O show firewall comando exibe os nomes dos filtros de firewall, policiais e contadores que estão configurados no switch. Os campos de saída mostram byte e contagem de pacotes para todos os contadores configurados e a contagem de pacotes para todos os policiais.
Verificar se os agendadores e os agendadores-mapas estão operacionais
Propósito
Verifique se os agendadores e os mapas de agendamento estão operacionais no switch.
Ação
Use o comando do modo operacional:
user@switch> show class-of-service scheduler-map
Scheduler map: default, Index: 2
Scheduler: default-be, Forwarding class: best-effort, Index: 20
Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profile
Scheduler: default-nc, Forwarding class: network-control, Index: 22
Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 default-drop-profile
Low TCP 1 default-drop-profile
High non-TCP 1 default-drop-profile
High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657
Scheduler: best-effort, Forwarding class: best-effort, Index: 61257
Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent,
Priority: low
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123
Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Scheduler: net-control, Forwarding class: network-control, Index: 2451
Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent,
Priority: high
Drop profiles:
Loss priority Protocol Index Name
Low non-TCP 1 <default-drop-profile>
Low TCP 1 <default-drop-profile>
High non-TCP 1 <default-drop-profile>
High TCP 1 <default-drop-profile>
Significado
Exibe estatísticas sobre os agendadores configurados e os mapas de agendamentos.