Juniper firewall filter настройка
В данной статье будет рассмотрено два механизма для обработки трафика, средствами Junos OS на оборудовании Juniper.
Первое это firewall filter, второе Policy.
Фильтры и политики широко применяются в процессе управления трафиком в сетях, служат различным целям, и подходят для разных ситуаций.
Фильтр это механизм применимый для фильтрации пакетов, на входе в маршрутизатор, и выполнения определённых действий. Чаще всего это пустить, не пустить ( отбросить ) пакет, в зависимости от выбранных свойств пакета, также для применения механизмов называемых filter based routing (fbr) посредством которого представлен механизм policy based routing в Junos.
Политики используются для управления маршрутами на сети, изменения стандартного поведения протоколов динамической маршрутизации.
[edit]
!
В данном случае мы поставили ограничение на 1 Гбит/с. Данный синтаксис показывает пример настройки, ограничивающей полосу пропускания.
forwarding-class — данный параметр применяется при использовании механизмов шейпинга трафика на порту и настройки QoS политик. Этот материал не рассматривается в этой статье.
syslog — данный параметр дает возможность произвести запись в syslog о выбранном нами пакете.
port-mirror - позволяет произвести обработку механизма зеркалирования трафика на порту.
В данной конфигурации мы изменили маршрутизацию пакетов,приходящих с источника 10.10.10.1.
По умолчанию все пакеты приходящие на маршрутизатор от источника 10.10.10.1 проходят через общие правила маршрутизации настроенные на коробке.
Допустим мы хотим изменить движение трафика от данного источника направив его через оборудование с адресом: 10.10.15.1.
Для этого необходимо создать специальный фильтр, который выполняет действие:
!
>
then routing-instance fbr;
>
!
т.е. при выполнении условия, наш трафик помещается в специальный vrf, который используется для форвардинга пакетов.
Далее в данном vrf создается статический маршрут по умолчанию, используемый для маршрутизации пакетов к другому получателю, т.е. 10.10.15.1.
Что бы понять смысл конфигурации, надо объяснить что такое функционал rib-groups.
Каждое устройство под управлением Junos OS ведет несколько таблиц маршрутизации, таких как например inet.0 inet.3 vrf.inet.0. В разных таблицах содержатся различная маршрутная информация.Например:
- в inet.0 содержится основная (глобальная) информация о маршрутах на устройстве.
- в таблице inet.3 содержится информация о маршрутах используемых протоколом BGP для передачи информации о MPLS метках внутри сети.
- под каждый vrf создается своя таблица маршрутизации vrf.inet.0.
Существует еще одна функция при настройке фильтров:
!
interface-specific;
!
Данная команда включает режим, при котором каждый фильтр будет вести учет относительно того интерфейса, на который его применили, динамически создавая отдельные счетчики для него, а не используя один счетчик для всех интерфейсов.
Это все что касается фильтров и механизмов fbr на оборудовании Juniper Network.
Теперь перейдем к рассмотрению механизмов работы policy на оборудовании Juniper Network.
Наша политика, показанная вначале, проверяет, отмечен ли маршрут специальным community или нет, если да то она выполняет установку в параметр AS-PATH протокола BGP один препенд значением 65400. Если же это условие не выполняется тогда мы переходим ко второй части политики, которая, отбирая маршруты по prefix-list назначает им определенное community.
accept — самое важное действие: принять маршрут, после выпонения какого либо условия необходимо установить маршрут в таблицу машрутизации. Для этого и нужен accept.
as-path-expand — установить препенды в параметр AS-PATH до того как добавить собственный номер AS.
as-path-prepend — добавить препенды в параметр AS-PATH
class параметры QOS
community совершить какое либо действие над BGP community
default-action — установить действие по умолчанию.
external пометить маршрут как внешний. Данная функция помечает маршрут как внешний, что дает возможность изменить ход алгоритмов выбора активного маршрута, не в пользу данного маршрута, так как внутренний маршрут более приоритетен по отношению к внешнему.
install-nexthop изменить параметры аттрибута next-hop для маршрута, что позволить изменить направление маршрутизации трафика на устройстве. В качестве next-hop можно выбрать адрес next hop, который нужно использовать, или который нельзя использовать, так же можно указать определенную MPLS LSP например для балансировки трафика.
load-balance установить тип балансировки трафика: пакетная ( per packet ). В случае осуществления балансировки трафика по двум и более линкам/маршрутам будет осуществляться балансировка случайным образом каждый пакет в свой линк/ свой маршрут.
local-preference - изменить параметр Local Preference который влияет на выбор активного маршрута на маршрутизаторе. Чем выше параметр тем больше вероятность выбора данного маршрута активным.
map-to-interface — поменять интерфейс назначения, в который будет передаваться маршрут.
next-hop поменять значение next-hop маршрутизатора в маршруте. Часто используется для создания политики next-hop-self для BGP. В качестве next-hop мы можем указать как адрес маршрутизатора, так и сказать что пакеты надо отбросить, так же можно указать что next-hop lookup находится в определенной таблице маршрутизации.
reject — отбросить маршрут, так же как и в фильтре.
forwarding-class, source-class, destination-class — варианты используемые для подсчета статистики пакетов по тем или иным критериям.
Механизм использования функционала community.
Community — специальный аттрибут используемый протоколом BGP, который передается между AS при маршрутизации, т.е. соответственно может быть передан между сетями разных организаций, для управления маршрутизацией между этими организациями.
Существует два наиболее часто применимых общепринятых community:
no-export — не анонсировать данный маршрут всем eBgp соседям
no-advertize — не анонсировать данный маршрут никаким BGP соседям.
Так же хотелось бы в конце описать простую политику которая очень часто применяется в маршрутизации: экспорт, импорт маршрутов между протоколами. Часто необходимо отдать статический маршрут куда нибудь в BGP или IGP или передать маршруты между BGP и IGP.
Для этого в условии соответствия выбирается необходимый протокол:
!
set policy-options policy-statement test from protocol?
Possible completions:
[ Open a set of values
access Access server routes
access-internal Internal routes to directly connected clients
aggregate Aggregate routes
bgp BGP
direct Directly connected routes
dvmrp Distance Vector Multicast Routing Protocol
esis End System-to-Intermediate System
isis Intermediate System-to-Intermediate System
l2circuit Layer 2 circuits
l2vpn Layer 2 MPLS virtual private networks
ldp Label Distribution Protocol
local Local system addresses
msdp Multicast Source Discovery Protocol
ospf Open Shortest Path First
ospf2 Open Shortest Path First Version 2
ospf3 Open Shortest Path First Version 3
pim Protocol Independent Multicast
rip Routing Information Protocol
ripng Routing Information Protocol next generation
rsvp Resource Reservation Protocol
rtarget Local route target VPN membership
static Statically defined addresses
[edit]
!
Выбор протоколов довольно большой. Когда мы указали откуда будет импортироваться маршрут например: static. Далее следует просто выбрать действие: accept и присвоить эту политику на импорт или на экспорт к протоколу, в который следует произвести импорт маршрутов, или экспорт.
!
show policy-options
policy-statement test from protocol static;
then accept;
>
[edit]
!
На этом можно закончить базовые знания по политикам и фильтрам на оборудовании Juniper Network.
Configuring Enhanced Egress Firewall Filters (QFX5110 and QFX5220 Switches)
Due to a hardware limitation, the QFX5110 and QFX5220 can only support a maximum of 1000 egress firewall filters (eRACLs). You can increase this number to 2000, by configuring the switch in scaled mode. In this mode, the switch uses ingress TCAM space (IFP) to achieve the higher scale.
To configure the egress filter, specify the family address type ( inet for IPv4) or ( inet6 for IPv6), filter name, and term name. Include the applicable scaling option for your switch and specify a match condition and action to take if a match occurs. Then apply the filter in the output direction on the interface.
After configuring, modifying, or deleting a scaling option, you must commit the configuration, and the packet forwarding engine (PFE) must be restarted.
To increase the number of egress filters on the QFX5110, include the egress-to-ingress option in your configuration. You can add this option under any term. The following is a sample configuration:
To increase the number of egress filters on the QFX5220, include the eracl-scale option under the egress-profile statement. The following is a sample configuration:
The eracl-scale option comes configured in global mode. When enabled, existing egress filters will be automatically reinstalled in scaled mode.
When you enable scaled mode, these limitations apply:
You can only apply a filter in the egress direction (traffic exiting the VLAN).
Only inet and inet6 protocol families are supported.
Generic Routing Encapsulation (GRE) interfaces are not supported.
Only use the scaling options for egress firewall filters.
You cannot apply filters with the same match condition to different egress VLANs or Layer 3 interfaces. The only supported actions are accept , discard , and count .
Match conditions are programmed in the ingress firewall filter TCAM. This means that any counters attached to the filter counts traffic on any incoming VLANs.
Applying a Firewall Filter to a Port
To apply a firewall filter to a port:
- Provide a meaningful and descriptive name for the firewall filter. The name is what you use to apply the filter to the port.
You can apply only one filter to a port in the ingress direction.
Проверки
Чтобы подтвердить, что фильтры межсетевых экранов работают должным образом, выполните следующие задачи:
Условия совпадения фильтра межсетевых экранов
Условия совпадения фильтра межсетевых экранов специфически для типа фильтруемого трафика.
За исключением трафика IPv4 MPLS IPv6 с тегами, в этом выражении необходимо указать условия совпадения from этого термина. Для трафика MPLS IPv4 с тегами, в этом выражении определяются условия совпадения, специфические для адреса IPv4, а также условия совпадения порта IPv4 в этом ip-version ipv4 protocol (tcp | udp) выражении.
Для MPLS IPv6 с тегами в этом выражении определяются условия совпадения, специфические для адресов IPv6, а также условия совпадения портов IPv6 в этом ip-version ipv6 protocol (tcp | udp) выражении.
Табл. 1 описывает типы трафика, для которого можно настраивать фильтры межсетевых экранов.
Уровень иерархии, при котором заданы условия совпадения
Протокол не зависит от протокола
[edit firewall family any filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для независимого от протокола трафика".
[edit firewall family inet filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv4".
[edit firewall family inet6 filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv6".
[edit firewall family mpls filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для MPLS трафика".
Адреса IPv4 в MPLS потоках
[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.
Порты IPv4 в MPLS потоках
[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.
Адреса IPv6 в MPLS потоках
[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.
Порты IPv6 в MPLS потоках
[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.
[edit firewall family vpls filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика VPLS".
[edit firewall family ccc filter filter-name term term-name ]
Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика CCC уровня 2".
Замыкание 2-го уровня
(серия MX только маршрутизаторы и коммутаторы серии EX)
[edit firewall family bridge filter filter-name term term-name ]
[edit firewall family ethernet-switching filter filter-name term term-name ] (только для коммутаторов серии EX)
Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов для трафика с помощью 2-го уровня.
Если адрес IPv6 указан в состоянии совпадения (условия совпадения), используйте синтаксис для текстовых представлений, описанных в address destination-address source-address RFC 4291, IP-архитектуре версии 6. Дополнительные сведения об адресах IPv6 см. в обзоре IPv6 и поддерживаемых стандартах IPv6.
Обзор
В этом примере конфигурации показано, как настраивать и применять фильтры брандмауэра, чтобы предоставить правила для оценки содержимого пакетов и определения, когда отбрасывать, пересылать, классифицировать, подсчитать и проанализировать пакеты, предназначенные для всех коммутаторов серии EX, которые обрабатывают все, и трафик. Показывает фильтры межсетевых экранов, настроенные для коммутаторов серии EX в этом voice-vlan employee-vlan guest-vlan Табл. 1 примере.
Фильтр межсетевых экранов портов, ingress-port-voip-class-limit-tcp-icmp
Этот фильтр межсетевых экранов выполняет две функции:
Назначение приоритетной очередности пакетам с исходным MAC-адрес, который соответствует MAC-адресам телефонов. Класс forwarding предоставляет низкий уровень потерь, низкую задержку, низкий джиттер, гарантированную полосу пропускания и конечное обслуживание expedited-forwarding для всего voice-vlan трафика.
Выполняет ограничение скорости для пакетов, которые входят в порты employee-vlan для. Скорость трафика для пакетов TCP и ICMP ограничена 1 Мбит/с, размер пакета до 30 000 bytes.
Фильтр межсетевых экранов применяется к интерфейсам портов коммутатора доступа.
Фильтр межсетевых экранов VLAN, ingress-vlan-rogue-block
Фильтр межсетевых экранов применяется к интерфейсам VLAN на коммутаторе доступа.
Фильтр межсетевых экранов VLAN, egress-vlan-watch-employee
Принимает employee-vlan трафик, предназначенный для корпоративной подсети, но не отслеживает этот трафик. Учитывается и анализируется трафик сотрудников, направлялся в Интернет.
Фильтр межсетевых экранов применяется к интерфейсам vlan на коммутаторе доступа.
Фильтр межсетевых экранов VLAN, ingress-vlan-limit-guest
Предотвращает беседу гостей (не сотрудников) с сотрудниками или сотрудниками в employee-vlan on. Кроме того, гостевой доступ к Интернету не позволяет при помощи одноранговых приложений использовать приложения для guest-vlan одноранговых пользователей.
Фильтр межсетевых экранов применяется к интерфейсам VLAN на коммутаторе доступа.
Фильтр межсетевых экранов маршрутизатора, egress-router-corp-class
Приоритизует трафик, отдавая высший приоритет классу переадности для трафика сотрудников, предназначенного employee-vlan для корпоративной подсети.
Фильтр межсетевых экранов применяется к маршрутивованным портам (модулем каналов связи уровня 3) на распределительном коммутаторе.
Рис. 1 отображает применение на коммутаторе фильтров маршрутного межсетевых экрана, VLAN и уровня 3.
Процедуры
интерфейс командной строки быстрой конфигурации
Фильтр межсетевых экранов настраивается и применяется к интерфейсам VLAN для фильтрации employee-vlan выпадаго трафика. Трафик сотрудников, предназначенный для корпоративной подсети, принимается, но не отслеживается. Учитывается и анализируется трафик сотрудников, направлялся в Интернет.
Чтобы быстро настроить и применить фильтр межсетевых экранов VLAN, скопируйте следующие команды и внесите их в окно терминала коммутатора:
Пошаговая процедура
Для настройки и применения фильтра межсетевых экранов порта для подсчета и анализа трафика, employee-vlan предназначенного для Сети:
Определение фильтра межсетевых egress-vlan-watch-employee экранов:
Определите термин employee-to-corp "принять, но не контролировать весь employee-vlan трафик, предназначенный для корпоративной подсети":
Определить термин employee-to-web подсчитывать и отслеживать весь employee-vlan трафик, предназначенный для Интернета:
Применение фильтра межсетевых экранов в качестве фильтра вывода egress-vlan-watch-employee к интерфейсам портов voIP-телефонов:
Результаты
Отобразить результаты настройки:
Configuring a Firewall Filter
To configure a firewall filter:
- Configure the family address type, filter name, term name, and at least one match condition—for example, match on packets that contain a specific source address.
To filter Layer 2 traffic (port or VLAN), specify the family address type ethernet-switching .
To filter Layer 3 (routed) traffic, specify the family address type ( inet for IPv4) or ( inet6 for IPv6).
To filter Layer 2 circuit interface traffic, specify the family address type ccc .
The filter and term names can contain letters, numbers, and hyphens (-) and can be up to 64 characters long. Each filter name must be unique. A filter can contain one or more terms, and each term name must be unique within a filter.
In this configuration, the filter matches on Layer 2 packets that contain source port 80.
In this configuration, the filter matches on VLANs that contain interface ge-0/0/6.0.
You can specify one or more match conditions in a single from statement. For a match to occur, the packet must match all the conditions in the term. The from statement is optional, but if you include it in a term, it can’t be empty. If you omit the from statement, all packets are considered to match.
To specify a filter action, for example, to discard packets that match the conditions of the filter term:
You can specify only one action per term ( accept , discard , flood , reject , routing-instance , or vlan ).
To specify a filter action, for example, to flood packets that match the MAC address on QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210:
You can configure the ingress port-based firewall filters to flood or discard the following BPDUs by using the destination MAC address as the match condition.
Destination Media Access Control (DMAC) Address
Link Aggregation Control Protocol (LACP)
Link Layer Discovery Protocol (LLDP)
Extensible Authentication Protocol over LAN (EAPOL)
Spanning Tree Protocol (STP)
VLAN Spanning Tree Protocol (VSTP)
Cisco Discovery Protocol (CDP)/VLAN Trunk Protocol (VTP)
CDP/VTP, ISIS L1/L2 protocols flood by using the default dynamic filter. Therefore, configuring additional filters for these protocols is not necessary.
As ingress port-based firewall filters are applied at the port level, only one filter can be applied for a physical interface in the service provider style configuration.
The native VLAN must be configured to ensure flooding of the untagged BPDUs received on the trunk port. If the native VLAN is not configured, then the untagged BPDUs will be flooded on all the interfaces in the local FPC.
When IGMP snooping or multicast listener discovery (MLD) snooping is enabled then, the flood functionality does not work.
When the firewall filter with flood action is applied on an interface and later if the interface goes down, then the BPDUs received on that interface will be flooded if it satisfies the match conditions.
To specify action modifiers, for example, to count and classify packets to a forwarding class:
You can specify any of the following action modifiers in a then statement:
analyzer analyzer-name —Mirror port traffic to a specified analyzer, which you must configure at the [ethernet-switching-options] level.
count counter-name —Count the number of packets that pass this filter term.
We recommend that you configure a counter for each term in a firewall filter, so that you can monitor the number of packets that match the conditions specified in each filter term.
On QFX3500 and QFX3600 switches, filters automatically count packets that were dropped in the ingress direction because of cyclic redundancy check (CRC) errors.
forwarding-class class —Assign packets to a forwarding class.
log —Log the packet header information in the Routing Engine.
loss-priority priority —Set the priority of dropping a packet.
policer policer-name —Apply rate-limiting to the traffic.
flood —Flood the packets.
syslog —Log an alert for this packet.
If you omit the then statement or don’t specify an action, packets matching all the conditions in the from statement are accepted. But make sure that you always configure an action in the then statement. You can only include one action statement, but can use any combination of action modifiers. For an action or action modifier to take effect, all conditions in the from statement must match.
The implicit discard action applicable to a firewall filter applied to the loopback interface, lo0 .
Иерархия утверждения для настройки фильтров межсетевых экранов
Для настройки стандартного фильтра межсетевых экранов можно включить следующие утверждения. Для стандартного фильтра межсетевых экранов IPv4 это family inet утверждение является необязательным. Для стандартного фильтра межсетевых экранов IPv6 family inet6 эта процедура является обязательной.
Можно включить конфигурацию межсетевых экранов на одном из следующих уровней иерархии:
[edit logical-systems logical-system-name ]
Для фильтрации межсетевых экранов без с состоянием состояния необходимо разрешить выходной туннельный трафик через фильтр брандмауэра, примененный к вводимом трафику интерфейса, который является интерфейсом следующего перехода, к месту назначения туннеля. Фильтр межсетевых экранов влияет только на пакеты, которые по туннелю выходят из маршрутизатора (или коммутатора).
Семейства протоколов фильтрации межсетевых экранов
Конфигурация фильтра брандмауэра характерна для конкретного семейства протоколов. Под утверждением включим одно из следующих правил, чтобы указать семейство протоколов, для которого firewall необходимо фильтровать трафик:
family any - Фильтрация трафика, не зависят от протокола.
family inet -Фильтрация трафика протокола Internet Protocol версии 4 (IPv4).
family inet6 - Фильтрация трафика протокола Internet версии 6 (IPv6).
family mpls -Фильтрация MPLS трафика.
family vpls - Фильтрация трафика виртуальных частных lan-сервисов (VPLS).
family ccc - Фильтровать трафик с перекрестным подключением (CCC) цепи уровня 2.
family bridge -Фильтровать трафик с ремированиями уровня 2 только серия MX универсальных edge маршрутизаторов.
family ethernet-switching -Фильтрация трафика уровня 2 (Ethernet).
Утверждение необходимо только для указания семейства family family-name протоколов, иных, чем IPv4. Для настройки фильтра межсетевых экранов IPv4 можно настроить фильтр на уровне иерархии, не включив утверждение, так как уровни иерархии [edit firewall] family inet [edit firewall] [edit firewall family inet] эквивалентны.
Для фильтра семейства мостов критерии соответствия ip-протокола поддерживаются только для IPv4, а не для IPv6. Это применимо к картам линии, которые поддерживают микросхемы Trio Junos, например, для линк-карт MPC MPC 3D.
Applying a Firewall Filter to a Port on a Switch
You can apply a firewall filter to a port on a switch to filter ingress or egress traffic on the switch. When you configure the firewall filter, you can specify any match condition, action, and action modifiers specified in Firewall Filter Match Conditions, Actions, and Action Modifiers for EX Series Switches. The action specified in the match condition indicates the action for the matched packets in the ingress or egress traffic.
To apply a firewall filter to a port to filter ingress or egress traffic:
For applying a firewall filter to a management interface, see Applying a Firewall Filter to a Management Interface on a Switch
- Specify the interface name and provide a meaningful description of the firewall filter and the interface to which the filter is applied:
Providing the description is optional.
For firewall filters that are applied to ports, the family address type must be ethernet-switching .
To apply a firewall filter to filter packets that are exiting a port:
You can apply no more than one firewall filter per port, per direction.
Applying a Firewall Filter to a VLAN
VLAN firewall filters are not supported on QFX5100, QFX5100 Virtual Chassis, QFX5110, and QFX5120 switches in an EVPN-VXLAN environment.
To apply a firewall filter to a VLAN:
- Provide a meaningful and descriptive name for the firewall filter. This name is what you use to apply the filter to the VLAN.
To apply a filter to match packets entering the VLAN:
To apply a firewall filter to match packets exiting the VLAN:
You can apply only one filter to a VLAN for a given direction (ingress or egress).
Имена и параметры фильтра брандмауэра
Под family family-name утверждением можно включить утверждения для создания и имен filter filter-name межсетевых экранов фильтров. Имя фильтра может содержать буквы, цифры и дефис (-) и длиной до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").
На уровне иерархии следующие утверждения являются [edit firewall family family-name filter filter-name ] необязательными:
instance-shared (серия MX маршрутизаторы с модульными концентраторами портов (только MPCS)
Настройка фильтра взламываемой межсетевой экран VLAN для предотвращения нарушения трафика VoIP злоумышленниками
Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:
Настройка фильтра межсетевых экранов в пределах веского порта для приоритета голосового трафика и ограничения скорости трафика TCP и ICMP
Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:
Applying a Firewall Filter to a VLAN on a Network
You can apply a firewall filter to a VLAN on a network to filter ingress or egress traffic on the network. To apply a firewall filter to a VLAN, specify the VLAN name and ID, and then apply the firewall filter to the VLAN. When you configure the firewall filter, you can specify any match condition, action, and action modifiers specified in Firewall Filter Match Conditions, Actions, and Action Modifiers for EX Series Switches. The action specified in the match condition indicates the action for the matched packets in the ingress or egress traffic.
To apply a firewall filter to a VLAN:
- Specify the VLAN name and VLAN ID and provide a meaningful description of the firewall filter and the VLAN to which the filter is applied:
Providing the description is optional.
To apply a firewall filter to filter packets that are entering the VLAN:
(On EX4300 switches) To apply a firewall filter to filter packets that are entering the VLAN:
To apply a firewall filter to filter packets that are exiting the VLAN:
(On EX4300 switches) To apply a firewall filter to filter packets that are exiting the VLAN:
You can apply no more than one firewall filter per VLAN, per direction.
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить и применить фильтр брандмауэра порта для приоритета голосового трафика и пакетов с ограничением скорости, предназначенных для подсети, скопируйте следующие команды и вставить их в окно терминала employee-vlan коммутатора:
Пошаговая процедура
Для настройки и применения фильтра брандмауэра порта для приоритизации голосового трафика и пакетов с ограничением скорости, предназначенных для employee-vlan подсети:
Определите органы, которые tcp-connection-policer определяют право на процес icmp-connection-policer и:
Определение фильтра межсетевых ingress-port-voip-class-limit-tcp-icmp экранов:
Определить voip-high термин:
Определить network-control термин:
Определение термина настройки tcp-connection ограничений скорости для TCP-трафика:
Определить термин для icmp-connection настройки ограничений скорости трафика ICMP:
Определите термин без условий совпадения для неявного совпадения со всеми пакетами, несогласованными ни с любым другим термином best-effort фильтра межсетевых экранов:
Примените фильтр межсетевых экранов в ingress-port-voip-class-limit-tcp-icmp качестве входного фильтра к интерфейсам портов employee-vlan для:
Настройте нужные параметры для различных планеров.
При настройке параметров для планаторов определите номера, которые будут соответствовать шаблонам сетевого трафика.
Назначьте классы переадрикании планировщикам с картой планировки:
Связывание карты планировщика с исходя большим интерфейсом:
Результаты
Отобразить результаты настройки:
Configuring a Term Specifically for IPv4 or IPv6 Traffic
To configure a term in a firewall filter configuration specifically for IPv4 traffic:
- Verify that neither ether-type ipv6 nor ip-version ipv6 is specified in the term in the configuration. By default, a configuration that does not contain either ether-type ipv6 or ip-version ipv6 in a term applies to IPv4 traffic.
- (Optional) Perform one of these tasks:
Define ether-type ipv4 in a term in the configuration.
Define ip-version ipv4 in a term in the configuration.
Define both ether-type ipv4 and ip-version ipv4 in a term in the configuration.
Verify that neither ether-type ipv6 nor ip-version ipv6 is specified in a term in the configuration—by default, a configuration that does not contain either ether-type ipv6 or ip-version ipv6 in a term applies to IPv4 traffic if it does not contain ether-type ipv6 or ip-version ipv6 .
To configure a term in a firewall filter configuration specifically for IPv6 traffic:
Perform one of these tasks:
Define ether-type ipv6 in a term in the configuration.
Define ip-version ipv6 in a term in the configuration.
Define both ether-type ipv6 and ip-version ipv4 in a term in the configuration.
By default, a configuration that does not contain either ether-type ipv6 or ip-version ipv6 in a term applies to IPv4 traffic.
Ensure that other match conditions in the term are valid for IPv6 traffic.
If the term contains either of the match conditions ether-type ipv6 or ip-version ipv6 , with no other IPv6 match condition specified, all IPv6 traffic is matched.
To configure a firewall filter for both IPv4 and IPv6 traffic, you must include two separate terms, one for IPv4 traffic and the other for IPv6 traffic.
Applying a Firewall Filter to a Layer 3 (Routed) Interface
You can apply a firewall filter to a Layer 3 (routed) interface to filter ingress or egress traffic on the switch. When you configure the firewall filter, you can specify any match condition, action, and action modifiers specified in Firewall Filter Match Conditions, Actions, and Action Modifiers for EX Series Switches. The action specified in the match condition indicates the action for the matched packets in the ingress or egress traffic.
To apply a firewall filter to a Layer 3 interface on a switch:
- Specify the interface name and provide a meaningful description of the firewall filter and the interface to which the filter is applied:
Providing the description is optional.
For firewall filters applied to Layer 3 interfaces, the family address type must be inet (for IPv4 traffic) or inet6 (for IPv6 traffic).
To apply a firewall filter to filter packets that are entering a Layer 3 interface:
To apply a firewall filter to filter packets that are exiting a Layer 3 interface:
When you apply a filter to an IRB interface associated with a given VLAN, the filter is executed on any Layer 3 interface with a matching VLAN ID. This is because the filter matches on all Layer 3 interfaces with the corresponding VLAN tag.
You can apply no more than one firewall filter per Layer 3 interface, per direction.
Follow the steps in the following sections to configure and apply a firewall filter on your switch.
Топология сети
Топология для этого примера конфигурации состоит из одного коммутатора EX-3200-48T на уровне доступа и одного коммутатора EX-3200-48T на уровне распределения. Модуль каналов связи коммутатора распределения настроен на поддержку подключения уровня 3 к маршрутизатору серии J.
Коммутаторы серии EX настроены для поддержки членства в VLAN. Табл. 2 отображает компоненты конфигурации VLAN для этих VLAN.
Подсеть VLAN и доступные IP-адреса
192.0.2.0/28 192.0.2.1 Через 192.0.2.14
192.0.2.15 это широковещательный адрес подсети
Голосовая VLAN, используемая для трафика VoIP сотрудника
192.0.2.16/28 192.0.2.17 через 192.0.2.30 192.0.2.31 широковещательный адрес подсети
VLAN автономные ПК, ПК, подключенные к сети через концентратор voIP-телефонов, точек беспроводного доступа и принтеров. Эта VLAN полностью включает голосовую VLAN. Две сети VLANs и) должны (voice-vlan employee-vlan быть настроены на портах, подключенных к телефонам.
192.0.2.32/28 192.0.2.33 через 192.0.2.46 192.0.2.47 широковещательный адрес подсети
VLAN для гостевых устройств передачи данных (ПК). В сценарии предполагается, что у компании есть область, открытая для посетителей в фойе или конференц-зале, где есть концентратор, к которому посетители могут подключить свои ПК для подключения к Интернету и к VPN своей компании.
192.0.2.48/28 192.0.2.49 через 192.0.2.62 192.0.2.63 широковещательный адрес подсети
VLAN для корпоративных камер безопасности.
Порты коммутаторов серии EX поддерживают питание через Ethernet (PoE) для обеспечения сетевого соединения и питания voIP-телефонов, подключающихся к портам. показывает порты коммутатора, присвоенные VLANs, а также IP-адреса и MAC-адреса устройств, Табл. 3 подключенных к портам коммутатора:
Номер коммутатора и порта
Членство в VLAN
IP-адреса: 192.0.2.1 Через 192.0.2.2
MAC-адреса: 00.00.5E.00.53.01 , 00.00.5E.00.53.02
Два VoIP-телефона, каждый из которых подключен к одному ПК.
192.0.2.17 Через 192.0.2.18
принтер, точки беспроводного доступа
192.0.2.34 Через 192.0.2.35
Два концентратора, в которые посетители могут подключить свои ПК. Концентраторы расположены в области, открытой для посетителей, например в вестибюле или конференц-зале
192.0.2.49 Через 192.0.2.50
Две камеры безопасности
Устройство привратника. Привратник управляет регистрацией, приемом и состоянием вызова для VoIP-телефонов.
подключение уровня 3 к маршрутизатору; обратите внимание, что это порт в модуле коммутатора, который находится в модуле отключателя
Настройка фильтра брандмауэра VLAN для подсчета, мониторинга и анализа выпадащего трафика на employee VLAN
Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:
Термины фильтра межсетевых экранов
В этом filter filter-name выражении можно включить утверждения для создания и имен term term-name фильтра.
Необходимо настроить как минимум один термин в фильтре межсетевых экранов.
В фильтре межсетевых экранов необходимо указать уникальное имя для каждого термина. Термин "имя" может содержать буквы, цифры и дефис (-) и может содержать до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").
Важен порядок указания терминов в конфигурации фильтра межсетевых экранов. Термины фильтра межсетевых экранов оцениваться в порядке их настройки. По умолчанию новые термины всегда добавляются к концу существующего фильтра. Команду configuration insert mode можно использовать для переубора условий фильтра межсетевых экранов.
На уровне иерархии утверждение не действует в том же [edit firewall family family-name filter filter-name term term-name ] термине, что и или filter filter-name from then утверждения. Если он включен на этом уровне иерархии, утверждение filter filter-name используется для вложения межсетевых экранов в фильтры.
Процедуры
интерфейс командной строки быстрой конфигурации
В следующем примере первый термин фильтра разрешает гостю общаться с другими гостями, но не employee-vlan сотрудниками. Второй термин фильтра разрешает гостевых гостей доступ к Веб-сайтам, но не позволяет им использовать одноранговых приложений guest-vlan on.
Чтобы быстро настроить фильтр межсетевых экранов VLAN для ограничения гостевого трафика для сотрудников, заблокируйте для гостей разговор с сотрудниками или сотрудниками хостов или попытки использовать одноранговые приложения на, скопировать следующие команды и вкопировать их в окно терминала employee-vlan guest-vlan коммутатора:
Пошаговая процедура
Чтобы настроить и применить фильтр межсетевых экранов VLAN, чтобы ограничить гостевой трафик и одноранговые приложения guest-vlan на:
Определение фильтра межсетевых ingress-vlan-limit-guest экранов:
Определите термин, который позволяет гостевых гостям общаться с другими guest-to-guest guest-vlan гостями, но не сотрудниками employee-vlan в:
Определите термин, позволяющий гостеву получать доступ через Интернет, но не позволяйте им использовать одноранговых приложений no-guest-employee-no-peer-to-peer guest-vlan на guest-vlan сервере.
Шлюз по умолчанию, который для любого destination-mac-address хоста в VLAN является маршрутизатором следующего перехода.
Применение фильтра межсетевых экранов в ingress-vlan-limit-guest качестве входного фильтра к интерфейсу guest-vlan для:
Результаты
Отобразить результаты настройки:
Проверка работы фильтров и фильтров брандмауэра
Проверьте операционное состояние фильтров и ловулов межсетевых экранов, настроенных на коммутаторе.
Действий
Используйте команду operational mode:
Смысл
Эта show firewall команда отображает имена фильтров межсетевых экранов, policers и счетчиков, настроенных на коммутаторе. Поля выходных данных показывают байт и счетчик пакетов для всех настроенных счетчиков и счетчик пакетов для всех ловучек.
You configure firewall filters on EX Series switches to control traffic that enters ports on the switch or enters and exits VLANs on the network and Layer 3 (routed) interfaces. To configure a firewall filter you must configure the filter and then apply it to a port, VLAN, or Layer 3 interface.
Configuring a Firewall Filter
Before you can apply a firewall filter to a port, VLAN, or Layer 3 interface, you must configure a firewall filter with the required details, such as type of family for the firewall filter, firewall filter name, and match conditions. A match condition in the firewall filter configuration can contain multiple terms that define the criteria for the match condition. For each term, you must specify an action to be performed if a packet matches the conditions in the term. For information on different match conditions and actions, see Firewall Filter Match Conditions, Actions, and Action Modifiers for EX Series Switches.
To configure a firewall filter:
- Configure the family address type for the firewall filter:
For a firewall filter that is applied to a port or VLAN, specify the family address type ethernet-switching to filter Layer 2 (Ethernet) packets and Layer 3 (IP) packets, for example:
For a firewall filter that is applied to a Layer 3 (routed) interface:
To filter IPv4 packets, specify the family address type inet , for example:
To filter IPv6 packets, specify the family address type inet6 , for example:
You can configure firewall filters for both IPv4 and IPv6 traffic on the same Layer 3 interface.
The filter name can contain letters, numbers, and hyphens (-) and can have a maximum of 64 characters. Each filter name must be unique.
The term name can contain letters, numbers, and hyphens (-) and can have a maximum of 64 characters.
A firewall filter can contain one or more terms. Each term name must be unique within a filter.
The maximum number of terms allowed per firewall filter for EX Series switches is:
512 for EX2200 switches
1,436 for EX3300 switches
On EX3300 switches, if you add and delete filters with a large number of terms (on the order of 1000 or more) in the same commit operation, not all the filters are installed. You must add filters in one commit operation, and delete filters in a separate commit operation.
7,168 for EX3200 and EX4200 switches
On EX4300 switches, following are the number of terms supported for ingress and egress traffic, for firewall filers configured on a port, VLAN and Layer 3 interface:
For ingress traffic:
3,500 terms for firewall filters configured on a port
3,500 terms for firewall filters configured on a VLAN
7,000 terms for firewall filters configured on Layer 3 interfaces for IPv4 traffic
3,500 terms for firewall filers configured on Layer 3 interfaces for IPv6 traffic
For egress traffic:
512 terms for firewall filters configured on a port
256 terms for firewall filters configured on a VLAN
512 terms for firewall filters configured on Layer 3 interfaces for IPv4 traffic
512 terms for firewall filers configured on Layer 3 interfaces for IPv6 traffic
You can configure these maximum number of terms only when you configure one type of firewall filter (Port, VLAN, or Router (Layer 3) firewall filter) on the switch, and when storm control is not enabled on all interfaces in the switch.
1,200 for EX4500 and EX4550 switches
1,400 for EX6200 switches
32,768 for EX8200 switches
If you attempt to configure a firewall filter that exceeds these limits, the switch returns an error message when you commit the configuration.
You can specify one or more match conditions in a single from statement. For a match to occur, the packet must match all the conditions in the term.
The from statement is optional, but if included in a term, the from statement cannot be empty. If you omit the from statement, all packets are considered to match.
You can specify an action and/or action modifiers:
To specify a filter action, for example, to discard packets that match the conditions of the filter term:
You can specify no more than one action per filter term.
To specify an action modifier, for example, to count and classify packets in a forwarding class:
In a then statement, you can specify the following action modifiers:
analyzer analyzer-name —Mirror port traffic to a specified destination port or VLAN that is connected to a protocol analyzer application. An analyzer must be configured under the ethernet-switching family address type. See Configuring Port Mirroring to Analyze Traffic (CLI Procedure).
count counter-name —Count the number of packets that pass this filter term.
We recommend that you configure a counter for each term in a firewall filter, so that you can monitor the number of packets that match the conditions specified in each filter term.
forwarding-class class —Classify packets in a forwarding class.
loss-priority priority —Set the priority for dropping a packet.
policer policer-name —Apply rate limiting to the traffic.
interface interface-name —Forward the traffic to the specified interface, bypassing the switching lookup.
log —Log the packet's header information in the Routing Engine.
If you omit the then statement or do not specify an action, packets that match all the conditions in the from statement are accepted. However, you must always explicitly configure an action and/or action modifier in the then statement. You can include no more than one action, but you can use any combination of action modifiers. For an action or action modifier to take effect, all conditions in the from statement must match.
Implicit discard is also applicable to a firewall filter applied to the loopback interface, lo0 .
On Juniper Networks EX8200 Ethernet Switches, if an implicit or explicit discard action is configured on a loopback interface for IPv4 traffic, next hop resolve packets are accepted and allowed to pass through the switch. However, for IPv6 traffic, you must explicitly configure a rule to allow the next hop IPv6 resolve packets to pass through the switch.
Applying a Firewall Filter to a Layer 2 CCC (QFX10000 Switches)
You can apply firewall filters with count and policer actions on Layer 2 circuit cross-connect (CCC) traffic on QFX10000 switches. This lets you count and monitor the policer activity set at the [edit firewall family ccc] hierarchy level.
Процедуры
интерфейс командной строки быстрой конфигурации
Для быстрой настройки фильтра межсетевых экранов для маршрутизируемых портов (модуль отгрузки уровня 3) для фильтрации трафика, предоставляя наивысший приоритет класса переад доступа трафику, предназначенном для корпоративной подсети, скопируйте следующие команды и вставить их в окно терминала employee-vlan коммутатора:
Пошаговая процедура
Для настройки и применения фильтра брандмауэра к маршрутизируется порту (модуль uplink уровня 3), чтобы отдать высший приоритет трафику, предназначенного для корпоративной employee-vlan подсети:
Определение фильтра межсетевых egress-router-corp-class экранов:
Определить corp-expedite термин:
Определить not-to-corp термин:
Применение фильтра брандмауэра в качестве фильтра выходных данных для порта на модуле коммутатора с подключением к маршрутизатору на уровне egress-router-corp-class 3:
Результаты
Отобразить результаты настройки:
Настройка фильтра межсетевых экранов маршрутизатора для приоритизации трафика, предназначенного для корпоративной подсети
Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:
Applying a Firewall Filter to a Layer 3 (Routed) Interface
You can apply a firewall filter to IPv4 and IPv6 interfaces, routed VLAN interfaces (RVI) (also known as an integrated routing and bridging (IRB) interface), and the loopback interface. These are all considered Layer 3 routed interfaces.
(QFX5100 and QFX5110 switches) In an EVPN-VXLAN environment, you can use an IRB interface to provide layer 3 connectivity to the switch. To configure an IRB interface, see Example: Configuring IRB Interfaces in an EVPN-VXLAN Environment to Provide Layer 3 Connectivity for Hosts in a Data Center. You can then apply a firewall filter to the IRB interface by following the steps below (only the ingress direction is supported). For a list of supported match conditions, see Firewall Filter Match Conditions and Actions (QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650).
When you apply a filter to an IRB interface associated with a given VLAN, the filter is executed on any Layer 3 interface with a matching VLAN ID. This is because the filter matches on all Layer 3 interfaces with the corresponding VLAN tag.
To apply a firewall filter to a Layer 3 interface:
- Provide a meaningful and descriptive name for the firewall filter. This name is what you use to apply the filter to the interface.
To filter packets entering the interface:
To filter packets exiting the interface:
The family address type can either be ( inet for IPv4) or ( inet6 for IPv6).
You can apply only one filter to an interface for a given direction (ingress or egress).
Настройка фильтра межсетевых экранов VLAN для ограничения гостевого трафика и одноранговых приложений на гостевой VLAN
Чтобы настроить и применить фильтры межсетевых экранов для интерфейсов портов, VLAN и маршрутизаторов, выполните эти задачи:
Applying a Firewall Filter to a Management Interface on a Switch
You can configure and apply a firewall filter to a management interface to control traffic that is entering or exiting the interface on a switch. You can use utilities such as SSH or Telnet to connect to the management interface over the network and then use management protocols such as SNMP to gather statistical data from the switch. Similar to configuring a firewall filter on other types of interfaces, you can configure a firewall filter on a management interface using any match condition, action, and action modifier specified in Firewall Filter Match Conditions, Actions, and Action Modifiers for EX Series Switches except for the following action modifiers:
You can apply a firewall filter to the management Ethernet interface on any EX Series switch. You can also apply a firewall filter to the virtual management Ethernet (VME) interface on the EX4200 switch. For more information on the management Ethernet interface and the VME interface, see Interfaces Overview for Switches.
To apply a firewall filter on the management interface to filter ingress or egress traffic:
- Specify the interface name and provide a meaningful description of the firewall filter and the interface to which the filter is applied:
Providing the description is optional.
For firewall filters that are applied to management interfaces, the family address type can be either inet or inet6 .
To apply a firewall filter to filter packets that are exiting a management interface:
You can apply no more than one firewall filter per management interface, per direction.
Требования
В данном примере используются следующие программные и аппаратные компоненты:
Junos OS версии 9.0 или более поздней для коммутаторов серии EX.
Два Juniper Networks EX3200-48T: один для использования в качестве коммутатора доступа, другой — в качестве распределительного коммутатора.
Один Juniper Networks uplink модуль EX-UM-4SFP
Один Juniper Networks маршрутизатор серии J
Перед настройкой и применением фильтров межсетевых экранов в этом примере необходимо убедиться в том, что у вас есть:
Понимание принципов фильтрации межсетевых экранов, сотрудников CoS
Установлен модуль uplink в распределительном коммутаторе. См. Установка модуля отключении к коммутатору EX3200.
Процедуры
интерфейс командной строки быстрой конфигурации
Пошаговая процедура
Определите фильтр брандмауэра, чтобы указать соответствие фильтра в трафике, который необходимо ingress-vlan-rogue-block разрешить и ограничить:
Определите термин to-gatekeeper для принятие пакетов, совпадают с IP-адресом назначения привратника:
Определите термин from-gatekeeper прием пакетов, совпадают с исходным IP-адресом привратника:
Определите термин, not-gatekeeper гарантируя, что весь voice-vlan трафик на TCP-портах будет предназначен для устройства привратника:
Применение фильтра межсетевых экранов в качестве входного ingress-vlan-rogue-block фильтра к интерфейсу VLAN для voIP-телефонов:
Результаты
Отобразить результаты настройки:
Действия по фильтру межсетевых экранов
В утверждениях для термина фильтра брандмауэра можно указать действия, которые необходимо принять для пакета, который соответствует then термину.
Табл. 2 суммирует типы действий, которые можно задать в термине фильтра межсетевых экранов.
Останавливает все оценки фильтра межсетевых экранов для конкретного пакета. Маршрутизатор (или коммутатор) выполняет указанное действие, и для проверки пакета не используются дополнительные условия.
В термине фильтра межсетевых экранов можно задать только одно действие. Тем не менее, можно указать одно действие, завершающее действие, одним или более неудающим действием в одном и том же сроке. Например, в термине можно указать accept с и count syslog . Независимо от количества терминов, содержащих термины действий, как только система обрабатывает о прекращении действия в течение срока, обработка всего фильтра межсетевых экранов прекращается.
Выполняет другие функции пакета (например, приращение счетчика, ведение журнала информации о загоне пакета, выборка пакетных данных или отправка информации удаленному хосту с помощью функции системного журнала), но для проверки пакета используются любые дополнительные условия.
Все неустанавливающие действия включают неявное действие принятия. Данное действие при приеме осуществляется в том случае, если в том же сроке не было настроено ни одного другого действия.
Только для стандартных фильтров межсетевых экранов действие направляет маршрутизатору (или коммутатору) выполнение настроенных действий на пакете, а затем, вместо того, чтобы прервать фильтр, использует следующий термин фильтра для оценки next term пакета. Если включено действие, совпадающий пакет оценивается в соответствие со следующим термином next term фильтра межсетевых экранов. В противном случае совпадающий пакет не будет оцениваться с последующими условиями фильтра межсетевых экранов.
Например, при настройке термина с неустановимым действием его действие меняется с неявного на count discard неявное. accept Это next term действие вынуждает продолжать оценку фильтра межсетевых экранов.
Действие, прервав действие, нельзя настроить в том же next term термине фильтра. Однако можно настроить действие на следующий термин с другим действием, неудающим действием в том же термине фильтра.
В стандартной конфигурации фильтра брандмауэра поддерживается до 1024 next term действий. Если стандартный фильтр межсетевых экранов настроен на превышение этого предела, в данной конфигурации возможно установить ошибку commit.
На Junos OS Evolved next term не может появиться последний срок действия. Термин фильтра, который определяется как действие, но не имеет настроенных условий next term совпадения, не поддерживается.
В данном примере показано, как настраивать и применять фильтры брандмауэра для управления трафиком, который входит или выходит из порта коммутатора, VLAN в сети и интерфейса уровня 3 на коммутаторе. Фильтры межсетевых экранов определяют правила, определяющие, нужно ли перенастраить или запретить пакеты на определенных точках обработки в поток пакетов.
Читайте также: