Juniper firewall filter настройка

Обновлено: 07.07.2024

-bandwidth threshold + max burst size -действие: reject, discard, .

- на интерфейс. - в качестве действия внутри firewall filter, firewall filter вешается на интерфейс.

- Использует token-bucket алгоритм: есть некий burst, до того, как начать влиять на трафик.

Hard/Soft

Hard: Все что выходит за рамки ограничения - дропается.

Soft: Трафик который превышает лимит:

  1. не дропается, но направляется в определенный forwarding class.
  2. не дропается, но ему присваивается определенное значение PLP, по которому в случае заторов он будет отброшен шедулерами.

Параметры

CIR, CBS: commited information rate (бит/с) / burst size (байт): зеленый - кол-во трафика < CBS - точняк пройдет (in-profile).

PIR, PBS/EBS: peak information rate (бит/с), peak/exceed burst size (байт): то, что < PBS - пройдет, но в случае заторов пакеты могут быть дропнуты. То что больше - будет дропаться (out-of-profile).

Single-rate two-color policer

  • Один threshold по скорости (CIR)
  • Один burst threshold, с помощью которого создается 2 цвета, в которые может быть "окрашен" трафик. (CBS)
  • Трафик, превышающий CIR + CBS => discard / set forwarding class / set PLP / out-of-profile

Конфигурация

Tricolor marking policers

Также не только дропает трафик, а можно задавать PLP в зависимости от значений CIR, PIR, CBS, EBS.

Зеленые пакеты могут стать желтыми.

Single-rate tricolor marking policy

Полисинг основан на двух burst thresholds.

  • Один threshold по скорости (CIR)
  • Два burst size threshold (CBS, EBS). Что дает создать 3 цвета для "окраски" трафика.
  • Назначение цветов:
  • < CBS - зеленый = low PLP
  • CBS < x < EBS - желтый = medium-high PLP
  • > EBS - красный - high PLP

Конфигурация

Two-rate tricolor marking policy

Полисинг основан на 2х bandwidth thresholds.

  • Два thresholds по скорости (CIR, PIR). Это уже создает 3 цвета для "окраски" трафика.
  • Два burst size threshold (CBS, PBS).
  • Markings:
  • < CIR+CBS - зеленый = low PLP
  • CIR+CBS < x < PIR+PBS - желтый = medium-low PLP
  • > PIR+PBS - красный = high PLP

Конфигурация

Color-blind mode

Policer не рассматривает предыдущее окрашивание пакета. Любые прежние настройки - игнорируются. PLP назначайся в соответствии с настройками policer.

Color-aware mode

Policer учитывает предыдущую окраску пакета.

При обработке single-rate tricolor и two-rate tricolor на выходе получается пакет с результирующей меткой PLP + учитывается текущее прохождение пакета.

PLP может увеличиваться, оставаться прежним, но не уменьшаться.

По умолчанию tricolor mode включён только на М120 и МХ серии.

Для остальных включается руками:

Применение полисеров

Interface policers

  • Не часть firewall filter.
  • Можно применить к: protocol family, logical int, physical int.
  • Можно применить на input и output.

Конфигурация Для protocol family:

В таком случае threshold по трафику на каждую family будет 100 Мбит.

Для Logical interface policers: полисер применяется к family на интерфейсе, но threshold теперь применяется ко всем family в unit сразу. То есть в нашем случае в общем на ge-0/0/0.110 будет ограничение 100m.

Policing с использованием firewall filter

  • Можно применять полисеры внутри ff: тогда в then нужно указать не терминирующее действие, а назначение policer.
  • Могут применяться только к family
  • Могут применяться на in/out

Конфигурация

В этом случае трафику, in-profile будет назначен fw-class expedited-forwarding, а трафику попадающему в out-of-profile - best-effort (default).

Filter-specific policer: применяется к term, на все термы суммарно будет одно общее ограничение. Применяется для выделения разных типов трафика, но policing над ними будет делаться как над одним потоком.

Physical interface policer

Дает возможность создать аггрегированный полисер для одного физического интерфейса. Может быть полезным, если хочется создать общий полисер для разных family и разных unit на одном физическом интерфейсе.

В этом случае полисер 100 Мбит будет общим для всего физического интерфейса.

Policiers + Firewalls

Можно одновременно повесить на интерфейс и policer и filter.

Вх. трафик будет обрабатываться: 1.policer => 2.filter

Исх. трафик будет обрабатываться: 1.filter => 1.policer

Shaping

Помимо policing, можно лишний трафик обрезать шейпером. В Основном shaping делается на выходе (к исх трафику).

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Model: ex3200-48t

в порт свитча включен сервер с 4 IP. Нужно, что-бы 3 из них были доступны откуда угодно, а 4-й только с определенных подсетей. Конфигурация интерфейса:

Вот так 3 адреса доступны, 4-й, конечно нет, но стоит мне добавить:

И пропадает доступ к серверу совсем. Где я накосячил? Как отладить правило и посмотреть на свитче, какое сработало?

UPD [2012-11-11]: Разобрался, может кому будет надо. Juniper по умолчанию разрешает только то, что явно прописано в правилах. В данном случае надо отдельно разрешить arp

какая-то каша после описания задачи.

конфигуриция интерфейса правильная:
show configuration interfaces ge-0/0/38
unit 0 family ethernet-switching port-mode access;
vlan members vlan-1;
>
filter output custom;
>
>
>

фильтр надо такой

разрешаем 3 адреса, которые с любых сетей
set firewall family ethernet-switching filter custom term 1 from destination-address адрес1/32
set firewall family ethernet-switching filter custom term 1 from destination-address адрес2/32
set firewall family ethernet-switching filter custom term 1 from destination-address адрес3/32
set firewall family ethernet-switching filter custom term 1 then accept
потом разрешаем 4й адрес с определенных сетей
set firewall family ethernet-switching filter custom term 2 from destination-address адрес4/32
set firewall family ethernet-switching filter custom term 2 from source-address сеть1/16
set firewall family ethernet-switching filter custom term 2 from source-address сеть2/16
set firewall family ethernet-switching filter custom term 2 then accept
и по умолчанию закрываем остальное
set firewall family ethernet-switching filter custom term deny from destination-address адрес4/32
set firewall family ethernet-switching filter custom term deny then discard

софт рекомендуется 10.4R9

Сделал фильтр точно по описанному вами.

Там еще важно, что-бы пропускал только протокол tcp, и когда добавляешь в term 1|2 from protocol tcp работать перестает. связи с сервером нет.

Иерархия утверждения для настройки фильтров межсетевых экранов

Для настройки стандартного фильтра межсетевых экранов можно включить следующие утверждения. Для стандартного фильтра межсетевых экранов IPv4 это family inet утверждение является необязательным. Для стандартного фильтра межсетевых экранов IPv6 family inet6 эта процедура является обязательной.

Можно включить конфигурацию межсетевых экранов на одном из следующих уровней иерархии:

[edit logical-systems logical-system-name ]

Для фильтрации межсетевых экранов без с состоянием состояния необходимо разрешить выходной туннельный трафик через фильтр брандмауэра, примененный к вводимом трафику интерфейса, который является интерфейсом следующего перехода, к месту назначения туннеля. Фильтр межсетевых экранов влияет только на пакеты, которые по туннелю выходят из маршрутизатора (или коммутатора).

Семейства протоколов фильтрации межсетевых экранов

Конфигурация фильтра брандмауэра характерна для конкретного семейства протоколов. Под утверждением включим одно из следующих правил, чтобы указать семейство протоколов, для которого firewall необходимо фильтровать трафик:

family any - Фильтрация трафика, не зависят от протокола.

family inet -Фильтрация трафика протокола Internet Protocol версии 4 (IPv4).

family inet6 - Фильтрация трафика протокола Internet версии 6 (IPv6).

family mpls -Фильтрация MPLS трафика.

family vpls - Фильтрация трафика виртуальных частных lan-сервисов (VPLS).

family ccc - Фильтровать трафик с перекрестным подключением (CCC) цепи уровня 2.

family bridge -Фильтровать трафик с ремированиями уровня 2 только серия MX универсальных edge маршрутизаторов.

family ethernet-switching -Фильтрация трафика уровня 2 (Ethernet).

Утверждение необходимо только для указания семейства family family-name протоколов, иных, чем IPv4. Для настройки фильтра межсетевых экранов IPv4 можно настроить фильтр на уровне иерархии, не включив утверждение, так как уровни иерархии [edit firewall] family inet [edit firewall] [edit firewall family inet] эквивалентны.

Для фильтра семейства мостов критерии соответствия ip-протокола поддерживаются только для IPv4, а не для IPv6. Это применимо к картам линии, которые поддерживают микросхемы Trio Junos, например, для линк-карт MPC MPC 3D.

Имена и параметры фильтра брандмауэра

Под family family-name утверждением можно включить утверждения для создания и имен filter filter-name межсетевых экранов фильтров. Имя фильтра может содержать буквы, цифры и дефис (-) и длиной до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").

На уровне иерархии следующие утверждения являются [edit firewall family family-name filter filter-name ] необязательными:

instance-shared (серия MX маршрутизаторы с модульными концентраторами портов (только MPCS)

Термины фильтра межсетевых экранов

В этом filter filter-name выражении можно включить утверждения для создания и имен term term-name фильтра.

Необходимо настроить как минимум один термин в фильтре межсетевых экранов.

В фильтре межсетевых экранов необходимо указать уникальное имя для каждого термина. Термин "имя" может содержать буквы, цифры и дефис (-) и может содержать до 64 символов. Чтобы включить пробелы в имени, включив все имя в кавычках (" ").

Важен порядок указания терминов в конфигурации фильтра межсетевых экранов. Термины фильтра межсетевых экранов оцениваться в порядке их настройки. По умолчанию новые термины всегда добавляются к концу существующего фильтра. Команду configuration insert mode можно использовать для переубора условий фильтра межсетевых экранов.

На уровне иерархии утверждение не действует в том же [edit firewall family family-name filter filter-name term term-name ] термине, что и или filter filter-name from then утверждения. Если он включен на этом уровне иерархии, утверждение filter filter-name используется для вложения межсетевых экранов в фильтры.

Условия совпадения фильтра межсетевых экранов

Условия совпадения фильтра межсетевых экранов специфически для типа фильтруемого трафика.

За исключением трафика IPv4 MPLS IPv6 с тегами, в этом выражении необходимо указать условия совпадения from этого термина. Для трафика MPLS IPv4 с тегами, в этом выражении определяются условия совпадения, специфические для адреса IPv4, а также условия совпадения порта IPv4 в этом ip-version ipv4 protocol (tcp | udp) выражении.

Для MPLS IPv6 с тегами в этом выражении определяются условия совпадения, специфические для адресов IPv6, а также условия совпадения портов IPv6 в этом ip-version ipv6 protocol (tcp | udp) выражении.

Табл. 1 описывает типы трафика, для которого можно настраивать фильтры межсетевых экранов.

Табл. 1: Условия совпадения фильтра межсетевых экранов для семейства протоколов

Уровень иерархии, при котором заданы условия совпадения

Протокол не зависит от протокола

[edit firewall family any filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для независимого от протокола трафика".

[edit firewall family inet filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv4".

[edit firewall family inet6 filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика IPv6".

[edit firewall family mpls filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для MPLS трафика".

Адреса IPv4 в MPLS потоках

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 ]

Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.

Порты IPv4 в MPLS потоках

[edit firewall family mpls filter filter-name term term-name ip-version ipv4 protocol (tcp | udp)]

Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.

Адреса IPv6 в MPLS потоках

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 ]

Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.

Порты IPv6 в MPLS потоках

[edit firewall family mpls filter filter-name term term-name ip-version ipv6 protocol (tcp | udp)]

Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов MPLS трафика IPv4 или IPv6.

[edit firewall family vpls filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика VPLS".

[edit firewall family ccc filter filter-name term term-name ]

Полный список условий совпадения см. в "Условия совпадения фильтра межсетевых экранов для трафика CCC уровня 2".

Замыкание 2-го уровня

(серия MX только маршрутизаторы и коммутаторы серии EX)

[edit firewall family bridge filter filter-name term term-name ]

[edit firewall family ethernet-switching filter filter-name term term-name ] (только для коммутаторов серии EX)

Полный список условий совпадения см. в перечне условий совпадения фильтра межсетевых экранов для трафика с помощью 2-го уровня.

Если адрес IPv6 указан в состоянии совпадения (условия совпадения), используйте синтаксис для текстовых представлений, описанных в address destination-address source-address RFC 4291, IP-архитектуре версии 6. Дополнительные сведения об адресах IPv6 см. в обзоре IPv6 и поддерживаемых стандартах IPv6.

Действия по фильтру межсетевых экранов

В утверждениях для термина фильтра брандмауэра можно указать действия, которые необходимо принять для пакета, который соответствует then термину.

Табл. 2 суммирует типы действий, которые можно задать в термине фильтра межсетевых экранов.

Останавливает все оценки фильтра межсетевых экранов для конкретного пакета. Маршрутизатор (или коммутатор) выполняет указанное действие, и для проверки пакета не используются дополнительные условия.

В термине фильтра межсетевых экранов можно задать только одно действие. Тем не менее, можно указать одно действие, завершающее действие, одним или более неудающим действием в одном и том же сроке. Например, в термине можно указать accept с и count syslog . Независимо от количества терминов, содержащих термины действий, как только система обрабатывает о прекращении действия в течение срока, обработка всего фильтра межсетевых экранов прекращается.

Выполняет другие функции пакета (например, приращение счетчика, ведение журнала информации о загоне пакета, выборка пакетных данных или отправка информации удаленному хосту с помощью функции системного журнала), но для проверки пакета используются любые дополнительные условия.

Все неустанавливающие действия включают неявное действие принятия. Данное действие при приеме осуществляется в том случае, если в том же сроке не было настроено ни одного другого действия.

Только для стандартных фильтров межсетевых экранов действие направляет маршрутизатору (или коммутатору) выполнение настроенных действий на пакете, а затем, вместо того, чтобы прервать фильтр, использует следующий термин фильтра для оценки next term пакета. Если включено действие, совпадающий пакет оценивается в соответствие со следующим термином next term фильтра межсетевых экранов. В противном случае совпадающий пакет не будет оцениваться с последующими условиями фильтра межсетевых экранов.

Например, при настройке термина с неустановимым действием его действие меняется с неявного на count discard неявное. accept Это next term действие вынуждает продолжать оценку фильтра межсетевых экранов.

Действие, прервав действие, нельзя настроить в том же next term термине фильтра. Однако можно настроить действие на следующий термин с другим действием, неудающим действием в том же термине фильтра.

В стандартной конфигурации фильтра брандмауэра поддерживается до 1024 next term действий. Если стандартный фильтр межсетевых экранов настроен на превышение этого предела, в данной конфигурации возможно установить ошибку commit.

На Junos OS Evolved next term не может появиться последний срок действия. Термин фильтра, который определяется как действие, но не имеет настроенных условий next term совпадения, не поддерживается.

Juniper Networks JUNOS - операционная система, под управлением которой работает сетевое оборудование фирмы Juniper Networks. JUNOS основана на операционной системе UNIX FreeBSD.

Содержание

Важный аспект работы JUNOS - это логическое и физическое разделение Control Plane и Forwarding (Data) Plane.

CP and FP.JPG

RE (Routing Engine) выполняется на процессоре архитектуры x86 или PowerPC. PFE (Packet Forwarding Engine) выполняется на специальных микросхемах ASIC (Application-Specific Integrated Circuit). Это сделано для увеличения производительности - транзитные пакеты передаются без вмешательства RE (соответственно и процессора). RE используется для построения RT (Routing Table) и FT (Forwarding Table). FT после ее построения записывается в память PFE и выполняется на ASIC. FT представляет собой таблицу, содержащую сеть назначения, интерфейс, через который может быть достигнута эта сеть, IP адрес next-hop'a и mac адрес next-hop'a. Так же на PFE для увеличения производительности и скорости обработки транзитных пакетов выполняется QoS, Policer (Shaping) и Stateless Firewall Filter(ACLs).

Работа с командной строкой в JUNOS разделяется на 2 режима:

Operation Mode Junos.JPG

Команды, которые нам доступны в Operational Mode:

В JUNOS используется 2 конфигурации:

  • Active Configuration - это текущая конфигурация устройства.
  • Candidate Configuration - это конфигурация, которую мы правим в режиме конфигурирования.

Для того, чтобы конфигурация-кандидат стала активной, в режиме конфигурирования нужно ввести команду "Commit":

Чтобы зайти в определенный контекст для настройки используется команда "Edit":

Juniper Junos Edit.JPG

Доступные контексты для редактирования:

Для того, чтобы настроить интерфейс нужно перейти в контекст "Interfaces":

Иерархия настройки интерфейсов:

Interface Configure Juniper.PNG

Важный момент - все L3 параметры интерфейса настраиваются в контексте "UNIT". UNIT - это аналог сабинтерфейсов в Cisco.

Em0 - Это наш физический интерфейс. Family inet - параметры какого протокола мы хотим настроить. Доступны следующие значения:

Можно сразу из Configuration Mode посмотреть, что мы настроили набрав команду "show":

Применим наши настройки командой "Commit":

Проверим доступность IP на другой стороне канала:

L2 настройки задаются в следующем контексте:

Задать дуплекс на интерфейсе:

Посмотреть состояние интерфейсов и назначенные IP адреса (аналог sh ip int bri в Cisco):

В JUNOS используется следующая схема именования интерфейсов:

Juniper-interface.JPG

  • GE - Тип интерфейса. В данном случае Gigabit Ethernet.
  • 0 - это Flexible PIC Concentrator (FPC). Номер физического слота на нашем шасси.
  • 0 - это Physical Interface Card (PIC). Номер карты, вставленной в слот.
  • 1 - это номер порта на карте PIC.

В JUNOS можно создавать несколько таблиц маршрутизации. Главная таблица называется inet.0 и содержит ipv4 юникаст маршруты. По-умолчанию созданы следующие таблицы:

  • inet.0 - используется для ipv4 юникаст маршрутов;
  • inet.1 - используется для мультикаста;
  • inet.2 - используется для Multicast Border Gateway Protocol (MBGP) с проверкой RPF (Reverse Path Forwarding);
  • inet.3 - используется для MPLS маршрутов;
  • inet.4 - используется для Multicast Source Discovery Protocol (MSDP) маршрутов;
  • inet6.0 - используется для ipv6 юникаст маршрутов;
  • mpls.0 - используется для mpls next hops.


Как читать вывод команды "show route":

Route Table Juniper.PNG

Forwarding Table - таблица для быстрой пересылки пакетов. Строится на основе таблицы маршрутизации. Очень похожа на технологию CEF в Cisco.

Forwarding Table Juniper.PNG

Посмотреть, что в ней находится можно командой "show route forwarding-table":

Route Preference - это аналог Administrative Distance (AD) в Cisco IOS.

Протокол Приоритет по умолчанию
Directly connected network 0
Local 0
Static Route 5
OSPF internal route 10
RIP 100
OSPF AS external routes 150
eBGP и iBGP 170

Блоки, из которых строятся правила фильтрации:

FIREWALL-JUNOS.PNG

В "From" можно указывать следующие значения и их связки:

В "Then" можно указывать следующие значения:

Настройка выглядит следующим образом:

Теперь применяем фильтр на интерфейс:

Не забудьте правильно выбрать направление для фильтра:

FIREWALL-JUNOS-input-output.PNG

Настройка порта в режим access:

Configure-access-junos.PNG

Настройка порта в режим trunk:

Configure-trunk-junos.PNG

Настройка native vlan на trunk порту:

Configure-native-vlan-junos.PNG

Настройка Routed Vlan Interface (RVI) - в Cisco IOS это называется Swiched Vlan Interface (SVI):

Rvi-junos.PNG

Ассоциация RVI и VLAN:

Associate-rvi-vlan-junos.PNG

На сайте Juniper Networks есть курс на русском языке "JUNOS как второй язык", рассказывающий о сравнении языка командной строки Cisco IOS и Juniper JUNOS. Может быть очень полезен для инженеров, которые уже освоили Cisco IOS, но впервые столкнулись с оборудованием Juniper.

Более подробную информацию о настройке сетевого оборудования под управлением JUNOS можно получить из официальной документации Juniper.

Читайте также: