8.5 Layer 2 Firewall

8. Ethernet Switching

8.5 Layer 2 Firewall

 Layer 2 Firewall — технология, позволяющая фильтровать фрэймы на основании их содержимого и выполнять действия над этими фрэймами. Фильтрация может принимать или отклонять пакеты на основании:

  • Address field
  • Protocol type
  • VLAN ID
  • 802.1p бит
  • IP адреса пакета, несущего Ethernet фрэйм
  • и т.д.

 Фильтровать можно трафик, направленный как к RE, так и транзитный трафик. Фильтр может применяться на входящее и исходящее направление и пропускать или отбрасывать фрэймы.

 Настройка Layer 2 Firewall в Juniper производится в «секции» [edit firewall family bridge]:

[edit firewall family bridge]
filter filter-name {
     term term-name {
          from {
               match-conditions;
          }
          then {
               action;
               action-modifiers;
     term implicit-rule {
          then discard;
          }
     }
}

Синтаксис команд идентичен синтаксису при настройке policy statement. Производится последовательная обработка term’s, если отсутствует from, то подпадают все фрэймы. Если фрейм не подпадает ни под один term, то фрэйм будет «молча» отброшен (discard) — аналог неявного «deny all«. Если отсутствует then или в нём нет действий, то фрэйм пропускается (не отбрасывается).

Layer 2 Firewall применяется к:

  • интерфейсу, на входящее и/или исходящее направление; с помощью input-list и output-list можно применить цепочку фильтров (до 16 фильтров)
  • brigde domain’у, только один фильтр, только на входящее направление (фильтр будет применён ко всем интерфейсам этого brigde domain’а)
  • интерфейсу и brigde domain’у одновременно, только на входящее направление; фильтр на интерфейсе будет обработан первым, затем — фильтр на brigde domain’е

8-5-1

Если при создании Bridge Domain использовалась команда vlan-id-list, то фильтр применить нельзя.

Помимо «одобрения» или отбрасывания фрэйма, можно выполнить ещё ряд действий над ним:

  • count: подсчитывает кол-во подпаданий фреймов под условие (clear firewall очистит счётчики)
  • forwarding-class: используется для CoS. Определяет очередь, в которую должен быть помещён фрэйм
  • loss-priority: позволяет изменить бит packet loss priority IP-пакета
  • next: фрэйм переходит к обработке следующим term‘ом в фильтре
  • next-hop-group: определяет какая next-hop group будет применена
  • policer: применяет policer к подпадающим под условие фрэймам
  • port-mirror: копия фрэйма будет отправлена на другой порт (для анализа). Оригинальный фрэйм передаётся без изменения

Пример настройки Layer 2 Firewall в Juniper:

8-5-2

К оглавлению

Добавить комментарий