Nesta página
Exemplo: Configurando contadores de filtro de firewall específicos da interface
Este exemplo mostra como configurar e aplicar um filtro de firewall stateless padrão específico da interface.
Requisitos
Os filtros de firewall sem estado específicos da interface são suportados apenas em roteadores Série T, M120, M320 e série MX.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless específico para interface que conta e aceita pacotes com endereços de origem ou destino em um prefixo especificado e o campo do tipo protocolo IP definido como um valor específico.
Topologia
Você configura o filtro de firewall stateless específico da interface para contar e aceitar pacotes com endereços de origem ip ou destino no prefixo e no campo do tipo protocolo IP definido para (ou o valor filter_s_tcp10.0.0.0/12tcp6 numérico).
O nome do contador de filtro de firewall é count_s_tcp .
Você aplica o filtro de firewall a várias interfaces lógicas:
at-1/1/1.0Entradaso-2/2/2.2Saída
Aplicar o filtro a essas duas interfaces resulta em duas instâncias do filtro: filter_s_tcp-at-1/1/1.0-i e, filter_s_tcp-so-2/2/2.2-o respectivamente.
Configuração
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Nós e o CLI Editor em modo de configuração .
Para configurar este exemplo, realize as seguintes tarefas:
- Configuração rápida CLI
- Configure o filtro de firewall específico da interface
- Aplique o filtro de firewall específico da interface a várias interfaces
- Confirmar a configuração do seu candidato
- Limpar os contadores e comprometer a configuração do seu candidato
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie os comandos na CLI no nível [edit] da hierarquia.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configure o filtro de firewall específico da interface
Procedimento passo a passo
Para configurar o filtro de firewall específico da interface:
Crie o filtro de firewall
filter_s_tcpIPv4.[edit] user@host# edit firewall family inet filter filter_s_tcp
Ative instâncias específicas da interface do filtro.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure as condições de combinação para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure as ações para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplique o filtro de firewall específico da interface a várias interfaces
Procedimento passo a passo
Para aplicar o filtro filter_s_tcp a interfaces lógicas at-1/1/1.0so-2/2/2.2 e:
Aplique o filtro específico da interface aos pacotes recebidos na interface
at-1/1/1.0lógica.[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique o filtro específico da interface a pacotes transmitidos da interface
so-2/2/2.2lógica.[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirmar a configuração do seu candidato
Procedimento passo a passo
Para confirmar a configuração do seu candidato:
Confirmar a configuração do filtro de firewall sem estado inserindo o comando
show firewallmodo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Confirmar a configuração das interfaces inserindo o comando
show interfacesmodo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Limpar os contadores e comprometer a configuração do seu candidato
Procedimento passo a passo
Para limpar os contadores e comprometer a configuração do seu candidato:
Do modo de comando operacional, use o
clear firewall allcomando para limpar as estatísticas de todos os filtros de firewall.Para limpar apenas os contadores usados neste exemplo, inclua os nomes de instâncias de filtro específicos da interface:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Compromete a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirmar se a configuração está funcionando corretamente.
- Verificar se o filtro é aplicado a cada uma das várias interfaces
- Verificar se os contadores são coletados separadamente pela interface
Verificar se o filtro é aplicado a cada uma das várias interfaces
Propósito
Verificar se o filtro é aplicado a cada uma das várias interfaces.
Ação
Execute o show interfaces comando com o nível ou detailextensive saída.
Verificar se o filtro é aplicado à entrada
at-1/1/1.0para:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Verificar se o filtro é aplicado à saída
so-2/2/2.2para:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Verificar se os contadores são coletados separadamente pela interface
Propósito
Certifique-se de count_s_tcp que os contadores sejam coletados separadamente para as duas interfaces lógicas.
Ação
Executar o show firewall comando.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101