Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de contadores de filtro de firewall específicos para interface

Este exemplo mostra como configurar e aplicar um filtro de firewall padrão sem estado específico da interface.

Requisitos

Os filtros de firewall stateless específicos da interface são suportados apenas em roteadores da Série T, M120, M320 e Série MX.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless específico para interface que conta e aceita pacotes com endereços de origem ou destino em um prefixo especificado e o campo do tipo de protocolo IP definido para um valor específico.

Topologia

Você configura o filtro filter_s_tcp de firewall stateless específico da interface para contar e aceitar pacotes com endereços de origem IP ou destino no prefixo e no 10.0.0.0/12 tipo de campo de protocolo IP definido tcp (ou o valor 6numérico).

O nome do contador de filtros de firewall é count_s_tcp.

Você aplica o filtro de firewall em várias interfaces lógicas:

  • at-1/1/1.0 entrada

  • so-2/2/2.2 saída

A aplicação do filtro nessas duas interfaces resulta em duas instâncias do filtro: filter_s_tcp-at-1/1/1.0-i e filter_s_tcp-so-2/2/2.2-o, respectivamente.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.

Configure o filtro de firewall específico da interface

Procedimento passo a passo

Para configurar o filtro de firewall específico da interface:

  1. Crie o filtro filter_s_tcpde firewall IPv4.

  2. Habilite instâncias específicas da interface do filtro.

  3. Configure as condições de correspondência para o termo.

  4. Configure as ações para o termo.

Aplique o filtro de firewall específico da interface em várias interfaces

Procedimento passo a passo

Aplicar o filtro filter_s_tcp em interfaces lógicas at-1/1/1.0 e so-2/2/2.2:

  1. Aplique o filtro específico da interface aos pacotes recebidos na interface at-1/1/1.0lógica.

  2. Aplique o filtro específico da interface aos pacotes transmitidos pela interface so-2/2/2.2lógica.

Confirme a configuração do seu candidato

Procedimento passo a passo

Para confirmar a configuração do seu candidato:

  1. Confirme a configuração do filtro de firewall sem estado entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração das interfaces entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Libere os contadores e comprometa a configuração do seu candidato

Procedimento passo a passo

Para limpar os contadores e confirmar a configuração do seu candidato:

  1. Do modo de comando operacional, use o clear firewall all comando para limpar as estatísticas para todos os filtros de firewall.

    Para limpar apenas os contadores usados neste exemplo, inclua os nomes de instâncias de filtro específicas da interface:

  2. Comprometa a configuração do seu candidato.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificando se o filtro é aplicado a cada uma das várias interfaces

Propósito

Verifique se o filtro é aplicado a cada uma das várias interfaces.

Ação

Execute o show interfaces comando com o detail nível ou extensive saída.

  1. Verifique se o filtro é aplicado à entrada para at-1/1/1.0:

  2. Verifique se o filtro é aplicado à saída para so-2/2/2.2:

Verificando se os contadores são coletados separadamente por interface

Propósito

Certifique-se de que os count_s_tcp contadores sejam coletados separadamente para as duas interfaces lógicas.

Ação

Execute o show firewall comando.