Nesta página
Exemplo: Configuração de contadores de filtro de firewall específicos para interface
Este exemplo mostra como configurar e aplicar um filtro de firewall padrão sem estado específico da interface.
Requisitos
Os filtros de firewall stateless específicos da interface são suportados apenas em roteadores da Série T, M120, M320 e Série MX.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless específico para interface que conta e aceita pacotes com endereços de origem ou destino em um prefixo especificado e o campo do tipo de protocolo IP definido para um valor específico.
Topologia
Você configura o filtro de firewall stateless específico da interface para contar e aceitar pacotes com endereços de origem IP ou destino no prefixo e no tipo de campo de protocolo IP definido (ou o valor numérico).filter_s_tcp10.0.0.0/12tcp6
O nome do contador de filtros de firewall é .count_s_tcp
Você aplica o filtro de firewall em várias interfaces lógicas:
at-1/1/1.0Entradaso-2/2/2.2Saída
A aplicação do filtro nessas duas interfaces resulta em duas instâncias do filtro: e , respectivamente.filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall específico da interface
- Aplique o filtro de firewall específico da interface em várias interfaces
- Confirme a configuração do seu candidato
- Libere os contadores e comprometa a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configure o filtro de firewall específico da interface
Procedimento passo a passo
Para configurar o filtro de firewall específico da interface:
Crie o filtro de firewall IPv4.
filter_s_tcp[edit] user@host# edit firewall family inet filter filter_s_tcp
Habilite instâncias específicas da interface do filtro.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure as condições de correspondência para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure as ações para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplique o filtro de firewall específico da interface em várias interfaces
Procedimento passo a passo
Aplicar o filtro em interfaces lógicas e :filter_s_tcpat-1/1/1.0so-2/2/2.2
Aplique o filtro específico da interface aos pacotes recebidos na interface lógica.
at-1/1/1.0[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique o filtro específico da interface aos pacotes transmitidos pela interface lógica.
so-2/2/2.2[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.
show firewallSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Confirme a configuração das interfaces entrando no comando do modo de configuração.
show interfacesSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Libere os contadores e comprometa a configuração do seu candidato
Procedimento passo a passo
Para limpar os contadores e confirmar a configuração do seu candidato:
Do modo de comando operacional, use o comando para limpar as estatísticas para todos os filtros de firewall.
clear firewall allPara limpar apenas os contadores usados neste exemplo, inclua os nomes de instâncias de filtro específicas da interface:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Comprometa a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se o filtro é aplicado a cada uma das várias interfaces
- Verificando se os contadores são coletados separadamente por interface
Verificando se o filtro é aplicado a cada uma das várias interfaces
Propósito
Verifique se o filtro é aplicado a cada uma das várias interfaces.
Ação
Execute o comando com o nível ou saída.show interfacesdetailextensive
Verifique se o filtro é aplicado à entrada para :
at-1/1/1.0user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Verifique se o filtro é aplicado à saída para :
so-2/2/2.2user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Verificando se os contadores são coletados separadamente por interface
Propósito
Certifique-se de que os contadores sejam coletados separadamente para as duas interfaces lógicas.count_s_tcp
Ação
Execute o comando.show firewall
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101