Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando contadores de filtro de firewall específicos da interface

Este exemplo mostra como configurar e aplicar um filtro de firewall stateless padrão específico da interface.

Requisitos

Os filtros de firewall sem estado específicos da interface são suportados apenas em roteadores Série T, M120, M320 e série MX.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall stateless específico para interface que conta e aceita pacotes com endereços de origem ou destino em um prefixo especificado e o campo do tipo protocolo IP definido como um valor específico.

Topologia

Você configura o filtro de firewall stateless específico da interface para contar e aceitar pacotes com endereços de origem ip ou destino no prefixo e no campo do tipo protocolo IP definido para (ou o valor filter_s_tcp10.0.0.0/12tcp6 numérico).

O nome do contador de filtro de firewall é count_s_tcp .

Você aplica o filtro de firewall a várias interfaces lógicas:

  • at-1/1/1.0 Entrada

  • so-2/2/2.2 Saída

Aplicar o filtro a essas duas interfaces resulta em duas instâncias do filtro: filter_s_tcp-at-1/1/1.0-i e, filter_s_tcp-so-2/2/2.2-o respectivamente.

Configuração

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Nós e o CLI Editor em modo de configuração .

Para configurar este exemplo, realize as seguintes tarefas:

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie os comandos na CLI no nível [edit] da hierarquia.

Configure o filtro de firewall específico da interface

Procedimento passo a passo

Para configurar o filtro de firewall específico da interface:

  1. Crie o filtro de firewall filter_s_tcp IPv4.

  2. Ative instâncias específicas da interface do filtro.

  3. Configure as condições de combinação para o termo.

  4. Configure as ações para o termo.

Aplique o filtro de firewall específico da interface a várias interfaces

Procedimento passo a passo

Para aplicar o filtro filter_s_tcp a interfaces lógicas at-1/1/1.0so-2/2/2.2 e:

  1. Aplique o filtro específico da interface aos pacotes recebidos na interface at-1/1/1.0 lógica.

  2. Aplique o filtro específico da interface a pacotes transmitidos da interface so-2/2/2.2 lógica.

Confirmar a configuração do seu candidato

Procedimento passo a passo

Para confirmar a configuração do seu candidato:

  1. Confirmar a configuração do filtro de firewall sem estado inserindo o comando show firewall modo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.

  2. Confirmar a configuração das interfaces inserindo o comando show interfaces modo de configuração. Se a saída do comando não mostrar a configuração pretendido, repetirá as instruções neste exemplo para corrigir a configuração.

Limpar os contadores e comprometer a configuração do seu candidato

Procedimento passo a passo

Para limpar os contadores e comprometer a configuração do seu candidato:

  1. Do modo de comando operacional, use o clear firewall all comando para limpar as estatísticas de todos os filtros de firewall.

    Para limpar apenas os contadores usados neste exemplo, inclua os nomes de instâncias de filtro específicos da interface:

  2. Compromete a configuração do seu candidato.

Verificação

Confirmar se a configuração está funcionando corretamente.

Verificar se o filtro é aplicado a cada uma das várias interfaces

Propósito

Verificar se o filtro é aplicado a cada uma das várias interfaces.

Ação

Execute o show interfaces comando com o nível ou detailextensive saída.

  1. Verificar se o filtro é aplicado à entrada at-1/1/1.0 para:

  2. Verificar se o filtro é aplicado à saída so-2/2/2.2 para:

Verificar se os contadores são coletados separadamente pela interface

Propósito

Certifique-se de count_s_tcp que os contadores sejam coletados separadamente para as duas interfaces lógicas.

Ação

Executar o show firewall comando.