Nesta página
Exemplo: Configuração de contadores de filtro de firewall específicos para interface
Este exemplo mostra como configurar e aplicar um filtro de firewall padrão sem estado específico da interface.
Requisitos
Os filtros de firewall stateless específicos da interface são suportados apenas em roteadores da Série T, M120, M320 e Série MX.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você cria um filtro de firewall stateless específico para interface que conta e aceita pacotes com endereços de origem ou destino em um prefixo especificado e o campo do tipo de protocolo IP definido para um valor específico.
Topologia
Você configura o filtro filter_s_tcp de firewall stateless específico da interface para contar e aceitar pacotes com endereços de origem IP ou destino no prefixo e no 10.0.0.0/12 tipo de campo de protocolo IP definido tcp (ou o valor 6numérico).
O nome do contador de filtros de firewall é count_s_tcp.
Você aplica o filtro de firewall em várias interfaces lógicas:
at-1/1/1.0entradaso-2/2/2.2saída
A aplicação do filtro nessas duas interfaces resulta em duas instâncias do filtro: filter_s_tcp-at-1/1/1.0-i e filter_s_tcp-so-2/2/2.2-o, respectivamente.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall específico da interface
- Aplique o filtro de firewall específico da interface em várias interfaces
- Confirme a configuração do seu candidato
- Libere os contadores e comprometa a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configure o filtro de firewall específico da interface
Procedimento passo a passo
Para configurar o filtro de firewall específico da interface:
Crie o filtro
filter_s_tcpde firewall IPv4.[edit] user@host# edit firewall family inet filter filter_s_tcp
Habilite instâncias específicas da interface do filtro.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure as condições de correspondência para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure as ações para o termo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplique o filtro de firewall específico da interface em várias interfaces
Procedimento passo a passo
Aplicar o filtro filter_s_tcp em interfaces lógicas at-1/1/1.0 e so-2/2/2.2:
Aplique o filtro específico da interface aos pacotes recebidos na interface
at-1/1/1.0lógica.[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique o filtro específico da interface aos pacotes transmitidos pela interface
so-2/2/2.2lógica.[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewallmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Confirme a configuração das interfaces entrando no comando do
show interfacesmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Libere os contadores e comprometa a configuração do seu candidato
Procedimento passo a passo
Para limpar os contadores e confirmar a configuração do seu candidato:
Do modo de comando operacional, use o
clear firewall allcomando para limpar as estatísticas para todos os filtros de firewall.Para limpar apenas os contadores usados neste exemplo, inclua os nomes de instâncias de filtro específicas da interface:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Comprometa a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se o filtro é aplicado a cada uma das várias interfaces
- Verificando se os contadores são coletados separadamente por interface
Verificando se o filtro é aplicado a cada uma das várias interfaces
Propósito
Verifique se o filtro é aplicado a cada uma das várias interfaces.
Ação
Execute o show interfaces comando com o detail nível ou extensive saída.
Verifique se o filtro é aplicado à entrada para
at-1/1/1.0:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Verifique se o filtro é aplicado à saída para
so-2/2/2.2:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Verificando se os contadores são coletados separadamente por interface
Propósito
Certifique-se de que os count_s_tcp contadores sejam coletados separadamente para as duas interfaces lógicas.
Ação
Execute o show firewall comando.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101