Nesta página
Exemplo: Configuração e aplicação de um filtro simples
Este exemplo mostra como configurar um filtro simples.
Requisitos
Este exemplo usa um dos seguintes componentes de hardware:
Uma fila inteligente gigabit Ethernet (IQ2) PIC instalada em um roteador M120, M320 ou Série T
Um concentrador de portas densas de enfileiramento aprimorado (EQ DPC) instalado em um roteador da Série MX ou em um switch da Série EX
Antes de começar, certifique-se de ter:
Instalou seu roteador (ou switch) suportado e PIC ou DPC e realizou a configuração inicial do roteador (ou switch).
Configurou a Ethernet básica na topologia e verificou que o tráfego está fluindo na topologia e que o tráfego IPv4 de entrada está fluindo para uma interface
ge-0/0/1.0lógica.
Visão geral
Este filtro simples define a prioridade de perda baixa para o tráfego TCP com endereço 172.16.1.1fonte, define a prioridade de perda para tráfego HTTP (Web) com endereços de origem na faixa 172.16.4.0/8 e define a prioridade de perda para baixo para todo o tráfego com endereço 172.16.6.6de destino.
Topologia
O filtro simples é aplicado como um filtro de entrada (os pacotes que chegam estão verificando o endereço 6.6.6.6de destino, não os pacotes de saída na fila) na interface ge-0/0/1.0.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração do filtro de firewall simples
- Aplicando o filtro simples na entrada de interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configuração do filtro de firewall simples
Procedimento passo a passo
Para configurar o filtro simples:
Crie o filtro
sf_classify_1simples.[edit] user@host# edit firewall family inet simple-filter sf_classify_1
Configure a classificação do tráfego TCP com base no endereço IP de origem.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
Configure a classificação do tráfego HTTP com base no endereço IP de origem.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
Configure a classificação de outro tráfego com base no endereço IP de destino.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
Resultados
Confirme a configuração do filtro simples entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
Aplicando o filtro simples na entrada de interface lógica
Procedimento passo a passo
Para aplicar o filtro simples à entrada lógica da interface:
Configure a interface lógica à qual você aplicará o filtro simples.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro simples na entrada lógica da interface.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
Resultados
Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
Quando terminar de configurar o dispositivo, confirme a configuração do seu candidato.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibindo o mapeamento do encaminhamento de mapas de classe e nomes para números de fila
- Exibindo contadores de fila cos para a interface
- Exibindo detalhes do contador de fila cos para a interface física
Exibindo o mapeamento do encaminhamento de mapas de classe e nomes para números de fila
Propósito
Exibir o mapeamento do encaminhamento de nomes de classe para números de fila.
Ação
Insira o comando do show class-of-service forwarding-class modo operacional.
[edit] user@host> show class-of-service forwarding-class
Para obter informações sobre a saída de comando, veja "show class-of-service forwarding-class" no CLI Explorer.
Exibindo contadores de fila cos para a interface
Propósito
Verifique se os contadores de fila de classe de serviço (CoS) para a interface refletem o filtro simples aplicado à interface lógica.
Ação
Insira o show interfaces comando para a interface física na qual o filtro simples é aplicado e especifique detail ou extensive nível de saída.
[edit] user@host> show interfaces ge-0/0/1 detail
Physical interface Na seção abaixo, Ingress queuesa Queue counters seção exibe contadores de fila de entrada para cada classe de encaminhamento.
Para obter informações mais detalhadas sobre a saída de comando, veja "show interfaces " no CLI Explorer.
Exibindo detalhes do contador de fila cos para a interface física
Propósito
Verifique se os detalhes do contador de fila cos para a interface física refletem o filtro simples aplicado à interface lógica.
Ação
Insira o show interfaces queue comando para a interface física na qual o filtro simples é aplicado e especifique a opção ingress .
[edit] user@host> show interfaces queue ge-0/0/1 ingress
Para obter informações sobre a saída de comando, veja "show interfaces queue" no CLI Explorer.