Nesta página
Exemplo: Configuração de um filtro para contagem e amostra de pacotes aceitos
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para contar e provar pacotes aceitos.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Antes de começar, configure a amostragem de tráfego incluindo a declaração no nível de hierarquia.sampling[edit forwarding-options]
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado padrão para contar e provar todos os pacotes recebidos em uma interface lógica.
Quando você habilita o encaminhamento de caminhos reversos (RPF) em uma interface com um filtro de entrada para log e contagem de firewalls, o filtro de firewall de entrada não registra os pacotes rejeitados pelo RPF, embora os pacotes rejeitados sejam contados. Para registrar os pacotes rejeitados, use um filtro de falha de verificação de RPF.
Nos roteadores da Série MX com MPC3 ou MPC4, se os filtros de firewall forem configurados para contar pacotes de protocolo de medição ativa de duas vias (TWAMP), a contagem é dobrada para todos os pacotes TWAMP. Também pode haver um pequeno aumento no tempo de ida e volta (RTT) quando o servidor TWAMP estiver hospedado no MPC3 ou MPC4. Este aviso não se aplica a roteadores com placas MPC1 ou MPC2.
Em QFX5130 e QFX5700 quando um pacote atinge vários filtros de firewall que tem contra-ação, apenas o contador de grupos de maior prioridade aumentará. Por exemplo, suponha que o pacote tenha atingido um filtro IPACL (Port ACL) e um filtro IRACL (ACL roteado), ambos tendo contra-ação. De acordo com a prioridade, o IRACL tem alta prioridade em relação ao IPACL. Dessa forma, somente o contador do IRACL irá aumentar. Se não houver impacto no IRACL, o contador IPACL aumentará.
Abaixo está a ordem de prioridade dos ACLs configurados pelo usuário (do mais alto ao mais baixo),
-
Loopback
-
IRACL
-
IPACL
-
IVACL
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall sem estado em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro de firewall sem estado:sam
Crie o filtro de firewall sem estado .
sam[edit] user@host# edit firewall family inet filter sam
Configure o termo para contar e provar todos os pacotes.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
Aplique o filtro de firewall sem estado em uma interface lógica
Procedimento passo a passo
Aplicar o filtro de firewall sem estado em uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall sem estado na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
Nota:O Junos OS não amostra pacotes originados do roteador ou switch. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface serão amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados.
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.
show firewallSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }Confirme a configuração da interface entrando no comando do modo de configuração.
show interfacesSe a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibindo o contador de pacotes
- Exibindo a saída de log do filtro de firewall
- Exibindo a saída de amostragem
Exibindo o contador de pacotes
Propósito
Verifique se o filtro de firewall está avaliando pacotes.
Ação
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
Exibindo a saída de log do filtro de firewall
Propósito
Exibir as informações do cabeçalho do pacote para todos os pacotes avaliados pelo filtro de firewall.
Ação
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
Significado
Este arquivo de saída contém os seguintes campos:
Time— Tempo em que o pacote foi recebido (não mostrado no padrão).— Nome de um filtro que foi configurado com a declaração no nível de hierarquia.
Filterfilter[edit firewall]Um hífen (-) ou a abreviação indica que o pacote foi tratado pelo Mecanismo de encaminhamento de pacotes.pfeUm espaço (sem hífen) indica que o pacote foi tratado pelo Mecanismo de Roteamento.A— Filtrar a ação:A— Aceite (ou no próximo termo)D— DescarteR— Rejeitar
Interface— Interface na qual o filtro está configurado.Nota:Recomendamos fortemente que você configure sempre explicitamente uma ação na declaração.
thenPro— Nome ou número do protocolo do packet.Source address— Endereço IP de origem no pacote.Destination address— Endereço IP de destino no pacote.
Exibindo a saída de amostragem
Propósito
Verifique se a saída de amostragem contém dados apropriados.
Ação
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0