Nesta página
Example: Configurando um filtro para contar e amostrar pacotes aceitos
Este exemplo mostra como configurar um filtro de firewall stateless padrão para contar e amostrar pacotes aceitos.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Antes de começar, configure a amostra de tráfego incluindo a sampling declaração no nível de [edit forwarding-options] hierarquia.
Visão geral
Neste exemplo, você usa um filtro de firewall stateless padrão para contar e amostrar todos os pacotes recebidos em uma interface lógica.
Quando você habilita o encaminhamento de caminho reverso (RPF) em uma interface com um filtro de entrada para registro e contagem de firewalls, o filtro de firewall de entrada não registra os pacotes rejeitados pelo RPF, embora os pacotes rejeitados sejam contados. Para registrar os pacotes rejeitados, use um filtro de falha de verificação de RPF.
Nos roteadores da Série MX com MPC3 ou MPC4, se os filtros de firewall forem configurados para contar pacotes de TWAMP (Two-Way Active Measurement Protocol, protocolo de medição ativa de duas vias), a contagem é dobrada para todos os pacotes TWAMP. Também pode haver um pequeno aumento no tempo de viagem de ida e volta (RTT) quando o servidor TWAMP estiver hospedado no MPC3 ou MPC4. Este aviso não se aplica a roteadores com placas MPC1 ou MPC2.
Cópia de
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall stateless em uma interface lógica
- Confirme e confirme sua configuração de candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro samde firewall stateless:
Crie o filtro
samde firewall stateless.[edit] user@host# edit firewall family inet filter sam
Configure o termo para contar e amostrar todos os pacotes.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
Aplique o filtro de firewall stateless em uma interface lógica
Procedimento passo a passo
Para aplicar o filtro de firewall stateless a uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall stateless.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique o filtro de firewall stateless na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
Nota:O Junos OS não amostra pacotes originados do roteador ou switch. Se você configurar um filtro e aplicá-lo ao lado de saída de uma interface, apenas os pacotes de trânsito que passam por essa interface são amostrados. Os pacotes enviados do mecanismo de roteamento para o mecanismo de encaminhamento de pacotes não são amostrados.
Confirme e confirme sua configuração de candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall stateless entrando no comando de
show firewallmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }Confirme a configuração da interface entrando no comando de
show interfacesmodo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }Se você terminar de configurar o dispositivo, comprometa sua configuração de candidato.
[edit] user@host# commit
Verificação
Confirme que a configuração está funcionando corretamente.
- Exibindo o contador de pacotes
- Exibindo a saída de log do filtro de firewall
- Exibindo a saída de amostragem
Exibindo o contador de pacotes
Propósito
Verifique se o filtro de firewall está avaliando pacotes.
Ação
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
Exibindo a saída de log do filtro de firewall
Propósito
Exibir as informações do cabeçalho do pacote para todos os pacotes avaliados pelo filtro de firewall.
Ação
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
Significado
Este arquivo de saída contém os seguintes campos:
Time— Tempo em que o pacote foi recebido (não mostrado no padrão).Filter— Nome de um filtro que foi configurado com afilterdeclaração no nível da[edit firewall]hierarquia. Um hífen (-) ou a abreviaçãopfeindica que o pacote foi tratado pelo Mecanismo de Encaminhamento de Pacotes. Um espaço (sem hífen) indica que o pacote foi tratado pelo mecanismo de roteamento.A— Filtrar a ação:A— Aceitar (ou a próxima duração)D— DescartarR— Rejeitar
Interface— Interface na qual o filtro está configurado.Nota:Recomendamos fortemente que você sempre configure explicitamente uma ação na
thendeclaração.Pro— nome ou número do protocolo do Packet.Source address— Endereço IP de origem no pacote.Destination address— Endereço IP de destino no pacote.
Exibindo a saída de amostragem
Propósito
Verifique se a saída de amostra contém dados apropriados.
Ação
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0