Nesta página
Exemplo: Filtragem de pacotes recebidos em um conjunto de interface
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado conjunto de interface.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você aplica um filtro de firewall sem estado na entrada do roteador ou interface de loopback do switch. O filtro de firewall inclui um termo que corresponde a pacotes marcados para um determinado conjunto de interface.
Topologia
Você cria o filtro L2_filter de firewall para aplicar limites de taxa ao tráfego independente de protocolo recebido nas seguintes interfaces:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
O tipo de interface neste tópico é apenas um exemplo. O fe- tipo de interface não é suportado pelos switches da Série EX.
Primeiro, para tráfego independente de protocolo recebido, fe-0/0/0.0o termo t1 filtro de firewall aplica-se ao policial p1.
Para tráfego independente de protocolo recebido em quaisquer outras interfaces Fast Ethernet, o termo t2 filtro de firewall aplica o policiador p2. Para definir um conjunto de interface que consiste em todas as interfaces Ethernet rápidas, você inclui a interface-set interface-set-name interface-name declaração no nível de [edit firewall] hierarquia. Para definir um critério de correspondência de pacotes com base na interface na qual um pacote chega a um conjunto de interface especificado, você configura um termo que usa a condição de correspondência do filtro de interface-set firewall.
Por fim, para qualquer outro tráfego independente de protocolo, o termo t3 filtro de firewall aplica-se ao policial p3.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces para as quais os termos do filtro de firewall sem estado tomam ações que limitam a taxa
- Configuração do filtro de firewall sem estado que limita o tráfego independente de protocolo com base nas interfaces em que os pacotes chegam
- Aplicando o filtro de firewall sem estado na interface de entrada do mecanismo de roteamento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuração das interfaces para as quais os termos do filtro de firewall sem estado tomam ações que limitam a taxa
Procedimento passo a passo
Para configurar as interfaces para as quais os termos do filtro de firewall sem estado exigem ações que limitam a taxa:
Configure a interface lógica cujo tráfego de entrada será compatível com o primeiro termo do filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure as interfaces lógicas cujo tráfego de entrada será compatível com o segundo termo do filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a configuração das interfaces de trânsito do roteador (ou switch) entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configuração do filtro de firewall sem estado que limita o tráfego independente de protocolo com base nas interfaces em que os pacotes chegam
Procedimento passo a passo
Para configurar o firewall L2_filter sem estado padrão que usa policiais (p1p2e p3) para limitar o tráfego independente de protocolo com base nas interfaces nas quais os pacotes chegam:
Configure as declarações de firewall.
[edit] user@host# edit firewall
Configure o policial
p1para descartar o tráfego que excede uma taxa de tráfego de5mbps ou uma explosão de10mbytes.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure o policial
p2para descartar o tráfego que excede uma taxa de tráfego de40mbps ou uma explosão de100mbytes.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure o policial
p3para descartar o tráfego que excede uma taxa de tráfego de600mbps ou uma explosão de1gbytes.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Definir o conjunto
ifsetde interface para ser o grupo de todas as interfaces Ethernet rápidas no roteador.[edit firewall] user@host# set interface-set ifset fe-*
Crie o filtro de firewall sem estado
L2_filter.[edit firewall] user@host# edit family any filter L2_filter
Configure o termo
t1do filtro para combinar com pacotes IPv4, IPv6 ou MPLS recebidos na interfacefe-0/0/0.0e use o policiadorp1para limitar esse tráfego.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure o termo
t2do filtro para combinar pacotes recebidos no conjuntoifsetde interface e use o policialp2para limitar esse tráfego.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure o termo
t3filtro para usar o policiadorp3para limitar a taxa de todo o tráfego.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a configuração do filtro de firewall sem estado e os policiais mencionados como ações de filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Aplicando o filtro de firewall sem estado na interface de entrada do mecanismo de roteamento
Procedimento passo a passo
Para aplicar o filtro de firewall sem estado na interface de entrada do Mecanismo de Roteamento:
Aplique o filtro de firewall sem estado na interface do Mecanismo de Roteamento na direção de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a aplicação do filtro de firewall na interface de entrada do Mecanismo de Roteamento entrando novamente no show interfaces comando. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, use o comando do show firewall filter L2_filter modo operacional para monitorar estatísticas de tráfego sobre o filtro de firewall e três contadores.