Nesta página
Exemplo: Filtragem de pacotes recebidos em um conjunto de interface
Este exemplo mostra como configurar um filtro de firewall sem estado padrão para combinar pacotes marcados para um determinado conjunto de interface.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você aplica um filtro de firewall sem estado na entrada do roteador ou interface de loopback do switch. O filtro de firewall inclui um termo que corresponde a pacotes marcados para um determinado conjunto de interface.
Topologia
Você cria o filtro de firewall para aplicar limites de taxa ao tráfego independente de protocolo recebido nas seguintes interfaces:L2_filter
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
O tipo de interface neste tópico é apenas um exemplo. O tipo de interface não é suportado pelos switches da Série EX.fe-
Primeiro, para tráfego independente de protocolo recebido, o termo filtro de firewall aplica-se ao policial .fe-0/0/0.0t1p1
Para tráfego independente de protocolo recebido em quaisquer outras interfaces Fast Ethernet, o termo filtro de firewall aplica o policiador .t2p2 Para definir um conjunto de interface que consiste em todas as interfaces Ethernet rápidas, você inclui a declaração no nível de hierarquia.interface-set interface-set-name interface-name[edit firewall] Para definir um critério de correspondência de pacotes com base na interface na qual um pacote chega a um conjunto de interface especificado, você configura um termo que usa a condição de correspondência do filtro de firewall.interface-set
Por fim, para qualquer outro tráfego independente de protocolo, o termo filtro de firewall aplica-se ao policial .t3p3
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces para as quais os termos do filtro de firewall sem estado tomam ações que limitam a taxa
- Configuração do filtro de firewall sem estado que limita o tráfego independente de protocolo com base nas interfaces em que os pacotes chegam
- Aplicando o filtro de firewall sem estado na interface de entrada do mecanismo de roteamento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuração das interfaces para as quais os termos do filtro de firewall sem estado tomam ações que limitam a taxa
Procedimento passo a passo
Para configurar as interfaces para as quais os termos do filtro de firewall sem estado exigem ações que limitam a taxa:
Configure a interface lógica cujo tráfego de entrada será compatível com o primeiro termo do filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure as interfaces lógicas cujo tráfego de entrada será compatível com o segundo termo do filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a configuração das interfaces de trânsito do roteador (ou switch) entrando no comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configuração do filtro de firewall sem estado que limita o tráfego independente de protocolo com base nas interfaces em que os pacotes chegam
Procedimento passo a passo
Para configurar o firewall sem estado padrão que usa policiais (e ) para limitar o tráfego independente de protocolo com base nas interfaces nas quais os pacotes chegam:L2_filterp1p2p3
Configure as declarações de firewall.
[edit] user@host# edit firewall
Configure o policial para descartar o tráfego que excede uma taxa de tráfego de bps ou uma explosão de bytes.
p15m10m[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure o policial para descartar o tráfego que excede uma taxa de tráfego de bps ou um tamanho de estouro de bytes.
p240m100m[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure o policial para descartar o tráfego que excede uma taxa de tráfego de bps ou uma explosão de bytes.
p3600m1g[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Definir o conjunto de interface para ser o grupo de todas as interfaces Ethernet rápidas no roteador.
ifset[edit firewall] user@host# set interface-set ifset fe-*
Crie o filtro de firewall sem estado .
L2_filter[edit firewall] user@host# edit family any filter L2_filter
Configure o termo do filtro para combinar com pacotes IPv4, IPv6 ou MPLS recebidos na interface e use o policiador para limitar esse tráfego.
t1fe-0/0/0.0p1[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure o termo do filtro para combinar pacotes recebidos no conjunto de interface e use o policial para limitar esse tráfego.
t2ifsetp2[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure o termo filtro para usar o policiador para limitar a taxa de todo o tráfego.
t3p3[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a configuração do filtro de firewall sem estado e os policiais mencionados como ações de filtro de firewall entrando no comando do modo de configuração.show firewall Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Aplicando o filtro de firewall sem estado na interface de entrada do mecanismo de roteamento
Procedimento passo a passo
Para aplicar o filtro de firewall sem estado na interface de entrada do Mecanismo de Roteamento:
Aplique o filtro de firewall sem estado na interface do Mecanismo de Roteamento na direção de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Resultados
Confirme a aplicação do filtro de firewall na interface de entrada do Mecanismo de Roteamento entrando novamente no comando.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, use o comando do modo operacional para monitorar estatísticas de tráfego sobre o filtro de firewall e três contadores.show firewall filter L2_filter