Exemplo: ignorando filtros de firewall
Este exemplo descreve como configurar vários filtros usando a service-filter-hit combinação correspondência/ação e contém as seguintes seções:
Antes de começar
Ao usar a service-filter-hit combinação de partida/ação, lembre-se do seguinte:
A ordem em que os filtros são aplicados é importante. Você pode garantir a ordem na qual os filtros são processados especificando um valor de precedência de filtro para a interface. Consulte Definindo a ordem de processamento de filtro dinâmico para obter mais informações sobre o processamento de filtro dinâmico e como usar a
precedenceinstrução.
Visão geral do desvio de filtro
Os pacotes devem passar por cada filtro em uma cadeia. No entanto, se você criar uma cadeia de filtros para processar diferentes tipos de pacotes (por exemplo, pacotes de voz, vídeo e dados), poderá simplificar o processo de filtro, diminuindo a quantidade de tratamento de pacotes para cada filtro na cadeia, ignorando efetivamente filtros desnecessários, usando a service-filter-hit combinação de correspondência/ação no nível da [edit firewall family family-name filter filter-name term term-name] hierarquia.
A Figura 1 mostra o fluxo de processamento lógico por meio de uma cadeia de três filtros (voz, vídeo e dados) em que apenas o processamento de um tipo de dados específico é desejado. Este exemplo de configuração mostra um fluxo de filtro de entrada. Embora os filtros de entrada subsequentes em uma cadeia possam detectar se a ação está definida, os service-filter-hit filtros de saída não. Para ignorar filtros de saída, você também deve configurar a service-filter-hit combinação de correspondência/ação nesses filtros.
filtro
Configurando o desvio de filtro
- Configuração rápida da CLI
- Configurando o filtro de voz
- Configurando o filtro de vídeo
- Configurando o filtro de dados
- Resultados
Configuração rápida da CLI
Para configurar rapidamente este exemplo:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
Configurando o filtro de voz
Procedimento passo a passo
Para configurar o filtro de voz para o fluxo lógico na Figura 1:
Configure o filtro para aplicar a classe de encaminhamento garantido e definir a ação para o tráfego de um endereço e intervalo de portas específicos (sobre os
service-filter-hitquais o tráfego de voz é esperado).[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
Configure a ação padrão do filtro para passar (aceitar) o tráfego de pacotes de qualquer outro endereço ou intervalo de portas.
[edit] set firewall filter voice term default then accept
Configurando o filtro de vídeo
Procedimento passo a passo
Para configurar o filtro de vídeo para o fluxo lógico na Figura 1:
Configure o filtro para passar (aceitar) pacotes de entrada marcados pela
service-filter-hitação.[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
Configure o filtro para aplicar um policiador de vídeo e definir a ação para o tráfego de um endereço específico (sobre o qual o
service-filter-hittráfego de vídeo é esperado).[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
Configure a ação padrão do filtro para passar (aceitar) o tráfego de pacotes de qualquer outro endereço ou intervalo de portas.
[edit] set firewall filter video term default then accept
Configurando o filtro de dados
Procedimento passo a passo
Para configurar o filtro de dados para o fluxo lógico na Figura 1:
Configure o filtro para passar (aceitar) pacotes de entrada marcados pela
service-filter-hitação.[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
Configure o filtro para aplicar um policiador de dados e definir a ação para o tráfego de um endereço específico (no qual o
service-filter-hittráfego de vídeo é esperado).[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
Resultados
Exiba os resultados da configuração:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}