Exemplo: ignorando filtros de firewall
Este exemplo descreve como configurar vários filtros usando a service-filter-hit
combinação de correspondência/ação e contém as seguintes seções:
Antes de começar
Ao usar a service-filter-hit
combinação correspondência/ação, lembre-se do seguinte:
A ordem em que os filtros são aplicados é importante. Você pode garantir a ordem em que os filtros são processados especificando um valor de precedência de filtro para a interface. Consulte a Ordem de processamento dinâmico de filtros definidores para obter mais informações sobre o processamento dinâmico de filtros e como usar a
precedence
declaração.
Visão geral do bypass do filtro
Os pacotes devem passar por cada filtro em uma cadeia. No entanto, se você criar uma cadeia de filtros para processar diferentes tipos de pacotes (por exemplo, voz, vídeo e pacotes de dados), você pode agilizar o processo de filtro, diminuindo a quantidade de tratamento de pacotes para cada filtro na cadeia, ignorando efetivamente filtros desnecessários, usando a service-filter-hit
combinação de correspondência/ação no [edit firewall family family-name filter filter-name term term-name]
nível de hierarquia.
A Figura 1 mostra o fluxo de processamento lógico por uma cadeia de três filtros (voz, vídeo e dados) onde é desejado apenas processamento para um tipo de dados específico. Este exemplo de configuração mostra um fluxo de filtro de entrada. Embora os filtros de entrada subsequentes em uma cadeia possam detectar se a ação está definida, os service-filter-hit
filtros de saída não. Para ignorar os filtros de saída, você também deve configurar a service-filter-hit
combinação de correspondência/ação nesses filtros.
Configuração de desvio de filtro
- Configuração rápida da CLI
- Configuração do filtro de voz
- Configuração do filtro de vídeo
- Configuração do filtro de dados
- Resultados
Configuração rápida da CLI
Para configurar rapidamente este exemplo:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
Configuração do filtro de voz
Procedimento passo a passo
Para configurar o filtro de voz para o fluxo lógico na Figura 1:
Configure o filtro para aplicar a classe de encaminhamento garantida e definir a ação para o tráfego a
service-filter-hit
partir de um endereço específico e faixa de porta (sobre a qual o tráfego de voz é esperado).[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
Configure a ação padrão do filtro para passar (aceitar) tráfego de pacotes de qualquer outro endereço ou intervalo de porta.
[edit] set firewall filter voice term default then accept
Configuração do filtro de vídeo
Procedimento passo a passo
Para configurar o filtro de vídeo para o fluxo lógico na Figura 1:
Configure o filtro para passar (aceitar) pacotes de entrada que são marcados pela ação
service-filter-hit
.[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
Configure o filtro para aplicar um policiador de vídeo e definir a ação para o tráfego a
service-filter-hit
partir de um endereço específico (sobre o qual o tráfego de vídeo é esperado).[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
Configure a ação padrão do filtro para passar (aceitar) tráfego de pacotes de qualquer outro endereço ou intervalo de porta.
[edit] set firewall filter video term default then accept
Configuração do filtro de dados
Procedimento passo a passo
Para configurar o filtro de dados para o fluxo lógico na Figura 1:
Configure o filtro para passar (aceitar) pacotes de entrada que são marcados pela ação
service-filter-hit
.[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
Configure o filtro para aplicar um policiador de dados e definir a ação para o tráfego a
service-filter-hit
partir de um endereço específico (sobre o qual o tráfego de vídeo é esperado).[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
Resultados
Exibir os resultados da configuração:
[edit firewall] user@host# show filter voice { term T1 { from { address { 203.0.113.11/32; } source-port 5004-5005; } then { forwarding-class assured-forwarding; service-filter-hit; accept; } } term default { then accept; } } filter video { term T1 { from { service-filter-hit; } then accept; } term T2 { from { source-address { 203.0.113.100/32; } } then { policer video_policer; service-filter-hit; accept; } } term default { then accept; } } filter data { term T1 { from { service-filter-hit; } then accept; } term T2 { then { policer data_policer; service-filter-hit; accept; } } }