逻辑系统上防火墙过滤器
防火墙过滤器提供的规则可定义接受或丢弃通过接口的数据包。有关详细信息,请参阅以下主题:
了解如何使用标准防火墙过滤器
使用标准防火墙过滤器影响本地数据包
在路由器上,您可以在接口上配置一个物理环路接口 lo0以及一个或多个地址。环路接口是路由接口,路由引擎运行和监控所有控制协议。环路接口仅承载本地数据包。应用于回传接口的标准防火墙过滤器将影响发往或从路由接口路由引擎。
创建附加回环接口时,必须应用过滤器,以便保护路由引擎安全。建议将过滤器应用于环路接口时,请包括 apply-groups 语句。这样可确保过滤器自动被继承到每个环路接口上,包括 lo0 和其他环路接口。
可信来源
标准无状态防火墙过滤器的典型用途是路由引擎进程和资源免受恶意或不受信任的数据包的攻击。为了保护应用程序拥有的进程和资源路由引擎,您可以使用标准无状态防火墙过滤器来指定允许哪些协议和服务或应用程序到达路由引擎。将这种类型的过滤器应用于环路接口可确保本地数据包来自可信源,并保护应用程序上运行路由引擎外部攻击。
防洪
您可以创建标准无状态防火墙过滤器,用于限制发往网络的某些 TCP 和 ICMP 路由引擎。没有这种保护的路由器容易受到 TCP 和 ICMP 泛滥攻击,也称为拒绝服务 (DoS) 攻击。例如:
启动连接请求的 SYN 数据包的 TCP 泛滥攻击会吞没设备,直到设备无法再处理合法的连接请求,从而导致拒绝服务。
ICMP 泛滥使设备过载,出现大量回应请求(ping 请求),导致其所有资源均无法响应,无法再处理有效的网络流量,从而导致拒绝服务。
将适当的防火墙过滤器应用于 路由引擎可抵御这些类型的攻击。
使用标准防火墙过滤器影响数据包
应用于路由器过渡接口的标准防火墙过滤器仅评估从一个接口直接传输至另一个接口的用户数据包,因为它们正从来源转发至目标。为了保护整个网络免遭未经授权的访问和特定接口的其他威胁,您可以应用防火墙过滤器路由器传输接口。
另请参阅
示例:配置无状态防火墙过滤器以保护逻辑系统免遭 ICMP 泛滥
此示例说明了如何配置无状态防火墙过滤器,以防范逻辑拒绝服务上的 ICMP 和攻击。
要求
此示例不需要除设备初始化之外的特殊配置。
概述
此示例显示了一个称为 protect-RE 的无状态防火墙过滤器,用于管理 ICMP 数据包。将 ICMP 数据包的流量速率限制到 icmp-policer
1,000,000 bps,将突发大小限制到 15,000 字节。超过信息流速率的数据包将被丢弃。
该过滤器程序可以放入称为 的过滤器术语的操作中 icmp-term
。
此示例将 ping 从直接连接的物理路由器发送至逻辑系统上配置的接口。如果以高达 1 Mbps(带宽限制)的速率接收 ICMP 数据包,则逻辑系统接受这些数据包。超出此速率时,逻辑系统丢弃所有 ICMP 数据包。该 burst-size-limit
语句接受高达 15 Kbps 的流量突发。如果突发超过此限制,将丢弃所有数据包。当流速率降低时,将再次接受 ICMP 数据包。
配置
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中 [edit]
。
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
程序
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器。
要配置逻辑系统上的 ICMP 防火墙过滤器:
配置逻辑系统上的接口。
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
明确启用接口上接收 ICMP 数据包。
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
创建管理程序。
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
将策略器应用于过滤器术语。
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
将策略程序应用于逻辑系统接口。
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
发出 命令以确认您的 show logical-systems LS1
配置。
user@host# show logical-systems LS1 interfaces { so-0/0/2 { unit 0 { family inet { policer { input icmp-policer; } address 10.0.45.2/30; } } } } firewall { family inet { filter protect-RE { term icmp-term { from { protocol icmp; } then { policer icmp-policer; accept; } } } } policer icmp-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 15k; } then discard; } }
验证
确认配置工作正常。
验证 Ping 是否有效,除非超出限制
目的
确保逻辑系统接口受到保护,免遭基于 ICMP DoS攻击。
行动
登录与逻辑系统连接并运行 命令 ping
的系统。
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
意义
发送正常 ping 时,数据包已被接受。发送超出过滤器限制的 ping 数据包时,数据包将被丢弃。
示例:在逻辑系统上配置基于过滤器的转发
此示例演示如何在逻辑系统内配置基于过滤器的转发。过滤器对数据包进行分类,以确定其入口路由设备的转发路径。
要求
此示例不需要除设备初始化之外的特殊配置。
概述
IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 支持基于过滤器的转发。
当客户有不同 ISP 提供的互联网连接但共享一个公用接入层时,使用基于过滤器的转发功能来选择服务提供商。使用共享介质(如电缆调制解调器)时,通用接入层的机制会查看第 2 层或第 3 层地址并区分客户。当通用接入层使用第 2 层交换机和单个路由器组合实施时,您可以使用基于过滤器的转发。
使用基于过滤器的转发,将视为在接口上接收的所有数据包。每个数据包都通过具有匹配条件的过滤器。如果满足过滤器的匹配条件且您创建了路由实例,则基于过滤器的转发将应用于数据包。数据包根据路由实例中指定的下一跳跃进行转发。对于静态路由,下一跳跃可以是特定 LSP。
在配置了基于过滤器的转发 (FBF) 的接口上,不支持源级使用过滤器匹配和单播反向路径转发检查。
要配置基于过滤器的转发,请执行以下任务:
在入口路由器或交换机上创建匹配过滤器。要指定匹配过滤器,请包含
filter filter-name
层级的[edit firewall]
语句。将经过过滤器的数据包与一组规则进行比较,以便对数据包进行分类并确定其在一组中的成员身份。分类后,数据包将转发到过滤器说明语言中接受操作中指定的路由表。然后,路由表将数据包转发至对应于表中目标地址条目的下一跳跃。创建路由实例,用于指定数据包转发至的路由表,以及数据包在 或 层次结构级别转发
[edit routing-instances]
[edit logical-systems logical-system-name routing-instances]
至的目标。例如:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }
创建一个路由表组,将接口路由添加到基于过滤器的转发 (FBF) 中使用的转发路由实例以及默认路由实例
inet.0
。此配置部分将路由实例中安装的路由解析为直接连接该接口上的下一跳跃。在 或 层次结构级别[edit routing-options]
创建[edit logical-systems logical-system-name routing-options]
路由表组。
指定 inet.0
为接口路由导入的路由实例之一。如果未指定默认 inet.0
实例,接口路由不会导入默认路由实例中。
此示例显示了一个包过滤器,根据数据包的源地址,将客户信息流引导至域的下一跳跃路由器 SP 1 或 SP 2。
如果该数据包有一个分配给 SP 1 客户的源地址,则使用 sp1-route-table.inet.0 路由表进行基于目的地的转发。如果该数据包有一个分配给 SP 2 客户的源地址,则使用 sp2-route-table.inet.0 路由表进行基于目的地的转发。如果数据包与以上任一情况不匹配,则过滤器接受数据包,然后使用标准 inet.0 路由表进行基于目的地的转发。
让基于过滤器的转发在逻辑系统内工作的一种方式是在接收数据包的逻辑系统上配置防火墙过滤器。另一种方式是在主路由器上配置防火墙过滤器,然后在防火墙过滤器中引用逻辑系统。此示例使用第二种方法。特定路由实例在逻辑系统内配置。由于每个路由实例都有其自己的路由表,因此您必须同时引用防火墙过滤器中的路由实例。语法如下所示:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
拓扑
图 2 显示了此示例中使用的拓扑。
在逻辑系统 P1 上,输入过滤器对从逻辑系统 PE3 和逻辑系统 PE4 收到的数据包进行分类。数据包根据源地址进行路由。在 10.1.1.0/24 和 10.1.2.0/24 网络中具有源地址的数据包将路由到逻辑系统 PE1。在 10.2.1.0/24 和 10.2.2.0/24 网络中具有源地址的数据包将路由到逻辑系统 PE2。

要建立连接,OSPF接口均配置了此连接。出于演示目的,在路由设备上将环路接口地址配置为在云中表示网络。
"CLI配置"部分显示拓扑中所有设备的整个配置。在逻辑系统 P1上配置路由实例和在主路由器部分配置防火墙过滤器显示入口路由设备逻辑系统 P1 的逐步配置。
配置
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 [edit] 层次结构级别的 CLI 中。
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
在主路由器上配置防火墙过滤器
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器。
要配置主路由器上的防火墙过滤器:
配置 SP1 客户的源地址。
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
配置使用指定源地址接收数据包时采取的操作。
要跟踪防火墙过滤器的操作,将配置日志操作。逻辑系统 P1 上的 sp1-route-table.inet.0 路由表可路由数据包。
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
配置 SP2 客户的源地址。
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
配置使用指定源地址接收数据包时采取的操作。
要跟踪防火墙过滤器的操作,将配置日志操作。逻辑系统 P1 上的 sp2-route-table.inet.0 路由表对数据包进行路由。
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
配置从任何其他源地址接收数据包时要采取的操作。
所有这些数据包均使用默认 IPv4 单播路由表 inet.0 接受和路由。
[edit firewall filter classify-customers term default] user@host# set then accept
配置逻辑系统 P1 上的路由实例
逐步过程
以下示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 CLI 用户指南 中的 在配置模式下CLI 编辑器。
要配置逻辑系统上的路由实例:
配置逻辑系统上的接口。
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
将
classify-customers
防火墙过滤器分配给路由器接口 lt-1/2/0.10 作为输入包过滤器。[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
使用路由协议或静态路由配置连接。
最佳做法是禁用管理接口上的路由。
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
创建路由实例。
这些路由实例在防火墙过滤器
classify-customers
中引用。转发实例类型支持基于过滤器的转发,其中接口不与实例相关联。所有接口都属于默认实例,在这种情况下,逻辑系统 P1。
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
将路由实例中安装的路由解析为直接连接的下一跳跃。
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
将路由表组合在一起以形成路由表组。
第一个路由表 inet.0 是主路由表,其他路由表是辅助路由表。
主路由表用于确定路由表组的地址族,在这种情况下为 IPv4。
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
将路由表组应用到OSPF。
这会使OSPF路由安装到组中所有路由表中。
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
发出 和 命令以确认 show firewall
show logical-systems P1
您的配置。
user@host# show firewall filter classify-customers { term sp1-customers { from { source-address { 10.1.1.0/24; 10.1.2.0/24; } } then { log; logical-system P1 routing-instance sp1-route-table; } } term sp2-customers { from { source-address { 10.2.1.0/24; 10.2.2.0/24; } } then { log; logical-system P1 routing-instance sp2-route-table; } } term default { then accept; } }
user@host# show logical-systems P1 interfaces { lt-1/2/0 { unit 10 { encapsulation ethernet; peer-unit 9; family inet { filter { input classify-customers; } address 172.16.0.10/30; } } unit 13 { encapsulation ethernet; peer-unit 14; family inet { address 172.16.0.13/30; } } unit 17 { encapsulation ethernet; peer-unit 18; family inet { address 172.16.0.17/30; } } } } protocols { ospf { rib-group fbf-group; area 0.0.0.0 { interface all; interface fxp0.0 { disable; } } } } routing-instances { sp1-route-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.13; } } } sp2-route-table { instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.0.17; } } } } routing-options { rib-groups { fbf-group { import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ]; } } }
验证
确认配置工作正常。
使用指定源地址执行 Ping 操作
目的
在整个网络中发送一些 ICMP 数据包以测试防火墙过滤器。
行动
登录逻辑系统 PE3。
user@host> set cli logical-system PE3 Logical system: PE3
运行
ping
命令,对逻辑系统 PE1 上的 lo0.3 接口执行 ping 操作。此接口上配置的地址为 172.16.1.1。
指定源地址 10.1.2.1,这是逻辑系统 PE3 上的 lo0.1 接口上配置的地址。
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
登录逻辑系统 PE4。
user@host:PE3> set cli logical-system PE4 Logical system: PE4
运行
ping
命令,对逻辑系统 PE2 上的 lo0.4 接口执行 ping 操作。此接口上配置的地址为 172.16.2.2。
指定源地址 10.2.1.1,这是逻辑系统 PE4 上的 lo0.2 接口上配置的地址。
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
意义
发送这些 ping 将激活防火墙过滤器操作。
验证防火墙过滤器
目的
确保防火墙过滤器操作生效。
行动
登录逻辑系统 P1。
user@host> set cli logical-system P1 Logical system: P1
在
show firewall log
逻辑系统 P1 上运行 命令。user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1