Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)

此示例说明如何配置标准无状态防火墙过滤器,以阻止除指定 BGP 对等方之外的所有请求方对端口 179 的所有 TCP 连接尝试。

要求

在配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将创建一个无状态防火墙过滤器,用于阻止除指定 BGP 对等方之外的所有请求者对端口 179 的所有 TCP 连接尝试。

无状态防火墙过滤器 会将来自设备 A 和设备 B 上直接连接的接口的所有数据包与目标端口号 179 进行匹配。filter_bgp179

拓扑

图 1 显示了此示例中使用的拓扑。设备 C 尝试与设备 E 建立 TCP 连接。设备 E 阻止连接尝试。此示例显示了设备 E 上的配置。

图 1: 具有 BGP 对等会话的典型网络具有 BGP 对等会话的典型网络

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,然后将命令复制并粘贴到层次结构级别的 CLI 中。[edit]

设备 C

设备 E

配置设备 E

分步过程

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器。在配置模式下使用 CLI 编辑器https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

要使用无状态防火墙过滤器配置设备 E,以阻止除指定 BGP 对等方之外的所有请求者对端口 179 的所有 TCP 连接尝试,请执行以下操作:

  1. 配置接口。

  2. 配置 BGP。

  3. 配置自治系统编号。

  4. 定义接受来自指定 BGP 对等方的端口 179 的 TCP 连接尝试的过滤器术语。

  5. 定义其他过滤器术语以拒绝来自其他源的数据包。

  6. 将防火墙过滤器应用于环路接口。

成果

在配置模式下,输入 show firewallshow interfacesshow protocolsshow routing-options 命令,以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

验证是否已配置过滤器

目的

确保筛选器列在命令的 输出中。show firewall filter

操作

验证 TCP 连接

目的

验证 TCP 连接。

操作

在操作模式下, 在设备 C 和设备 E 上运行命令。show system connections extensive

设备 C 上的输出显示了建立 TCP 连接的尝试。设备 E 上的输出显示仅与设备 A 和设备 B 建立连接。

监控接口上的流量

目的

使用命令将 建立 TCP 连接的接口上的流量与未建立 TCP 连接的接口上的流量进行比较。monitor traffic

操作

在操作模式下, 在设备 B 的设备 E 接口和设备 C 的设备 E 接口上运行命令。以下示例输出验证在第一个示例中是否收到了确认 () 消息。monitor trafficack 在第二个示例中, 未收到消息。ack

相关主题