Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 EX 系列交换机的管理接口上配置防火墙过滤器

您可以在 EX 系列交换机的管理接口上配置防火墙过滤器,以过滤交换机上管理接口上的入口或出口流量。您可以使用 SSH 或 Telnet 等公用事业通过网络连接到管理接口,然后使用管理协议(如 SNMP)从交换机收集统计数据。

此示例讨论如何在管理接口上配置防火墙过滤器,以过滤 EX 系列交换机出口的 SSH 数据包:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX 系列交换机和一台管理 PC

  • EX 系列交换机的 Junos OS 10.4 或更高版本

概述和拓扑

拓扑

在此示例中,管理 PC 与交换机上的管理接口建立 SSH 连接,以远程管理交换机。为管理接口配置的 IP 地址为 10.204.33.103/20。管理接口上配置了一个防火墙过滤器,用于对管理接口上的源 SSH 端口出口的数据包数进行计数。当管理 PC 与管理接口建立 SSH 会话时,管理接口将 SSH 数据包返回到管理 PC 以确认已建立会话。在转发到管理 PC 之前,会根据防火墙过滤器中规定的匹配条件过滤这些 SSH 数据包。由于这些数据包是从管理接口上的源 SSH 端口生成的,因此满足为管理接口指定的匹配条件。匹配的 SSH 数据包数提供了遍历管理接口的数据包数。系统管理员可以使用这些信息来监控管理流量,并在需要时采取任何操作。

图 1 显示了此示例的拓扑结构,其中管理 PC 与交换机建立 SSH 连接。

图 1: 从管理 PC 到 EX 系列交换机的 SSH 连接从管理 PC 到 EX 系列交换机的 SSH 连接

配置

要配置管理接口上的防火墙过滤器,请执行以下操作:

CLI 快速配置

要快速在管理接口上创建和配置防火墙过滤器以过滤从管理接口出口的 SSH 数据包,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要配置管理接口上的防火墙过滤器以过滤 SSH 数据包:

  1. 配置与源端口的 SSH 数据包匹配的防火墙过滤器:

    这些语句设置一个计数器 c1 来对从管理接口上的源 SSH 接口出口的 SSH 数据包数进行计数。

  2. 为管理接口设置防火墙过滤器:

    注:

    您还可以为 VME 接口设置防火墙过滤器。

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证是否已在管理接口上配置防火墙过滤器

目的

验证交换机上的管理接口上是否已启用防火墙过滤器。

行动

  1. 验证防火墙过滤器是否已应用于管理接口:

  2. 检查与防火墙过滤器关联的计数器值:

  3. 在管理 PC 上,与交换机建立安全的 shell 会话:

  4. 在交换机生成 SSH 数据包以响应管理 PC 的安全 shell 会话请求之后,检查计数器值:

含义

输出表示防火墙过滤器已应用于管理接口,计数器值表示从交换机生成了 23 个 SSH 数据包。