Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:在 EX 系列交换机的管理接口上配置防火墙过滤器

您可以在 EX 系列交换机上的管理接口上配置防火墙过滤器,以过滤交换机上管理接口上的入口或出口流量。您可以使用 SSH 或 Telnet 等实用程序通过网络连接到管理接口,然后使用 SNMP 等管理协议从交换机收集统计数据。

此示例讨论如何在管理接口上配置防火墙过滤器,以过滤从 EX 系列交换机流出的 SSH 数据包:

要求

此示例使用以下硬件和软件组件:

  • 一台 EX 系列交换机和一台管理 PC

  • 适用于 EX 系列交换机的 Junos OS 10.4 或更高版本

概述和拓扑

拓扑

在此示例中,管理 PC 与交换机上的管理接口建立 SSH 连接,以远程管理交换机。为管理接口配置的 IP 地址为 10.204.33.103/20。在管理接口上配置防火墙过滤器,以计算从管理接口上的源 SSH 端口出口的数据包数。当管理 PC 与管理接口建立 SSH 会话时,管理接口会将 SSH 数据包返回到管理 PC,以确认会话已建立。这些 SSH 数据包在转发到管理 PC 之前,会根据防火墙过滤器中指定的匹配条件进行过滤。由于这些数据包是从管理接口上的源 SSH 端口生成的,因此它们满足为管理接口指定的匹配条件。匹配的 SSH 数据包数提供已遍历管理接口的数据包数。系统管理员可以使用此信息来监控管理流量,并在需要时采取任何措施。

图 1 显示了此示例的拓扑,其中管理 PC 与交换机建立 SSH 连接。

图 1: 从管理 PC 到 EX 系列交换机的 SSH 连接从管理 PC 到 EX 系列交换机的 SSH 连接

配置

要在管理接口上配置防火墙过滤器,请执行以下操作:

CLI 快速配置

要在管理接口上快速创建和配置防火墙过滤器以过滤从管理接口出口的 SSH 数据包,请复制以下命令并将其粘贴到交换机终端窗口中:

分步过程

要在管理接口上配置防火墙过滤器以过滤 SSH 数据包,请执行以下操作:

  1. 配置与来自源端口的 SSH 数据包匹配的防火墙过滤器:

    这些语句设置一个计数器 ,用于计算从管理接口上的源 SSH 接口出口的 SSH 数据包数。c1

  2. 为管理接口设置防火墙过滤器:

    注:

    您还可以为 VME 接口设置防火墙过滤器。

成果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

验证是否已在管理接口上配置防火墙过滤器

目的

验证是否已在交换机上的管理接口上启用防火墙过滤器。

操作

  1. 验证防火墙过滤器是否已应用于管理接口:

  2. 检查与防火墙过滤器关联的计数器值:

  3. 在管理 PC 上,与交换机建立安全外壳会话:

  4. 从交换机生成 SSH 数据包以响应管理 PC 的安全外壳会话请求后,请检查计数器值:

意义

输出表示防火墙过滤器已应用于管理接口,计数器值表示从交换机生成了 23 个 SSH 数据包。

相关主题