Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

示例:在 EX 系列交换机上的管理接口上配置防火墙过滤器

您可以在 EX 系列交换机上的管理界面上配置防火墙过滤器,以过滤交换机上管理接口上的入口或出口流量。您可以使用 SSH 或 Telnet 等实用程序通过网络连接到管理接口,然后使用 SNMP 等管理协议从交换机中收集统计数据。

本示例讨论如何在管理接口上配置防火墙过滤器,以过滤来自 EX 系列交换机的 SSH 数据包 egressing:

要求

此示例使用以下硬件和软件组件:

  • 一个 EX 系列交换机和一台管理 PC

  • EX 系列交换机 Junos OS 发行10.4 或更高版本

概述和拓扑

拓扑

在此示例中,管理 PC 将与交换机上的管理接口建立 SSH 连接,以远程管理交换机。为管理接口配置的 IP 地址为 10.204.33.103/20。管理接口上配置了一个防火墙过滤器,用于计算从管理接口上的源 SSH 端口 egressing 的数据包数量。当管理 PC 与管理接口建立 SSH 会话时,管理接口会将 SSH 数据包返回到管理 PC,以确认会话已建立。这些 SSH 数据包将根据在防火墙过滤器中指定的匹配条件进行过滤,然后再转发至管理 PC。在管理接口上的源 SSH 端口生成这些数据包时,它们将满足为管理接口指定的匹配条件。匹配的 SSH 数据包数提供已遍历管理接口的数据包数量。系统管理员可使用这些信息监控管理信息流并在必要时采取任何措施。

图 1显示了管理 PC 与交换机建立 SSH 连接的此示例的拓扑结构。

图 1: 从管理 PC 到 EX 系列交换机的 SSH 连接从管理 PC 到 EX 系列交换机的 SSH 连接

配置

要在管理接口上配置防火墙过滤器,请执行以下任务:

CLI 快速配置

要在管理界面上快速创建和配置防火墙过滤器以过滤从管理接口 egressing 的 SSH 数据包,请复制以下命令并将其粘贴到交换机端子窗口中:

分步过程

要在管理接口上配置防火墙过滤器以过滤 SSH 数据包:

  1. 配置与源端口中的 SSH 数据包匹配的防火墙过滤器:

    这些语句设置计数器以计数从管理接口上的源 SSH 接口出口 c1 的 SSH 数据包数。

  2. 设置管理接口的防火墙过滤器:

    注:

    您也可设置 VME 接口的防火墙过滤器。

成果

检查配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证是否已在管理接口上配置防火墙过滤器

用途

验证交换机上的管理接口上是否已启用防火墙过滤器。

行动

  1. 验证是否已将防火墙过滤器应用于管理界面:

  2. 检查与防火墙过滤器相关联的计数器值:

  3. 从管理 PC 与交换机建立安全 shell 会话:

  4. 从交换机生成 SSH 数据包以响应管理 PC 的安全外壳会话请求之后,请检查计数器值:

含义

输出表明防火墙过滤器已应用于管理接口,计数器值表示已从交换机生成了23个 SSH 数据包。

相关主题