Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:使用防火墙过滤器链

此示例显示防火墙过滤器链的用法。使用input-chainoutput-chain配置语句将防火墙过滤器 filter1、filter2 和 filter3 应用于接口 ge-0/1/1.0。

要求

开始之前:

  • 您应有一个带有 Mpc 的 MX 系列路由器,运行 Junos 版本 18.4 R1 或更高版本。

    如果您使用 PTX10001-36MR、PTX10004、PTX10008 或 PTX10016 路由器进行此功能,请安装 Junos OS 演化版 21.4R1。

  • 路由器应该为 IP 版本 4 (IPv4) 协议 ( ) 配置,并配置逻辑接口 family inet 和接口地址。所有其他初始路由器配置都应完整,且设备之间的基本 IPv4 连接已确认。

  • 您发送的流量应与防火墙过滤器规则兼容,以便您配置的规则可以与您发送的测试流量匹配。

概述

此示例显示如何为入口和出口链多个防火墙过滤器,以便可将其应用于给定接口并按顺序进行评估。链中的每个过滤器的作用与 CLI 过滤器相同。执行顺序按从左到右的顺序进行。

使用过滤器链(与输入列表过滤器相反)具有以下优势:允许多个过滤级别,例如使用初始过滤器执行通用分类(例如 QoS),然后使用一个或多个后续过滤器进行进一步改进(例如安全性),因为它们避免了在评估重叠时使用的 IP 地址时可以产生继承冲突。

从 Junos OS 演化版 21.4R1 开始,您可以在 PTX10001-36MR、PTX10004、PTX10008 和 PTX10016 路由器上使用防火墙过滤器链。

您可以按如下方式应用过滤器链:

set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];

set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];

在 PTX Evo 平台上,此功能具有以下限制:

  • 您只能将过滤器链中的第一个过滤器配置为特定于接口。在 MX 系列路由器上,您可以将一系列过滤器中的所有过滤器配置为特定接口。

  • 不能将同一个过滤器配置为相同接口特定绑定点CLI过滤器和链过滤器的一部分。在此类接口特定的绑定点,用过滤器CLI更换现有过滤器,反之亦然,并单独提交,以避免出错。

  • 不能在同一绑定点配置链过滤器以及"系列 ANY"和接口策略器。

  • 在环路接口上,不支持输出链过滤器。

  • 在环路接口上,不能同时为常规过滤器和CLI过滤器配置输入。

  • 对于 IRB 接口,您不能同时配置常规CLI接口特定的过滤器和过滤器链。

  • 对于第 2 层 SP 样式输出,不能同时配置常规CLI接口特定过滤器和链过滤器。

  • 不支持将 fast-lookup-filter 此类过滤器作为链过滤器CLI一部分。

  • CLI Urpf-fail-filters 不支持任何过滤器链。

  • 由于仅支持 MPLS 系列出口过滤器,并且链过滤器不支持快速查找过滤器,因此在配置系列 MPLS链过滤器时,将提供相关提交检查。 fast-lookup-filter

拓扑

在此示例中,您将配置多个防火墙过滤器,然后按顺序应用它们,方法是将它们链接到给定接口。此示例对ge-0/1/1.0输入和输出链使用 IP 地址 172.16.1.1/30 配置。如果数据包与链列表中的任何过滤器都不匹配,则丢弃该数据包。

配置

下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 我们 CLI 配置模式下的编辑器

CLI 快速配置

要快速配置此示例,请将以下命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。此处使用的过滤器名称为 filter1 ,等等,而术语名称 t1_f1 为(term1、using filter1),等等。

配置 IPv4 防火墙过滤器

在这里配置防火墙过滤器。每个都有不同的匹配条件和计数操作。前两个过滤器具有具有 的不终止操作的多个术语,这意味着匹配数据包将传递到链中的下一个过滤器,而第三个过滤器 count 具有接受 的操作。如果数据包与指定的任何条件不匹配,将会丢弃。

分步过程

要配置防火墙过滤器:

  1. 将 CLI 导航到要在其中配置 IPv4 防火墙过滤器的层次结构级别。

  2. 将第一个防火墙过滤器配置为计数 TCP 数据包或优先级为7的数据包,然后将其发送到链中的下一个过滤器。

  3. 将第二个防火墙过滤器配置为计算 DSCP 数据包或源端口为1020的数据包,然后将其发送到链中的下一个过滤器。

  4. 配置最后一个防火墙过滤器,以计数并接受目标地址为 172.30.1.1/32 或目标端口为 5454 的数据包。

应用输入过滤器链

此处,将防火墙过滤器连接到给定接口。执行顺序按从左到右的顺序进行。

分步过程

要为接口分配 IP 地址:

  1. 导航到供过滤器使用的接口ge-0/1/1.0

  2. 将 IPv4 地址分配给逻辑接口。

  3. 将过滤器作为输入过滤器列表应用。

确认并提交您的候选配置

分步过程

要确认然后提交候选配置:

  1. 进入show firewall配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  2. 进入show interfaces配置模式命令,确认接口配置。

  3. 如果您完成了设备配置,请提交配置。

针对

确认配置按预期方式运行,即,匹配流量由每个过滤器 filter1、filter2 和 filter3 评估,并且已采取预期措施(计数或接受)。

通过防火墙过滤器发送流量

用途

将流量从一台设备发送至已配置的路由器,以查看链中所有相关过滤器是否评估了匹配数据包。

行动

要验证输入数据包是否由 filter1、filter2 和 filter3 评估:

  1. 从连接到ge-0/1/1.0的远程主机发送数据包,优先级为7。该数据包应进行计数,然后由 filter2 评估。

  2. 从连接到ge-0/1/1.0的远程主机发送一个 DSCP 值为0的数据包。该数据包应进行计数,然后由 filter3 评估。

  3. 从连接到的远程主机发送数据包,其目标地址为 ge-0/1/1.0 172.30.1.1/32,目标端口号为 5454。数据包应计数,然后被接受。

  4. 要显示所配置过滤器的计数器信息,请输入show firewall filter filter-name操作模式命令。命令输出显示与计数器关联的过滤器术语匹配的字节和数据包数。