Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置接口特定的防火墙过滤器计数器

此示例说明如何配置和应用接口特定的标准无状态防火墙过滤器。

要求

接口特定的无状态防火墙过滤器仅 T Series、M120、M320 和 MX 系列路由器上受支持。

配置此示例之前,不需要在设备初始化之外进行特殊配置。

概述

此示例将创建一个特定于接口的无状态防火墙过滤器,该过滤器计数并接受具有指定前缀中的源地址或目标地址的数据包,以及设置为特定值的 IP 协议类型字段。

拓扑

您可配置接口特定的无状态防火墙过滤器,以计数和接受前缀中具有 IP 源或目标地址的数据包以及设置为 (或数字值)的 filter_s_tcp10.0.0.0/12 IP 协议 tcp 类型字段 6

防火墙过滤器计数器的名称为count_s_tcp

您将防火墙过滤器应用于多个逻辑接口:

  • at-1/1/1.0

  • so-2/2/2.2输入

将过滤器应用于这两个接口将产生两个过滤器实例:filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o

配置

下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 在配置模式中使用 CLI 编辑器

要配置此示例,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。

配置接口特定的防火墙过滤器

分步过程

要配置接口特定的防火墙过滤器:

  1. 创建 IPv4 防火墙过滤器filter_s_tcp

  2. 启用接口特定的过滤器实例。

  3. 配置术语的匹配条件。

  4. 配置术语的操作。

将接口特定的防火墙过滤器应用于多个接口

分步过程

要将过滤器filter_s_tcp应用于逻辑接口at-1/1/1.0so-2/2/2.2

  1. 将接口特定过滤器应用于在逻辑接口at-1/1/1.0上收到的数据包。

  2. 将接口特定过滤器应用于从逻辑接口so-2/2/2.2传输的数据包。

确认您的候选配置

分步过程

要确认您的候选配置:

  1. 进入show firewall配置模式命令,确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  2. 进入show interfaces配置模式命令以确认接口配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

清除计数器并提交您的候选配置

分步过程

要清除计数器并提交候选配置:

  1. 从操作命令模式中,使用clear firewall all命令清除所有防火墙过滤器的统计信息。

    要仅清除此示例中使用的计数器,请包括接口特定的过滤器实例名称:

  2. 提交您的候选配置。

针对

确认配置是否正常工作。

验证是否已将过滤器应用于多个接口

用途

验证是否已将过滤器应用于多个接口。

行动

运行带有show interfacesdetailextensive输出级别的命令。

  1. 验证是否已将过滤器应用于at-1/1/1.0以下内容的输入:

  2. 验证是否已将过滤器应用于so-2/2/2.2以下内容的输出:

验证计数器是否由接口单独收集

用途

请确保为两count_s_tcp个逻辑接口单独收集计数器。

行动

运行show firewall命令。