示例:配置特定于接口的防火墙过滤器计数器
此示例说明如何配置和应用特定于接口的标准无状态防火墙过滤器。
要求
特定于接口的无状态防火墙过滤器仅在 T 系列、M120、M320 和 MX 系列路由器上受支持。
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个特定于接口的无状态防火墙过滤器,该过滤器计算并接受源地址或目标地址位于指定前缀且 IP 协议类型字段设置为特定值的数据包。
拓扑学
您可以将特定于接口的无状态防火墙过滤器filter_s_tcp
配置为计数并接受前缀中 IP 源或目标地址且 IP 协议类型字段设置为 10.0.0.0/12
(或数值6
) 的tcp
数据包。
防火墙过滤器计数器的名称为 count_s_tcp
。
您可以将防火墙过滤器应用于多个逻辑接口:
at-1/1/1.0
输入so-2/2/2.2
输出
将筛选器应用于这两个接口会产生筛选器的两个实例:filter_s_tcp-at-1/1/1.0-i
和 filter_s_tcp-so-2/2/2.2-o
,分别。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit]
中。
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
配置接口特定的防火墙过滤器
分步过程
要配置特定于接口的防火墙过滤器,请执行以下操作:
创建 IPv4 防火墙过滤器
filter_s_tcp
。[edit] user@host# edit firewall family inet filter filter_s_tcp
启用特定于接口的筛选器实例。
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
配置术语的匹配条件。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
配置术语的操作。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
将特定于接口的防火墙过滤器应用于多个接口
分步过程
要将过滤器 filter_s_tcp
应用于逻辑接口 at-1/1/1.0
, so-2/2/2.2
请执行以下操作:
将接口特定的过滤器应用于逻辑接口
at-1/1/1.0
上收到的数据包。[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
将接口特定过滤器应用于从逻辑接口
so-2/2/2.2
传输的数据包。[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
确认候选配置
分步过程
要确认候选配置,请执行以下操作:
通过输入
show firewall
配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }
通过输入
show interfaces
配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
清除计数器并提交候选配置
分步过程
要清除计数器并提交候选配置,请执行以下操作:
在操作命令模式下,使用命令清除
clear firewall all
所有防火墙过滤器的统计信息。要仅清除此示例中使用的计数器,请包含特定于接口的过滤器实例名称:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
提交候选配置。
[edit] user@host# commit
验证
确认配置工作正常。
验证过滤器是否应用于多个接口中的每一个
目的
验证过滤器是否已应用于多个接口中的每一个。
操作
show interfaces
使用 detail
or extensive
输出级别运行命令。
验证筛选器是否应用于 的
at-1/1/1.0
输入:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,
验证筛选器是否应用于 的
so-2/2/2.2
输出:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,