Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置接口特定防火墙过滤器计数器

此示例说明如何配置和应用特定于接口的标准无状态防火墙过滤器。

要求

T 系列、M120、M320 和 MX 系列路由器上仅支持特定接口特定的无状态防火墙过滤器。

配置此示例之前,无需设备初始化以外的特殊配置。

概述

在此示例中,您创建一个接口特定的无状态防火墙过滤器,该过滤器在指定的前缀和设置为特定值的 IP 协议类型字段中计数并接受具有源或目标地址的数据包。

拓扑

您可配置接口特定的无状态防火墙过滤器filter_s_tcp,以在前缀和 IP 协议类型字段设置tcp为(或数字值6)中使用 IP 源或目标地址10.0.0.0/12计数和接受数据包。

防火墙过滤器计数器的名称为 count_s_tcp

您可将防火墙过滤器应用于多个逻辑接口:

  • at-1/1/1.0 输入

  • so-2/2/2.2 输出

将过滤器应用于这两个接口会导致过滤器的两个实例:filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o

配置

以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下命令复制到文本文件中,删除任何换行符,然后将命令粘贴到层级的 CLI 中 [edit]

配置接口特定防火墙过滤器

逐步过程

要配置接口特定防火墙过滤器:

  1. 创建 IPv4 防火墙过滤器 filter_s_tcp

  2. 启用过滤器的接口特定实例。

  3. 配置该术语的匹配条件。

  4. 配置术语的操作。

将接口特定的防火墙过滤器应用于多个接口

逐步过程

要将过滤器filter_s_tcp应用于逻辑接口,请so-2/2/2.2执行以下操作at-1/1/1.0

  1. 将接口特定的过滤器应用于逻辑接口 at-1/1/1.0上接收的数据包。

  2. 将接口特定的过滤器应用于从逻辑接口 so-2/2/2.2传输的数据包。

确认您的候选配置

逐步过程

要确认您的候选配置:

  1. 输入配置模式命令,确认无状态防火墙过滤器的 show firewall 配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  2. 输入 show interfaces 配置模式命令以确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

清除计数器并提交您的候选配置

逐步过程

要清除计数器并提交候选配置:

  1. 在操作命令模式下 clear firewall all ,使用 命令清除所有防火墙过滤器的统计信息。

    要仅清除此示例中使用的计数器,请包括特定于接口的过滤器实例名称:

  2. 提交候选配置。

验证

确认配置工作正常。

验证过滤器是否已应用于每个多个接口

目的

验证过滤器是否已应用于多个接口中的每一个。

行动

show interfaces使用或extensive输出级别运行 命令detail

  1. 验证过滤器是否应用于输入 at-1/1/1.0::

  2. 验证过滤器是否应用于以下输出 so-2/2/2.2

验证计数器是否按接口单独收集

目的

确保为 count_s_tcp 两个逻辑接口单独收集计数器。

行动

show firewall运行 命令。