示例:将筛选器配置为匹配两个不相关的条件
此示例说明如何配置标准无状态防火墙过滤器以匹配两个不相关的条件。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您使用标准无状态防火墙过滤器来匹配 OSPF 数据包或来自前缀 10.108/16中某个地址的数据包的 IPv4 数据包,并为不匹配的所有数据包发送 administratively-prohibited ICMP 消息。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set firewall family inet filter ospf_or_131 term protocol_match from protocol ospf set firewall family inet filter ospf_or_131 term address-match from source-address 10.108.0.0/16 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ospf_or_131
配置 IPv4 防火墙过滤器
分步过程
要配置 IPv4 防火墙过滤器,请执行以下操作:
启用 IPv4 防火墙过滤器的配置。
[edit] user@host# edit firewall family inet filter ospf_or_131
将第一个术语配置为接受 OSPF 数据包。
[edit firewall family inet filter ospf_or_131] user@host# set term protocol_match from protocol ospf
默认情况下,将接受与条件匹配的数据包。由于此术语后面跟着另一个术语,因此不符合此条件的数据包将由下一个术语进行评估。
将第二个术语配置为接受来自特定前缀中任何 IPv4 地址的数据包。
[edit firewall family inet filter ospf_or_131] user@host# set term address_match from source-address 10.108.0.0/16
默认情况下接受符合此条件的数据包。由于这是过滤器中的最后一个术语,因此默认情况下将丢弃不符合此条件的数据包。
结果
通过输入 show firewall 配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
family inet {
filter ospf_or_131 {
term protocol_match {
from {
protocol ospf;
}
}
term address_match {
from {
source-address {
10.108.0.0/16;
}
}
}
}
}
将 IPv4 防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于逻辑接口,请执行以下操作:
启用逻辑接口的配置。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
为逻辑接口配置 IP 地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将 IPv4 防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ospf_or_131
结果
通过输入 show interfaces 配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
filter {
input ospf_or_131;
}
address 10.1.2.3/30;
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
要确认配置工作正常,请输入 show firewall filter ospf_or_131 操作模式命令。