示例:过滤接口集上收到的数据包
此示例说明如何配置标准无状态防火墙过滤器,以匹配为特定接口集标记的数据包。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将无状态防火墙过滤器应用于路由器或交换机环路接口的输入。防火墙过滤器包括一个术语,用于匹配为特定接口集标记的数据包。
拓扑学
您可以创建防火墙过滤器 L2_filter ,以便对在以下接口上接收的与协议无关的流量应用速率限制:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
本主题中的接口类型只是一个示例。EX 系列交换机不支持接口 fe- 类型。
首先,对于在 上 fe-0/0/0.0接收的与协议无关的流量,防火墙过滤器术语 t1 适用监管器 p1。
对于在任何其他快速以太网接口上接收的与协议无关的流量,防火墙过滤器术语 t2 适用监管器 p2。要定义包含所有快速以太网接口的接口集,请在层次结构级别包含 interface-set interface-set-name interface-name 语句 [edit firewall] 。要根据数据包到达指定接口集的接口定义数据包匹配标准,请配置使用防火墙过滤器匹配条件的 interface-set 术语。
最后,对于任何其他与协议无关的流量,防火墙过滤器术语 t3 适用监管器 p3。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
配置无状态防火墙过滤器术语对其执行速率限制操作的接口
分步过程
要配置无状态防火墙过滤器术语对其执行速率限制操作的接口,请执行以下操作:
配置其输入流量将与防火墙过滤器的第一个术语匹配的逻辑接口。
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
配置其输入流量将与防火墙过滤器的第二个术语匹配的逻辑接口。
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
输入 show interfaces 配置模式命令,确认路由器(或交换机)中转接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
配置无状态防火墙过滤器,根据数据包到达的接口对与协议无关的流量进行速率限制
分步过程
要配置使用监管器(p1、 p2和 p3)的标准无状态防火墙L2_filter,根据数据包到达的接口对与协议无关的流量进行速率限制:
配置防火墙语句。
[edit] user@host# edit firewall
将监管器
p1配置为丢弃超过 bps 流量5m速率或突发字节大小10m的流量。[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
将监管器
p2配置为丢弃超过 bps 流量40m速率或突发字节大小100m的流量。[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
将监管器
p3配置为丢弃超过 bps 流量600m速率或突发字节大小1g的流量。[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
将接口集
ifset定义为路由器上所有快速以太网接口的组。[edit firewall] user@host# set interface-set ifset fe-*
创建无状态防火墙过滤器
L2_filter。[edit firewall] user@host# edit family any filter L2_filter
配置过滤器术语
t1以匹配接口fe-0/0/0.0上收到的 IPv4、IPv6 或 MPLS 数据包,并使用监管器p1对该流量进行速率限制。[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
配置过滤器术语
t2以匹配接口集ifset上收到的数据包,并使用监管器p2对该流量进行速率限制。[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
配置过滤器术语
t3以使用监管器p3对所有其他流量进行速率限制。[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
通过输入 show firewall 配置模式命令,确认无状态防火墙过滤器和作为防火墙过滤器操作引用的监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
将无状态防火墙过滤器应用于路由引擎输入接口
分步过程
要将无状态防火墙过滤器应用于路由引擎输入接口:
将无状态防火墙过滤器应用于输入方向的路由引擎接口。
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
如果完成设备配置,请提交配置。
[edit] user@host# commit
结果
再次输入 show interfaces 命令,确认防火墙过滤器已应用于路由引擎输入接口。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
验证
要确认配置工作正常, show firewall filter L2_filter 请使用操作模式命令监控有关防火墙过滤器和三个计数器的流量统计信息。