示例:过滤接口集上接收的数据包
此示例说明如何配置标准无状态防火墙过滤器,以匹配为特定接口集标记的数据包。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将无状态防火墙过滤器应用于路由器或交换机环路接口的输入。防火墙过滤器包含一个术语,用于匹配为特定接口集标记的数据包。
拓扑
您创建防火墙过滤器 L2_filter ,以将速率限制应用于在以下接口上接收的与协议无关的流量:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
本主题中的接口类型只是一个示例。fe- EX 系列交换机不支持接口类型。
首先,对于在上 fe-0/0/0.0接收的与协议无关的流量,防火墙过滤器术语 t1 应用监管器 p1。
对于在任何其他快速以太网接口上接收的与协议无关的流量,防火墙过滤器术语 t2 会应用监管器 p2。要定义包含所有快速以太网接口的接口集,请将语句interface-set interface-set-name interface-name[edit firewall]包含在层次结构级别上。要根据数据包到达指定接口集的接口定义数据包匹配标准,请配置一个术语,使用该 interface-set 防火墙过滤器匹配条件。
最后,对于任何其他与协议无关的流量,防火墙过滤器术语 t3 会应用监管器 p3。
配置
以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中 [edit] 。
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
配置无状态防火墙过滤器术语可对其执行速率限制操作的接口
逐步过程
要配置无状态防火墙过滤器术语可对其执行速率限制操作的接口:
配置逻辑接口,该接口的输入流量将与防火墙过滤器的第一项匹配。
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
配置逻辑接口,其输入流量将与防火墙过滤器的第二个术语匹配。
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
完成设备配置后,提交配置。
[edit] user@host# commit
结果
输入 show interfaces 配置模式命令,确认路由器(或交换机)传输接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
配置无状态防火墙过滤器,该过滤器根据数据包到达的接口限制与协议无关的流量
逐步过程
要配置使用监管器 (p1, p2和p3) 的标准无状态防火墙L2_filter,以根据数据包到达的接口限制与协议无关的流量速率:
配置防火墙语句。
[edit] user@host# edit firewall
配置监管器
p1以丢弃超过 bps 流量5m速率或突发字节大小的10m流量。[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
配置监管器
p2以丢弃超过 bps 流量40m速率或突发字节大小的100m流量。[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
配置监管器
p3以丢弃超过 bps 流量600m速率或突发字节大小的1g流量。[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
将接口定义为
ifset路由器上所有快速以太网接口的一组。[edit firewall] user@host# set interface-set ifset fe-*
创建无状态防火墙过滤器
L2_filter。[edit firewall] user@host# edit family any filter L2_filter
配置过滤器术语
t1,以匹配接口fe-0/0/0.0上接收的 IPv4、IPv6 或 MPLS 数据包,并使用监管器p1限制该流量的速率。[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
配置过滤器术语
t2以匹配在接口集ifset上接收的数据包,并使用监管器p2限制该流量的速率。[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
配置过滤器术语
t3以使用监管器p3来限制所有其他流量的速率。[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
完成设备配置后,提交配置。
[edit] user@host# commit
结果
输入配置模式命令,确认无状态防火墙过滤器的配置以及作为防火墙过滤器操作引用的 show firewall 监管器。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
将无状态防火墙过滤器应用于路由引擎输入接口
逐步过程
将无状态防火墙过滤器应用于路由引擎输入接口:
将无状态防火墙过滤器应用于输入方向上的路由引擎接口。
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
完成设备配置后,提交配置。
[edit] user@host# commit
结果
再次输入 show interfaces 命令,以确认将防火墙过滤器应用于路由引擎输入接口。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
验证
要确认配置工作正常,请使用 show firewall filter L2_filter 操作模式命令监控有关防火墙过滤器和三个计数器的流量统计信息。