Firewall-Filter auf logischen Systemen
Firewall-Filter stellen Regeln bereit, die definieren, ob Pakete, die eine Schnittstelle durchqueren, akzeptiert oder verworfen werden sollen. Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur Verwendung von Standard-Firewall-Filtern
- Verwenden von Standard-Firewall-Filtern zur Beeinflussung lokaler Pakete
- Verwendung von Standard-Firewall-Filtern zur Beeinflussung von Datenpaketen
Verwenden von Standard-Firewall-Filtern zur Beeinflussung lokaler Pakete
Auf einem Router können Sie eine physische Loopback-Schnittstelle, lo0, und eine oder mehrere Adressen auf der Schnittstelle konfigurieren. Die Loopback-Schnittstelle ist die Schnittstelle zur Routing-Engine, die alle Steuerprotokolle ausführt und überwacht. Die Loopback-Schnittstelle überträgt nur lokale Pakete. Standard-Firewall-Filter, die auf die Loopback-Schnittstelle angewendet werden, wirken sich auf die lokalen Pakete aus, die für die Routing-Engine bestimmt sind oder von ihr übertragen werden.
Wenn Sie eine zusätzliche Loopback-Schnittstelle erstellen, ist es wichtig, einen Filter darauf anzuwenden, damit die Routing-Engine geschützt ist. Es wird empfohlen, beim Anwenden eines Filters auf die Loopbackschnittstelle die apply-groups-Anweisung einzuschließen. Dadurch wird sichergestellt, dass der Filter automatisch auf jeder Loopback-Schnittstelle vererbt wird, einschließlich lo0 und anderen Loopback-Schnittstellen.
Vertrauenswürdige Quellen
Die typische Verwendung eines standardmäßigen zustandslosen Firewallfilters besteht darin, die Routing-Engine-Prozesse und -Ressourcen vor bösartigen oder nicht vertrauenswürdigen Paketen zu schützen. Um die Prozesse und Ressourcen zu schützen, die sich im Besitz der Routing-Engine befinden, können Sie einen standardmäßigen zustandslosen Firewallfilter verwenden, der angibt, welche Protokolle und Dienste oder Anwendungen die Routing-Engine erreichen dürfen. Durch das Anwenden dieses Filtertyps auf die Loopback-Schnittstelle wird sichergestellt, dass die lokalen Pakete aus einer vertrauenswürdigen Quelle stammen, und die auf der Routing-Engine ausgeführten Prozesse werden vor einem externen Angriff geschützt.
Hochwasserschutz
Sie können standardmäßige zustandslose Firewallfilter erstellen, die bestimmten TCP- und ICMP-Datenverkehr begrenzen, der für die Routing-Engine bestimmt ist. Ein Router ohne diese Art von Schutz ist anfällig für TCP- und ICMP-Flood-Angriffe, die auch als Denial-of-Service-Angriffe (DoS) bezeichnet werden. Zum Beispiel:
Ein TCP-Flood-Angriff von SYN-Paketen, die Verbindungsanfragen initiieren, kann das Gerät überlasten, bis es keine legitimen Verbindungsanfragen mehr verarbeiten kann, was zu einem Denial-of-Service führt.
Eine ICMP-Flood kann das Gerät mit so vielen Echo-Anfragen (Ping-Anfragen) überlasten, dass es alle seine Ressourcen für die Beantwortung aufwendet und keinen gültigen Netzwerkverkehr mehr verarbeiten kann, was ebenfalls zu Denial-of-Service führt.
Das Anwenden der entsprechenden Firewall-Filter auf die Routing-Engine schützt vor dieser Art von Angriffen.
Verwendung von Standard-Firewall-Filtern zur Beeinflussung von Datenpaketen
Standard-Firewall-Filter, die Sie auf die Transitschnittstellen Ihres Routers anwenden, werten nur die Benutzerdatenpakete aus, die den Router direkt von einer Schnittstelle zur anderen übertragen, wenn sie von einer Quelle an ein Ziel weitergeleitet werden. Um das Netzwerk als Ganzes vor unbefugtem Zugriff und anderen Bedrohungen an bestimmten Schnittstellen zu schützen, können Sie Firewall-Filter anwenden Router Transit Interfaces .
Siehe auch
Beispiel: Konfigurieren eines zustandslosen Firewall-Filters zum Schutz eines logischen Systems vor ICMP-Floods
In diesem Beispiel wird gezeigt, wie ein zustandsloser Firewallfilter konfiguriert wird, der vor ICMP-Denial-of-Service-Angriffen auf ein logisches System schützt.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
Dieses Beispiel zeigt einen zustandslosen Firewallfilter namens protect-RE, der ICMP-Pakete überwacht. Dies icmp-policer begrenzt die Datenverkehrsrate der ICMP-Pakete auf 1.000.000 bps und die Burst-Größe auf 15.000 Byte. Pakete, die die Datenverkehrsrate überschreiten, werden verworfen.
Der Policer wird in die Aktion eines Filterbegriffs namens integriert icmp-term.
In diesem Beispiel wird ein Ping von einem direkt verbundenen physischen Router an die auf dem logischen System konfigurierte Schnittstelle gesendet. Das logische System akzeptiert die ICMP-Pakete, wenn sie mit einer Rate von bis zu 1 Mbit/s (Bandbreitengrenze) empfangen werden. Das logische System verwirft alle ICMP-Pakete, wenn diese Rate überschritten wird. Die burst-size-limit Anweisung akzeptiert Datenverkehrsspitzen von bis zu 15 Kbit/s. Wenn Bursts diesen Grenzwert überschreiten, werden alle Pakete verworfen. Wenn die Flussrate nachlässt, werden ICMP-Pakete wieder akzeptiert.
Topologie
Abbildung 1 zeigt die in diesem Beispiel verwendete Topologie.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.
set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30 set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k set logical-systems LS1 firewall policer icmp-policer then discard
Verfahren
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie einen ICMP-Firewallfilter auf einem logischen System:
Konfigurieren Sie die Schnittstelle auf dem logischen System.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet address 10.0.45.2/30
Aktivieren Sie explizit den Empfang von ICMP-Paketen auf der Schnittstelle.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term from protocol icmp user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then accept
Erstelle den Policer.
[edit] user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding bandwidth-limit 1m user@host# set logical-systems LS1 firewall policer icmp-policer if-exceeding burst-size-limit 15k user@host# set logical-systems LS1 firewall policer icmp-policer then discard
Wenden Sie den Policer auf einen Filterbegriff an.
[edit] user@host# set logical-systems LS1 firewall family inet filter protect-RE term icmp-term then policer icmp-policer
Wenden Sie den Policer auf die logische Systemschnittstelle an.
[edit] user@host# set logical-systems LS1 interfaces so-0/0/2 unit 0 family inet policer input icmp-policer
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie den show logical-systems LS1 Befehl eingeben.
user@host# show logical-systems LS1
interfaces {
so-0/0/2 {
unit 0 {
family inet {
policer {
input icmp-policer;
}
address 10.0.45.2/30;
}
}
}
}
firewall {
family inet {
filter protect-RE {
term icmp-term {
from {
protocol icmp;
}
then {
policer icmp-policer;
accept;
}
}
}
}
policer icmp-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then discard;
}
}
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob der Ping funktioniert, es sei denn, die Grenzwerte werden überschritten
Zweck
Stellen Sie sicher, dass die logische Systemschnittstelle vor ICMP-basierten DoS-Angriffen geschützt ist.
Aktion
Melden Sie sich bei einem System an, das mit dem logischen System verbunden ist, und führen Sie den ping Befehl aus.
user@R2> ping 10.0.45.2 PING 10.0.45.2 (10.0.45.2): 56 data bytes 64 bytes from 10.0.45.2: icmp_seq=0 ttl=64 time=1.316 ms 64 bytes from 10.0.45.2: icmp_seq=1 ttl=64 time=1.277 ms 64 bytes from 10.0.45.2: icmp_seq=2 ttl=64 time=1.269 ms
user@R2> ping 10.0.45.2 size 20000 PING 10.0.45.2 (10.0.45.2): 20000 data bytes ^C --- 10.0.45.2 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss
Bedeutung
Wenn Sie einen normalen Ping senden, wird das Paket akzeptiert. Wenn Sie ein Ping-Paket senden, das das Filterlimit überschreitet, wird das Paket verworfen.
Beispiel: Filterbasierte Weiterleitung auf logischen Systemen konfigurieren
In diesem Beispiel wird gezeigt, wie die filterbasierte Weiterleitung in einem logischen System konfiguriert wird. Der Filter klassifiziert Pakete, um ihren Weiterleitungspfad innerhalb des Eingangs-Routing-Geräts zu bestimmen.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
Filterbasierte Weiterleitung wird für IP Version 4 (IPv4) und IP Version 6 (IPv6) unterstützt.
Verwenden Sie filterbasierte Weiterleitung für die Auswahl von Service Providern, wenn Kunden über eine Internetverbindung verfügen, die von verschiedenen ISPs bereitgestellt wird, aber eine gemeinsame Zugriffsschicht verwendet. Wenn ein gemeinsam genutztes Medium (z. B. ein Kabelmodem) verwendet wird, prüft ein Mechanismus auf der gemeinsamen Zugriffsebene Layer-2- oder Layer-3-Adressen und unterscheidet zwischen Kunden. Sie können die filterbasierte Weiterleitung verwenden, wenn die gemeinsame Zugriffsebene mit einer Kombination aus Layer-2-Switches und einem einzelnen Router implementiert wird.
Bei der filterbasierten Weiterleitung werden alle Pakete berücksichtigt, die auf einer Schnittstelle empfangen werden. Jedes Paket durchläuft einen Filter mit Übereinstimmungsbedingungen. Wenn die Übereinstimmungsbedingungen für einen Filter erfüllt sind und Sie eine Routing-Instanz erstellt haben, wird die filterbasierte Weiterleitung auf ein Paket angewendet. Das Paket wird basierend auf dem nächsten Hop weitergeleitet, der in der Routinginstanz angegeben ist. Bei statischen Routen kann der nächste Hop ein bestimmter LSP sein.
Der Abgleich von Quellklassenverwendungsfiltern und Unicast-Reverse-Path-Weiterleitungsprüfungen werden auf einer Schnittstelle, die mit filterbasierter Weiterleitung (FBF) konfiguriert ist, nicht unterstützt.
Um die filterbasierte Weiterleitung zu konfigurieren, führen Sie die folgenden Aufgaben aus:
Erstellen Sie einen Übereinstimmungsfilter auf einem Eingangsrouter oder -switch. Um einen Übereinstimmungsfilter anzugeben, schließen Sie die
filter filter-nameAnweisung auf Hierarchieebene[edit firewall]ein. Ein Paket, das den Filter passiert, wird mit einem Satz von Regeln verglichen, um es zu klassifizieren und seine Zugehörigkeit zu einem Satz zu bestimmen. Nach der Klassifizierung wird das Paket an eine Routing-Tabelle weitergeleitet, die in der Accept-Aktion in der Filterbeschreibungssprache angegeben ist. Die Routing-Tabelle leitet das Paket dann an den nächsten Hop weiter, der dem Zieladresseintrag in der Tabelle entspricht.Erstellen Sie Routing-Instanzen, die die Routing-Tabelle(n) angeben, an die ein Paket weitergeleitet wird, und das Ziel, an das das Paket auf der
[edit routing-instances]Hierarchieebene "oder[edit logical-systems logical-system-name routing-instances]" weitergeleitet wird. Zum Beispiel:[edit] routing-instances { routing-table-name1 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.1; } } } routing-table-name2 { instance-type forwarding; routing-options { static { route 0.0.0.0/0 nexthop 10.0.0.2; } } } }Erstellen Sie eine Routing-Tabellengruppe, die Schnittstellenrouten zu den Weiterleitungs-Routinginstanzen hinzufügt, die bei der filterbasierten Weiterleitung (FBF) verwendet werden, sowie zur Standard-Routinginstanz
inet.0. In diesem Teil der Konfiguration werden die in den Routing-Instanzen installierten Routen in direkt verbundene Next Hops auf dieser Schnittstelle aufgelöst. Erstellen Sie die Routing-Tabellengruppe auf der[edit routing-options]Hierarchieebene oder[edit logical-systems logical-system-name routing-options].
Geben Sie als eine der Routing-Instanzen an inet.0 , in die die Schnittstellenrouten importiert werden. Wenn die Standardinstanz inet.0 nicht angegeben ist, werden Schnittstellenrouten nicht in die Standard-Routinginstanz importiert.
Dieses Beispiel zeigt einen Paketfilter, der den Kundendatenverkehr basierend auf der Quelladresse des Pakets an einen Next-Hop-Router in den Domänen SP 1 oder SP 2 weiterleitet.
Wenn dem Paket eine Quelladresse zugewiesen ist, die einem SP 1-Kunden zugewiesen ist, erfolgt die zielbasierte Weiterleitung über die Routing-Tabelle sp1-route-table.inet.0. Wenn dem Paket eine Quelladresse zugewiesen ist, die einem SP 2-Kunden zugewiesen ist, erfolgt die zielbasierte Weiterleitung über die Routing-Tabelle sp2-route-table.inet.0. Wenn ein Paket keine dieser Bedingungen erfüllt, akzeptiert der Filter das Paket, und die zielbasierte Weiterleitung erfolgt unter Verwendung der standardmäßigen inet.0-Routingtabelle.
Eine Möglichkeit, filterbasierte Weiterleitung innerhalb eines logischen Systems zum Funktionieren zu bringen, besteht darin, den Firewallfilter auf dem logischen System zu konfigurieren, das die Pakete empfängt. Eine andere Möglichkeit besteht darin, den Firewallfilter auf dem Hauptrouter zu konfigurieren und dann im Firewallfilter auf das logische System zu verweisen. In diesem Beispiel wird der zweite Ansatz verwendet. Die spezifischen Routing-Instanzen werden innerhalb des logischen Systems konfiguriert. Da jede Routing-Instanz über eine eigene Routing-Tabelle verfügt, müssen Sie auch im Firewall-Filter auf die Routing-Instanzen verweisen. Die Syntax sieht wie folgt aus:
[edit firewall filter filter-name term term-name] user@host# set then logical-system logical-system-name routing-instance routing-instance-name
Topologie
Abbildung 2 zeigt die in diesem Beispiel verwendete Topologie.
Auf dem logischen System P1 klassifiziert ein Eingabefilter Pakete, die vom logischen System PE3 und vom logischen System PE4 empfangen werden. Die Pakete werden basierend auf den Quelladressen geroutet. Pakete mit Quelladressen in den Netzwerken 10.1.1.0/24 und 10.1.2.0/24 werden an das logische System PE1 weitergeleitet. Pakete mit Quelladressen in den Netzwerken 10.2.1.0/24 und 10.2.2.0/24 werden an das logische System PE2 weitergeleitet.
Um die Konnektivität herzustellen, wird OSPF auf allen Schnittstellen konfiguriert. Zu Demonstrationszwecken werden Loopback-Schnittstellenadressen auf den Routing-Geräten so konfiguriert, dass sie Netzwerke in den Clouds darstellen.
Im Abschnitt CLI-Schnellkonfiguration wird die gesamte Konfiguration für alle Geräte in der Topologie angezeigt. In den Abschnitten Konfigurieren der Routing-Instanzen auf dem logischen System P1 und Konfigurieren des Firewall-Filters auf dem Hauptrouter wird die Schritt-für-Schritt-Konfiguration des Eingangs-Routing-Geräts Logical System P1 beschrieben.
Konfiguration
- CLI-Schnellkonfiguration
- Konfigurieren des Firewall-Filters auf dem Hauptrouter
- Konfiguration der Routing-Instanzen auf dem logischen System P1
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein.
set firewall filter classify-customers term sp1-customers from source-address 10.1.1.0/24 set firewall filter classify-customers term sp1-customers from source-address 10.1.2.0/24 set firewall filter classify-customers term sp1-customers then log set firewall filter classify-customers term sp1-customers then logical-system P1 routing-instance sp1-route-table set firewall filter classify-customers term sp2-customers from source-address 10.2.1.0/24 set firewall filter classify-customers term sp2-customers from source-address 10.2.2.0/24 set firewall filter classify-customers term sp2-customers then log set firewall filter classify-customers term sp2-customers then logical-system P1 routing-instance sp2-route-table set firewall filter classify-customers term default then accept set logical-systems P1 interfaces lt-1/2/0 unit 10 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 10 peer-unit 9 set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet filter input classify-customers set logical-systems P1 interfaces lt-1/2/0 unit 10 family inet address 172.16.0.10/30 set logical-systems P1 interfaces lt-1/2/0 unit 13 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 13 peer-unit 14 set logical-systems P1 interfaces lt-1/2/0 unit 13 family inet address 172.16.0.13/30 set logical-systems P1 interfaces lt-1/2/0 unit 17 encapsulation ethernet set logical-systems P1 interfaces lt-1/2/0 unit 17 peer-unit 18 set logical-systems P1 interfaces lt-1/2/0 unit 17 family inet address 172.16.0.17/30 set logical-systems P1 protocols ospf rib-group fbf-group set logical-systems P1 protocols ospf area 0.0.0.0 interface all set logical-systems P1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems P1 routing-instances sp1-route-table instance-type forwarding set logical-systems P1 routing-instances sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 set logical-systems P1 routing-instances sp2-route-table instance-type forwarding set logical-systems P1 routing-instances sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17 set logical-systems P1 routing-options rib-groups fbf-group import-rib inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp1-route-table.inet.0 set logical-systems P1 routing-options rib-groups fbf-group import-rib sp2-route-table.inet.0 set logical-systems P2 interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems P2 interfaces lt-1/2/0 unit 2 family inet address 172.16.0.2/30 set logical-systems P2 interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems P2 interfaces lt-1/2/0 unit 6 family inet address 172.16.0.6/30 set logical-systems P2 interfaces lt-1/2/0 unit 9 encapsulation ethernet set logical-systems P2 interfaces lt-1/2/0 unit 9 peer-unit 10 set logical-systems P2 interfaces lt-1/2/0 unit 9 family inet address 172.16.0.9/30 set logical-systems P2 protocols ospf area 0.0.0.0 interface all set logical-systems P2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE1 interfaces lt-1/2/0 unit 14 encapsulation ethernet set logical-systems PE1 interfaces lt-1/2/0 unit 14 peer-unit 13 set logical-systems PE1 interfaces lt-1/2/0 unit 14 family inet address 172.16.0.14/30 set logical-systems PE1 interfaces lo0 unit 3 family inet address 172.16.1.1/32 set logical-systems PE1 protocols ospf area 0.0.0.0 interface all set logical-systems PE1 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE2 interfaces lt-1/2/0 unit 18 encapsulation ethernet set logical-systems PE2 interfaces lt-1/2/0 unit 18 peer-unit 17 set logical-systems PE2 interfaces lt-1/2/0 unit 18 family inet address 172.16.0.18/30 set logical-systems PE2 interfaces lo0 unit 4 family inet address 172.16.2.2/32 set logical-systems PE2 protocols ospf area 0.0.0.0 interface all set logical-systems PE2 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE3 interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems PE3 interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems PE3 interfaces lt-1/2/0 unit 1 family inet address 172.16.0.1/30 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.1.1/32 set logical-systems PE3 interfaces lo0 unit 1 family inet address 10.1.2.1/32 set logical-systems PE3 protocols ospf area 0.0.0.0 interface all set logical-systems PE3 protocols ospf area 0.0.0.0 interface fxp0.0 disable set logical-systems PE4 interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems PE4 interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems PE4 interfaces lt-1/2/0 unit 5 family inet address 172.16.0.5/30 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.1.1/32 set logical-systems PE4 interfaces lo0 unit 2 family inet address 10.2.2.1/32 set logical-systems PE4 protocols ospf area 0.0.0.0 interface all set logical-systems PE4 protocols ospf area 0.0.0.0 interface fxp0.0 disable
Konfigurieren des Firewall-Filters auf dem Hauptrouter
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Firewall-Filter auf dem Hauptrouter:
Konfigurieren Sie die Quelladressen für SP1-Kunden.
[edit firewall filter classify-customers term sp1-customers] user@host# set from source-address 10.1.1.0/24 user@host# set from source-address 10.1.2.0/24
Konfigurieren Sie die Aktionen, die ausgeführt werden, wenn Pakete mit den angegebenen Quelladressen empfangen werden.
Um die Aktion des Firewallfilters zu verfolgen, wird eine Protokollaktion konfiguriert. Die Routing-Tabelle sp1-route-table.inet.0 auf dem logischen System P1 leitet die Pakete weiter.
[edit firewall filter classify-customers term sp1-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp1-route-table
Konfigurieren Sie die Quelladressen für SP2-Kunden.
[edit firewall filter classify-customers term sp2-customers] user@host# set from source-address 10.2.1.0/24 user@host# set from source-address 10.2.2.0/24
Konfigurieren Sie die Aktionen, die ausgeführt werden, wenn Pakete mit den angegebenen Quelladressen empfangen werden.
Um die Aktion des Firewallfilters zu verfolgen, wird eine Protokollaktion konfiguriert. Die Routing-Tabelle sp2-route-table.inet.0 auf dem logischen System P1 leitet das Paket weiter.
[edit firewall filter classify-customers term sp2-customers] user@host# set then log user@host# set then logical-system P1 routing-instance sp2-route-table
Konfigurieren Sie die Aktion, die ausgeführt werden soll, wenn Pakete von einer anderen Quelladresse empfangen werden.
Alle diese Pakete werden einfach akzeptiert und über die standardmäßige IPv4-Unicast-Routing-Tabelle inet.0 geroutet.
[edit firewall filter classify-customers term default] user@host# set then accept
Konfiguration der Routing-Instanzen auf dem logischen System P1
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie die Routing-Instanzen auf einem logischen System:
Konfigurieren Sie die Schnittstellen auf dem logischen System.
[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 encapsulation ethernet user@host# set unit 10 peer-unit 9 user@host# set unit 10 family inet address 172.16.0.10/30 user@host# set unit 13 encapsulation ethernet user@host# set unit 13 peer-unit 14 user@host# set unit 13 family inet address 172.16.0.13/30 user@host# set unit 17 encapsulation ethernet user@host# set unit 17 peer-unit 18 user@host# set unit 17 family inet address 172.16.0.17/30
Weisen Sie den
classify-customersFirewall-Filter der Routerschnittstelle lt-1/2/0.10 als Eingangspaketfilter zu.[edit logical-systems P1 interfaces lt-1/2/0] user@host# set unit 10 family inet filter input classify-customers
Konfigurieren Sie die Konnektivität entweder über ein Routing-Protokoll oder über statisches Routing.
Es empfiehlt sich, das Routing auf der Verwaltungsschnittstelle zu deaktivieren.
[edit logical-systems P1 protocols ospf area 0.0.0.0] user@host# set interface all user@host# set interface fxp0.0 disable
Erstellen Sie die Routing-Instanzen.
Auf diese Routing-Instanzen wird im Firewallfilter
classify-customersverwiesen.Der Weiterleitungs-Instance-Typ bietet Unterstützung für filterbasierte Weiterleitung, bei der Schnittstellen nicht mit Instances verknüpft sind. Alle Schnittstellen gehören zur Standardinstanz, in diesem Fall zum logischen System P1.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table instance-type forwarding user@host# set sp2-route-table instance-type forwarding
Lösen Sie die in den Routing-Instanzen installierten Routen in direkt verbundene nächste Hops auf.
[edit logical-systems P1 routing-instances] user@host# set sp1-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.13 user@host# set sp2-route-table routing-options static route 0.0.0.0/0 next-hop 172.16.0.17
Gruppieren Sie die Routing-Tabellen, um eine Routing-Tabellengruppe zu bilden.
Die erste Routing-Tabelle, inet.0, ist die primäre Routing-Tabelle, und die zusätzlichen Routing-Tabellen sind die sekundären Routing-Tabellen.
Die primäre Routing-Tabelle bestimmt die Adressfamilie der Routing-Tabellengruppe, in diesem Fall IPv4.
[edit logical-systems P1 routing-options] user@host# set rib-groups fbf-group import-rib inet.0 user@host# set rib-groups fbf-group import-rib sp1-route-table.inet.0 user@host# set rib-groups fbf-group import-rib sp2-route-table.inet.0
Wenden Sie die Routing-Tabellengruppe auf OSPF an.
Dies bewirkt, dass die OSPF-Routen in allen Routing-Tabellen in der Gruppe installiert werden.
[edit logical-systems P1 protocols ospf] user@host# set rib-group fbf-group
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration, indem Sie die show firewall Befehle und show logical-systems P1 eingeben.
user@host# show firewall
filter classify-customers {
term sp1-customers {
from {
source-address {
10.1.1.0/24;
10.1.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp1-route-table;
}
}
term sp2-customers {
from {
source-address {
10.2.1.0/24;
10.2.2.0/24;
}
}
then {
log;
logical-system P1 routing-instance sp2-route-table;
}
}
term default {
then accept;
}
}
user@host# show logical-systems P1
interfaces {
lt-1/2/0 {
unit 10 {
encapsulation ethernet;
peer-unit 9;
family inet {
filter {
input classify-customers;
}
address 172.16.0.10/30;
}
}
unit 13 {
encapsulation ethernet;
peer-unit 14;
family inet {
address 172.16.0.13/30;
}
}
unit 17 {
encapsulation ethernet;
peer-unit 18;
family inet {
address 172.16.0.17/30;
}
}
}
}
protocols {
ospf {
rib-group fbf-group;
area 0.0.0.0 {
interface all;
interface fxp0.0 {
disable;
}
}
}
}
routing-instances {
sp1-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.13;
}
}
}
sp2-route-table {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 172.16.0.17;
}
}
}
}
routing-options {
rib-groups {
fbf-group {
import-rib [ inet.0 sp1-route-table.inet.0 sp2-route-table.inet.0 ];
}
}
}
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Pingen mit angegebenen Quelladressen
Zweck
Senden Sie einige ICMP-Pakete über das Netzwerk, um den Firewallfilter zu testen.
Aktion
Melden Sie sich am logischen System PE3 an.
user@host> set cli logical-system PE3 Logical system: PE3
Führen Sie den
pingBefehl aus, und pingen Sie die lo0.3-Schnittstelle auf dem logischen System PE1 an.Die auf dieser Schnittstelle konfigurierte Adresse lautet 172.16.1.1.
Geben Sie die Quelladresse 10.1.2.1 an, bei der es sich um die Adresse handelt, die auf der Schnittstelle lo0.1 des logischen Systems PE3 konfiguriert ist.
user@host:PE3> ping 172.16.1.1 source 10.1.2.1 PING 172.16.1.1 (172.16.1.1): 56 data bytes 64 bytes from 172.16.1.1: icmp_seq=0 ttl=62 time=1.444 ms 64 bytes from 172.16.1.1: icmp_seq=1 ttl=62 time=2.094 ms ^C --- 172.16.1.1 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.444/1.769/2.094/0.325 ms
Melden Sie sich am logischen System PE4 an.
user@host:PE3> set cli logical-system PE4 Logical system: PE4
Führen Sie den
pingBefehl aus, und pingen Sie die Schnittstelle lo0.4 auf dem logischen System PE2 an.Die auf dieser Schnittstelle konfigurierte Adresse lautet 172.16.2.2.
Geben Sie die Quelladresse 10.2.1.1 an, bei der es sich um die Adresse handelt, die auf der Schnittstelle lo0.2 des logischen Systems PE4 konfiguriert ist.
user@host:PE4> ping 172.16.2.2 source 10.2.1.1 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=62 time=1.473 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=62 time=1.407 ms ^C --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 1.407/1.440/1.473/0.033 ms
Bedeutung
Durch das Senden dieser Pings werden die Firewall-Filteraktionen aktiviert.
Überprüfen des Firewall-Filters
Zweck
Stellen Sie sicher, dass die Firewallfilteraktionen wirksam werden.
Aktion
Melden Sie sich am logischen System P1 an.
user@host> set cli logical-system P1 Logical system: P1
Führen Sie den
show firewall logBefehl auf dem logischen System P1 aus.user@host:P1> show firewall log Log : Time Filter Action Interface Protocol Src Addr Dest Addr 13:52:20 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:52:19 pfe A lt-1/2/0.10 ICMP 10.2.1.1 172.16.2.2 13:51:53 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1 13:51:52 pfe A lt-1/2/0.10 ICMP 10.1.2.1 172.16.1.1