Auf dieser Seite
Beispiel: Konfigurieren von schnittstellenspezifischen Firewall-Filterindikatoren
In diesem Beispiel wird gezeigt, wie ein schnittstellenspezifischer standardmäßiger zustandsloser Firewallfilter konfiguriert und angewendet wird.
Anforderungen
Schnittstellenspezifische zustandslose Firewall-Filter werden nur auf Routern der T-Serie, M120-, M320- und MX-Serie unterstützt.
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen schnittstellenspezifischen zustandslosen Firewallfilter, der Pakete mit Quell- oder Zieladressen in einem angegebenen Präfix zählt und akzeptiert, wobei das Feld IP-Protokolltyp auf einen bestimmten Wert festgelegt ist.
Topologie
Sie konfigurieren den schnittstellenspezifischen zustandslosen Firewallfilter so, dass Pakete mit IP-Quell- oder Zieladressen im Präfix gezählt und akzeptiert werden, und das Feld IP-Protokolltyp ist auf (oder der numerische Wert ) festgelegt.filter_s_tcp10.0.0.0/12tcp6
Der Name des Firewallfilterindikators lautet .count_s_tcp
Sie wenden den Firewallfilter auf mehrere logische Schnittstellen an:
at-1/1/1.0Eingabeso-2/2/2.2Ausgabe
Das Anwenden des Filters auf diese beiden Schnittstellen führt zu zwei Instanzen des Filters: bzw . .filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des schnittstellenspezifischen Firewallfilters
- Anwenden des schnittstellenspezifischen Firewall-Filters auf mehrere Schnittstellen
- Bestätigen Sie Ihre Kandidatenkonfiguration
- Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Konfigurieren des schnittstellenspezifischen Firewallfilters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den schnittstellenspezifischen Firewall-Filter:
Erstellen Sie den IPv4-Firewallfilter .
filter_s_tcp[edit] user@host# edit firewall family inet filter filter_s_tcp
Aktivieren Sie schnittstellenspezifische Instanzen des Filters.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Konfigurieren Sie die Übereinstimmungsbedingungen für den Begriff.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Konfigurieren Sie die Aktionen für den Begriff.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Anwenden des schnittstellenspezifischen Firewall-Filters auf mehrere Schnittstellen
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter auf logische Schnittstellen an und :filter_s_tcpat-1/1/1.0so-2/2/2.2
Wenden Sie den schnittstellenspezifischen Filter auf Pakete an, die auf der logischen Schnittstelle empfangen werden.
at-1/1/1.0[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Wenden Sie den schnittstellenspezifischen Filter auf Pakete an, die von der logischen Schnittstelle übertragen werden.
so-2/2/2.2[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewallWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfacesWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
Schritt-für-Schritt-Anleitung
So löschen Sie die Zähler und bestätigen Ihre Kandidatenkonfiguration:
Verwenden Sie im Betriebsbefehlsmodus den Befehl, um die Statistiken für alle Firewallfilter zu löschen.
clear firewall allWenn Sie nur die in diesem Beispiel verwendeten Leistungsindikatoren löschen möchten, schließen Sie die schnittstellenspezifischen Filterinstanznamen ein:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob der Filter auf jede der mehreren Schnittstellen angewendet wird
- Überprüfen, ob die Zähler getrennt nach Schnittstelle erfasst werden
Überprüfen, ob der Filter auf jede der mehreren Schnittstellen angewendet wird
Zweck
Stellen Sie sicher, dass der Filter auf jede der zahlreichen Schnittstellen angewendet wird.
Was
Führen Sie den Befehl mit dem Ausgangspegel oder aus.show interfacesdetailextensive
Vergewissern Sie sich, dass der Filter auf die Eingabe für Folgendes angewendet wird:
at-1/1/1.0user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Vergewissern Sie sich, dass der Filter auf die Ausgabe angewendet wird für :
so-2/2/2.2user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Überprüfen, ob die Zähler getrennt nach Schnittstelle erfasst werden
Zweck
Stellen Sie sicher, dass die Leistungsindikatoren für die beiden logischen Schnittstellen separat gesammelt werden.count_s_tcp
Was
Führen Sie den Befehl aus.show firewall
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101