Auf dieser Seite
Beispiel: Konfigurieren von schnittstellenspezifischen Firewall-Filterindikatoren
In diesem Beispiel wird gezeigt, wie ein schnittstellenspezifischer standardmäßiger zustandsloser Firewallfilter konfiguriert und angewendet wird.
Anforderungen
Schnittstellenspezifische zustandslose Firewall-Filter werden nur auf Routern der T-Serie, M120-, M320- und MX-Serie unterstützt.
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen schnittstellenspezifischen zustandslosen Firewallfilter, der Pakete mit Quell- oder Zieladressen in einem angegebenen Präfix zählt und akzeptiert, wobei das Feld IP-Protokolltyp auf einen bestimmten Wert festgelegt ist.
Topologie
Sie konfigurieren den schnittstellenspezifischen zustandslosen Firewallfilter filter_s_tcp so, dass Pakete mit IP-Quell- oder Zieladressen im 10.0.0.0/12 Präfix gezählt und akzeptiert werden, und das Feld IP-Protokolltyp ist auf tcp (oder der numerische Wert 6) festgelegt.
Der Name des Firewallfilterindikators lautet count_s_tcp.
Sie wenden den Firewallfilter auf mehrere logische Schnittstellen an:
at-1/1/1.0Eingabeso-2/2/2.2Ausgabe
Das Anwenden des Filters auf diese beiden Schnittstellen führt zu zwei Instanzen des Filters: filter_s_tcp-at-1/1/1.0-i bzw filter_s_tcp-so-2/2/2.2-o. .
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des schnittstellenspezifischen Firewallfilters
- Anwenden des schnittstellenspezifischen Firewall-Filters auf mehrere Schnittstellen
- Bestätigen Sie Ihre Kandidatenkonfiguration
- Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Konfigurieren des schnittstellenspezifischen Firewallfilters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den schnittstellenspezifischen Firewall-Filter:
Erstellen Sie den IPv4-Firewallfilter
filter_s_tcp.[edit] user@host# edit firewall family inet filter filter_s_tcp
Aktivieren Sie schnittstellenspezifische Instanzen des Filters.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Konfigurieren Sie die Übereinstimmungsbedingungen für den Begriff.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Konfigurieren Sie die Aktionen für den Begriff.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Anwenden des schnittstellenspezifischen Firewall-Filters auf mehrere Schnittstellen
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter filter_s_tcp auf logische Schnittstellen at-1/1/1.0 an und so-2/2/2.2:
Wenden Sie den schnittstellenspezifischen Filter auf Pakete an, die auf der logischen Schnittstelle
at-1/1/1.0empfangen werden.[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Wenden Sie den schnittstellenspezifischen Filter auf Pakete an, die von der logischen Schnittstelle
so-2/2/2.2übertragen werden.[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Löschen Sie die Zähler, und bestätigen Sie Ihre Kandidatenkonfiguration.
Schritt-für-Schritt-Anleitung
So löschen Sie die Zähler und bestätigen Ihre Kandidatenkonfiguration:
Verwenden Sie im Betriebsbefehlsmodus den
clear firewall allBefehl, um die Statistiken für alle Firewallfilter zu löschen.Wenn Sie nur die in diesem Beispiel verwendeten Leistungsindikatoren löschen möchten, schließen Sie die schnittstellenspezifischen Filterinstanznamen ein:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob der Filter auf jede der mehreren Schnittstellen angewendet wird
- Überprüfen, ob die Zähler getrennt nach Schnittstelle erfasst werden
Überprüfen, ob der Filter auf jede der mehreren Schnittstellen angewendet wird
Zweck
Stellen Sie sicher, dass der Filter auf jede der zahlreichen Schnittstellen angewendet wird.
Action!
Führen Sie den show interfaces Befehl mit dem detail Ausgangspegel oder extensive aus.
Vergewissern Sie sich, dass der Filter auf die Eingabe für
at-1/1/1.0Folgendes angewendet wird:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Vergewissern Sie sich, dass der Filter auf die Ausgabe angewendet wird für
so-2/2/2.2:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Überprüfen, ob die Zähler getrennt nach Schnittstelle erfasst werden
Zweck
Stellen Sie sicher, dass die count_s_tcp Leistungsindikatoren für die beiden logischen Schnittstellen separat gesammelt werden.
Action!
Führen Sie den show firewall Befehl aus.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101