Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Zustandslosen Firewall-Filters in einer Schnittstellengruppe

Firewall-Filter sind für die Absicherung eines Netzwerks und die S simplifyierung des Netzwerkmanagements unerlässlich. In Junos OS können Sie eine zustandslose Firewall-Filter konfigurieren, um die Übertragung von Datenpaketen durch das System zu steuern und Pakete nach Bedarf zu manipulieren. Durch das Anwenden eines zustandslosen Firewallfilters in eine Schnittstellengruppe können Pakete, die über jede Schnittstelle in der Schnittstellengruppe übertragen werden, gefiltert werden. In diesem Beispiel wird veranschaulicht, wie ein standardmäßiger Stateless-Firewallfilter so konfiguriert wird, dass Pakete, die für eine bestimmte Schnittstellengruppe tagged sind, entsprechen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Alle zwei Juniper Networks-Router oder Switches, die physisch oder logisch miteinander über Schnittstellen verbunden sind, die zu einer Routinginstanz gehören

  • Junos OS 7.4 oder höher

Überblick

Sie können einen zustandslosen Firewall-Filter auf eine Schnittstellengruppe anwenden, um ihn auf alle Schnittstellen in der Schnittstellengruppe anzuwenden. Auf diese Weise können Sie die Paketfilterung an verschiedenen Schnittstellen gleichzeitig verwalten.

In diesem Beispiel konfigurieren Sie zwei Router- oder Switch-Schnittstellen, die zur Schnittstellengruppe gehören. Sie konfigurieren auch einen zustandslosen Firewall-Filter mit drei Bedingungen. Im Begriff entspricht der Filter Paketen, die als in dieser Schnittstellengruppe empfangen wurden und term1 ein ICMP-Protokoll-Tag enthalten. Der Filter zählt, protokolliert und lehnt Pakete ab, die den Bedingungen übereinstimmen. Der Filter term2 entspricht Paketen, die das ICMP-Protokoll-Tag enthalten. Der Filter zählt, protokolliert und akzeptiert alle Pakete, die dem Zustand übereinstimmen. Im Term term3 zählt der Filter alle Transitpakete.

Durch die Anwendung des Firewallfilters auf die Routinginstanz können Sie den Filtermechanismus gleichzeitig auf alle Schnittstellen in der Schnittstellengruppe anwenden. Dazu müssen alle Schnittstellen in der Schnittstellengruppe zu einer einzelnen Routinginstanz gehören.

Anmerkung:

Wenn Sie einen Firewall-Filter auf eine Loopback-Schnittstelle anwenden, filtert die Schnittstelle alle Pakete, die an den Firewall-Routing-Engine.

Abbildung 1: Konfigurieren eines Zustandslosen Firewall-Filters in einer SchnittstellengruppeKonfigurieren eines Zustandslosen Firewall-Filters in einer Schnittstellengruppe

CLI Quickkonfiguration wird die Konfiguration aller Geräte in Abbildung 1 gezeigt. In diesem Schritt-für-Schritt-Abschnitt werden die Schritte auf Gerät R1 beschrieben.

Konfiguration

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, kopieren Sie die Befehle in die CLI der Hierarchieebene, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Gerät R0

Gerät R1

Konfiguration und Anwendung des Stateless Firewall-Filters auf einer Schnittstellengruppe

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie im CLI Verwenden des CLI Editors im KonfigurationsmodusBenutzerhandbuch.

So konfigurieren Sie den Zustandslosen filter_if_group Firewall-Filter auf einer Schnittstellengruppe:

  1. Erstellen Sie den zustandslosen filter_if_group Firewall-Filter.

  2. Konfigurieren Sie die Schnittstellen, und weisen Sie der Schnittstellengruppe zwei Schnittstellen 1 zu.

  3. Konfigurieren Sie den term1 Begriff so, dass pakete, die in der Schnittstellengruppe und 1 dem ICMP-Protokoll empfangen wurden, übereinstimmen.

  4. Konfigurieren Sie den term1 Begriff für Das Zählen, Protokollieren und Ablehnen aller dazugehörigen Pakete.

  5. Konfigurieren Sie term2 den Begriff so, dass Pakete mit dem ICMP-Protokoll übereinstimmen.

  6. Konfigurieren Sie den term2 Begriff für Das Zählen, Protokollieren und Akzeptieren aller dazugehörigen Pakete.

  7. Begriff so term3 konfigurieren, dass alle Transitpakete zählen.

  8. Wenden Sie den Firewall-Filter auf die Schnittstellengruppe des Routers (oder Switches) an, indem Sie ihn auf die Routinginstanz anwenden.

  9. Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, commit Ihre Kandidatenkonfiguration.

Ergebnisse

Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus durch Ausgabe von show interfacesshow firewall , und show forwarding-options Befehlen. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfung der Konfiguration der Schnittstellen

Zweck

Stellen Sie sicher, dass die Schnittstellen ordnungsgemäß konfiguriert sind.

Aktion

Verwenden Sie den Betriebsmodusbefehl, um den Status der Schnittstellen show interfaces terse anzuzeigen.

Gerät R0

Gerät R1

Bedeutung

Alle Schnittstellen auf den Geräten R0 und R1 sind physisch vernetzt und weiter. Die Schnittstellengruppe auf Gerät R1 besteht aus zwei Schnittstellen, und zwar 1 ge-0/0/0.0 und ge-0/0/2.0.

Überprüfung der Konfiguration von Zustandslosen Firewall-Filtern

Zweck

Stellen Sie sicher, dass die Bedingungen des Firewallfilters korrekt konfiguriert sind.

Aktion

  • Geben Sie den Betriebsmodusbefehl ein, um die Zähler des Firewall-Filters show firewall filter filter_if_group anzuzeigen.

  • Geben Sie den Betriebsmodusbefehl ein, um das lokale Protokoll der Paketheader für vom Firewall-Filter ausgewertete Pakete show firewall log anzuzeigen.

  • Um sicherzustellen, dass die Firewall-Filter in der Schnittstellengruppe auf Gerät R1 aktiv sind, verwenden Sie den Betriebsmodusbefehl auf der CLI 1ping <address> von Gerät R0.

  • Verwenden Sie den Betriebsmodusbefehl auf der Schnittstelle von CLI R0, um sicherzustellen, dass der Firewall-Filter nicht auf eine Schnittstelle angewendet wird, die sich nicht in der Schnittstellengruppe 1ping <address> befindet.

Bedeutung

Der Stateless-Firewall-Filter wird auf alle Schnittstellen in der Schnittstellengruppe 1 angewendet. Die Bedingungen für Laufzeit-Übereinstimmungen in der Zustandslosen Firewall-Filteranzahl, -Protokolle und -Ablehnung von Paketen, die an den Schnittstellen in der Schnittstellengruppe und mit einem term1 ICMP-Quellprotokoll empfangen oder gesendet 1 werden. Die Laufzeit-Übereinstimmungsbedingung entspricht Paketen, die mit dem ICMP-Protokoll gekennzeichnet sind, und zählt, protokolliert sie und akzeptiert term2 diese Pakete. Die Bedingungen term3 für Term-Übereinstimmungen zählen alle Transitpakete.