Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines statuslosen Firewallfilters in einer Schnittstellengruppe

Firewall-Filter sind für die Sicherung eines Netzwerks und die Simplifizierung des Netzwerkmanagements unerlässlich. In Junos OS können Sie zustandslose Firewall-Filter konfigurieren, um die Übertragung von Datenpaketen durch das System zu steuern und Pakete bei Bedarf zu manipulieren. Wenn Sie einen statuslosen Firewall-Filter auf eine Schnittstellengruppe anwenden, können Sie Pakete filtern, die über jede Schnittstelle in der Schnittstellengruppe übertragen werden. In diesem Beispiel wird gezeigt, wie sie einen standardmäßigen zustandslosen Firewall-Filter so konfigurieren, dass pakete, die für eine bestimmte Schnittstellengruppe getaggt sind, übereinstimmen.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Alle zwei Router oder Switches von Juniper Networks, die physisch oder logisch über Schnittstellen einer Routinginstanz miteinander verbunden sind

  • Junos OS Version 7.4 oder höher

Überblick

Sie können einen zustandslosen Firewall-Filter auf eine Schnittstellengruppe anwenden, um ihn auf alle Schnittstellen in der Schnittstellengruppe anzuwenden. Auf diese Weise können Sie die Paketfilterung an verschiedenen Schnittstellen gleichzeitig verwalten.

In diesem Beispiel konfigurieren Sie zwei Router- oder Switch-Schnittstellen, die zur Schnittstellengruppe gehören. Sie konfigurieren auch einen zustandslosen Firewall-Filter mit drei Begriffen. Der Filter gleicht also term1Pakete ab, die als empfangen in dieser Schnittstellengruppe getaggt wurden, und enthält ein ICMP-Protokoll-Tag. Der Filter zählt, protokolliert und weist Pakete zurück, die den Bedingungen entsprechen. Der Filter gleicht also term2Paketen ab, die das ICMP-Protokoll-Tag enthalten. Der Filter zählt, protokolliert und akzeptiert alle Pakete, die der Bedingung entsprechen. Im Begriff term3zählt der Filter alle Transitpakete.

Indem Sie den Firewall-Filter auf die Routinginstanz anwenden, können Sie den Filtermechanismus gleichzeitig auf alle Schnittstellen in der Schnittstellengruppe anwenden. Dazu müssen alle Schnittstellen in der Schnittstellengruppe zu einer einzigen Routinginstanz gehören.

Anmerkung:

Wenn Sie einen Firewall-Filter auf eine Loopback-Schnittstelle anwenden, filtert die Schnittstelle alle Pakete, die für die Routing-Engine bestimmt sind.

Abbildung 1: Konfigurieren eines statuslosen Firewallfilters in einer SchnittstellengruppeKonfigurieren eines statuslosen Firewallfilters in einer Schnittstellengruppe

Cli Quick Configuration zeigt die Konfiguration für alle Geräte in Abbildung 1an. Der Abschnitt Schritt-für-Schritt-Vorgehensweise beschreibt die Schritte auf Gerät R1.

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für die Netzwerkkonfiguration erforderlich sind, kopieren Und fügen Sie die Befehle auf Hierarchieebene in die [edit] CLI ein und geben Sie dann aus dem Konfigurationsmodus ein commit .

Gerät R0

Gerät R1

Konfigurieren und Anwenden des Statuslosen Firewall-Filters auf eine Schnittstellengruppe

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie Cli-Editor im Konfigurationsmodus verwenden im CLI-Benutzerhandbuch.

So konfigurieren Sie den statuslosen Firewall-Filter filter_if_group in einer Schnittstellengruppe:

  1. Erstellen Sie den zustandslosen Firewall-Filter filter_if_group.

  2. Konfigurieren Sie die Schnittstellen und weisen Sie der Schnittstellengruppe 1zwei Schnittstellen zu.

  3. Konfigurieren Sie den Begriff term1 so, dass er mit den Paketen übereinstimmt, die in der Schnittstellengruppe 1 und mit dem ICMP-Protokoll empfangen wurden.

  4. Konfigurieren Sie den Begriff term1 , um alle übereinstimmenden Pakete zu zählen, zu protokollieren und abzulehnen.

  5. Konfigurieren Sie den Begriff term2 , um Pakete mit dem ICMP-Protokoll abgleichen zu können.

  6. Konfigurieren Sie den Begriff term2 , um alle übereinstimmenden Pakete zu zählen, zu protokollieren und zu akzeptieren.

  7. Konfigurieren Sie den Begriff term3 , um alle Transitpakete zu zählen.

  8. Wenden Sie den Firewall-Filter auf die Schnittstellengruppe des Routers (oder Switches) an, indem Sie ihn auf die Routinginstanz anwenden.

  9. Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration Ihres Kandidaten.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus ihre Konfiguration durch Ausgabe von show interfaces, show firewallund show forwarding-options befehlen. Wenn die Ausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration der Schnittstellen

Zweck

Stellen Sie sicher, dass die Schnittstellen richtig konfiguriert sind.

Aktion

Verwenden Sie zum Anzeigen des Zustands der Schnittstellen den Befehl für den show interfaces terse Betriebsmodus.

Gerät R0

Gerät R1

Bedeutung

Alle Schnittstellen auf den Geräten R0 und R1 sind physisch verbunden und hoch. Die Schnittstellengruppe 1 auf Gerät R1 besteht aus zwei Schnittstellen, nämlich ge-0/0/0.0 und ge-0/0/2.0.

Überprüfen der Konfiguration statusloser Firewallfilter

Zweck

Vergewissern Sie sich, dass die Bedingungen für die Übereinstimmung des Firewallfilters richtig konfiguriert sind.

Aktion

  • Um die Firewall-Filterzähler anzuzeigen, geben Sie den Befehl für den show firewall filter filter_if_group Betriebsmodus ein.

  • Um das lokale Protokoll der Paket-Header für vom Firewallfilter ausgewertete Pakete anzuzeigen, geben Sie den Befehl für den show firewall log Betriebsmodus ein.

  • Um sicherzustellen, dass die Firewall-Filter in der Schnittstellengruppe 1 auf Gerät R1 aktiv sind, verwenden Sie den Befehl für den ping <address> Betriebsmodus in der BEFEHLSZEILE des Geräts R0.

  • Um sicherzustellen, dass der Firewall-Filter nicht auf eine Schnittstelle angewendet wird, die sich nicht in der Schnittstellengruppe 1befindet, verwenden Sie den Befehl für den ping <address> Betriebsmodus auf der CLI des Geräts R0.

Bedeutung

Der zustandslose Firewall-Filter wird auf alle Schnittstellen in der Schnittstellengruppe 1angewendet. Der Begriff term1 Übereinstimmungsbedingung im zustandslosen Firewall-Filter zählt, protokolliert und lehnt Pakete ab, die an den Schnittstellen in der Schnittstellengruppe 1 und mit einem Quell-ICMP-Protokoll empfangen oder gesendet werden. Der Begriff term2 Übereinstimmungsbedingung gleicht Pakete ab, die mit dem ICMP-Protokoll verschlagwortet sind, und zählt, protokolliert und akzeptiert diese Pakete. Der Begriff term3 Übereinstimmungsbedingung zählt alle Transitpakete.