Auf dieser Seite
Beispiel: Filtern von Paketen, die in einem Schnittstellensatz empfangen wurden
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass er Pakete abgleicht, die für einen bestimmten Schnittstellensatz markiert sind.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel wenden Sie einen zustandslosen Firewallfilter auf den Eingang der Router- oder Switch-Loopback-Schnittstelle an. Der Firewallfilter enthält einen Begriff, der mit Paketen übereinstimmt, die für eine bestimmte Schnittstellengruppe gekennzeichnet sind.
Topologie
Sie erstellen den Firewallfilter , um Ratenbegrenzungen auf den protokollunabhängigen Datenverkehr anzuwenden, der auf den folgenden Schnittstellen empfangen wird:L2_filter
fe-0/0/0.0
fe-1/0/0.0
fe-1/1/0.0
Der Schnittstellentyp in diesem Thema ist nur ein Beispiel. Der Schnittstellentyp wird von Switches der EX-Serie nicht unterstützt.fe-
Erstens wendet für protokollunabhängigen Datenverkehr, der am empfangen wird , der Firewallfilterbegriff policer an.fe-0/0/0.0
t1
p1
Für protokollunabhängigen Datenverkehr, der auf anderen Fast-Ethernet-Schnittstellen empfangen wird, wendet der Firewall-Filterbegriff policer an.t2
p2
Um eine Schnittstellenmenge zu definieren, die aus allen Fast-Ethernet-Schnittstellen besteht, binden Sie die Anweisung auf Hierarchieebene ein.interface-set interface-set-name interface-name
[edit firewall]
Um ein Paketübereinstimmungskriterium basierend auf der Schnittstelle zu definieren, auf der ein Paket bei einem angegebenen Schnittstellensatz ankommt, konfigurieren Sie einen Begriff, der die Übereinstimmungsbedingung des Firewallfilters verwendet.interface-set
Für jeden anderen protokollunabhängigen Datenverkehr schließlich wendet der Firewall-Filterbegriff policer .t3
p3
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren der Schnittstellen, für die die Filterbegriffe für zustandslose Firewalls ratenbegrenzende Aktionen ausführen
- Konfigurieren des zustandslosen Firewallfilters, der den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, begrenzt
- Anwenden des zustandslosen Firewallfilters auf die Routing-Engine-Eingabeschnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Konfigurieren der Schnittstellen, für die die Filterbegriffe für zustandslose Firewalls ratenbegrenzende Aktionen ausführen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Schnittstellen, für die die Filterbegriffe der zustandslosen Firewall ratenbegrenzende Aktionen ausführen:
Konfigurieren Sie die logische Schnittstelle, deren Eingabedatenverkehr mit dem ersten Term des Firewallfilters abgeglichen wird.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Konfigurieren Sie die logischen Schnittstellen, deren Eingabedatenverkehr mit dem zweiten Term des Firewallfilters abgeglichen wird.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Konfiguration der Router- (oder Switch-) Transitschnittstellen, indem Sie den Befehl configuration mode eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces fe-0/0/0 { unit 0 { family inet { address 10.1.1.1/30; } } } fe-1/0/0 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-1/1/0 { unit 0 { family inet { address 10.4.4.1/30; } } }
Konfigurieren des zustandslosen Firewallfilters, der den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, begrenzt
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die standardmäßige zustandslose Firewall, die Policer (, und ) verwendet, um den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, zu begrenzen:L2_filter
p1
p2
p3
Konfigurieren Sie die Firewall-Anweisungen.
[edit] user@host# edit firewall
Konfigurieren Sie den Policer so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von bps oder eine Burst-Größe von Byte überschreitet.
p1
5m
10m
[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Konfigurieren Sie den Policer so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von bps oder eine Burst-Größe von Bytes überschreitet.
p2
40m
100m
[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Konfigurieren Sie den Policer so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von bps oder eine Burst-Größe von Byte überschreitet.
p3
600m
1g
[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Definieren Sie die Schnittstelle, die als Gruppe aller Fast Ethernet-Schnittstellen auf dem Router festgelegt ist.
ifset
[edit firewall] user@host# set interface-set ifset fe-*
Erstellen Sie den zustandslosen Firewallfilter .
L2_filter
[edit firewall] user@host# edit family any filter L2_filter
Konfigurieren Sie den Filterbegriff so, dass er mit IPv4-, IPv6- oder MPLS-Paketen übereinstimmt, die auf der Schnittstelle empfangen werden, und verwenden Sie Policer , um die Rate dieses Datenverkehrs zu begrenzen.
t1
fe-0/0/0.0
p1
[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Konfigurieren Sie den Filterbegriff so, dass er mit den Paketen übereinstimmt, die bei interface-set empfangen wurden, und verwenden Sie policer , um die Rate dieses Datenverkehrs zu begrenzen.
t2
ifset
p2
[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Konfigurieren Sie den Filterbegriff so, dass policer verwendet wird, um die Rate für den gesamten anderen Datenverkehr zu begrenzen.
t3
p3
[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters und der Policer, auf die als Firewallfilteraktionen verwiesen wird, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family any { filter L2_filter { term t1 { from { interface fe-0/0/0.0; } then { policer p1; count c1; } } term t2 { from { interface-set ifset; } then { policer p2; count c2; } } term t3 { then { policer p3; count c3; } } } } policer p1 { if-exceeding { bandwidth-limit 5m; burst-size-limit 10m; } then discard; } policer p2 { if-exceeding { bandwidth-limit 40m; burst-size-limit 100m; } then discard; } policer p3 { if-exceeding { bandwidth-limit 600m; burst-size-limit 1g; } then discard; } interface-set ifset { fe-*; }
Anwenden des zustandslosen Firewallfilters auf die Routing-Engine-Eingabeschnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewall-Filter auf die Routing-Engine-Eingabeschnittstelle an:
Wenden Sie den zustandslosen Firewallfilter auf die Routing-Engine-Schnittstelle in Eingaberichtung an.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Anwendung des Firewall-Filters auf die Routing-Engine-Eingabeschnittstelle, indem Sie den Befehl erneut eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
user@host# show interfaces fe-0/0/0 { ... } fe-1/0/0 { ... } fe-1/1/0 { ... } lo0 { unit 0 { filter { input L2_filter; } family inet { address 172.16.1.157/30; } } }
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, verwenden Sie den Befehl operational mode, um die Datenverkehrsstatistiken über den Firewallfilter und drei Leistungsindikatoren zu überwachen.show firewall filter L2_filter