Auf dieser Seite
Beispiel: Filtern von Paketen, die in einem Schnittstellensatz empfangen wurden
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter so konfiguriert wird, dass er Pakete abgleicht, die für einen bestimmten Schnittstellensatz markiert sind.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel wenden Sie einen zustandslosen Firewallfilter auf den Eingang der Router- oder Switch-Loopback-Schnittstelle an. Der Firewallfilter enthält einen Begriff, der mit Paketen übereinstimmt, die für eine bestimmte Schnittstellengruppe gekennzeichnet sind.
Topologie
Sie erstellen den Firewallfilter L2_filter , um Ratenbegrenzungen auf den protokollunabhängigen Datenverkehr anzuwenden, der auf den folgenden Schnittstellen empfangen wird:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
Der Schnittstellentyp in diesem Thema ist nur ein Beispiel. Der fe- Schnittstellentyp wird von Switches der EX-Serie nicht unterstützt.
Erstens wendet für protokollunabhängigen Datenverkehr, der am empfangen wird fe-0/0/0.0, der Firewallfilterbegriff t1 policer p1an.
Für protokollunabhängigen Datenverkehr, der auf anderen Fast- Ethernet-Schnittstellen empfangen wird, wendet der Firewall-Filterbegriff t2 policer p2an. Um eine Schnittstellenmenge zu definieren, die aus allen Fast- Ethernet-Schnittstellen besteht, binden Sie die interface-set interface-set-name interface-name Anweisung auf Hierarchieebene [edit firewall] ein. Um ein Paketübereinstimmungskriterium basierend auf der Schnittstelle zu definieren, auf der ein Paket bei einem angegebenen Schnittstellensatz ankommt, konfigurieren Sie einen Begriff, der die Übereinstimmungsbedingung des interface-set Firewallfilters verwendet.
Für jeden anderen protokollunabhängigen Datenverkehr schließlich wendet der Firewall-Filterbegriff t3 policer p3.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren der Schnittstellen, für die die Filterbegriffe für zustandslose Firewalls ratenbegrenzende Aktionen ausführen
- Konfigurieren des zustandslosen Firewallfilters, der den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, begrenzt
- Anwenden des zustandslosen Firewallfilters auf die Routing-Engine-Eingabeschnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Konfigurieren der Schnittstellen, für die die Filterbegriffe für zustandslose Firewalls ratenbegrenzende Aktionen ausführen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die Schnittstellen, für die die Filterbegriffe der zustandslosen Firewall ratenbegrenzende Aktionen ausführen:
Konfigurieren Sie die logische Schnittstelle, deren Eingabedatenverkehr mit dem ersten Term des Firewallfilters abgeglichen wird.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Konfigurieren Sie die logischen Schnittstellen, deren Eingabedatenverkehr mit dem zweiten Term des Firewallfilters abgeglichen wird.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Konfiguration der Router- (oder Switch-) Transitschnittstellen, indem Sie den show interfaces Befehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Konfigurieren des zustandslosen Firewallfilters, der den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, begrenzt
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die standardmäßige zustandslose Firewall L2_filter , die Policer (p1, und p3) verwendet, p2um den protokollunabhängigen Datenverkehr basierend auf den Schnittstellen, auf denen die Pakete ankommen, zu begrenzen:
Konfigurieren Sie die Firewall-Anweisungen.
[edit] user@host# edit firewall
Konfigurieren Sie den Policer
p1so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von5mbps oder eine Burst-Größe von10mByte überschreitet.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Konfigurieren Sie den Policer
p2so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von40mbps oder eine Burst-Größe von100mByte überschreitet.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Konfigurieren Sie den Policer
p3so, dass Datenverkehr verworfen wird, der eine Datenverkehrsrate von600mbps oder eine Burst-Größe von1gByte überschreitet.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Definieren Sie die Schnittstelle, die als Gruppe aller Fast Ethernet-Schnittstellen auf dem Router festgelegt
ifsetist.[edit firewall] user@host# set interface-set ifset fe-*
Erstellen Sie den zustandslosen Firewallfilter
L2_filter.[edit firewall] user@host# edit family any filter L2_filter
Konfigurieren Sie den Filterbegriff
t1so, dass er mit IPv4-, IPv6- oder MPLS-Paketen übereinstimmt, die auf der Schnittstellefe-0/0/0.0empfangen werden, und verwenden Sie Policerp1, um die Rate dieses Datenverkehrs zu begrenzen.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Konfigurieren Sie den Filterbegriff
t2so, dass er mit den Paketen übereinstimmt, die bei interface-setifsetempfangen wurden, und verwenden Sie policerp2, um die Rate dieses Datenverkehrs zu begrenzen.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Konfigurieren Sie den Filterbegriff
t3so, dass policerp3verwendet wird, um die Rate für den gesamten anderen Datenverkehr zu begrenzen.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters und der Policer, auf die als Firewallfilteraktionen verwiesen wird, indem Sie den show firewall Befehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Anwenden des zustandslosen Firewallfilters auf die Routing-Engine-Eingabeschnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewall-Filter auf die Routing-Engine-Eingabeschnittstelle an:
Wenden Sie den zustandslosen Firewallfilter auf die Routing-Engine-Schnittstelle in Eingaberichtung an.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Ergebnisse
Bestätigen Sie die Anwendung des Firewall-Filters auf die Routing-Engine-Eingabeschnittstelle, indem Sie den show interfaces Befehl erneut eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, verwenden Sie den show firewall filter L2_filter Befehl operational mode, um die Datenverkehrsstatistiken über den Firewallfilter und drei Leistungsindikatoren zu überwachen.