Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Configuración de un filtro para bloquear el acceso TCP a un puerto excepto desde el BGP equipos del mismo nivel

 

En este ejemplo se muestra cómo configurar un filtro estándar de Firewall sin estado que bloquea todos los intentos de conexión TCP al puerto 179 de todos los solicitantes excepto los especificados BGP iguales.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, puede crear un filtro de Firewall sin estado que bloquee todos los intentos de conexión TCP al puerto 179 de todos los solicitantes excepto los BGP homólogos especificados.

Filtro de Firewall sin estado filter_bgp179 hace coincidir todos los paquetes de las interfaces conectadas directamente del dispositivo A y el dispositivo B con el número de puerto de destino 179.

Figura 1muestra la topología utilizada en este ejemplo. El dispositivo C intenta establecer una conexión TCP con el dispositivo E. Device E bloquea el intento de conexión. Este ejemplo muestra la configuración en el dispositivo E.

Figura 1: Red típica con sesiones BGP del mismo nivel
Red típica con sesiones BGP del mismo nivel

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI, en el [edit] nivel jerárquico.

Dispositivo C

Dispositivo E

Configurar el dispositivo E

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Using the CLI Editor in Configuration Mode en el Guía de usuario de CLI.

Para configurar el dispositivo E con un filtro de Firewall sin estado que bloquee todos los intentos de conexión TCP al puerto 179 de todos los solicitantes excepto los especificados BGP iguales:

  1. Configure las interfaces.
  2. Configure BGP.
  3. Configure el número de sistema autónomo.
  4. Defina el término de filtro que acepta los intentos de conexión TCP para migrar el 179 desde los equipos del mismo nivel BGP.

  5. Defina el otro término de filtro para rechazar paquetes de otros orígenes.

  6. Aplique el filtro de Firewall a la interfaz de bucle invertido.

Resultados

Desde el modo de configuración, escriba el show firewall, show interfaces, show protocolsy show routing-options órdenes. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, escriba commit desde el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando que el filtro está configurado

Finalidad

Asegúrese de que el filtro aparece en la salida del show firewall filter comando.

Acción

user@E> show firewall filter filter_bgp179

Comprobación de las conexiones TCP

Finalidad

Compruebe las conexiones TCP.

Acción

Desde el modo operativo, ejecute show system connections extensive el comando en los dispositivos C y e.

El resultado del dispositivo C muestra el intento de establecer una conexión TCP. El resultado del dispositivo E indica que las conexiones sólo se establecen con el dispositivo a y el dispositivo B.

user@C> show system connections extensive | match 10.10.10
user@E> show system connections extensive | match 10.10.10

Supervisión del tráfico en las interfaces

Finalidad

Utilice el comando monitor traffic comando para comparar el tráfico de una interfaz que establece una conexión TCP con el tráfico de una interfaz que no establece una conexión TCP.

Acción

Desde el modo operativo, ejecute el monitor traffic comando en la interfaz del dispositivo e para Device B y en la interfaz E del dispositivo al dispositivo C. La siguiente salida de ejemplo comprueba que, en el primer ejemplo, la confirmación (ack) se reciben los mensajes. En el segundo ejemplo, ack no se reciben los mensajes.

user@E> monitor traffic size 1500 interface ge-1/2/1.5
user@E> monitor traffic size 1500 interface ge-1/0/0.9