Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration des compteurs de filtre de pare-feu spécifiques à l’interface

Cet exemple montre comment configurer et appliquer un filtre de pare-feu sans état standard spécifique à l’interface.

Conditions préalables

Les filtres de pare-feu sans état spécifiques aux interfaces sont pris en charge uniquement sur les routeurs T Series, M120, M320 et MX Series.

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.

Présentation

Dans cet exemple, vous créez un filtre de pare-feu sans état spécifique à l’interface qui compte et accepte les paquets avec des adresses source ou de destination dans un préfixe spécifié et le champ de type de protocole IP défini sur une valeur spécifique.

topologie

Vous configurez le filtre filter_s_tcp de pare-feu sans état spécifique à l’interface pour compter et accepter les paquets avec des adresses IP source ou de destination dans le 10.0.0.0/12 préfixe et le champ de type de protocole IP défini sur tcp (ou la valeur 6numérique ).

Le nom du compteur de filtre de pare-feu est count_s_tcp.

Vous appliquez le filtre de pare-feu à plusieurs interfaces logiques :

  • at-1/1/1.0 Entrée

  • so-2/2/2.2 Sortie

L’application du filtre à ces deux interfaces donne deux instances du filtre : filter_s_tcp-at-1/1/1.0-i et filter_s_tcp-so-2/2/2.2-o, respectivement.

Configuration

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu spécifique à l’interface

Procédure étape par étape

Pour configurer le filtre de pare-feu spécifique à l’interface :

  1. Créez le filtre filter_s_tcpde pare-feu IPv4 .

  2. Activez des instances spécifiques à l’interface du filtre.

  3. Configurez les conditions de correspondance pour le terme.

  4. Configurez les actions pour le terme.

Appliquez le filtre de pare-feu spécifique à plusieurs interfaces

Procédure étape par étape

Pour appliquer le filtre filter_s_tcp aux interfaces at-1/1/1.0 logiques et so-2/2/2.2:

  1. Appliquez le filtre spécifique à l’interface aux paquets reçus sur l’interface at-1/1/1.0logique .

  2. Appliquez le filtre spécifique à l’interface aux paquets transmis depuis l’interface so-2/2/2.2logique .

Confirmer la configuration de votre candidat

Procédure étape par étape

Pour confirmer la configuration de votre candidat :

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande du mode de show firewall configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration des interfaces en entrant la commande du mode de show interfaces configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Effacez les compteurs et validez votre configuration de candidat

Procédure étape par étape

Pour effacer les compteurs et valider votre configuration de candidature :

  1. À partir du mode de commande opérationnel, utilisez la clear firewall all commande pour effacer les statistiques de tous les filtres de pare-feu.

    Pour effacer uniquement les compteurs utilisés dans cet exemple, incluez les noms des instances de filtre spécifiques à l’interface :

  2. Validez la configuration de votre candidat.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier que le filtre est appliqué à chacune des interfaces multiples

But

Vérifiez que le filtre est appliqué à chacune des interfaces multiples.

Action

Exécutez la show interfaces commande avec le ou extensive le detail niveau de sortie.

  1. Vérifiez que le filtre est appliqué à l’entrée pour at-1/1/1.0:

  2. Vérifiez que le filtre est appliqué à la sortie pour so-2/2/2.2:

Vérifier que les compteurs sont collectés séparément par l’interface

But

Assurez-vous que les count_s_tcp compteurs sont collectés séparément pour les deux interfaces logiques.

Action

Exécutez la show firewall commande.