Exemple : Configuration des compteurs de filtres de pare-feu spécifiques à l’interface
Cet exemple montre comment configurer et appliquer un filtre de pare-feu sans état standard spécifique à l’interface.
Conditions préalables
Les filtres de pare-feu sans état spécifiques à l’interface sont uniquement pris en charge sur les routeurs T Series, M120, M320 et MX Series.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous allez créer un filtre de pare-feu sans état spécifique à l’interface qui compte et accepte les paquets avec des adresses source ou de destination dans un préfixe spécifié et le champ Type de protocole IP défini sur une valeur spécifique.
Topologie
Vous configurez le filtre filter_s_tcp de pare-feu sans état spécifique à l’interface pour compter et accepter les paquets dont les adresses IP source ou de destination sont le 10.0.0.0/12 préfixe et le champ Type de protocole IP défini sur tcp (ou la valeur 6 numérique ).
Le nom du compteur de filtres du pare-feu est count_s_tcp.
Vous appliquez le filtre de pare-feu à plusieurs interfaces logiques :
at-1/1/1.0Entréeso-2/2/2.2Sortie
L’application du filtre à ces deux interfaces entraîne deux occurrences du filtre : filter_s_tcp-at-1/1/1.0-i et filter_s_tcp-so-2/2/2.2-o, respectivement.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu spécifique à l’interface
- Appliquer le filtre de pare-feu spécifique à l’interface à plusieurs interfaces
- Confirmez la configuration de votre candidat
- Effacez les compteurs et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configurer le filtre de pare-feu spécifique à l’interface
Procédure étape par étape
Pour configurer le filtre de pare-feu spécifique à l’interface :
Créez le filtre
filter_s_tcpde pare-feu IPv4 .[edit] user@host# edit firewall family inet filter filter_s_tcp
Activez les instances du filtre spécifiques à l’interface.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configurez les conditions de correspondance pour le terme.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configurez les actions pour le terme.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Appliquer le filtre de pare-feu spécifique à l’interface à plusieurs interfaces
Procédure étape par étape
Pour appliquer le filtre filter_s_tcp aux interfaces at-1/1/1.0 logiques et so-2/2/2.2:
Appliquez le filtre spécifique à l’interface aux paquets reçus sur l’interface
at-1/1/1.0logique .[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Appliquez le filtre spécifique à l’interface aux paquets transmis à partir de l’interface
so-2/2/2.2logique .[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirmez la configuration de votre candidat
Procédure étape par étape
Pour confirmer la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Confirmez la configuration des interfaces en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Effacez les compteurs et validez la configuration de votre candidat
Procédure étape par étape
Pour effacer les compteurs et valider la configuration de votre candidat :
À partir du mode de commande opérationnelle, utilisez la
clear firewall allcommande pour effacer les statistiques de tous les filtres de pare-feu.Pour effacer uniquement les compteurs utilisés dans cet exemple, incluez les noms d’instance de filtre spécifiques à l’interface :
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Validez la configuration de votre candidat.
[edit] user@host# commit
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’application du filtre à chacune des interfaces
- Vérification de la collecte des compteurs séparément par interface
Vérification de l’application du filtre à chacune des interfaces
But
Vérifiez que le filtre est appliqué à chacune des interfaces multiples.
Action
Exécutez la show interfaces commande avec le niveau de detail sortie ou extensive .
Vérifiez que le filtre est appliqué à l’entrée pour
at-1/1/1.0:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Vérifiez que le filtre est appliqué à la sortie pour
so-2/2/2.2:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Vérification de la collecte des compteurs séparément par interface
But
Assurez-vous que les compteurs sont collectés séparément pour les count_s_tcp deux interfaces logiques.
Action
Exécutez la show firewall commande.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101