Exemple : Configuration et application d’un filtre simple
Cet exemple montre comment configurer un filtre simple.
Conditions préalables
Cet exemple utilise l’un des composants matériels suivants :
Un PIC de file d’attente intelligente Gigabit Ethernet (IQ2) installé sur un routeur M120, M320 ou T Series
Un concentracteur de port dense (EQ DPC) amélioré installé sur un routeur MX Series ou un commutateur EX Series
Avant de commencer, assurez-vous d’avoir :
Installez le routeur (ou commutateur) et le PIC ou le DPC pris en charge, puis effectuez la configuration initiale du routeur (ou du commutateur) - effectué.
Configurez l’Ethernet de base dans la topologie et vérifiez que le trafic circule dans la topologie et que le trafic IPv4 entrant est acheminé vers l’interface
ge-0/0/1.0logique .
Présentation
Ce filtre simple définit la priorité de perte sur faible pour le trafic TCP avec adresse 172.16.1.1source, définit la priorité de perte sur élevée pour le trafic HTTP (Web) avec des adresses sources comprises dans la plage 172.16.4.0/8 et définit la priorité de perte sur faible pour tout le trafic avec adresse de destination 172.16.6.6.
Topologie
Le filtre simple est appliqué en tant que filtre d’entrée (les paquets entrants vérifient l’adresse 6.6.6.6de destination, et non les paquets de sortie en file d’attente) sur l’interface ge-0/0/1.0.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration du filtre de pare-feu simple
- Application du filtre simple à l’entrée de l’interface logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configuration du filtre de pare-feu simple
Procédure étape par étape
Pour configurer le filtre simple :
Créez le filtre
sf_classify_1simple.[edit] user@host# edit firewall family inet simple-filter sf_classify_1
Configurez la classification du trafic TCP en fonction de l’adresse IP source.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
Configurez la classification du trafic HTTP en fonction de l’adresse IP source.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
Configurez la classification des autres types de trafic en fonction de l’adresse IP de destination.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
Résultats
Confirmez la configuration du filtre simple en entrant la commande du show firewall mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
Application du filtre simple à l’entrée de l’interface logique
Procédure étape par étape
Pour appliquer le filtre simple à l’entrée de l’interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre simple.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Appliquez le filtre simple à l’entrée de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
Résultats
Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
Lorsque vous avez terminé de configurer l’appareil, validez votre configuration candidate.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage du mappage des cartes de classe et des noms de transfert aux numéros de file d’attente
- Affichage des compteurs de file d’attente CoS pour l’interface
- Affichage des détails du compteur de file d’attente CoS pour l’interface physique
Affichage du mappage des cartes de classe et des noms de transfert aux numéros de file d’attente
But
Affichez le mappage des noms de classe de transfert aux numéros de file d’attente.
Action
Entrez la commande du show class-of-service forwarding-class mode opérationnel.
[edit] user@host> show class-of-service forwarding-class
Pour plus d’informations sur la sortie de la commande, reportez-vous à la section «show class-of-service forwarding-class » dans l’Explorateur CLI.
Affichage des compteurs de file d’attente CoS pour l’interface
But
Vérifiez que les compteurs de file d’attente de classe de service (CoS) de l’interface reflètent le filtre simple appliqué à l’interface logique.
Action
Entrez la show interfaces commande de l’interface physique sur laquelle le filtre simple est appliqué, puis spécifiez detail le niveau de extensive sortie.
[edit] user@host> show interfaces ge-0/0/1 detail
Dans la section, sous Ingress queues, la Physical interface section affiche les compteurs de file d’attente d’entrée Queue counters pour chaque classe de transfert.
Pour plus d’informations sur la sortie de la commande, reportez-vous à la section «show interfaces » dans l’Explorateur CLI.
Affichage des détails du compteur de file d’attente CoS pour l’interface physique
But
Vérifiez que les détails du compteur de file d’attente CoS pour l’interface physique reflètent le filtre simple appliqué à l’interface logique.
Action
Entrez la show interfaces queue commande de l’interface physique sur laquelle le filtre simple est appliqué, puis spécifiez l’option ingress .
[edit] user@host> show interfaces queue ge-0/0/1 ingress
Pour plus d’informations sur la sortie de la commande, reportez-vous à la section «show interfaces queue » dans l’Explorateur CLI.