Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Filtrage des paquets reçus sur un ensemble d’interfaces

Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour correspondre aux paquets balisé pour un ensemble d’interfaces particulier.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous appliquez un filtre de pare-feu sans état à l’entrée du routeur ou de l’interface de bouclation du commutateur. Le filtre de pare-feu comprend un terme qui correspond aux paquets balisé pour un ensemble d’interfaces particulier.

Topologie

Vous créez le filtre de pare-feu pour appliquer des limites de vitesse au trafic indépendant du protocole reçu sur les L2_filter interfaces suivantes:

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

Remarque :

Le type d’interface dans ce sujet n’est qu’un exemple. Le fe- type d’interface n’est pas pris en charge EX Series commutateurs.

Tout d’abord, pour le trafic indépendant du protocole reçu, le terme « filtre de pare-feu fe-0/0/0.0t1 » s’applique à « policer p1 ».

Pour le trafic indépendant du protocole reçu sur n’importe quelle autre interface Fast Ethernet, le terme de filtre de pare-feu t2 s’applique au p2 contrôle. Pour définir un ensemble d’interfaces comprenant toutes les interfaces Fast Ethernet, vous indiquez interface-set interface-set-name interface-name l’instruction au niveau de la [edit firewall] hiérarchie. Pour définir un critère de correspondance des paquets en fonction de l’interface sur laquelle un paquet arrive à un ensemble d’interfaces spécifié, vous configurez un terme qui utilise la condition de correspondance du filtre interface-set de pare-feu.

Enfin, pour tout autre trafic indépendant du protocole, le terme « filtre de pare-feu » t3 s’applique à « policer p3 ».

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Utilisation du CLI éditeur dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configuration des interfaces pour lesquelles les termes des filtres de pare-feu sans état prennent des mesures limitant le taux

Procédure étape par étape

Pour configurer les interfaces pour lesquelles les termes du filtre de pare-feu sans état prennent des actions de limitation de la vitesse:

  1. Configurez l’interface logique dont le trafic d’entrée sera assorti au premier terme du filtre de pare-feu.

  2. Configurez les interfaces logiques dont le trafic d’entrée sera assorti par le deuxième terme du filtre de pare-feu.

  3. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

Confirmez la configuration des interfaces de transit du routeur (ou du commutateur) en entrant la commande show interfaces de mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration du filtre de pare-feu sans état qui limite le trafic indépendant du protocole En fonction des interfaces d’arrivée des paquets

Procédure étape par étape

Pour configurer le pare-feu sans état standard qui utilise des policers (et ) pour limiter le trafic indépendant du protocole en fonction des interfaces sur lesquelles les L2_filterp1p2p3 paquets arrivent:

  1. Configurez les instructions de pare-feu.

  2. Configurez le policer pour supprimer le trafic qui dépasse un taux de trafic de b/s ou p15m une taille 10m d’octets plus importante.

  3. Configurez le policer pour supprimer le trafic qui dépasse un taux de trafic de b/s ou p240m une taille 100m d’octets plus importante.

  4. Configurez le policer pour supprimer le trafic qui dépasse un taux de trafic de b/s ou p3600m une taille 1g d’octets plus importante.

  5. Définissez l’ensemble de l’interface comme groupe de toutes les ifset interfaces Fast Ethernet du routeur.

  6. Créez le filtre de pare-feu sans L2_filter état.

  7. Configurez le terme de filtre pour correspondre aux t1 paquets IPv4, IPv6 MPLS reçus sur l’interface et utilisez un policer pour limiter le taux fe-0/0/0.0p1 de trafic.

  8. Configurez le terme de filtre pour correspondre aux paquets reçus sur l’ensemble de l’interface et utilisez un policer pour limiter le taux t2ifset de p2 trafic.

  9. Configurez le terme de filtre pour utiliser un policer afin de limiter le taux t3 de trafic de tous les autres p3 trafics.

  10. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

Confirmez la configuration du filtre de pare-feu sans état et des policers référencés comme actions de filtre de pare-feu en entrant la commande show firewall de mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre de pare-feu sans état à l moteur de routage inté interface d’entrée

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à moteur de routage interface d’entrée:

  1. Appliquez le filtre de pare-feu sans état à moteur de routage interface dans la direction d’entrée.

  2. Si vous avez terminé la configuration de l’équipement, commit the configuration.

Résultats

Confirmez l’application du filtre de pare-feu sur moteur de routage interface d’entrée en entrant à show interfaces nouveau la commande. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, utilisez la commande du mode opérationnel pour surveiller les statistiques du trafic au sujet du filtre de pare-feu et de show firewall filter L2_filter trois compteurs.