Exemple : filtrage des paquets reçus sur un ensemble d’interfaces
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour qu’il corresponde aux paquets balisés pour un ensemble d’interfaces particulier.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous appliquez un filtre de pare-feu sans état à l’entrée de l’interface de bouclage du routeur ou du commutateur. Le filtre de pare-feu inclut un terme qui correspond aux paquets balisés pour un ensemble d’interfaces particulier.
Topologie
Vous créez le filtre L2_filter de pare-feu afin d’appliquer des limites de débit au trafic indépendant du protocole reçu sur les interfaces suivantes :
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
Le type d’interface dans cette rubrique n’est qu’un exemple. Ce fe- type d’interface n’est pas pris en charge par les commutateurs EX Series.
Tout d’abord, pour le trafic indépendant du protocole reçu le , le fe-0/0/0.0terme t1 de filtre de pare-feu applique le p1mécanisme de contrôle .
Pour le trafic indépendant du protocole reçu sur toute autre interface Fast Ethernet, le terme t2 de filtre de pare-feu applique le p2mécanisme de contrôle . Pour définir un jeu d’interfaces composé de toutes les interfaces Fast Ethernet, vous devez inclure l’instruction interface-set interface-set-name interface-name au niveau de la [edit firewall] hiérarchie. Pour définir un critère de correspondance des paquets en fonction de l’interface par laquelle un paquet arrive à un ensemble d’interfaces spécifié, vous devez configurer un terme qui utilise la condition de correspondance du filtre de interface-set pare-feu.
Enfin, pour tout autre trafic indépendant du protocole, le terme t3 de filtre de pare-feu applique le p3mécanisme de contrôle .
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration des interfaces pour lesquelles les termes de filtre du pare-feu sans état effectuent des actions de limitation de débit
- Configuration du filtre de pare-feu sans état qui limite le débit du trafic indépendant du protocole en fonction des interfaces par lesquelles les paquets arrivent
- Application du filtre de pare-feu sans état à l’interface d’entrée du moteur de routage
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuration des interfaces pour lesquelles les termes de filtre du pare-feu sans état effectuent des actions de limitation de débit
Procédure étape par étape
Pour configurer les interfaces pour lesquelles les termes de filtre du pare-feu sans état effectuent des actions de limitation de débit :
Configurez l’interface logique dont le trafic d’entrée correspondra au premier terme du filtre de pare-feu.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configurez les interfaces logiques dont le trafic d’entrée sera mis en correspondance avec le deuxième terme du filtre de pare-feu.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez la configuration des interfaces de transit du routeur (ou du commutateur) en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configuration du filtre de pare-feu sans état qui limite le débit du trafic indépendant du protocole en fonction des interfaces par lesquelles les paquets arrivent
Procédure étape par étape
Pour configurer le pare-feu sans état L2_filter standard qui utilise des mécanismes de contrôle (p1, p2et p3) pour limiter le trafic indépendamment du protocole en fonction des interfaces sur lesquelles les paquets arrivent :
Configurez les instructions de pare-feu.
[edit] user@host# edit firewall
Configurez le mécanisme de contrôle
p1pour ignorer le trafic qui dépasse un taux de trafic de Bps ou une taille de5mrafale d’octets10m.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configurez le mécanisme de contrôle
p2pour ignorer le trafic qui dépasse un taux de trafic de Bps ou une taille de40mrafale d’octets100m.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configurez le mécanisme de contrôle
p3pour ignorer le trafic qui dépasse un taux de trafic de Bps ou une taille de600mrafale d’octets1g.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Définissez l’ensemble
ifsetd’interfaces comme étant le groupe de toutes les interfaces Fast Ethernet sur le routeur.[edit firewall] user@host# set interface-set ifset fe-*
Créez le filtre
L2_filterde pare-feu sans état .[edit firewall] user@host# edit family any filter L2_filter
Configurez le terme
t1de filtre pour qu’il corresponde aux paquets IPv4, IPv6 ou MPLS reçus sur l’interfacefe-0/0/0.0et utilisez le mécanisme de contrôle pour limiter le débit dep1ce trafic.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configurez le terme de filtre pour qu’il corresponde aux paquets reçus sur l’ensemble
ifsetd’interfaces et utilisez let2mécanisme de contrôlep2pour limiter le débit de ce trafic.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configurez le terme
t3de filtre pour qu’il utilise le mécanisme de contrôlep3afin de limiter le débit de tout le reste du trafic.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez la configuration du filtre de pare-feu sans état et des mécanismes de contrôle référencés en tant qu’actions de filtre de pare-feu en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Application du filtre de pare-feu sans état à l’interface d’entrée du moteur de routage
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à l’interface d’entrée du moteur de routage :
Appliquez le filtre de pare-feu sans état à l’interface du moteur de routage dans la direction d’entrée.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez l’application du filtre de pare-feu à l’interface d’entrée du moteur de routage en entrant à nouveau la show interfaces commande. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, utilisez la commande mode show firewall filter L2_filter opérationnel pour surveiller les statistiques de trafic sur le filtre de pare-feu et les trois compteurs.