Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Filtrage des paquets reçus sur un ensemble d’interfaces

Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour correspondre aux paquets balisés pour un ensemble d’interfaces particulier.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.

Présentation

Dans cet exemple, vous appliquez un filtre de pare-feu sans état à l’entrée du routeur ou de l’interface de bouclage du commutateur. Le filtre de pare-feu inclut un terme qui correspond aux paquets balisés pour un ensemble d’interfaces particulier.

topologie

Vous créez le filtre L2_filter de pare-feu pour appliquer des limites de débit au trafic indépendant du protocole reçu sur les interfaces suivantes :

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

REMARQUE :

Le type d’interface de cette rubrique n’est qu’un exemple. Le fe- type d’interface n’est pas pris en charge par les commutateurs EX Series.

Tout d’abord, pour le trafic indépendant du protocole reçu sur fe-0/0/0.0, le terme t1 de filtre de pare-feu applique un policer p1.

Pour le trafic indépendant du protocole reçu sur toute autre interface Fast Ethernet, le terme t2 de filtre de pare-feu applique un policer p2. Pour définir un ensemble d’interfaces comprenant toutes les interfaces Fast Ethernet, vous devez inclure l’instruction interface-set interface-set-name interface-name au niveau de la [edit firewall] hiérarchie. Pour définir un critère de correspondance de paquets en fonction de l’interface sur laquelle un paquet arrive à un ensemble d’interfaces spécifié, vous configurez un terme qui utilise la condition de correspondance du interface-set filtre de pare-feu.

Enfin, pour tout autre trafic indépendant du protocole, le terme t3 de filtre de pare-feu applique un policer p3.

Configuration

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Configuration des interfaces pour lesquelles les termes du filtre de pare-feu sans état prennent des actions de limitation de débit

Procédure étape par étape

Pour configurer les interfaces pour lesquelles les termes de filtre de pare-feu sans état prennent des mesures de limitation de débit :

  1. Configurez l’interface logique dont le trafic d’entrée sera associé au premier terme du filtre de pare-feu.

  2. Configurez les interfaces logiques dont le trafic d’entrée sera associé au deuxième terme du filtre de pare-feu.

  3. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

Confirmez la configuration des interfaces de transit du routeur (ou du commutateur) en entrant la commande du show interfaces mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration du filtre de pare-feu sans état qui limite le trafic indépendant du protocole en fonction des interfaces sur lesquelles les paquets arrivent

Procédure étape par étape

Pour configurer le pare-feu L2_filter standard sans état qui utilise des polices (p1, p2et p3) pour débiter le trafic indépendant du protocole en fonction des interfaces sur lesquelles les paquets arrivent :

  1. Configurez les déclarations de pare-feu.

  2. Configurez le dispositif de contrôle p1 pour éliminer le trafic qui dépasse un débit de points de 5m paquets ou une taille d’rafale d’octets 10m.

  3. Configurez le dispositif de contrôle p2 pour éliminer le trafic qui dépasse un débit de points de 40m paquets ou une taille d’rafale d’octets 100m.

  4. Configurez le dispositif de contrôle p3 pour éliminer le trafic qui dépasse un débit de points de 600m paquets ou une taille d’rafale d’octets 1g.

  5. Définissez l’ensemble ifset d’interfaces comme le groupe de toutes les interfaces Fast Ethernet sur le routeur.

  6. Créez le filtre de pare-feu sans état L2_filter.

  7. Configurez le terme du t1 filtre pour qu’il corresponde aux paquets IPv4, IPv6 ou MPLS reçus sur l’interface fe-0/0/0.0 et utilisez un policer p1 pour limiter le trafic.

  8. Configurez le terme du t2 filtre pour qu’il corresponde aux paquets reçus sur l’interface définie ifset et utilisez un dispositif de contrôle p2 pour limiter le trafic.

  9. Configurez le terme du t3 filtre pour utiliser un policer p3 pour limiter la vitesse de tout le trafic.

  10. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

Confirmez la configuration du filtre de pare-feu sans état et les contrôles référencés comme actions de filtrage de pare-feu en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre de pare-feu sans état à l’interface d’entrée du moteur de routage

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à l’interface d’entrée du moteur de routage :

  1. Appliquez le filtre de pare-feu sans état à l’interface du moteur de routage dans le sens d’entrée.

  2. Si vous avez fini de configurer l’équipement, validez la configuration.

Résultats

Confirmez l’application du filtre de pare-feu à l’interface d’entrée du moteur de routage en entrant à nouveau la show interfaces commande. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, utilisez la commande du show firewall filter L2_filter mode opérationnel pour surveiller les statistiques de trafic sur le filtre de pare-feu et les trois compteurs.