Exemple : Filtrage des paquets reçus sur un ensemble d’interfaces
Cet exemple montre comment configurer un filtre de pare-feu sans état standard pour correspondre aux paquets balisés pour un ensemble d’interfaces particulier.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Présentation
Dans cet exemple, vous appliquez un filtre de pare-feu sans état à l’entrée du routeur ou de l’interface de bouclage du commutateur. Le filtre de pare-feu inclut un terme qui correspond aux paquets balisés pour un ensemble d’interfaces particulier.
topologie
Vous créez le filtre L2_filter
de pare-feu pour appliquer des limites de débit au trafic indépendant du protocole reçu sur les interfaces suivantes :
fe-0/0/0.0
fe-1/0/0.0
fe-1/1/0.0
Le type d’interface de cette rubrique n’est qu’un exemple. Le fe-
type d’interface n’est pas pris en charge par les commutateurs EX Series.
Tout d’abord, pour le trafic indépendant du protocole reçu sur fe-0/0/0.0
, le terme t1
de filtre de pare-feu applique un policer p1
.
Pour le trafic indépendant du protocole reçu sur toute autre interface Fast Ethernet, le terme t2
de filtre de pare-feu applique un policer p2
. Pour définir un ensemble d’interfaces comprenant toutes les interfaces Fast Ethernet, vous devez inclure l’instruction interface-set interface-set-name interface-name
au niveau de la [edit firewall]
hiérarchie. Pour définir un critère de correspondance de paquets en fonction de l’interface sur laquelle un paquet arrive à un ensemble d’interfaces spécifié, vous configurez un terme qui utilise la condition de correspondance du interface-set
filtre de pare-feu.
Enfin, pour tout autre trafic indépendant du protocole, le terme t3
de filtre de pare-feu applique un policer p3
.
Configuration
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide cli
- Configuration des interfaces pour lesquelles les termes du filtre de pare-feu sans état prennent des actions de limitation de débit
- Configuration du filtre de pare-feu sans état qui limite le trafic indépendant du protocole en fonction des interfaces sur lesquelles les paquets arrivent
- Application du filtre de pare-feu sans état à l’interface d’entrée du moteur de routage
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit]
hiérarchie.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuration des interfaces pour lesquelles les termes du filtre de pare-feu sans état prennent des actions de limitation de débit
Procédure étape par étape
Pour configurer les interfaces pour lesquelles les termes de filtre de pare-feu sans état prennent des mesures de limitation de débit :
Configurez l’interface logique dont le trafic d’entrée sera associé au premier terme du filtre de pare-feu.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configurez les interfaces logiques dont le trafic d’entrée sera associé au deuxième terme du filtre de pare-feu.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez la configuration des interfaces de transit du routeur (ou du commutateur) en entrant la commande du show interfaces
mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces fe-0/0/0 { unit 0 { family inet { address 10.1.1.1/30; } } } fe-1/0/0 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-1/1/0 { unit 0 { family inet { address 10.4.4.1/30; } } }
Configuration du filtre de pare-feu sans état qui limite le trafic indépendant du protocole en fonction des interfaces sur lesquelles les paquets arrivent
Procédure étape par étape
Pour configurer le pare-feu L2_filter
standard sans état qui utilise des polices (p1
, p2
et p3
) pour débiter le trafic indépendant du protocole en fonction des interfaces sur lesquelles les paquets arrivent :
Configurez les déclarations de pare-feu.
[edit] user@host# edit firewall
Configurez le dispositif de contrôle
p1
pour éliminer le trafic qui dépasse un débit de points de5m
paquets ou une taille d’rafale d’octets10m
.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configurez le dispositif de contrôle
p2
pour éliminer le trafic qui dépasse un débit de points de40m
paquets ou une taille d’rafale d’octets100m
.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configurez le dispositif de contrôle
p3
pour éliminer le trafic qui dépasse un débit de points de600m
paquets ou une taille d’rafale d’octets1g
.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Définissez l’ensemble
ifset
d’interfaces comme le groupe de toutes les interfaces Fast Ethernet sur le routeur.[edit firewall] user@host# set interface-set ifset fe-*
Créez le filtre de pare-feu sans état
L2_filter
.[edit firewall] user@host# edit family any filter L2_filter
Configurez le terme du
t1
filtre pour qu’il corresponde aux paquets IPv4, IPv6 ou MPLS reçus sur l’interfacefe-0/0/0.0
et utilisez un policerp1
pour limiter le trafic.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configurez le terme du
t2
filtre pour qu’il corresponde aux paquets reçus sur l’interface définieifset
et utilisez un dispositif de contrôlep2
pour limiter le trafic.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configurez le terme du
t3
filtre pour utiliser un policerp3
pour limiter la vitesse de tout le trafic.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez la configuration du filtre de pare-feu sans état et les contrôles référencés comme actions de filtrage de pare-feu en entrant la commande du show firewall
mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall family any { filter L2_filter { term t1 { from { interface fe-0/0/0.0; } then { policer p1; count c1; } } term t2 { from { interface-set ifset; } then { policer p2; count c2; } } term t3 { then { policer p3; count c3; } } } } policer p1 { if-exceeding { bandwidth-limit 5m; burst-size-limit 10m; } then discard; } policer p2 { if-exceeding { bandwidth-limit 40m; burst-size-limit 100m; } then discard; } policer p3 { if-exceeding { bandwidth-limit 600m; burst-size-limit 1g; } then discard; } interface-set ifset { fe-*; }
Application du filtre de pare-feu sans état à l’interface d’entrée du moteur de routage
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à l’interface d’entrée du moteur de routage :
Appliquez le filtre de pare-feu sans état à l’interface du moteur de routage dans le sens d’entrée.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Si vous avez fini de configurer l’équipement, validez la configuration.
[edit] user@host# commit
Résultats
Confirmez l’application du filtre de pare-feu à l’interface d’entrée du moteur de routage en entrant à nouveau la show interfaces
commande. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
user@host# show interfaces fe-0/0/0 { ... } fe-1/0/0 { ... } fe-1/1/0 { ... } lo0 { unit 0 { filter { input L2_filter; } family inet { address 172.16.1.157/30; } } }
Vérification
Pour vérifier que la configuration fonctionne correctement, utilisez la commande du show firewall filter L2_filter
mode opérationnel pour surveiller les statistiques de trafic sur le filtre de pare-feu et les trois compteurs.