예: 인터페이스별 방화벽 필터 카운터 구성
이 예에서는 인터페이스별 표준 무상태 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다.
요구 사항
인터페이스별 스테이트리스 방화벽 필터는 T 시리즈, M120, M320 및 MX 시리즈 라우터에서만 지원됩니다.
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 지정된 접두사의 소스 또는 대상 주소와 IP 프로토콜 유형 필드가 특정 값으로 설정된 패킷을 카운트하고 수락하는 인터페이스별 스테이트리스 방화벽 필터를 생성합니다.
토폴로지
인터페이스별 스테이트리스 방화벽 필터를 filter_s_tcp 구성하여 접두사에 10.0.0.0/12 IP 소스 또는 대상 주소가 있고 IP 프로토콜 유형 필드가 (또는 숫자 값6)으로 설정된 패킷을 카운트하고 수락합니다 tcp .
방화벽 필터 카운터 count_s_tcp의 이름은 입니다.
방화벽 필터를 여러 논리적 인터페이스에 적용합니다.
at-1/1/1.0입력so-2/2/2.2출력
이 두 인터페이스에 필터를 적용하면 필터의 두 인스턴스가 생성됩니다. filter_s_tcp-at-1/1/1.0-i 및 filter_s_tcp-so-2/2/2.2-o, 각각.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 [edit] .
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
인터페이스별 방화벽 필터 구성
단계별 절차
인터페이스별 방화벽 필터 구성 방법:
IPv4 방화벽 필터를
filter_s_tcp만듭니다.[edit] user@host# edit firewall family inet filter filter_s_tcp
필터의 인터페이스별 인스턴스를 활성화합니다.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
용어에 대한 일치 조건을 구성합니다.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
용어에 대한 작업을 구성합니다.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
여러 인터페이스에 인터페이스별 방화벽 필터 적용
단계별 절차
필터를 논리적 인터페이스에 at-1/1/1.0 적용 filter_s_tcp 하고 so-2/2/2.2다음을 수행합니다.
논리적 인터페이스에서
at-1/1/1.0수신된 패킷에 인터페이스별 필터를 적용합니다.[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
논리적 인터페이스에서
so-2/2/2.2전송된 패킷에 인터페이스별 필터를 적용합니다.[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
후보 구성 확인
단계별 절차
후보 구성을 확인하려면:
구성 모드 명령을 입력하여 무상태 방화벽 필터의
show firewall구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }구성 모드 명령을 입력하여
show interfaces인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
카운터를 지우고 후보 구성을 커밋합니다
단계별 절차
카운터를 지우고 후보 구성을 커밋하려면 다음을 수행합니다.
운영 명령 모드에서 명령을 사용하여
clear firewall all모든 방화벽 필터에 대한 통계를 지웁니다.이 예에서 사용된 카운터만 지우려면 인터페이스별 필터 인스턴스 이름을 포함합니다.
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 올바르게 작동하고 있는지 확인합니다.
필터가 각 다중 인터페이스에 적용되는지 확인
목적
필터가 여러 인터페이스 각각에 적용되는지 확인합니다.
작업
또는 extensive 출력 레벨로 show interfacesdetail 명령을 실행합니다.
필터가 에 대한
at-1/1/1.0입력에 적용되었는지 확인합니다.user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,필터가 의 출력
so-2/2/2.2에 적용되었는지 확인합니다.user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,