EN ESTA PÁGINA
Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
En este ejemplo se muestra cómo configurar y aplicar un filtro de firewall sin estado estándar específico de la interfaz.
Requisitos
Los filtros de firewall sin estado específicos de la interfaz solo son compatibles con los enrutadores serie T, M120, M320 y MX.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado específico de la interfaz que cuenta y acepta paquetes con direcciones de origen o destino en un prefijo especificado y el campo Tipo de protocolo IP establecido en un valor específico.
Topología
Configure el filtro de firewall sin estado específico de la interfaz para contar y aceptar paquetes con direcciones IP de origen o destino en el prefijo y el campo Tipo de protocolo IP establecido en (o el valor numérico).filter_s_tcp
10.0.0.0/12
tcp
6
El nombre del contador de filtros de firewall es .count_s_tcp
El filtro de firewall se aplica a varias interfaces lógicas:
at-1/1/1.0
Entradaso-2/2/2.2
Salida
La aplicación del filtro a estas dos interfaces da como resultado dos instancias del filtro: y , respectivamente.filter_s_tcp-at-1/1/1.0-i
filter_s_tcp-so-2/2/2.2-o
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall específico de la interfaz
- Aplicar el filtro de firewall específico de la interfaz a varias interfaces
- Confirme su configuración candidata
- Borre los contadores y confirme su configuración de candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configurar el filtro de firewall específico de la interfaz
Procedimiento paso a paso
Para configurar el filtro de firewall específico de la interfaz:
Cree el filtro de firewall IPv4 .
filter_s_tcp
[edit] user@host# edit firewall family inet filter filter_s_tcp
Habilite instancias del filtro específicas de la interfaz.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure las condiciones de coincidencia para el plazo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure las acciones para el término.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplicar el filtro de firewall específico de la interfaz a varias interfaces
Procedimiento paso a paso
Para aplicar el filtro a interfaces lógicas y :filter_s_tcp
at-1/1/1.0
so-2/2/2.2
Aplique el filtro específico de la interfaz a los paquetes recibidos en la interfaz lógica.
at-1/1/1.0
[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique el filtro específico de la interfaz a los paquetes transmitidos desde la interfaz lógica.
so-2/2/2.2
[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirme su configuración candidata
Procedimiento paso a paso
Para confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.
show firewall
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }
Confirme la configuración de las interfaces introduciendo el comando de modo de configuración.
show interfaces
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Borre los contadores y confirme su configuración de candidato
Procedimiento paso a paso
Para borrar los contadores y confirmar la configuración del candidato:
Desde el modo de comando operativo, utilice el comando para borrar las estadísticas de todos los filtros de firewall.
clear firewall all
Para borrar solo los contadores usados en este ejemplo, incluya los nombres de instancia de filtro específicos de la interfaz:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Confirme su configuración de candidato.
[edit] user@host# commit
Verificación
Confirme que la configuración funcione correctamente.
- Comprobar que el filtro se aplica a cada una de las interfaces múltiples
- Comprobar que los contadores se recopilan por separado por interfaz
Comprobar que el filtro se aplica a cada una de las interfaces múltiples
Propósito
Compruebe que el filtro se aplica a cada una de las múltiples interfaces.
Acción
Ejecute el comando con el nivel de salida o .show interfaces
detail
extensive
Compruebe que el filtro se aplica a la entrada para :
at-1/1/1.0
user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,
Compruebe que el filtro se aplica a la salida para :
so-2/2/2.2
user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Comprobar que los contadores se recopilan por separado por interfaz
Propósito
Asegúrese de que los contadores se recopilan por separado para las dos interfaces lógicas.count_s_tcp
Acción
Ejecute el comando.show firewall
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101