EN ESTA PÁGINA
Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
En este ejemplo, se muestra cómo configurar y aplicar un filtro de firewall sin estado estándar específico de la interfaz.
Requisitos
Los filtros de firewall sin estado específicos de la interfaz solo se admiten en enrutadores serie T, M120, M320 y MX.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado específico de la interfaz que cuenta y acepta paquetes con direcciones de origen o destino en un prefijo especificado y el campo de tipo de protocolo IP establecido en un valor específico.
Topología
Configure el filtro filter_s_tcp de firewall sin estado específico de la interfaz para contar y aceptar paquetes con direcciones IP de origen o destino en el 10.0.0.0/12 prefijo y el campo de tipo de protocolo IP establecido en tcp (o el valor 6numérico).
El nombre del contador de filtros de firewall es count_s_tcp.
Aplique el filtro de firewall a varias interfaces lógicas:
at-1/1/1.0Entradaso-2/2/2.2Salida
Aplicar el filtro a estas dos interfaces da como resultado dos instancias del filtro: filter_s_tcp-at-1/1/1.0-i y filter_s_tcp-so-2/2/2.2-o, respectivamente.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configure el filtro de firewall específico de la interfaz
- Aplique el filtro de firewall específico de la interfaz a varias interfaces
- Confirme la configuración de su candidato
- Despejar los contadores y confirmar la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configure el filtro de firewall específico de la interfaz
Procedimiento paso a paso
Para configurar el filtro de firewall específico de la interfaz:
Cree el filtro
filter_s_tcpde firewall IPv4 .[edit] user@host# edit firewall family inet filter filter_s_tcp
Habilite las instancias específicas de la interfaz del filtro.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure las condiciones de coincidencia para el término.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure las acciones para el término.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplique el filtro de firewall específico de la interfaz a varias interfaces
Procedimiento paso a paso
Para aplicar el filtro filter_s_tcp a interfaces lógicas at-1/1/1.0 y so-2/2/2.2:
Aplique el filtro específico de la interfaz a los paquetes recibidos en la interfaz
at-1/1/1.0lógica .[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique el filtro específico de interfaz a los paquetes transmitidos desde la interfaz
so-2/2/2.2lógica .[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar la configuración del candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Para confirmar la configuración de las interfaces, ingrese el comando del modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Despejar los contadores y confirmar la configuración de su candidato
Procedimiento paso a paso
Para borrar los contadores y confirmar la configuración del candidato:
Desde el modo de comando operativo, utilice el
clear firewall allcomando para borrar las estadísticas de todos los filtros de firewall.Para borrar solo los contadores utilizados en este ejemplo, incluya los nombres de instancia de filtro específicos de la interfaz:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Verificar que el filtro se aplica a cada una de las interfaces
- Verificar que los contadores se recopilan por separado por la interfaz
Verificar que el filtro se aplica a cada una de las interfaces
Propósito
Compruebe que el filtro se aplica a cada una de las interfaces.
Acción
Ejecute el show interfaces comando con el detailextensive o nivel de salida.
Compruebe que el filtro se aplica a la entrada para
at-1/1/1.0:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Compruebe que el filtro se aplica a la salida de
so-2/2/2.2:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Verificar que los contadores se recopilan por separado por la interfaz
Propósito
Asegúrese de que los count_s_tcp contadores se recopilan por separado para las dos interfaces lógicas.
Acción
Ejecute el show firewall comando.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101