Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Configuración de un filtro de Firewall sin estado en un grupo de interfaz

Los filtros de cortafuegos son esenciales para proteger una red y simplificar la administración de la red. En Junos OS, puede configurar filtros de Firewall sin estado para controlar el tránsito de paquetes de datos a través del sistema y manipular los paquetes según sea necesario. La aplicación de un filtro de cortafuegos sin estado a un grupo de interfaces ayuda a filtrar los paquetes en tránsito a través de cada interfaz en el grupo de interfaz. En este ejemplo se muestra cómo configurar un filtro de Firewall sin estado estándar para hacer coincidir los paquetes etiquetados de un grupo de interfaz determinado.

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Dos Juniper Networks enrutadores o conmutadores conectados física o lógicamente entre sí a través de interfaces que pertenezcan a una instancia de enrutamiento

  • Junos OS versión 7,4 o posterior

Descripción general

Puede aplicar un filtro de Firewall sin estado a un grupo de interfaz para aplicarlo en todas las interfaces del grupo de interfaz. Esto le ayudará a administrar el filtrado de paquetes en varias interfaces simultáneamente.

En este ejemplo, se configuran dos interfaces de conmutadores o enrutadores para que pertenezcan al grupo de interfaz. También puede configurar un filtro de cortafuegos sin estado con tres términos. En términos term1, el filtro coincide con los paquetes que se han etiquetado como recibidos en ese grupo de interfaz y contienen una etiquetade protocolo ICMP. El filtro cuenta, registra y rechaza paquetes que coincidan con las condiciones. En términos term2, el filtro coincide con los paquetes que contienen la etiqueta del protocolo ICMP. El filtro cuenta, registra y acepta todos los paquetes que coinciden con la condición. En términos term3, el filtro cuenta todos los paquetes de tránsito.

Al aplicar el filtro Firewall a la instancia de enrutamiento, puede aplicar simultáneamente el mecanismo de filtrado en todas las interfaces del grupo de interfaz. Para que esto suceda, todas las interfaces del grupo de interfaz deben pertenecer a una sola instancia de enrutamiento.

Nota:

Cuando aplica un filtro de cortafuegos a una interfaz de bucle de retroceso, la interfaz filtra todos los paquetes destinados a la motor de enrutamiento.

Figura 1: Configuración de un filtro de Firewall sin estado en un grupo de interfazConfiguración de un filtro de Firewall sin estado en un grupo de interfaz

La configuración rápida de la CLI muestra la configuración de todos los Figura 1dispositivos de. En la sección procedimiento paso a paso se describen los pasos del dispositivo R1.

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Dispositivo R0

Dispositivo R1

Configurar y aplicar el filtro de Firewall sin estado en un grupo de interfaz

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte la Guía del CLI Uso del editor de CLI en el modo de configuraciónusuario.

Para configurar el filtro filter_if_group de Firewall sin estado en un grupo de interfaces:

  1. Crear el filtro filter_if_groupde Firewall sin estado.

  2. Configure las interfaces y asigne dos interfaces al grupo 1de interfaz.

  3. Configure el término term1 para que coincida con los paquetes recibidos en el grupo de 1 interfaces y con el protocolo ICMP.

  4. Configure term1 el término para contar, registrar y rechazar todos los paquetes coincidentes.

  5. Configure term2 el término para que coincida con los paquetes con el protocolo ICMP.

  6. Configure term2 el término para contar, registrar, y acepte todos los paquetes coincidentes.

  7. Configure term3 el término para contar todos los paquetes de tránsito.

  8. Aplique el filtro de firewall al grupo de interfaces del enrutador (o conmutador) apliquen el filtro a la instancia de enrutamiento.

  9. Si ha terminado de configurar el dispositivo, confirme con la configuración del candidato.

Resultados

Desde el modo de configuración, para confirmar la configuración, show interfacesemita show firewalllos comandos show forwarding-options , y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Confirme que la configuración funciona correctamente.

Verificación de la configuración de las interfaces

Purpose

Compruebe que las interfaces están configuradas correctamente.

Intervención

Para mostrar el estado de las interfaces, utilice el show interfaces terse comando modo de funcionamiento.

Dispositivo R0

Dispositivo R1

Efectos

Todas las interfaces en los dispositivos R0 y R1 se conectan físicamente y se encuentran al día. El grupo 1 de interfaz en el dispositivo R1 se compone de dos interfaces, es decir, GE-0/0/0.0 y GE-0/0/2.0.

Comprobación de la configuración del filtro de Firewall sin estado

Purpose

Compruebe que las condiciones de coincidencia del filtro de Firewall estén configuradas correctamente.

Intervención

  • Para mostrar los contadores del filtro de firewall, Mostrar Firewall filter filter_if_group escriba el comando del modo operativo.

  • Para mostrar el registro local de encabezados de paquetes para paquetes evaluados por el filtro del firewall, escriba Mostrar registro de cortafuegos el comando del modo operativo.

  • Para asegurarse de que los filtros del firewall están activos en el 1 grupo de interfaces del dispositivo R1 ping <address> , use el comando modo de funcionamiento en la CLI del dispositivo R0.

  • Para asegurarse de que el filtro de Firewall no se aplica en una interfaz que no se encuentra en 1el grupo de ping <address> interfaz, utilice el comando modo de funcionamiento en la CLI del dispositivo R0.

Efectos

El filtro de Firewall sin estado se aplica a todas las interfaces del 1grupo de interfaz. La condición term1 de coincidencia de términos en el filtro de Firewall sin estado cuenta, registra y rechaza los paquetes que se reciben o envían desde las interfaces del grupo 1 de interfaz y con un protocolo ICMP de origen. La condición term2 de coincidencia de términos hace corresponder los paquetes etiquetados con el protocolo ICMP, y cuenta, registra y acepta esos paquetes. La condición term3 término coincidente cuenta todos los paquetes de tránsito.