Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Configuración de un filtro para contar y muestrear paquetes aceptados

En este ejemplo se muestra cómo configurar un filtro de Firewall sin estado estándar para contar y mostrar paquetes aceptados.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Antes de comenzar, configure el muestreo de tráfico sampling incluyendo la instrucción [edit forwarding-options] en el nivel jerárquico.

Descripción general

En este ejemplo, se utiliza un filtro de cortafuegos estándar sin estado para contar y tomar una muestra de todos los paquetes recibidos en una interfaz lógica.

Nota:

Al activar RPF (reenvío de ruta inversa) en una interfaz con un filtro de entrada para el registro y el recuento del firewall, el filtro de Firewall de entrada no registra los paquetes rechazados por RPF, aunque sí se cuentan los paquetes rechazados. Para registrar los paquetes rechazados, utilice un filtro de comprobación de errores de RPF.

Aviso:

En enrutadores serie MX con MPC3 o MPC4, si filtros del firewall están configurados para contar paquetes de protocolo de medición activa de dos sentidos (TWAMP), el recuento se duplica en todos los paquetes TWAMP. También puede haber un pequeño aumento del tiempo de ida y vuelta (RTT) cuando el servidor TWAMP se aloja en MPC3 o MPC4. Esta advertencia no se aplica a los enrutadores con tarjetas MPC1 o MPC2.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Uso del editor de CLI en el modo de configuración .

Para configurar este ejemplo, realice las tareas siguientes:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos de configuración siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en [edit] la CLI en el nivel de la jerarquía.

Configurar el filtro de Firewall sin estado

Procedimiento paso a paso

Para configurar el filtro samde Firewall sin estado:

  1. Crear el filtro samde Firewall sin estado.

  2. Configure el término que se va a contar y muestre todos los paquetes.

Aplicar el filtro de Firewall sin estado a una interfaz lógica

Procedimiento paso a paso

Para aplicar el filtro de Firewall sin estado a una interfaz lógica:

  1. Configure la interfaz lógica a la que va a aplicar el filtro de Firewall sin estado.

  2. Configure la dirección de interfaz para la interfaz lógica.

  3. Aplique el filtro de Firewall sin estado a la interfaz lógica.

    Nota:

    El Junos OS muestra paquetes que se originaron en el enrutador o conmutador. Si configura un filtro y lo aplica al resultado de una interfaz, solo se muestrearán los paquetes de tránsito que pasan a través de esa interfaz. No se muestrean los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.

Confirmar y confirmar la configuración del candidato

Procedimiento paso a paso

Para confirmar y, a continuación, confirmar la configuración del candidato:

  1. Para confirmar la configuración del filtro de Firewall sin estado, escriba show firewall el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme con la configuración del candidato.

Comproba

Confirme que la configuración funciona correctamente.

Mostrar el contador del paquete

Purpose

Compruebe que el filtro de Firewall está evaluando los paquetes.

Intervención

Mostrar el resultado del registro del filtro de Firewall

Purpose

Mostrar la información de encabezado del paquete para todos los paquetes evaluados por el filtro del firewall.

Intervención

Efectos

Este archivo de salida contiene los siguientes campos:

  • Time: hora a la que se recibió el paquete (no se muestra en el valor predeterminado).

  • Filter: nombre de un filtro configurado con la filter instrucción en el nivel de [edit firewall] jerarquía. Un guión (-) o la abreviatura pfe indica que el motor de reenvío de paquetes controlaba el paquete. Un espacio (sin guiones) indica que el motor de enrutamiento controlaba el paquete.

  • A: permite filtrar la acción:

    • A— Aceptar (o el próximo período)

    • D: descartar

    • R— Rechazar

  • Interface: interfaz en la que está configurado el filtro.

    Nota:

    Recomendamos encarecidamente que configure siempre de forma explícita una then acción en la instrucción.

  • Pro: nombre o número de protocolo del paquete.

  • Source address: dirección IP de origen en el paquete.

  • Destination address: dirección IP de destino en el paquete.

Visualización de los resultados de muestreo

Purpose

Compruebe que la salida de muestreo contiene los datos adecuados.

Intervención