EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para contar y muestra de paquetes aceptados
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para contar y muestra de los paquetes aceptados.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Antes de comenzar, configure el muestreo de tráfico incluyendo la sampling instrucción en el [edit forwarding-options] nivel de jerarquía.
Descripción general
En este ejemplo, se utiliza un filtro de firewall estándar sin estado para contar y probar todos los paquetes recibidos en una interfaz lógica.
Cuando habilita el reenvío de ruta inversa (RPF) en una interfaz con un filtro de entrada para el registro y el recuento de firewall, el filtro de firewall de entrada no registra los paquetes rechazados por RPF, aunque se cuentan los paquetes rechazados. Para registrar los paquetes rechazados, utilice un filtro de error de comprobación RPF.
En enrutadores serie MX con MPC3 o MPC4, si los filtros de firewall están configurados para contar paquetes de Protocolo de medición activa bidireccional (TWAMP), el recuento se duplica para todos los paquetes TWAMP. También puede haber un pequeño aumento en el tiempo de viaje de ida y vuelta (RTT) cuando el servidor TWAMP está alojado en MPC3 o MPC4. Esta advertencia no se aplica a los enrutadores con tarjetas MPC1 o MPC2.
En QFX5130 y QFX5700 cuando un paquete golpea varios filtros de firewall que tienen acción de contador, solo se incrementará el contador de grupo de mayor prioridad. Por ejemplo, supongamos que el paquete golpeó un filtro IPACL (puerto ACL) y un filtro IRACL (ACL enrutado), ambos con acción de contador. Según la prioridad, IRACL tiene alta prioridad sobre IPACL. Por lo tanto, solo se incrementará el contador IRACL. Si no hay ningún golpe en IRACL, entonces el contador IPACL se incrementará.
A continuación, se muestra el orden de prioridad de las ACL configuradas por el usuario (de mayor a menor),
-
Loopback
-
IRACL
-
IPACL
-
IVACL
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado sam:
Cree el filtro de firewall sin estado
sam.[edit] user@host# edit firewall family inet filter sam
Configure el término para contar y muestrear todos los paquetes.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
Nota:Junos OS no muestra paquetes que se originan en el enrutador o conmutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrean los paquetes de tránsito que pasan por esa interfaz. No se toman muestras de los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Confirme que la configuración funciona correctamente.
- Mostrar el contador de paquetes
- Mostrar la salida del registro del filtro de firewall
- Visualización de la salida de muestras
Mostrar el contador de paquetes
Propósito
Compruebe que el filtro de firewall está evaluando paquetes.
Acción
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
Mostrar la salida del registro del filtro de firewall
Propósito
Muestra la información del encabezado de paquete para todos los paquetes evaluados por el filtro de firewall.
Acción
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
Significado
Este archivo de salida contiene los campos siguientes:
Time— Hora en la que se recibió el paquete (no se muestra en el valor predeterminado).Filter— Nombre de un filtro que se ha configurado con lafilterinstrucción en el[edit firewall]nivel jerárquico. Un guión (-) o la abreviaturapfeindican que el motor de reenvío de paquetes manejó el paquete. Un espacio (sin guión) indica que el motor de enrutamiento manejó el paquete.A—Acción de filtro:A—Aceptar (o el próximo plazo)D—DescartarR—Rechazar
Interface—Interfaz en la que se configura el filtro.Nota:Recomendamos que siempre configure explícitamente una acción en la
theninstrucción.Pro— Nombre o número de protocolo del paquete.Source address—Dirección IP de origen en el paquete.Destination address—Dirección IP de destino en el paquete.
Visualización de la salida de muestras
Propósito
Compruebe que la salida de muestra contiene datos adecuados.
Acción
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0