EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para contar y muestrear paquetes aceptados
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para contar y muestrear paquetes aceptados.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Antes de comenzar, configure el muestreo de tráfico incluyendo la sampling
instrucción en el nivel de [edit forwarding-options]
jerarquía.
Descripción general
En este ejemplo, se utiliza un filtro de firewall sin estado estándar para contar y muestrear todos los paquetes recibidos en una interfaz lógica.
Cuando se habilita el reenvío de ruta inversa (RPF) en una interfaz con un filtro de entrada para el registro y recuento del firewall, el filtro de firewall de entrada no registra los paquetes rechazados por RPF, aunque se cuentan los paquetes rechazados. Para registrar los paquetes rechazados, utilice un filtro de error de comprobación RPF.
En los enrutadores de la serie MX con MPC3 o MPC4, si los filtros de firewall están configurados para contar paquetes del Protocolo de medición activa bidireccional (TWAMP), el recuento se duplica para todos los paquetes TWAMP. También puede haber un pequeño aumento en el tiempo de ida y vuelta (RTT) cuando el servidor TWAMP está alojado en MPC3 o MPC4. Esta advertencia no se aplica a enrutadores con tarjetas MPC1 o MPC2.
En QFX5130 y QFX5700 cuando un paquete alcanza varios filtros de firewall que tienen una acción de contraataque, solo se incrementará el contador de grupo de prioridad más alta. Por ejemplo, supongamos que el paquete ha alcanzado un filtro IPACL (ACL de puerto) y un filtro IRACL (ACL enrutada), ambos con acción contraria. De acuerdo con la prioridad, IRACL tiene alta prioridad sobre IPACL. Por lo tanto, solo el contador IRACL se incrementará. Si no hay ningún impacto en IRACL, el contador IPACL se incrementará.
A continuación se muestra el orden de prioridad de las ACL configuradas por el usuario (de mayor a menor),
-
Circuito cerrado
-
IRACL
-
IPACL
-
IVACL
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro sam
de firewall sin estado:
Cree el filtro
sam
de firewall sin estado.[edit] user@host# edit firewall family inet filter sam
Configure el término para contar y muestrear todos los paquetes.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
Nota:Junos OS no muestra paquetes que se originan en el enrutador o conmutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrearán los paquetes de tránsito que pasan por esa interfaz. Los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes no se muestran.
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de
show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }
Confirme la configuración de la interfaz introduciendo el comando de
show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }
Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Confirme que la configuración funcione correctamente.
- Visualización del contador de paquetes
- Visualización de la salida del registro del filtro de firewall
- Visualización de la salida del muestreo
Visualización del contador de paquetes
Propósito
Compruebe que el filtro de firewall está evaluando paquetes.
Acción
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
Visualización de la salida del registro del filtro de firewall
Propósito
Muestra la información del encabezado del paquete para todos los paquetes evaluados por el filtro de firewall.
Acción
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
Significado
Este archivo de salida contiene los siguientes campos:
Time
: hora a la que se recibió el paquete (no se muestra en el valor predeterminado).Filter
: nombre de un filtro que se ha configurado con lafilter
instrucción en el[edit firewall]
nivel jerárquico. Un guión (-) o la abreviaturapfe
indican que el paquete fue manejado por el motor de reenvío de paquetes. Un espacio (sin guión) indica que el motor de enrutamiento controló el paquete.A
—Acción de filtro:A
—Aceptar (o el próximo trimestre)D
—DescartarR
—Rechazar
Interface
: interfaz en la que está configurado el filtro.Nota:Se recomienda encarecidamente que siempre configure explícitamente una acción en la
then
instrucción.Pro
: nombre o número del protocolo del paquete.Source address
: dirección IP de origen en el paquete.Destination address
: dirección IP de destino en el paquete.
Visualización de la salida del muestreo
Propósito
Verifique que la salida del muestreo contenga datos apropiados.
Acción
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam # Apr 7 15:48:50 Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP addr addr port port len num frag flags Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0 Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0 Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0