Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces

En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para que coincida con los paquetes etiquetados para un conjunto de interfaces determinado.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se aplica un filtro de firewall sin estado a la entrada del enrutador o de la interfaz de circuito cerrado del conmutador. El filtro de firewall incluye un término que coincide con paquetes etiquetados para un conjunto de interfaces determinado.

Topología

Cree el filtro L2_filter de firewall para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las siguientes interfaces:

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

Nota:

El tipo de interfaz de este tema es solo un ejemplo. Los conmutadores de la serie EX no admiten el fe- tipo de interfaz.

En primer lugar, para el tráfico independiente del protocolo recibido en fe-0/0/0.0, el término t1 de filtro de firewall aplica un aplicador p1de policía.

Para el tráfico independiente del protocolo recibido en cualquier otra interfaz Fast Ethernet, el término t2 de filtro de firewall aplica un aplicador p2de policía. Para definir un conjunto de interfaces que consta de todas las interfaces Fast Ethernet, incluya la interface-set interface-set-name interface-name instrucción en el [edit firewall] nivel de jerarquía. Para definir un criterio de coincidencia de paquetes según la interfaz en la que un paquete llega a un conjunto de interfaces especificado, configure un término que use la condición de coincidencia de filtro de interface-set firewall.

Por último, para cualquier otro tráfico independiente del protocolo, el término t3 de filtro de firewall aplica un aplicador p3de policía.

Configuración

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Utilice el editor de CLI en modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, luego, pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Configuración de las interfaces para las que los términos del filtro de firewall sin estado toman medidas de limitación de velocidad

Procedimiento paso a paso

Para configurar las interfaces para las que los términos del filtro de firewall sin estado toman medidas de limitación de velocidad:

  1. Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.

  2. Configure las interfaces lógicas cuyo tráfico de entrada coincida con el segundo término del filtro de firewall.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Ingrese el comando de modo de configuración para confirmar la configuración de las interfaces de tránsito del show interfaces enrutador (o conmutador). Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo según las interfaces en las que llegan los paquetes

Procedimiento paso a paso

Para configurar el firewall L2_filter estándar sin estado que utiliza agentes de policía (p1, , p2y p3) para limitar la velocidad del tráfico independiente del protocolo según las interfaces en las que llegan los paquetes:

  1. Configure las instrucciones de firewall.

  2. Configure el policer p1 para descartar el tráfico que supere una velocidad de tráfico de 5m bps o un tamaño de ráfaga de 10m bytes.

  3. Configure el policer p2 para descartar el tráfico que supere una velocidad de tráfico de 40m bps o un tamaño de ráfaga de 100m bytes.

  4. Configure el policer p3 para descartar el tráfico que supere una velocidad de tráfico de 600m bps o un tamaño de ráfaga de 1g bytes.

  5. Defina el conjunto ifset de interfaces para que sea el grupo de todas las interfaces Fast Ethernet del enrutador.

  6. Cree el filtro L2_filterde firewall sin estado .

  7. Configure el término t1 de filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfaz fe-0/0/0.0 y utilice el aplicador p1 de políticas para limitar la velocidad de ese tráfico.

  8. Configure el término t2 de filtro para que coincida con los paquetes recibidos en el conjunto ifset de interfaces y utilice el aplicador p2 de políticas para limitar la velocidad de ese tráfico.

  9. Configure el término t3 de filtro para usar un agente de policía p3 para limitar la velocidad del resto del tráfico.

  10. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Ingrese el comando de modo de configuración para confirmar la configuración del filtro de firewall sin estado y los agentes de policía a los que se hace referencia como acciones de filtro de show firewall firewall. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento

Procedimiento paso a paso

Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:

  1. Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.

  2. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Vuelva a escribir el comando para confirmar la aplicación del filtro de firewall a la interfaz de entrada del motor de show interfaces enrutamiento. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Verificación

Para confirmar que la configuración funciona correctamente, utilice el comando del show firewall filter L2_filter modo operativo para supervisar las estadísticas de tráfico sobre el filtro de firewall y tres contadores.