EN ESTA PÁGINA
Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un conjunto de interfaces determinado.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se aplica un filtro de firewall sin estado a la entrada de la interfaz de circuito cerrado del enrutador o del conmutador. El filtro de firewall incluye un término que coincide con los paquetes etiquetados para un conjunto de interfaces determinado.
Topología
El filtro L2_filter de firewall se crea para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las interfaces siguientes:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
El tipo de interfaz de este tema es solo un ejemplo. El tipo de fe- interfaz no es compatible con los conmutadores de la serie EX.
En primer lugar, para el tráfico independiente del protocolo recibido en fe-0/0/0.0, se aplica el término t1 filtro de firewall a policer p1.
Para el tráfico independiente del protocolo recibido en cualquier otra interfaz de Fast Ethernet, se aplica el término t2 filtro de firewall a policer p2. Para definir un conjunto de interfaces que conste de todas las interfaces de Fast Ethernet, incluya la interface-set interface-set-name interface-name instrucción en el nivel de [edit firewall] jerarquía. Para definir un criterio de coincidencia de paquetes basado en la interfaz en la que un paquete llega a un conjunto de interfaces especificado, configure un término que utilice la condición de coincidencia de interface-set filtro de firewall.
Por último, para cualquier otro tráfico independiente del protocolo, se aplica el término t3 filtro de firewall a policer p3.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
- Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
- Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
Procedimiento paso a paso
Para configurar las interfaces para las que los términos del filtro del firewall sin estado realizan acciones de limitación de velocidad:
Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure las interfaces lógicas cuyo tráfico de entrada coincidirá con el segundo término del filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración de las interfaces de tránsito del enrutador (o conmutador) introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
Procedimiento paso a paso
Para configurar el firewall L2_filter sin estado estándar que utiliza políticas (p1, p2, y p3) para limitar la velocidad del tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes:
Configure las instrucciones del firewall.
[edit] user@host# edit firewall
Configure el aplicador
p1de políticas para descartar el tráfico que supere una tasa de tráfico de5mbps o un tamaño de ráfaga de10mbytes.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure el aplicador
p2de políticas para descartar el tráfico que supere una tasa de tráfico de40mbps o un tamaño de ráfaga de100mbytes.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure el aplicador
p3de políticas para descartar el tráfico que supere una tasa de tráfico de600mbps o un tamaño de ráfaga de1gbytes.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Defina la interfaz establecida
ifsetpara que sea el grupo de todas las interfaces Fast Ethernet del enrutador.[edit firewall] user@host# set interface-set ifset fe-*
Cree el filtro
L2_filterde firewall sin estado.[edit firewall] user@host# edit family any filter L2_filter
Configure el término
t1del filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfazfe-0/0/0.0y use policerp1para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure el término
t2de filtro para que coincida con los paquetes recibidos en el conjuntoifsetde interfaces y use policerp2para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure el término
t3de filtro para usar policerp3para limitar la velocidad de todo el resto del tráfico.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Ingrese el comando de modo de configuración para confirmar la configuración del filtro de firewall sin estado y las políticas a las que se hace referencia como acciones de filtro de show firewall firewall. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:
Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la aplicación del filtro de firewall a la interfaz de entrada del motor de enrutamiento escribiendo de nuevo el show interfaces comando. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, utilice el comando modo show firewall filter L2_filter operativo para supervisar las estadísticas de tráfico sobre el filtro de firewall y tres contadores.