EN ESTA PÁGINA
Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un conjunto de interfaces determinado.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se aplica un filtro de firewall sin estado a la entrada de la interfaz de circuito cerrado del enrutador o del conmutador. El filtro de firewall incluye un término que coincide con los paquetes etiquetados para un conjunto de interfaces determinado.
Topología
El filtro L2_filter
de firewall se crea para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las interfaces siguientes:
fe-0/0/0.0
fe-1/0/0.0
fe-1/1/0.0
El tipo de interfaz de este tema es solo un ejemplo. El tipo de fe-
interfaz no es compatible con los conmutadores de la serie EX.
En primer lugar, para el tráfico independiente del protocolo recibido en fe-0/0/0.0
, se aplica el término t1
filtro de firewall a policer p1
.
Para el tráfico independiente del protocolo recibido en cualquier otra interfaz de Fast Ethernet, se aplica el término t2
filtro de firewall a policer p2
. Para definir un conjunto de interfaces que conste de todas las interfaces de Fast Ethernet, incluya la interface-set interface-set-name interface-name
instrucción en el nivel de [edit firewall]
jerarquía. Para definir un criterio de coincidencia de paquetes basado en la interfaz en la que un paquete llega a un conjunto de interfaces especificado, configure un término que utilice la condición de coincidencia de interface-set
filtro de firewall.
Por último, para cualquier otro tráfico independiente del protocolo, se aplica el término t3
filtro de firewall a policer p3
.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
- Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
- Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
Procedimiento paso a paso
Para configurar las interfaces para las que los términos del filtro del firewall sin estado realizan acciones de limitación de velocidad:
Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure las interfaces lógicas cuyo tráfico de entrada coincidirá con el segundo término del filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración de las interfaces de tránsito del enrutador (o conmutador) introduciendo el comando de show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show interfaces fe-0/0/0 { unit 0 { family inet { address 10.1.1.1/30; } } } fe-1/0/0 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-1/1/0 { unit 0 { family inet { address 10.4.4.1/30; } } }
Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
Procedimiento paso a paso
Para configurar el firewall L2_filter
sin estado estándar que utiliza políticas (p1
, p2
, y p3
) para limitar la velocidad del tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes:
Configure las instrucciones del firewall.
[edit] user@host# edit firewall
Configure el aplicador
p1
de políticas para descartar el tráfico que supere una tasa de tráfico de5m
bps o un tamaño de ráfaga de10m
bytes.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure el aplicador
p2
de políticas para descartar el tráfico que supere una tasa de tráfico de40m
bps o un tamaño de ráfaga de100m
bytes.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure el aplicador
p3
de políticas para descartar el tráfico que supere una tasa de tráfico de600m
bps o un tamaño de ráfaga de1g
bytes.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Defina la interfaz establecida
ifset
para que sea el grupo de todas las interfaces Fast Ethernet del enrutador.[edit firewall] user@host# set interface-set ifset fe-*
Cree el filtro
L2_filter
de firewall sin estado.[edit firewall] user@host# edit family any filter L2_filter
Configure el término
t1
del filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfazfe-0/0/0.0
y use policerp1
para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure el término
t2
de filtro para que coincida con los paquetes recibidos en el conjuntoifset
de interfaces y use policerp2
para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure el término
t3
de filtro para usar policerp3
para limitar la velocidad de todo el resto del tráfico.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Ingrese el comando de modo de configuración para confirmar la configuración del filtro de firewall sin estado y las políticas a las que se hace referencia como acciones de filtro de show firewall
firewall. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall family any { filter L2_filter { term t1 { from { interface fe-0/0/0.0; } then { policer p1; count c1; } } term t2 { from { interface-set ifset; } then { policer p2; count c2; } } term t3 { then { policer p3; count c3; } } } } policer p1 { if-exceeding { bandwidth-limit 5m; burst-size-limit 10m; } then discard; } policer p2 { if-exceeding { bandwidth-limit 40m; burst-size-limit 100m; } then discard; } policer p3 { if-exceeding { bandwidth-limit 600m; burst-size-limit 1g; } then discard; } interface-set ifset { fe-*; }
Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:
Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la aplicación del filtro de firewall a la interfaz de entrada del motor de enrutamiento escribiendo de nuevo el show interfaces
comando. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
user@host# show interfaces fe-0/0/0 { ... } fe-1/0/0 { ... } fe-1/1/0 { ... } lo0 { unit 0 { filter { input L2_filter; } family inet { address 172.16.1.157/30; } } }
Verificación
Para confirmar que la configuración funciona correctamente, utilice el comando modo show firewall filter L2_filter
operativo para supervisar las estadísticas de tráfico sobre el filtro de firewall y tres contadores.