EN ESTA PÁGINA
Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un conjunto de interfaces determinado.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se aplica un filtro de firewall sin estado a la entrada de la interfaz de circuito cerrado del enrutador o del conmutador. El filtro de firewall incluye un término que coincide con los paquetes etiquetados para un conjunto de interfaces determinado.
Topología
El filtro de firewall se crea para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las interfaces siguientes:L2_filter
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
El tipo de interfaz de este tema es solo un ejemplo. El tipo de interfaz no es compatible con los conmutadores de la serie EX.fe-
En primer lugar, para el tráfico independiente del protocolo recibido en , se aplica el término filtro de firewall a policer .fe-0/0/0.0t1p1
Para el tráfico independiente del protocolo recibido en cualquier otra interfaz de Fast Ethernet, se aplica el término filtro de firewall a policer .t2p2 Para definir un conjunto de interfaces que conste de todas las interfaces de Fast Ethernet, incluya la instrucción en el nivel de jerarquía.interface-set interface-set-name interface-name[edit firewall] Para definir un criterio de coincidencia de paquetes basado en la interfaz en la que un paquete llega a un conjunto de interfaces especificado, configure un término que utilice la condición de coincidencia de filtro de firewall.interface-set
Por último, para cualquier otro tráfico independiente del protocolo, se aplica el término filtro de firewall a policer .t3p3
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
- Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
- Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad
Procedimiento paso a paso
Para configurar las interfaces para las que los términos del filtro del firewall sin estado realizan acciones de limitación de velocidad:
Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure las interfaces lógicas cuyo tráfico de entrada coincidirá con el segundo término del filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración de las interfaces de tránsito del enrutador (o conmutador) introduciendo el comando de modo de configuración.show interfaces Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes
Procedimiento paso a paso
Para configurar el firewall sin estado estándar que utiliza políticas (, , y ) para limitar la velocidad del tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes:L2_filterp1p2p3
Configure las instrucciones del firewall.
[edit] user@host# edit firewall
Configure el aplicador de políticas para descartar el tráfico que supere una tasa de tráfico de bps o un tamaño de ráfaga de bytes.
p15m10m[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure el aplicador de políticas para descartar el tráfico que supere una tasa de tráfico de bps o un tamaño de ráfaga de bytes.
p240m100m[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure el aplicador de políticas para descartar el tráfico que supere una tasa de tráfico de bps o un tamaño de ráfaga de bytes.
p3600m1g[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Defina la interfaz establecida para que sea el grupo de todas las interfaces Fast Ethernet del enrutador.
ifset[edit firewall] user@host# set interface-set ifset fe-*
Cree el filtro de firewall sin estado.
L2_filter[edit firewall] user@host# edit family any filter L2_filter
Configure el término del filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfaz y use policer para limitar la velocidad de ese tráfico.
t1fe-0/0/0.0p1[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure el término de filtro para que coincida con los paquetes recibidos en el conjunto de interfaces y use policer para limitar la velocidad de ese tráfico.
t2ifsetp2[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure el término de filtro para usar policer para limitar la velocidad de todo el resto del tráfico.
t3p3[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Ingrese el comando de modo de configuración para confirmar la configuración del filtro de firewall sin estado y las políticas a las que se hace referencia como acciones de filtro de firewall.show firewall Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:
Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Cuando termine de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la aplicación del filtro de firewall a la interfaz de entrada del motor de enrutamiento escribiendo de nuevo el comando.show interfaces Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, utilice el comando modo operativo para supervisar las estadísticas de tráfico sobre el filtro de firewall y tres contadores.show firewall filter L2_filter