Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces

En este ejemplo se muestra cómo configurar un filtro de firewall sin estado estándar para que coincida con los paquetes etiquetados para un conjunto de interfaces determinado.

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se aplica un filtro de firewall sin estado a la entrada de la interfaz de circuito cerrado del enrutador o del conmutador. El filtro de firewall incluye un término que coincide con los paquetes etiquetados para un conjunto de interfaces determinado.

Topología

El filtro L2_filter de firewall se crea para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las interfaces siguientes:

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

Nota:

El tipo de interfaz de este tema es solo un ejemplo. El tipo de fe- interfaz no es compatible con los conmutadores de la serie EX.

En primer lugar, para el tráfico independiente del protocolo recibido en fe-0/0/0.0, se aplica el término t1 filtro de firewall a policer p1.

Para el tráfico independiente del protocolo recibido en cualquier otra interfaz de Fast Ethernet, se aplica el término t2 filtro de firewall a policer p2. Para definir un conjunto de interfaces que conste de todas las interfaces de Fast Ethernet, incluya la interface-set interface-set-name interface-name instrucción en el nivel de [edit firewall] jerarquía. Para definir un criterio de coincidencia de paquetes basado en la interfaz en la que un paquete llega a un conjunto de interfaces especificado, configure un término que utilice la condición de coincidencia de interface-set filtro de firewall.

Por último, para cualquier otro tráfico independiente del protocolo, se aplica el término t3 filtro de firewall a policer p3.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configuración de las interfaces para las que los términos del filtro Firewall sin estado realizan acciones de limitación de velocidad

Procedimiento paso a paso

Para configurar las interfaces para las que los términos del filtro del firewall sin estado realizan acciones de limitación de velocidad:

  1. Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.

  2. Configure las interfaces lógicas cuyo tráfico de entrada coincidirá con el segundo término del filtro de firewall.

  3. Cuando termine de configurar el dispositivo, confirme la configuración.

Resultados

Confirme la configuración de las interfaces de tránsito del enrutador (o conmutador) introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración del filtro de firewall sin estado que limita el tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes

Procedimiento paso a paso

Para configurar el firewall L2_filter sin estado estándar que utiliza políticas (p1, p2, y p3) para limitar la velocidad del tráfico independiente del protocolo en función de las interfaces a las que llegan los paquetes:

  1. Configure las instrucciones del firewall.

  2. Configure el aplicador p1 de políticas para descartar el tráfico que supere una tasa de tráfico de 5m bps o un tamaño de ráfaga de 10m bytes.

  3. Configure el aplicador p2 de políticas para descartar el tráfico que supere una tasa de tráfico de 40m bps o un tamaño de ráfaga de 100m bytes.

  4. Configure el aplicador p3 de políticas para descartar el tráfico que supere una tasa de tráfico de 600m bps o un tamaño de ráfaga de 1g bytes.

  5. Defina la interfaz establecida ifset para que sea el grupo de todas las interfaces Fast Ethernet del enrutador.

  6. Cree el filtro L2_filterde firewall sin estado.

  7. Configure el término t1 del filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfaz fe-0/0/0.0 y use policer p1 para limitar la velocidad de ese tráfico.

  8. Configure el término t2 de filtro para que coincida con los paquetes recibidos en el conjunto ifset de interfaces y use policer p2 para limitar la velocidad de ese tráfico.

  9. Configure el término t3 de filtro para usar policer p3 para limitar la velocidad de todo el resto del tráfico.

  10. Cuando termine de configurar el dispositivo, confirme la configuración.

Resultados

Ingrese el comando de modo de configuración para confirmar la configuración del filtro de firewall sin estado y las políticas a las que se hace referencia como acciones de filtro de show firewall firewall. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento

Procedimiento paso a paso

Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:

  1. Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.

  2. Cuando termine de configurar el dispositivo, confirme la configuración.

Resultados

Confirme la aplicación del filtro de firewall a la interfaz de entrada del motor de enrutamiento escribiendo de nuevo el show interfaces comando. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Verificación

Para confirmar que la configuración funciona correctamente, utilice el comando modo show firewall filter L2_filter operativo para supervisar las estadísticas de tráfico sobre el filtro de firewall y tres contadores.