EN ESTA PÁGINA
Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado para que coincida con paquetes etiquetados para un conjunto de interfaz determinado.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se aplica un filtro de firewall sin estado a la entrada del enrutador o de la interfaz de circuito cerrado del conmutador. El filtro de firewall incluye un término que coincide con los paquetes etiquetados para un conjunto de interfaz determinado.
Topología
Cree el filtro L2_filter de firewall para aplicar límites de velocidad al tráfico independiente del protocolo recibido en las siguientes interfaces:
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
El tipo de interfaz de este tema es solo un ejemplo. El fe- tipo de interfaz no es compatible con los conmutadores de la serie EX.
En primer lugar, para el tráfico independiente del protocolo recibido en fe-0/0/0.0, el término t1 filtro de firewall se aplica agente de policía p1.
Para el tráfico independiente del protocolo recibido en cualquier otra interfaz fast Ethernet, el término t2 filtro de firewall se aplica al agente de policía p2. Para definir un conjunto de interfaces que consta de todas las interfaces de Fast Ethernet, incluya la interface-set interface-set-name interface-name instrucción en el [edit firewall] nivel jerárquico. Para definir un criterio de coincidencia de paquetes basado en la interfaz en la que un paquete llega a un conjunto de interfaz especificado, configure un término que use la condición de coincidencia de filtro de interface-set firewall.
Por último, para cualquier otro tráfico independiente del protocolo, el término t3 filtro de firewall se aplica agente de policía p3.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de las interfaces para las cuales los términos del filtro de firewall sin estado toman acciones de limitación de velocidad
- Configurar el filtro de firewall sin estado que limita el tráfico independiente del protocolo según las interfaces a las que llegan los paquetes
- Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Configuración de las interfaces para las cuales los términos del filtro de firewall sin estado toman acciones de limitación de velocidad
Procedimiento paso a paso
Para configurar las interfaces para las cuales los términos del filtro de firewall sin estado toman medidas de limitación de velocidad:
Configure la interfaz lógica cuyo tráfico de entrada coincidirá con el primer término del filtro de firewall.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
Configure las interfaces lógicas cuyo tráfico de entrada coincidirá con el segundo término del filtro de firewall.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la configuración de las interfaces de tránsito del enrutador (o conmutador) ingresando el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
Configurar el filtro de firewall sin estado que limita el tráfico independiente del protocolo según las interfaces a las que llegan los paquetes
Procedimiento paso a paso
Para configurar el firewall L2_filter estándar sin estado que usa agentes de políticas (p1, p2y p3) para limitar tráfico independiente de protocolo basado en las interfaces a las que llegan los paquetes:
Configure las instrucciones del firewall.
[edit] user@host# edit firewall
Configure el agente de
p1policía para descartar tráfico que supere una tasa de tráfico de5mbps o un tamaño de ráfaga de10mbytes.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
Configure el agente de
p2policía para descartar tráfico que supere una tasa de tráfico de40mbps o un tamaño de ráfaga de100mbytes.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
Configure el agente de
p3policía para descartar tráfico que supere una tasa de tráfico de600mbps o un tamaño de ráfaga de1gbytes.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
Defina el conjunto
ifsetde interfaces para que sea el grupo de todas las interfaces de Fast Ethernet en el enrutador.[edit firewall] user@host# set interface-set ifset fe-*
Cree el filtro de firewall sin estado
L2_filter.[edit firewall] user@host# edit family any filter L2_filter
Configure el término
t1de filtro para que coincida con los paquetes IPv4, IPv6 o MPLS recibidos en la interfazfe-0/0/0.0y utilice el agente de policíap1para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
Configure el término
t2de filtro para que coincida con los paquetes recibidos en el conjuntoifsetde interfaces y utilice el agente de policíap2para limitar la velocidad de ese tráfico.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
Configure el término del
t3filtro para usar el agente dep3policía para limitar la velocidad del resto del tráfico.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Ingrese al comando del modo de configuración para confirmar la configuración del filtro de firewall sin estado y de los agentes de políticas a los que se hace referencia como acciones de filtro de show firewall firewall. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
Aplicación del filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a la interfaz de entrada del motor de enrutamiento:
Aplique el filtro de firewall sin estado a la interfaz del motor de enrutamiento en la dirección de entrada.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Resultados
Confirme la aplicación del filtro de firewall a la interfaz de entrada del motor de enrutamiento ingresando el show interfaces comando de nuevo. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, utilice el comando de show firewall filter L2_filter modo operativo para supervisar las estadísticas de tráfico del filtro de firewall y tres contadores.