Ejemplo: omitir los filtros del firewall
En este ejemplo se describe cómo configurar varios filtros mediante la combinación coincidencia service-filter-hit /acción y se incluyen las siguientes secciones:
Antes de empezar
Cuando utilices la combinación partido service-filter-hit /acción, ten en cuenta lo siguiente:
El orden en que se aplican los filtros es importante. Puede garantizar el orden en que se procesan los filtros especificando un valor de prioridad de filtro para la interfaz. Consulte Definición del orden de procesamiento de filtros dinámicos para obtener más información acerca del procesamiento de filtros dinámicos y cómo utilizar la
precedenceinstrucción.
Descripción general de la omisión de filtros
Los paquetes deben pasar a través de cada filtro en una cadena. Sin embargo, si crea una cadena de filtros para procesar diferentes tipos de paquetes (por ejemplo, paquetes de voz, vídeo y datos), puede simplificar el proceso de filtrado, reduciendo la cantidad de control de paquetes para cada filtro de la cadena, evitando efectivamente filtros innecesarios, mediante el uso de la service-filter-hit combinación coincidencia/acción en el [edit firewall family family-name filter filter-name term term-name] nivel de jerarquía.
La figura 1 muestra el flujo de procesamiento lógico a través de una cadena de tres filtros (voz, vídeo y datos) donde solo se desea el procesamiento para un tipo de datos específico. En este ejemplo de configuración se muestra un flujo de filtro de entrada. Aunque los filtros de entrada posteriores en una cadena pueden detectar si la acción está establecida, los service-filter-hit filtros de salida no lo hacen. Para omitir los filtros de salida, también debe configurar la combinación coincidencia service-filter-hit /acción en esos filtros.
filtros
Configuración de la omisión de filtros
- Configuración rápida de CLI
- Configuración del filtro de voz
- Configuración del filtro de vídeo
- Configuración del filtro de datos
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
Configuración del filtro de voz
Procedimiento paso a paso
Para configurar el filtro de voz para el flujo lógico en la figura 1:
Configure el filtro para aplicar la clase de reenvío asegurado y establezca la acción para el tráfico desde una dirección y un intervalo de puertos específicos (sobre los
service-filter-hitque se espera tráfico de voz).[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
Configure la acción predeterminada de filtrado para pasar (aceptar) tráfico de paquetes desde cualquier otra dirección o intervalo de puertos.
[edit] set firewall filter voice term default then accept
Configuración del filtro de vídeo
Procedimiento paso a paso
Para configurar el filtro de vídeo para el flujo lógico en la figura 1:
Configure el filtro para pasar (aceptar) paquetes entrantes etiquetados por la
service-filter-hitacción.[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
Configure el filtro para aplicar un analizador de vídeo y establezca la acción para el tráfico desde una dirección específica (sobre la
service-filter-hitque se espera tráfico de vídeo).[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
Configure la acción predeterminada de filtrado para pasar (aceptar) tráfico de paquetes desde cualquier otra dirección o intervalo de puertos.
[edit] set firewall filter video term default then accept
Configuración del filtro de datos
Procedimiento paso a paso
Para configurar el filtro de datos para el flujo lógico en la figura 1:
Configure el filtro para pasar (aceptar) paquetes entrantes etiquetados por la
service-filter-hitacción.[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
Configure el filtro para aplicar un controlador de datos y establezca la acción para el tráfico desde una dirección específica (sobre la
service-filter-hitque se espera tráfico de vídeo).[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
Resultados
Mostrar los resultados de la configuración:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}