Ejemplo: Omitir filtros de firewall
En este ejemplo, se describe cómo configurar varios filtros mediante la combinación de service-filter-hit coincidencia/acción y se incluyen las siguientes secciones:
Antes de empezar
Cuando utilices la combinación de service-filter-hit coincidencia/acción, ten en cuenta lo siguiente:
El orden en que se aplican los filtros es importante. Puede garantizar el orden en que se procesan los filtros especificando un valor de prioridad de filtro para la interfaz. Consulte Definición del orden de procesamiento de filtros dinámicos para obtener más información sobre el procesamiento de filtros dinámicos y cómo utilizar la
precedenceinstrucción.
Descripción general de la omisión de filtros
Los paquetes deben pasar por cada filtro de una cadena. Sin embargo, si crea una cadena de filtros para procesar distintos tipos de paquetes (por ejemplo, paquetes de voz, video y datos), puede optimizar el proceso de filtrado, lo que disminuye la cantidad de manejo de paquetes para cada filtro de la cadena, evitando efectivamente los filtros innecesarios, mediante el uso de la service-filter-hit combinación coincidencia/acción en el [edit firewall family family-name filter filter-name term term-name] nivel de jerarquía.
La Figura 1 muestra el flujo de procesamiento lógico a través de una cadena de tres filtros (voz, video y datos) donde solo se desea el procesamiento para un tipo de datos específico. En este ejemplo de configuración, se muestra un flujo de filtro de entrada. Aunque los filtros de entrada posteriores en una cadena pueden detectar si la acción está establecida, los service-filter-hit filtros de salida no. Para omitir los filtros de salida, también debe configurar la combinación de service-filter-hit coincidencia/acción en esos filtros.
de bypass de filtro
Configuración de la omisión de filtros
- Configuración rápida de CLI
- Configuración del filtro de voz
- Configuración del filtro de vídeo
- Configuración del filtro de datos
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
Configuración del filtro de voz
Procedimiento paso a paso
Para configurar el filtro de voz para el flujo lógico de la Figura 1:
Configure el filtro para aplicar la clase de reenvío assured y establezca la acción para el tráfico desde una dirección y un rango de puertos específicos (sobre los
service-filter-hitcuales se espera tráfico de voz).[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
Configure la acción predeterminada de filtro para pasar (aceptar) tráfico de paquetes desde cualquier otra dirección o rango de puertos.
[edit] set firewall filter voice term default then accept
Configuración del filtro de vídeo
Procedimiento paso a paso
Para configurar el filtro de video para el flujo lógico de la Figura 1:
Configure el filtro para pasar (aceptar) los paquetes entrantes etiquetados por la
service-filter-hitacción.[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
Configure el filtro para aplicar un aplicador de políticas de vídeo y establezca la acción para el tráfico desde una dirección específica (sobre la
service-filter-hitcual se espera tráfico de vídeo).[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
Configure la acción predeterminada de filtro para pasar (aceptar) tráfico de paquetes desde cualquier otra dirección o rango de puertos.
[edit] set firewall filter video term default then accept
Configuración del filtro de datos
Procedimiento paso a paso
Para configurar el filtro de datos para el flujo lógico de la Figura 1:
Configure el filtro para pasar (aceptar) los paquetes entrantes etiquetados por la
service-filter-hitacción.[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
Configure el filtro para aplicar una política de datos y establecer la acción para el tráfico desde una dirección específica (sobre la
service-filter-hitcual se espera tráfico de video).[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
Resultados
Mostrar los resultados de la configuración:
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}