Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Настройка фильтра для блоки TCP-доступа к порту за исключением определенных BGP равноправных BGP

В этом примере показано, как настроить стандартный фильтр межсетевых экранов без стежка, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивающих, кроме за исключением определенных BGP равноправных BGP равноправных BGP одноранговых узлах.

Требования

До настройки этого примера специальная настройка после инициализации устройства не требуется.

Обзор

В данном примере создается фильтр межсетевых экранов без с состояния, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивающих, кроме указанных BGP равноправных BGP одноранговых узлах.

Фильтр межсетевых экранов без с состоянием совпадает со всеми пакетами с напрямую подключенных интерфейсов устройства А и устройства В на номер конечного порта filter_bgp179 179.

Топологии

Рис. 1 показывает топологию, используемую в этом примере. Устройство C пытается сделать TCP-соединение с устройством E. Устройство E блокирует попытку подключения. В этом примере показана конфигурация устройства E.

Рис. 1: Типичная сеть с BGP одноранговых сеансовТипичная сеть с BGP одноранговых сеансов

Конфигурации

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Устройство C

Устройство E

Настройка устройства E

Пошаговая процедура

В следующем примере иерархия конфигурации требует перемещения по разным уровням. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Чтобы настроить устройство E с фильтром брандмауэра без с состоянием, который блокирует все попытки TCP-подключения к порту 179 от всех запрашивателей, кроме указанных BGP равноправных участников:

  1. Настройте интерфейсы.

  2. Настройте BGP.

  3. Настройте номер автономной системы.

  4. Определите термин фильтра, который принимает попытки TCP-подключения к порту 179 от указанных BGP равноправных BGP узлам.

  5. Определите другой термин фильтра для отклонить пакеты от других источников.

  6. Примените фильтр брандмауэра к интерфейсу обратной связи.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show firewall команд show interfaces и show protocolsshow routing-options команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка настройки фильтра

Цель

Убедитесь, что фильтр указан в выходных данных show firewall filter команды.

Действий

Проверка соединений TCP

Цель

Проверьте соединения TCP.

Действий

В рабочем режиме запустите show system connections extensive команду на устройствах C и Устройстве E.

Выходные данные устройства C показывают попытку установить TCP-соединение. Выходные данные устройства E показывают, что соединения устанавливаются только с устройством А и устройством B.

Мониторинг трафика на интерфейсах

Цель

Используйте эту команду для сравнения трафика на интерфейсе, устанавливаемом TCP-соединение с трафиком на интерфейсе, который не устанавливает monitor traffic TCP-соединение.

Действий

В рабочем режиме запустите команду на интерфейсе Device E к устройству B и на интерфейсе monitor traffic Device E к устройству C. Следующий пример выходных данных проверяет, что в первом примере получены сообщения подтверждения ack () Во втором примере ack сообщения не получены.