На этой странице
Примере: Настройка и применение простого фильтра
В этом примере показано, как настроить простой фильтр.
Требования
В данном примере используется один из следующих компонентов оборудования:
Один PIC интеллектуальной очереди Gigabit Ethernet (IQ2), установленный на M120, M320 или серия T маршрутизаторе
Один расширенный концентратор портов с высокой плотностью (EQ DPC) установлен на серия MX или на коммутаторе серии EX
Перед началом работы убедитесь, что у вас есть:
Установлен поддерживаемый маршрутизатор (или коммутатор), PIC или DPC и начальная настройка маршрутизатора (или коммутатора).
Задав базовую конфигурацию Ethernet в топологии, убедившись, что трафик идет в топологии и что вющий трафик IPv4 идет на логический
ge-0/0/1.0интерфейс.
Обзор
Этот простой фильтр устанавливает низкий приоритет потери для трафика TCP с адресом источника, устанавливает высокий приоритет потери для трафика HTTP (Web) с адресами источника в диапазоне 172.16.1.1 172.16.4.0/8 и устанавливает низкий приоритет потери для всего трафика с адресом 172.16.6.6 назначения.
Топологии
Простой фильтр применяется в качестве входного фильтра (поступающие пакеты проверяют адрес 6.6.6.6 назначения, а не очередные выходные пакеты) на ge-0/0/1.0 интерфейсе.
Конфигурации
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки E. редактор интерфейс командной строки в режиме конфигурации см. . .
Чтобы настроить этот пример, выполните следующие задачи:
- интерфейс командной строки быстрой конфигурации
- Настройка простого фильтра межсетевых экранов
- Применение простого фильтра к входным данным логического интерфейса
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды в текстовый файл, удалите все разрывы строк и затем вкопировать команды в интерфейс командной строки на уровне [edit] иерархии.
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Настройка простого фильтра межсетевых экранов
Пошаговая процедура
Для настройки простого фильтра:
Создайте простой
sf_classify_1фильтр.[edit] user@host# edit firewall family inet simple-filter sf_classify_1
Настройте классификацию трафика TCP на основе IP-адреса источника.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
Настройте классификацию HTTP-трафика на основе IP-адреса источника.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
Настройте классификацию другого трафика на основе IP-адреса назначения.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
Результаты
Подтвердить конфигурацию простого фильтра, введите show firewall команду mode конфигурации. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
Применение простого фильтра к входным данным логического интерфейса
Пошаговая процедура
Применение простого фильтра к входным данным логического интерфейса:
Настройте логический интерфейс, к которому будет применяться простой фильтр.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Настройте адрес интерфейса для логического интерфейса.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Примените простой фильтр к входным данным логического интерфейса.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
Результаты
Подтвердить конфигурацию интерфейса, введите show interfaces команду configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
После настройки устройства сфиксировать конфигурацию кандидатов.
Проверки
Подтвердим, что конфигурация работает правильно.
- Отображение сопоставления карт и имен классов переадселирования в номера очередей
- Отображение счетчиков CoS очередей для интерфейса
- Отображение CoS очереди для физического интерфейса
Отображение сопоставления карт и имен классов переадселирования в номера очередей
Цель
Отобразить сопоставление имен классов переадселирования в номера очередей.
Действий
Введите show class-of-service forwarding-class команду operational mode.
[edit] user@host> show class-of-service forwarding-class
Для получения информации о выходных данных команды см. show class-of-service forwarding-class « В интерфейс командной строки Explorer.
Отображение счетчиков CoS очередей для интерфейса
Цель
Убедитесь, что счетчики очередей класса обслуживания (CoS) интерфейса отражают простой фильтр, примененный к логическому интерфейсу.
Действий
Введите команду для физического интерфейса, на котором применяется простой show interfaces фильтр, и укажите detail или extensive выведите уровень вывода.
[edit] user@host> show interfaces ge-0/0/1 detail
В разделе под разделом ", раздел отображает счетчики ветвной Physical interfaceIngress queuesQueue counters очереди для каждого класса переадресовки.
Дополнительные сведения о выходных данных команды см. в пункте show interfaces «Интерфейс командной строки Explorer».
Отображение CoS очереди для физического интерфейса
Цель
Убедитесь, CoS счетчик очереди для физического интерфейса отражают простой фильтр, примененный к логическому интерфейсу.
Действий
Введите команду для физического интерфейса, на котором применяется show interfaces queue простой фильтр, и укажите ingress параметр.
[edit] user@host> show interfaces queue ge-0/0/1 ingress
Для получения информации о выходных данных команды см. show interfaces queue « В интерфейс командной строки Explorer.