示例:配置特定于接口的防火墙过滤器计数器
此示例说明如何配置和应用特定于接口的标准无状态防火墙过滤器。
要求
特定于接口的无状态防火墙过滤器仅在 T 系列、M120、M320 和 MX 系列路由器上受支持。
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个特定于接口的无状态防火墙过滤器,该过滤器计算并接受源地址或目标地址位于指定前缀且 IP 协议类型字段设置为特定值的数据包。
拓扑
您可以将特定于接口的无状态防火墙过滤器配置为计数并接受前缀中 IP 源或目标地址且 IP 协议类型字段设置为 (或数值) 的数据包。filter_s_tcp10.0.0.0/12tcp6
防火墙过滤器计数器的名称为 。count_s_tcp
您可以将防火墙过滤器应用于多个逻辑接口:
at-1/1/1.0输入so-2/2/2.2输出
将筛选器应用于这两个接口会产生筛选器的两个实例: 和 ,分别。filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-o
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
配置接口特定的防火墙过滤器
分步过程
要配置特定于接口的防火墙过滤器,请执行以下操作:
创建 IPv4 防火墙过滤器 。
filter_s_tcp[edit] user@host# edit firewall family inet filter filter_s_tcp
启用特定于接口的筛选器实例。
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
配置术语的匹配条件。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
配置术语的操作。
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
将特定于接口的防火墙过滤器应用于多个接口
分步过程
要将过滤器 应用于逻辑接口 , 请执行以下操作:filter_s_tcpat-1/1/1.0so-2/2/2.2
将接口特定的过滤器应用于逻辑接口 上收到的数据包。
at-1/1/1.0[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
将接口特定过滤器应用于从逻辑接口 传输的数据包。
so-2/2/2.2[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
确认候选配置
分步过程
要确认候选配置,请执行以下操作:
通过输入 配置模式命令确认无状态防火墙过滤器的配置。
show firewall如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }通过输入 配置模式命令确认接口的配置。
show interfaces如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
清除计数器并提交候选配置
分步过程
要清除计数器并提交候选配置,请执行以下操作:
在操作命令模式下,使用命令清除 所有防火墙过滤器的统计信息。
clear firewall all要仅清除此示例中使用的计数器,请包含特定于接口的过滤器实例名称:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
提交候选配置。
[edit] user@host# commit
验证
确认配置工作正常。
验证过滤器是否应用于多个接口中的每一个
目的
验证过滤器是否已应用于多个接口中的每一个。
操作
使用 or 输出级别运行命令。show interfacesdetailextensive
验证筛选器是否应用于 的 输入:
at-1/1/1.0user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,验证筛选器是否应用于 的 输出:
so-2/2/2.2user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,