EN ESTA PÁGINA
Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
En este ejemplo se muestra cómo configurar y aplicar un filtro de firewall sin estado estándar específico de la interfaz.
Requisitos
Los filtros de firewall sin estado específicos de la interfaz solo son compatibles con los enrutadores serie T, M120, M320 y MX.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall sin estado específico de la interfaz que cuenta y acepta paquetes con direcciones de origen o destino en un prefijo especificado y el campo Tipo de protocolo IP establecido en un valor específico.
Topología
Configure el filtro filter_s_tcp de firewall sin estado específico de la interfaz para contar y aceptar paquetes con direcciones IP de origen o destino en el 10.0.0.0/12 prefijo y el campo Tipo de protocolo IP establecido en tcp (o el valor 6numérico).
El nombre del contador de filtros de firewall es count_s_tcp.
El filtro de firewall se aplica a varias interfaces lógicas:
at-1/1/1.0entradaso-2/2/2.2salida
La aplicación del filtro a estas dos interfaces da como resultado dos instancias del filtro: filter_s_tcp-at-1/1/1.0-i y filter_s_tcp-so-2/2/2.2-o, respectivamente.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall específico de la interfaz
- Aplicar el filtro de firewall específico de la interfaz a varias interfaces
- Confirme su configuración candidata
- Borre los contadores y confirme su configuración de candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
set firewall family inet filter filter_s_tcp interface-specific set firewall family inet filter filter_s_tcp term 1 from address 10.0.0.0/12 set firewall family inet filter filter_s_tcp term 1 from protocol tcp set firewall family inet filter filter_s_tcp term 1 then count count_s_tcp set firewall family inet filter filter_s_tcp term 1 then accept set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Configurar el filtro de firewall específico de la interfaz
Procedimiento paso a paso
Para configurar el filtro de firewall específico de la interfaz:
Cree el filtro
filter_s_tcpde firewall IPv4 .[edit] user@host# edit firewall family inet filter filter_s_tcp
Habilite instancias del filtro específicas de la interfaz.
[edit firewall family inet filter filter_s_tcp] user@host# set interface-specific
Configure las condiciones de coincidencia para el plazo.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 from address 10.0.0.0/12 user@host# set term 1 from protocol tcp
Configure las acciones para el término.
[edit firewall family inet filter filter_s_tcp] user@host# set term 1 then count count_s_tcp user@host# set term 1 then accept
Aplicar el filtro de firewall específico de la interfaz a varias interfaces
Procedimiento paso a paso
Para aplicar el filtro filter_s_tcp a interfaces at-1/1/1.0 lógicas y so-2/2/2.2:
Aplique el filtro específico de la interfaz a los paquetes recibidos en la interfaz
at-1/1/1.0lógica.[edit] user@host# set interfaces at-1/1/1 unit 0 family inet filter input filter_s_tcp
Aplique el filtro específico de la interfaz a los paquetes transmitidos desde la interfaz
so-2/2/2.2lógica.[edit] user@host# set interfaces so-2/2/2 unit 2 family inet filter filter_s_tcp
Confirme su configuración candidata
Procedimiento paso a paso
Para confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de
show firewallmodo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter filter_s_tcp { interface-specific; term 1 { from { address { 10.0.0.0/12; } protocol tcp; } then { count count_s_tcp; accept; } } } }Confirme la configuración de las interfaces introduciendo el comando de
show interfacesmodo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces at-1/1/1 { unit 0 family inet { filter { input filter_s_tcp; } } ] } so-2/2/2 { unit 2 family inet { filter { output filter_s_tcp; } } } }
Borre los contadores y confirme su configuración de candidato
Procedimiento paso a paso
Para borrar los contadores y confirmar la configuración del candidato:
Desde el modo de comando operativo, utilice el
clear firewall allcomando para borrar las estadísticas de todos los filtros de firewall.Para borrar solo los contadores usados en este ejemplo, incluya los nombres de instancia de filtro específicos de la interfaz:
[edit] user@host> clear firewall filter filter_s_tcp-at-1/1/1.0-i user@host> clear firewall filter filter_s_tcp-so-2/2/2.2-o
Confirme su configuración de candidato.
[edit] user@host# commit
Verificación
Confirme que la configuración funcione correctamente.
- Comprobar que el filtro se aplica a cada una de las interfaces múltiples
- Comprobar que los contadores se recopilan por separado por interfaz
Comprobar que el filtro se aplica a cada una de las interfaces múltiples
Propósito
Compruebe que el filtro se aplica a cada una de las múltiples interfaces.
Acción
Ejecute el show interfaces comando con el nivel de detail salida o extensive .
Compruebe que el filtro se aplica a la entrada para
at-1/1/1.0:user@host> show interfaces at-1/1/1 detail Physical interface: at-1/1/1, Enabled, Physical link is Up Interface index: 300, SNMP ifIndex: 194, Generation: 183 ... Logical interface at-1/1/1.0 (Index 64) (SNMP ifIndex 204) (Generation 5) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: ATM-SNAP ... Protocol inet, MTU: 4470, Generation: 13, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter_s_tcp-at-1/1/1.0-i,,,,,Compruebe que el filtro se aplica a la salida para
so-2/2/2.2:user@host> show interfaces so-2/2/2 detail Physical interface: so-2/2/2, Enabled, Physical link is Up Interface index: 129, SNMP ifIndex: 502, Generation: 132 ... Logical interface so-2/2/2.2 (Index 70) (SNMP ifIndex 536) (Generation 135) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP ... Protocol inet, MTU: 4470, Generation: 146, Route table: 0 Flags: Sendbcast-pkt-to-re Output Filters: filter_s_tcp-so-2/2/2.2-o,,,,,
Comprobar que los contadores se recopilan por separado por interfaz
Propósito
Asegúrese de que los count_s_tcp contadores se recopilan por separado para las dos interfaces lógicas.
Acción
Ejecute el show firewall comando.
user@host> show firewall filter filter_s_tcp Filter: filter_s_tcp Counters: Name Bytes Packets count_s_tcp-at-1/1/1.0-i 420 5 count_s_tcp-so-2/2/2.2-o 8888 101