JunOS – Creando ACLs para contar paquetes en una interfaz

A continuación voy a explicar cómo contar los paquetes que llegan de una determinada IP a nuestro router Juniper, a través de filtros y contadores. Esto lo utilizo en mi trabajo para cuando he de demostrar a los clientes que no se está cursando tráfico en una dirección.

En este caso miraremos las IPs que tienen con ver con el audio, de ahí que le demos este nombre al filtro.

Escenario:

IP de Cliente: 8.8.8.13
IP del SBC:    8.8.8.68

 

Pasos:

0) Accedemos al router por ssh o telnet

1) Creamos un filtro para trabajar con el tráfico. Para ello en último termino pondremos “next term” para que se sigan con las políticas siguientes en caso de no coincidir.

set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 from source-address 8.8.8.13
 set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 from destination-address 8.8.8.68
 set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 from protocol udp
 set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 then count AUDIO
set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 then sample
set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 then log set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 10 then accept set firewall family inet filter count-packets-ip-port-voip-Troubleshooting-Audio-L3 term 99 then next term

2) Aplicamos el filtro en la inferfaz. Por favor, es necesario tener en cuenta el orden, dado que este lo queremos aplicar como primero:

edit interfaces irb.9080
delete family inet filter input-list
set family inet filter input-list [count-packets-ip-port-voip-Troubleshooting-Audio-L3 Filter-DSCP Filter-IRB-SPEED]

3) Nos aseguramos de que el filtro está bien aplicado:

toni@JunOSRouter> show configuration interfaces irb.9080 | display set
 set interfaces irb unit 9080 description "IfType[Access:Customer Link]"
 set interfaces irb unit 9080 bandwidth 200m
 set interfaces irb unit 9080 family inet rpf-check
 set interfaces irb unit 9080 family inet filter input-list count-packets-ip-port-voip-Troubleshooting-Audio-L3
 set interfaces irb unit 9080 family inet filter input-list Filter-DSCP
 set interfaces irb unit 9080 family inet filter input-list Filter-IRB-SPEED
 set interfaces irb unit 9080 family inet filter output-list Filter-IRB-OUT
 set interfaces irb unit 9080 family inet address 192.168.1.1/24
 {master}
 toni@JunOSRouter>

4) Hacemos commit de los cambios:

toni@JunOSRouter>commit check
toni@JunOSRouter>commit

6) Hacemos tests y comprovamos que todo funciona correcto:

toni@JunOSRouter> show firewall filter irb.9080-i
 Filter: irb.9080-i
 Counters:
 Name Bytes Packets
 AUDIO-irb.9080-i 7083858 34970
 Policers:
 Name Bytes Packets
 Filter-IRB-OUT.9080-i 0 0
 {master}
 toni@JunOSRouter>
 toni@JunOSRouter> show firewall log | match 8.8.8.13
 15:31:11 pfe A irb.9080 UDP 8.8.8.13 8.8.8.68
 15:31:11 pfe A irb.9080 UDP 8.8.8.13 8.8.8.68
 15:31:10 pfe A irb.9080 UDP 8.8.8.13 8.8.8.68
 15:31:09 pfe A irb.9080 UDP 8.8.8.13 8.8.8.68
 15:31:09 pfe A irb.9080 UDP 8.8.8.13 8.8.8.68
 {master}
 toni@JunOSRouter>

¡Espero que os sea de ayuda!

 

Documentacion:

https://www.juniper.net/techpubs/en_US/idp5.0/topics/task/operational/intrusion-detection-prevention-tcpdump-using-cli.html

http://kb.juniper.net/InfoCenter/index?page=content&id=KB23420&actp=search

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s