Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro de saída com base em endereços IP de origem ou destino IPv6

Este exemplo mostra como configurar um filtro de firewall para aceitar pacotes IPv6 que estão sendo usados em uma inet6 interface.

Requisitos

Este tópico descreve um recurso suportado no EX4300 e QFX5100 que foi introduzido no Junos OS Release 19.1R1. Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você cria um filtro de firewall típico para aceitar pacotes de origem e destino IPv6 na direção de saída de uma inet6 interface. Para oferecer suporte à filtragem na direção da saída, no entanto, você primeiro precisará definir o set system packet-forwarding-options eracl-ip6-match uso da opção ou srcip6-only da opçãosrcip6-and-destip6. Você também precisará reiniciar o mecanismo de encaminhamento de pacotes (PFE) depois de comprometer a configuração.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.

Habilite o sistema para filtragem de endereçoS IPv6

Procedimento passo a passo

Para configurar um filtro de firewall para filtragem IPv6 em uma inet6 interface de saída:

  1. Habilite opções de encaminhamento de pacotes para correspondência em endereços IP de origem IPv6 ou IPv6. Neste exemplo, permitiremos a correspondência de endereços IP de origem e destino.

  2. Verifique e, se apropriado, exclua quaisquer filtros de firewall existentes que já estejam vinculados à interface que você usará para o filtro de firewall IPv6:

  3. Comprometa as alterações acima e, em seguida, interrompa e reinicie o PFE para aceitar packet-forwarding-options e limpar o PFE para o(s) filtro(s) IPv6.

    • Para EX4300, use o seguinte:

    • Para o chassi virtual EX4300, use o seguinte:

    • Para QFX5100, reinicialize o sistema:

  4. Crie um filtro de firewall IPv6 chamado tcp_filter.

  5. Configure a ação de filtro necessária, aqui para combinar pacotes com um endereço de origem ou destino IPv6 dentro do intervalo configurado.

  6. Especifique se os pacotes combinados são contados, conectados ao buffer no PFE e aceitos.

Aplique o filtro de firewall em uma interface de saída

Procedimento passo a passo

Para aplicar o filtro de firewall a uma interface de entrada6 de saída, digite o seguinte:

  • user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter

Confirme e confirme a configuração do seu candidato

Procedimento passo a passo

Para confirmar e então confirmar a configuração do seu candidato:

  1. Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Quando terminar de configurar o dispositivo, confirme a configuração do candidato.