Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro para contar pacotes de opções de IP

Este exemplo mostra como usar um filtro de firewall sem estado para contar pacotes de opções de IP individuais:

Requisitos

Este exemplo usa uma interface em um Concentrador Modular de Portas Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabits, enfileiramento de 60 Gigabits Ethernet MPC ou 60 GigabitS Ethernet Enhanced Enfileiramento MPC em um roteador da Série MX. Essa interface permite que você aplique um filtro de firewall IPv4 (padrão ou filtro de serviço) que possa usar as countações não sufocantes em pacotes que correspondam a um valor específico sem precisar também usar a ação de terminação.logsyslogip-optiondiscard

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você usa um filtro de firewall sem estado para contar pacotes de opções de IP, mas não bloquear nenhum tráfego. Além disso, o filtro registra pacotes que têm roteamento de origem frouxo ou rigoroso.

O campo de cabeçalho de opção IP é um campo opcional apenas em cabeçalhos IPv4. As condições de correspondência são suportadas apenas para filtros de firewall sem estado padrão e filtros de serviço.ip-optionsip-options-except

Nota:

Nos roteadores da série M e T, os filtros de firewall não podem contar pacotes por tipo de opção e por interface.ip-options Um trabalho limitado é usar o comando para ver estatísticas por mecanismo de encaminhamento de pacotes (PFE).show pfe statistics ip optionsip-options Veja as estatísticas de pfe de exibição ip para saída de amostra.https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de hierarquia.[edit]

Configure o filtro de firewall stateless

Procedimento passo a passo

Para configurar o filtro de firewall sem estado:ip_option_filter

  1. Crie o filtro de firewall sem estado .ip_option_filter

  2. Configure o primeiro termo para contar, registrar e aceitar pacotes com o campo de cabeçalho opcional de IP.strict_source_route

  3. Configure o próximo termo para contar, registrar e aceitar pacotes com o campo de cabeçalho opcional de IP.loose-source-route

  4. Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.record-route

  5. Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.timestamp

  6. Configure o próximo termo para contar e aceitar pacotes com o campo de cabeçalho opcional IP.router-alert

  7. Crie o último termo para aceitar qualquer pacote sem aumentar nenhum contador.

Aplique o filtro de firewall sem estado em uma interface lógica

Procedimento passo a passo

Aplicar o filtro de firewall sem estado em uma interface lógica:

  1. Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.

  2. Configure o endereço da interface para a interface lógica.

  3. Aplique o filtro de firewall sem estado na interface lógica.

Confirme e confirme a configuração do seu candidato

Procedimento passo a passo

Para confirmar e então confirmar a configuração do seu candidato:

  1. Confirme a configuração do filtro de firewall sem estado entrando no comando do modo de configuração.show firewall Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface entrando no comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.

Verificação

Para confirmar que a configuração está funcionando corretamente, insira o comando do modo operacional.show firewall filter ip_option_filter Você também pode exibir o log e os contadores individuais separadamente usando as seguintes formas de comando:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log