Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configuração de um filtro para contar pacotes de opções de IP

Este exemplo mostra como usar um filtro de firewall stateless para contar pacotes individuais de opções de IP:

Requisitos

Este exemplo usa uma interface em um Concentrador modular de portas Ethernet (MPC) de 10 Gigabits, Ethernet MPC de 60 Gigabit, fila de 60 Gigabits Ethernet MPC ou 60 Gigabit Ethernet Ethernet Enhanced Queuing MPC em um roteador da Série MX. Essa interface permite que você aplique um filtro de firewall IPv4 (filtro padrão ou de serviço) que possa usar as countações , loge syslog não sufocantes em pacotes que correspondam a um valor específico ip-option sem precisar também usar a ação discard de encerramento.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você usa um filtro de firewall stateless para contar pacotes de opções de IP, mas não bloquear nenhum tráfego. Além disso, o filtro registra pacotes que têm roteamento de origem frouxo ou rigoroso.

O campo de cabeçalho de opção IP é um campo opcional apenas em cabeçalhos IPv4. As ip-options condições de correspondência são ip-options-except suportadas apenas para filtros de firewall stateless padrão e filtros de serviço.

Nota:

Nos roteadores das séries M e T, os filtros de firewall não podem contar ip-options pacotes por tipo de opção e por interface. Um trabalho limitado é usar o show pfe statistics ip options comando para ver ip-options estatísticas de acordo com o PFE (Packet Forwarding Engine, mecanismo de encaminhamento de pacotes). Veja as estatísticas de pfe do show ip para saída de amostra.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida de CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e depois cole os comandos no CLI no nível de [edit] hierarquia.

Configure o filtro de firewall stateless

Procedimento passo a passo

Para configurar o filtro ip_option_filterde firewall stateless:

  1. Crie o filtro ip_option_filterde firewall stateless.

  2. Configure o primeiro termo para contar, registrar e aceitar pacotes com o strict_source_route campo de cabeçalho opcional IP.

  3. Configure o próximo termo para contar, registrar e aceitar pacotes com o loose-source-route campo de cabeçalho opcional IP.

  4. Configure o próximo termo para contar e aceitar pacotes com o record-route campo de cabeçalho opcional IP.

  5. Configure o próximo termo para contar e aceitar pacotes com o timestamp campo de cabeçalho opcional IP.

  6. Configure o próximo termo para contar e aceitar pacotes com o router-alert campo de cabeçalho opcional IP.

  7. Crie o último termo para aceitar qualquer pacote sem incrementar contadores.

Aplique o filtro de firewall stateless em uma interface lógica

Procedimento passo a passo

Para aplicar o filtro de firewall stateless a uma interface lógica:

  1. Configure a interface lógica à qual você aplicará o filtro de firewall stateless.

  2. Configure o endereço da interface para a interface lógica.

  3. Aplique o filtro de firewall stateless na interface lógica.

Confirme e confirme sua configuração de candidato

Procedimento passo a passo

Para confirmar e então confirmar a configuração do seu candidato:

  1. Confirme a configuração do filtro de firewall stateless entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  2. Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

  3. Se terminar de configurar o dispositivo, comprometa a configuração do candidato.

Verificação

Para confirmar se a configuração está funcionando corretamente, entre no comando do show firewall filter ip_option_filter modo operacional. Você também pode exibir o log e os contadores individuais separadamente usando as seguintes formas do comando:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log