示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
此示例说明如何配置防火墙过滤器以接受出口接口的 inet6 IPv6 数据包。
要求
本主题介绍 Junos OS 19.1R1 版中引入的 EX4300 和 QFX5100 支持的功能。配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个典型的防火墙过滤器,用于在接口的出口方向 inet6 接受 IPv6 源和目标数据包。但是,要支持出口方向上的过滤,您首先需要使用选项或srcip6-only选项设置。set system packet-forwarding-options eracl-ip6-matchsrcip6-and-destip6 提交配置后,您还需要重新启动数据包转发引擎 (PFE)。
配置
以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中 [edit] 。
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
启用 IPv6 地址过滤系统
逐步过程
要为出口接口上的 inet6 IPv6 过滤配置防火墙过滤器:
启用数据包转发选项,以匹配 IPv6 源或 IPv6 源和目标 IP 地址。在此示例中,我们将同时启用源 IP 地址和目标 IP 地址匹配。
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
检查并酌情删除已绑定到用于 IPv6 防火墙过滤器的接口上的任何现有防火墙过滤器:
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
提交上述更改,然后停止并重新启动 PFE 以接受
packet-forwarding-options并清除 IPv6 过滤器的 PFE。对于 EX4300,使用以下:
user@host# commit user@host# run request restart pfe-manager
对于 EX4300 虚拟机箱,使用以下:
user@host# commit user@host# run request system reboot all-members
对于 QFX5100,重新启动系统:
user@host# commit user@host# run request system reboot
创建名为的 tcp_filterIPv6 防火墙过滤器。
[edit] user@host# edit firewall family inet6 filter tcp_filter
在此处配置所需的过滤器操作,以匹配配置范围内的数据包与 IPv6 源或目标地址。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
指定对匹配的数据包进行计数,记录到 PFE 上的缓冲区,并接受。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
将防火墙过滤器应用于出口接口
逐步过程
要向出口 inet6 接口应用防火墙过滤器,请键入以下内容:
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
确认并提交您的报考者配置
逐步过程
要确认并提交候选配置,
输入
show firewall配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明,以更正配置。[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }输入
show interfaces配置模式命令,确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明,以更正配置。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }完成设备配置后,提交候选配置。
[edit] user@host# commit