示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
此示例说明如何配置防火墙过滤器以接受出口接口的 IPv6 数据包。inet6
要求
本主题介绍 Junos OS 19.1R1 版中引入的 EX4300 和 QFX5100 支持的功能。配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将创建一个典型的防火墙过滤器,以接受接口出口方向 上的 IPv6 源数据包和目标数据包。inet6 但是,要支持出口方向的过滤,首先需要使用或选项进行设置。set system packet-forwarding-options eracl-ip6-matchsrcip6-and-destip6srcip6-only 提交配置后,还需要重新启动数据包转发引擎 (PFE)。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
启用系统进行 IPv6 地址过滤
分步过程
要为出口接口上的 IPv6 过滤配置防火墙过滤器,请执行以下操作:inet6
启用数据包转发选项,以便在 IPv6 源或 IPv6 源和目标 IP 地址上进行匹配。在此示例中,我们将启用源和目标 IP 地址匹配。
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
检查并删除已绑定到将用于 IPv6 防火墙过滤器的接口的任何现有防火墙过滤器(如果适用):
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
提交上述更改,然后停止并重新启动 PFE 以接受 并 清除 IPv6 筛选器的 PFE。
packet-forwarding-options对于 EX4300,请使用以下内容:
user@host# commit user@host# run request restart pfe-manager
对于 EX4300 虚拟机箱,请使用以下内容:
user@host# commit user@host# run request system reboot all-members
对于QFX5100,请重新启动系统:
user@host# commit user@host# run request system reboot
创建名为 的 IPv6 防火墙过滤器。tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
在此处配置所需的过滤器操作,以匹配具有配置范围内的 IPv6 源地址或目标地址的数据包。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
指定对匹配的数据包进行计数、记录到 PFE 上的缓冲区并接受。
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
将防火墙过滤器应用于出口接口
分步过程
要将防火墙过滤器应用于出口 inet6 接口,请键入以下内容:
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入 配置模式命令确认防火墙过滤器的配置。
show firewall如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }通过输入 配置模式命令确认接口的配置。
show interfaces如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }配置完设备后,提交候选配置。
[edit] user@host# commit