示例:配置过滤器以计数和丢弃 IP 选项数据包
此示例说明如何配置标准无状态防火墙来对数据包进行计数。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
由于过滤器术语在任何 IP 选项值上都匹配,因此过滤器术语可以在不执行discard
终止操作的情况下使用count
非终止操作,或者(或者)不需要 MX 系列路由器上的 10 千兆以太网模块化端口集中器 (MPC)、60 千兆以太网 MPC、60 千兆队列以太网 MPC 或 60 千兆以太网增强型排队 MPC 上的接口。
概述
在此示例中,使用标准无状态防火墙过滤器对包含任何 IP 选项值但接受所有其他数据包的数据包进行计数和丢弃。
IP 选项标头字段仅在 IPv4 标头中是可选字段。ip-options
仅标准无状态防火墙过滤器和服务过滤器支持和ip-options-except
匹配条件。
在 M 和 T 系列路由器上,防火墙过滤器无法按选项类型和接口对数据包进行计数 ip-options
。有限的解决方法是使用该命令查看show pfe statistics ip options
ip-options
每个数据包转发引擎 (PFE) 的统计信息。有关示例输出,请参阅 显示 pfe 统计信息 ip 。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit]
中。
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器,请执行以下操作:
创建无状态防火墙过滤器
block_ip_options
。[edit] user@host# edit firewall family inet filter block_ip_options
配置第一个术语以计数和丢弃包含任何 IP 选项标头字段的数据包。
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
将其他术语配置为接受所有其他数据包。
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
将无状态防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于逻辑接口,请执行以下操作:
配置要应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将无状态防火墙过滤器应用于逻辑接口。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入
show firewall
配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }
通过输入
show interfaces
配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }
如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入 show firewall filter block_ip_options
操作模式命令。要单独显示丢弃数据包的计数,请输入 show firewall count option_any
命令的形式。