Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:配置过滤器以计数和丢弃 IP 选项数据包

此示例说明如何配置标准无状态防火墙来统计数据包。

要求

配置此示例之前,不需要在设备初始化之外进行特殊配置。

由于过滤器术语在任何 IP 选项值上匹配,因此过滤器术语可使用无终止操作的非终止操作,或(也可)使用,而无需 MX 系列路由器上的 10 千兆位以太网模块化端口集中器 count (MPC)、60 千兆位以太网 MPC、60 千兆位排队以太网 MPC 或 60 千兆位以太网增强型排队 discard MPC 上的接口。

概述

此示例使用标准无状态防火墙过滤器计算并丢弃包含任何 IP 选项值但接受所有其他数据包的数据包。

IP 选项标头字段是仅在 IPv4 标头中可选字段。只有ip-options标准ip-options-except无状态防火墙过滤器和服务过滤器才支持和匹配条件。

注:

在 M 和 T 系列路由器上,防火墙过滤器无法ip-options按每个选项类型和接口来计算数据包。解决方法是使用show pfe statistics ip options命令以每个数据包转发引擎(PFE ip-options )为基础来查看统计数据。有关示例输出,请参阅显示 pfe 统计信息 ip

配置

下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 在配置模式中使用 CLI 编辑器

要配置此示例,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。

配置无状态防火墙过滤器

分步过程

要配置无状态防火墙过滤器:

  1. 创建无状态防火墙过滤器block_ip_options

  2. 配置第一项以计数和丢弃包含任何 IP 选项标头字段的数据包。

  3. 将另一个术语配置为接受所有其他数据包。

将无状态防火墙过滤器应用于逻辑接口

分步过程

要将无状态防火墙过滤器应用于逻辑接口:

  1. 配置将应用无状态防火墙过滤器的逻辑接口。

  2. 配置逻辑接口的接口地址。

  3. 将无状态防火墙过滤器应用于逻辑接口。

确认并提交您的候选配置

分步过程

要确认然后提交候选配置:

  1. 进入show firewall配置模式命令,确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  2. 进入show interfaces配置模式命令,确认接口配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。

  3. 如果您完成了设备配置,请提交您的候选配置。

针对

要确认配置是否正常工作,请输入show firewall filter block_ip_options操作模式命令。要单独显示丢弃的数据包计数,请输入命令show firewall count option_any的形式。