Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Ausgangsfilters Basierend auf IPv6-Quell- oder Ziel-IP-Adressen

In diesem Beispiel wird gezeigt, wie ein Firewall-Filter so konfiguriert wird, dass er IPv6-Pakete akzeptiert, die eine Schnittstelle inet6 ausgangs.

Anforderungen

In diesem Thema wird eine auf den anderen Features EX4300 und QFX5100 beschrieben, die in Junos OS Release 19.1R1. Vor der Konfiguration dieses Beispiels ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel erstellen Sie einen typischen Firewall-Filter, der IPv6-Quell- und Zielpakete in der Ausgangsrichtung einer Schnittstelle inet6 akzeptiert. Um die Filterung in die Ausgangsrichtung zu unterstützen, müssen Sie jedoch zuerst die richtige Option set system packet-forwarding-options eracl-ip6-matchsrcip6-and-destip6 oder eine Option srcip6-only auswählen. Sie müssen auch die Packet Forwarding Engine (PFE) neu starten, nachdem Sie die Konfiguration verpflichtet haben.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie Verwenden des CLI Editors im Konfigurationsmodus unter.

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenbrüche, und fügen Sie die Befehle dann CLI [edit] Hierarchieebene ein.

Aktivieren des Systems für die IPv6-Adressenfilterung

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen Firewall-Filter für IPv6-Filter an einer inet6 Ausgangsschnittstelle:

  1. Aktivieren von Paketweiterleitungsoptionen für den Abgleich von IPv6-Quell- oder IPv6-Quell- und Ziel-IP-Adressen. In diesem Beispiel aktivieren wir die Zuordnung von Quell- und Ziel-IP-Adressen.

  2. Löschen Sie alle vorhandenen Firewall-Filter, die bereits an die Schnittstelle des IPv6-Firewallfilters gebunden sind, und löschen Sie gegebenenfalls:

  3. Übernehmen Sie die oben genannten Änderungen, beenden Sie dann den PFE, und starten Sie ihn neu, um die PFE für die packet-forwarding-options IPv6-Filter zu akzeptieren und zu löschen.

    • Verwenden EX4300 Folgendes für EX4300:

    • Verwenden EX4300 Virtual Chassis folgendes:

    • Starten QFX5100 System neu:

  4. Erstellen Sie einen IPv6-Firewallfilter namens tcp_filter .

  5. Konfigurieren Sie die erforderliche Filteraktion hier, um Pakete mit einer IPv6-Quelle oder -Zieladresse innerhalb des konfigurierten Bereichs aufeinander abgestimmt zu werden.

  6. Geben Sie an, dass die abgestimmten Pakete gezählt, an den Puffer auf dem PFE protokolliert und akzeptiert werden.

Wenden Sie den Firewall-Filter auf eine Ausgangsschnittstelle an

Schritt-für-Schritt-Verfahren

Geben Sie den Firewall-Filter auf eine Ausgangs-inet6-Schnittstelle ein:

  • user@host # set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter

Bestätigung und Commit Ihrer Kandidatenkonfiguration

Schritt-für-Schritt-Verfahren

Um die Konfiguration Ihres Kandidaten zu bestätigen und anschließend commits zu führen:

  1. Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den show firewall Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl zum show interfaces Konfigurationsmodus eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie die Konfiguration des Geräts durchgeführt haben, commitieren Sie die Kandidatenkonfiguration.