Auf dieser Seite
Beispiel: Konfigurieren eines Ausgangsfilters basierend auf IPv6-Quell- oder Ziel-IP-Adressen
In diesem Beispiel wird gezeigt, wie ein Firewallfilter so konfiguriert wird, dass er IPv6-Pakete akzeptiert, die an eine Schnittstelle ausgehen.inet6
Anforderungen
In diesem Thema wird eine Funktion beschrieben, die von EX4300 unterstützt wird und QFX5100 in Junos OS Version 19.1R1 eingeführt wurde. Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel erstellen Sie einen typischen Firewallfilter, um IPv6-Quell- und -Zielpakete in der Ausgangsrichtung einer Schnittstelle zu akzeptieren.inet6
Um das Filtern in Ausgangsrichtung zu unterstützen, müssen Sie jedoch zuerst die Option using oder festlegen.set system packet-forwarding-options eracl-ip6-match
srcip6-and-destip6
srcip6-only
Außerdem müssen Sie die Packet Forwarding Engine (PFE) neu starten, nachdem Sie die Konfiguration bestätigt haben.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
- CLI-Schnellkonfiguration
- Aktivieren des Systems für die IPv6-Adressfilterung
- Anwenden des Firewallfilters auf eine Ausgangsschnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
Aktivieren des Systems für die IPv6-Adressfilterung
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Firewallfilter für die IPv6-Filterung auf einer Ausgangsschnittstelle:inet6
Aktivieren Sie Paketweiterleitungsoptionen für den Abgleich mit IPv6-Quell- oder IPv6-Quell- und Ziel-IP-Adressen. In diesem Beispiel aktivieren wir sowohl den Abgleich von Quell- als auch von Ziel-IP-Adressen.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
Überprüfen und löschen Sie ggf. alle vorhandenen Firewallfilter, die bereits an die Schnittstelle gebunden sind, die Sie für den IPv6-Firewallfilter verwenden möchten:
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
Bestätigen Sie die oben genannten Änderungen, stoppen Sie dann die PFE und starten Sie sie neu, um die PFE für den/die IPv6-Filter zu akzeptieren und zu löschen.
packet-forwarding-options
Verwenden Sie für EX4300 Folgendes:
user@host# commit user@host# run request restart pfe-manager
Verwenden Sie für das virtuelle EX4300-Chassis Folgendes:
user@host# commit user@host# run request system reboot all-members
Starten Sie QFX5100 das System neu:
user@host# commit user@host# run request system reboot
Erstellen Sie einen IPv6-Firewallfilter mit dem Namen .tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
Konfigurieren Sie hier die erforderliche Filteraktion, um Pakete mit einer IPv6-Quell- oder Zieladresse innerhalb des konfigurierten Bereichs abzugleichen.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
Geben Sie an, dass übereinstimmende Pakete gezählt, im Puffer auf der PFE protokolliert und akzeptiert werden.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
Anwenden des Firewallfilters auf eine Ausgangsschnittstelle
Schritt-für-Schritt-Anleitung
Geben Sie Folgendes ein, um den Firewallfilter auf eine ausgehende inet6-Schnittstelle anzuwenden:
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.
show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Kandidatenkonfiguration.
[edit] user@host# commit