Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Ausgangsfilters basierend auf IPv6-Quell- oder Ziel-IP-Adressen

In diesem Beispiel wird gezeigt, wie ein Firewallfilter so konfiguriert wird, dass er IPv6-Pakete akzeptiert, die an eine Schnittstelle ausgehen.inet6

Anforderungen

In diesem Thema wird eine Funktion beschrieben, die von EX4300 unterstützt wird und QFX5100 in Junos OS Version 19.1R1 eingeführt wurde. Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel erstellen Sie einen typischen Firewallfilter, um IPv6-Quell- und -Zielpakete in der Ausgangsrichtung einer Schnittstelle zu akzeptieren.inet6 Um das Filtern in Ausgangsrichtung zu unterstützen, müssen Sie jedoch zuerst die Option using oder festlegen.set system packet-forwarding-options eracl-ip6-matchsrcip6-and-destip6srcip6-only Außerdem müssen Sie die Packet Forwarding Engine (PFE) neu starten, nachdem Sie die Konfiguration bestätigt haben.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]

Aktivieren des Systems für die IPv6-Adressfilterung

Schritt-für-Schritt-Anleitung

So konfigurieren Sie einen Firewallfilter für die IPv6-Filterung auf einer Ausgangsschnittstelle:inet6

  1. Aktivieren Sie Paketweiterleitungsoptionen für den Abgleich mit IPv6-Quell- oder IPv6-Quell- und Ziel-IP-Adressen. In diesem Beispiel aktivieren wir sowohl den Abgleich von Quell- als auch von Ziel-IP-Adressen.

  2. Überprüfen und löschen Sie ggf. alle vorhandenen Firewallfilter, die bereits an die Schnittstelle gebunden sind, die Sie für den IPv6-Firewallfilter verwenden möchten:

  3. Bestätigen Sie die oben genannten Änderungen, stoppen Sie dann die PFE und starten Sie sie neu, um die PFE für den/die IPv6-Filter zu akzeptieren und zu löschen.packet-forwarding-options

    • Verwenden Sie für EX4300 Folgendes:

    • Verwenden Sie für das virtuelle EX4300-Chassis Folgendes:

    • Starten Sie QFX5100 das System neu:

  4. Erstellen Sie einen IPv6-Firewallfilter mit dem Namen .tcp_filter

  5. Konfigurieren Sie hier die erforderliche Filteraktion, um Pakete mit einer IPv6-Quell- oder Zieladresse innerhalb des konfigurierten Bereichs abzugleichen.

  6. Geben Sie an, dass übereinstimmende Pakete gezählt, im Puffer auf der PFE protokolliert und akzeptiert werden.

Anwenden des Firewallfilters auf eine Ausgangsschnittstelle

Schritt-für-Schritt-Anleitung

Geben Sie Folgendes ein, um den Firewallfilter auf eine ausgehende inet6-Schnittstelle anzuwenden:

  • user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter

Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration

Schritt-für-Schritt-Anleitung

So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:

  1. Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Kandidatenkonfiguration.