Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Zählen und Verwerfen von IP-Optionspaketen
In diesem Beispiel wird gezeigt, wie eine standardmäßige zustandslose Firewall so konfiguriert wird, dass Pakete gezählt werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Da der Filterbegriff mit jedem IP-Optionswert übereinstimmt, kann der Filterbegriff die nicht beendende Aktion ohne die beendende Aktion oder (alternativ) ohne eine Schnittstelle auf einem 10-Gigabit Ethernet Modular Port Concentrator (MPC), 60-Gigabit Ethernet MPC, 60-Gigabit Queuing Ethernet MPC oder 60-Gigabit Ethernet Enhanced Queuing MPC auf einem Router der MX-Serie verwenden.countdiscard
Überblick
In diesem Beispiel verwenden Sie einen standardmäßigen zustandslosen Firewallfilter, um Pakete zu zählen und zu verwerfen, die einen beliebigen IP-Optionswert enthalten, aber alle anderen Pakete akzeptieren.
Das IP-Options-Header-Feld ist nur in IPv4-Headern ein optionales Feld. Die Übereinstimmungsbedingungen und werden nur für standardmäßige zustandslose Firewallfilter und Dienstfilter unterstützt.ip-optionsip-options-except
Bei Routern der M- und T-Serie können Firewall-Filter keine Pakete pro Optionstyp und pro Schnittstelle zählen .ip-options Eine begrenzte Problemumgehung besteht darin, den Befehl zu verwenden, um Statistiken auf PFE-Basis (Packet Forwarding Engine) anzuzeigen .show pfe statistics ip optionsip-options Beispielausgabe finden Sie unter show pfe statistics ip .https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewallfilter:
Erstellen Sie den zustandslosen Firewallfilter .
block_ip_options[edit] user@host# edit firewall family inet filter block_ip_options
Konfigurieren Sie den ersten Begriff so, dass Pakete, die Header-Felder für IP-Optionen enthalten, gezählt und verworfen werden.
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
Konfigurieren Sie den anderen Begriff so, dass alle anderen Pakete akzeptiert werden.
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewallfilter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewallWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfacesWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show firewall filter block_ip_options Um die Anzahl der verworfenen Pakete separat anzuzeigen, geben Sie die Form des Befehls ein.show firewall count option_any