Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Zählung von IP-Optionspaketen
Dieses Beispiel zeigt, wie ein zustandsloser Firewall-Filter zur Zählung einzelner IP-Optionspakete verwendet wird:
Anforderungen
In diesem Beispiel wird eine Schnittstelle an einem modularen 10-Gigabit Ethernet-Port Concentrator (MPC), 60-Gigabit-Ethernet-MPC, 60-Gigabit-Queuing-Ethernet-MPC oder 60-Gigabit Ethernet Enhanced Queuing MPC auf einem Router der MX-Serie verwendet. Mit dieser Schnittstelle können Sie einen IPv4-Firewall-Filter (Standard- oder Servicefilter) anwenden, der den count
, log
und syslog
nichtterminierende Aktionen auf Pakete verwenden kann, die einen bestimmten ip-option
Wert entsprechen, ohne dass sie auch die discard
Terminierungsaktion verwenden müssen.
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewall-Filter, um IP-Optionspakete zu zählen, aber keinen Datenverkehr zu blockieren. Außerdem protokolliert der Filter Pakete, die loses oder striktes Quell-Routing haben.
Das Kopfzeilenfeld der IP-Option ist ein optionales Feld nur in IPv4-Headern. Die ip-options
Bedingungen und ip-options-except
Die Übereinstimmungsbedingungen werden nur für standardzustandslose Firewall-Filter und Servicefilter unterstützt.
Auf Routern der M- und T-Serie können Firewall-Filter Pakete nicht auf Basis der einzelnen Optionen und Schnittstellen zählen ip-options
. Eine begrenzte Umarbeitung besteht darin, den show pfe statistics ip options
Befehl zu verwenden, um Statistiken pro Packet Forwarding Engine (PFE)-Basis zu sehen ip-options
. Unter show pfe statistics ip finden Sie eine Beispielausgabe.
Konfiguration
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Führen Sie zum Konfigurieren dieses Beispiels die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des zustandslosen Firewall-Filters
- Anwenden des zustandslosen Firewall-Filters auf eine logische Schnittstelle
- Kandidatenkonfiguration bestätigen und bestätigen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit]
CLI ein.
set firewall family inet filter ip_options_filter term match_strict_source from ip-options strict-source-route set firewall family inet filter ip_options_filter term match_strict_source then count strict_source_route set firewall family inet filter ip_options_filter term match_strict_source then log set firewall family inet filter ip_options_filter term match_strict_source then accept set firewall family inet filter ip_options_filter term match_loose_source from ip-options loose-source-route set firewall family inet filter ip_options_filter term match_loose_source then count loose_source_route set firewall family inet filter ip_options_filter term match_loose_source then log set firewall family inet filter ip_options_filter term match_loose_source then accept set firewall family inet filter ip_options_filter term match_record from ip-options record-route set firewall family inet filter ip_options_filter term match_record then count record_route set firewall family inet filter ip_options_filter term match_record then accept set firewall family inet filter ip_options_filter term match_timestamp from ip-options timestamp set firewall family inet filter ip_options_filter term match_timestamp then count timestamp set firewall family inet filter ip_options_filter term match_timestamp then accept set firewall family inet filter ip_options_filter term match_router_alert from ip-options router-alert set firewall family inet filter ip_options_filter term match_router_alert then count router_alert set firewall family inet filter ip_options_filter term match_router_alert then accept set firewall family inet filter ip_options_filter term match_all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ip_options_filter
Konfigurieren des zustandslosen Firewall-Filters
Schritt-für-Schritt-Verfahren
So konfigurieren Sie den zustandslosen Firewall-Filter ip_option_filter
:
Erstellen Sie den zustandslosen Firewall-Filter
ip_option_filter
.[edit] user@host# edit firewall family inet filter ip_options_filter
Konfigurieren Sie den ersten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen
strict_source_route
IP-Headerfeld.[edit firewall family inet filter ip_option_filter] user@host# set term match_strict_source from ip-options strict_source_route user@host# set term match_strict_source then count strict_source_route user@host# set term match_strict_source then log user@host# set term match_strict_source then accept
Konfigurieren Sie den nächsten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen
loose-source-route
IP-Headerfeld.[edit firewall family inet filter ip_option_filter] user@host# set term match_loose_source from ip-options loose-source-route user@host# set term match_loose_source then count loose_source_route user@host# set term match_loose_source then log user@host# set term match_loose_source then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen
record-route
IP-Header-Feld.[edit firewall family inet filter ip_option_filter] user@host# set term match_record from ip-options record-route user@host# set term match_record then count record_route user@host# set term match_record then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen
timestamp
IP-Header-Feld.[edit firewall family inet filter ip_option_filter] user@host# set term match_timestamp from ip-options timestamp user@host# set term match_timestamp then count timestamp user@host# set term match_timestamp then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen
router-alert
IP-Header-Feld.[edit firewall family inet filter ip_option_filter] user@host# set term match_router_alert from ip-options router-alert user@host# set term match_router_alert then count router_alert user@host# set term match_router_alert then accept
Erstellen Sie den letzten Begriff, um Pakete zu akzeptieren, ohne Zähler zu inkrementieren.
[edit firewall family inet filter ip_option_filter] user@host# set term match_all then accept
Anwenden des zustandslosen Firewall-Filters auf eine logische Schnittstelle
Schritt-für-Schritt-Verfahren
So wenden Sie den zustandslosen Firewall-Filter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewall-Filter anwenden.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den zustandslosen Firewall-Filter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ip_options_filter
Kandidatenkonfiguration bestätigen und bestätigen
Schritt-für-Schritt-Verfahren
So bestätigen Und bestätigen Sie die Konfiguration Ihrer Kandidaten:
Bestätigen Sie die Konfiguration des zustandslosen Firewall-Filters, indem Sie den
show firewall
Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter ip_options_filter { term match_strict_source { from { ip-options strict-source-route; } then { count strict_source_route; log; accept; } } term match_loose_source { from { ip-options loose-source-route; } then { count loose_source_route; log; accept; } } term match_record { from { ip-options record-route; } then { count record_route; accept; } } term match_timestamp { from { ip-options timestamp; } then { count timestamp; accept; } } term match_router_alert { from { ip-options router-alert; } then { count router_alert; accept; } } term match_all { then accept; } } }
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfaces
Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ip_option_filter; } address 10.1.2.3/30; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, legen Sie die Kandidatenkonfiguration fest.
[edit] user@host# commit
Überprüfung
Geben Sie den Betriebsmodus-Befehl ein, um zu bestätigen, dass die show firewall filter ip_option_filter
Konfiguration ordnungsgemäß funktioniert. Sie können das Protokoll und die einzelnen Zähler auch separat anzeigen, indem Sie die folgenden Formulare des Befehls verwenden:
show firewall counter strict_source_route
show firewall counter loose_source_route
show firewall counter record_route
show firewall counter timestamp
show firewall counter router_alert
show firewall log