Auf dieser Seite
Beispiel: Konfigurieren eines Filters zum Zählen von IP-Optionspaketen
Dieses Beispiel zeigt, wie ein zustandsloser Firewallfilter verwendet wird, um einzelne IP-Optionspakete zu zählen:
Anforderungen
In diesem Beispiel wird eine Schnittstelle eines 10-Gigabit Ethernet Modular Port Concentrator (MPC), eines 60-Gigabit-Ethernet-MPC, eines 60-Gigabit-Ethernet-MPC mit Warteschlange oder eines 60-Gigabit-Ethernet-MPC mit erweiterter Warteschlange auf einem Router der MX-Serie verwendet. Mit dieser Schnittstelle können Sie einen IPv4-Firewallfilter (Standard- oder Dienstfilter) anwenden, der die Aktionen , und nicht terminierende Aktionen für Pakete verwenden kann, die einem bestimmten Wert entsprechen, ohne auch die count beendende Aktion verwenden zu müssen.logsyslogip-optiondiscard
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um IP-Optionspakete zu zählen, aber keinen Datenverkehr zu blockieren. Außerdem protokolliert der Filter Pakete mit losem oder striktem Quell-Routing.
Das IP-Options-Header-Feld ist nur in IPv4-Headern ein optionales Feld. Die Übereinstimmungsbedingungen und werden nur für standardmäßige zustandslose Firewallfilter und Dienstfilter unterstützt.ip-optionsip-options-except
Bei Routern der M- und T-Serie können Firewall-Filter keine Pakete pro Optionstyp und pro Schnittstelle zählen .ip-options Eine begrenzte Problemumgehung besteht darin, den Befehl zu verwenden, um Statistiken auf PFE-Basis (Packet Forwarding Engine) anzuzeigen .show pfe statistics ip optionsip-options Beispielausgabe finden Sie unter show pfe statistics ip .https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet filter ip_options_filter term match_strict_source from ip-options strict-source-route set firewall family inet filter ip_options_filter term match_strict_source then count strict_source_route set firewall family inet filter ip_options_filter term match_strict_source then log set firewall family inet filter ip_options_filter term match_strict_source then accept set firewall family inet filter ip_options_filter term match_loose_source from ip-options loose-source-route set firewall family inet filter ip_options_filter term match_loose_source then count loose_source_route set firewall family inet filter ip_options_filter term match_loose_source then log set firewall family inet filter ip_options_filter term match_loose_source then accept set firewall family inet filter ip_options_filter term match_record from ip-options record-route set firewall family inet filter ip_options_filter term match_record then count record_route set firewall family inet filter ip_options_filter term match_record then accept set firewall family inet filter ip_options_filter term match_timestamp from ip-options timestamp set firewall family inet filter ip_options_filter term match_timestamp then count timestamp set firewall family inet filter ip_options_filter term match_timestamp then accept set firewall family inet filter ip_options_filter term match_router_alert from ip-options router-alert set firewall family inet filter ip_options_filter term match_router_alert then count router_alert set firewall family inet filter ip_options_filter term match_router_alert then accept set firewall family inet filter ip_options_filter term match_all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ip_options_filter
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewall-Filter :ip_option_filter
Erstellen Sie den zustandslosen Firewallfilter .
ip_option_filter[edit] user@host# edit firewall family inet filter ip_options_filter
Konfigurieren Sie den ersten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen IP-Header-Feld.
strict_source_route[edit firewall family inet filter ip_option_filter] user@host# set term match_strict_source from ip-options strict_source_route user@host# set term match_strict_source then count strict_source_route user@host# set term match_strict_source then log user@host# set term match_strict_source then accept
Konfigurieren Sie den nächsten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen IP-Header-Feld.
loose-source-route[edit firewall family inet filter ip_option_filter] user@host# set term match_loose_source from ip-options loose-source-route user@host# set term match_loose_source then count loose_source_route user@host# set term match_loose_source then log user@host# set term match_loose_source then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen IP-Header-Feld.
record-route[edit firewall family inet filter ip_option_filter] user@host# set term match_record from ip-options record-route user@host# set term match_record then count record_route user@host# set term match_record then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen IP-Header-Feld.
timestamp[edit firewall family inet filter ip_option_filter] user@host# set term match_timestamp from ip-options timestamp user@host# set term match_timestamp then count timestamp user@host# set term match_timestamp then accept
Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen IP-Header-Feld.
router-alert[edit firewall family inet filter ip_option_filter] user@host# set term match_router_alert from ip-options router-alert user@host# set term match_router_alert then count router_alert user@host# set term match_router_alert then accept
Erstellen Sie den letzten Ausdruck, um ein beliebiges Paket zu akzeptieren, ohne die Zähler zu erhöhen.
[edit firewall family inet filter ip_option_filter] user@host# set term match_all then accept
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewallfilter auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ip_options_filter
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewallWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall family inet { filter ip_options_filter { term match_strict_source { from { ip-options strict-source-route; } then { count strict_source_route; log; accept; } } term match_loose_source { from { ip-options loose-source-route; } then { count loose_source_route; log; accept; } } term match_record { from { ip-options record-route; } then { count record_route; accept; } } term match_timestamp { from { ip-options timestamp; } then { count timestamp; accept; } } term match_router_alert { from { ip-options router-alert; } then { count router_alert; accept; } } term match_all { then accept; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfacesWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ip_option_filter; } address 10.1.2.3/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show firewall filter ip_option_filter Sie können das Protokoll und die einzelnen Leistungsindikatoren auch separat anzeigen, indem Sie die folgenden Formen des Befehls verwenden:
show firewall counter strict_source_routeshow firewall counter loose_source_routeshow firewall counter record_routeshow firewall counter timestampshow firewall counter router_alertshow firewall log