Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Filters zur Zählung von IP-Optionspaketen

Dieses Beispiel zeigt, wie ein zustandsloser Firewall-Filter zur Zählung einzelner IP-Optionspakete verwendet wird:

Anforderungen

In diesem Beispiel wird eine Schnittstelle an einem modularen 10-Gigabit Ethernet-Port Concentrator (MPC), 60-Gigabit-Ethernet-MPC, 60-Gigabit-Queuing-Ethernet-MPC oder 60-Gigabit Ethernet Enhanced Queuing MPC auf einem Router der MX-Serie verwendet. Mit dieser Schnittstelle können Sie einen IPv4-Firewall-Filter (Standard- oder Servicefilter) anwenden, der den count, logund syslog nichtterminierende Aktionen auf Pakete verwenden kann, die einen bestimmten ip-option Wert entsprechen, ohne dass sie auch die discard Terminierungsaktion verwenden müssen.

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel verwenden Sie einen zustandslosen Firewall-Filter, um IP-Optionspakete zu zählen, aber keinen Datenverkehr zu blockieren. Außerdem protokolliert der Filter Pakete, die loses oder striktes Quell-Routing haben.

Das Kopfzeilenfeld der IP-Option ist ein optionales Feld nur in IPv4-Headern. Die ip-options Bedingungen und ip-options-except Die Übereinstimmungsbedingungen werden nur für standardzustandslose Firewall-Filter und Servicefilter unterstützt.

HINWEIS:

Auf Routern der M- und T-Serie können Firewall-Filter Pakete nicht auf Basis der einzelnen Optionen und Schnittstellen zählen ip-options . Eine begrenzte Umarbeitung besteht darin, den show pfe statistics ip options Befehl zu verwenden, um Statistiken pro Packet Forwarding Engine (PFE)-Basis zu sehen ip-options . Unter show pfe statistics ip finden Sie eine Beispielausgabe.

Konfiguration

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Führen Sie zum Konfigurieren dieses Beispiels die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.

Konfigurieren des zustandslosen Firewall-Filters

Schritt-für-Schritt-Verfahren

So konfigurieren Sie den zustandslosen Firewall-Filter ip_option_filter:

  1. Erstellen Sie den zustandslosen Firewall-Filter ip_option_filter.

  2. Konfigurieren Sie den ersten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen strict_source_route IP-Headerfeld.

  3. Konfigurieren Sie den nächsten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem optionalen loose-source-route IP-Headerfeld.

  4. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen record-route IP-Header-Feld.

  5. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen timestamp IP-Header-Feld.

  6. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem optionalen router-alert IP-Header-Feld.

  7. Erstellen Sie den letzten Begriff, um Pakete zu akzeptieren, ohne Zähler zu inkrementieren.

Anwenden des zustandslosen Firewall-Filters auf eine logische Schnittstelle

Schritt-für-Schritt-Verfahren

So wenden Sie den zustandslosen Firewall-Filter auf eine logische Schnittstelle an:

  1. Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewall-Filter anwenden.

  2. Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.

  3. Wenden Sie den zustandslosen Firewall-Filter auf die logische Schnittstelle an.

Kandidatenkonfiguration bestätigen und bestätigen

Schritt-für-Schritt-Verfahren

So bestätigen Und bestätigen Sie die Konfiguration Ihrer Kandidaten:

  1. Bestätigen Sie die Konfiguration des zustandslosen Firewall-Filters, indem Sie den show firewall Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, legen Sie die Kandidatenkonfiguration fest.

Überprüfung

Geben Sie den Betriebsmodus-Befehl ein, um zu bestätigen, dass die show firewall filter ip_option_filter Konfiguration ordnungsgemäß funktioniert. Sie können das Protokoll und die einzelnen Zähler auch separat anzeigen, indem Sie die folgenden Formulare des Befehls verwenden:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log