Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Filters zum Zählen von IP-Optionspaketen

Dieses Beispiel zeigt, wie ein zustandsloser Firewallfilter verwendet wird, um einzelne IP-Optionspakete zu zählen:

Anforderungen

In diesem Beispiel wird eine Schnittstelle eines 10-Gigabit Ethernet Modular Port Concentrator (MPC), eines 60-Gigabit-Ethernet-MPC, eines 60-Gigabit-Ethernet-MPC mit Warteschlange oder eines 60-Gigabit-Ethernet-MPC mit erweiterter Warteschlange auf einem Router der MX-Serie verwendet. Mit dieser Schnittstelle können Sie einen IPv4-Firewallfilter (Standard- oder Dienstfilter) anwenden, der die countAktionen , logund syslog nicht terminierende Aktionen für Pakete verwenden kann, die einem bestimmten ip-option Wert entsprechen, ohne auch die discard beendende Aktion verwenden zu müssen.

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um IP-Optionspakete zu zählen, aber keinen Datenverkehr zu blockieren. Außerdem protokolliert der Filter Pakete mit losem oder striktem Quell-Routing.

Das IP-Options-Header-Feld ist nur in IPv4-Headern ein optionales Feld. Die ip-options Übereinstimmungsbedingungen und ip-options-except werden nur für standardmäßige zustandslose Firewallfilter und Dienstfilter unterstützt.

HINWEIS:

Bei Routern der M- und T-Serie können Firewall-Filter keine Pakete pro Optionstyp und pro Schnittstelle zählen ip-options . Eine begrenzte Problemumgehung besteht darin, den show pfe statistics ip options Befehl zu verwenden, um Statistiken auf PFE-Basis (Packet Forwarding Engine) anzuzeigen ip-options . Beispielausgabe finden Sie unter show pfe statistics ip .

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.

Konfigurieren des Filters "Zustandslose Firewall"

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den zustandslosen Firewall-Filter ip_option_filter:

  1. Erstellen Sie den zustandslosen Firewallfilter ip_option_filter.

  2. Konfigurieren Sie den ersten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem strict_source_route optionalen IP-Header-Feld.

  3. Konfigurieren Sie den nächsten Begriff zum Zählen, Protokollieren und Akzeptieren von Paketen mit dem loose-source-route optionalen IP-Header-Feld.

  4. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem record-route optionalen IP-Header-Feld.

  5. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem timestamp optionalen IP-Header-Feld.

  6. Konfigurieren Sie den nächsten Begriff zum Zählen und Akzeptieren von Paketen mit dem router-alert optionalen IP-Header-Feld.

  7. Erstellen Sie den letzten Ausdruck, um ein beliebiges Paket zu akzeptieren, ohne die Zähler zu erhöhen.

Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle

Schritt-für-Schritt-Anleitung

So wenden Sie den zustandslosen Firewallfilter auf eine logische Schnittstelle an:

  1. Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.

  2. Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.

  3. Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.

Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration

Schritt-für-Schritt-Anleitung

So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:

  1. Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den show firewall Befehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Verifizierung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den show firewall filter ip_option_filter Befehl Betriebsmodus ein. Sie können das Protokoll und die einzelnen Leistungsindikatoren auch separat anzeigen, indem Sie die folgenden Formen des Befehls verwenden:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log