Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un filtre pour compter et rejeter les paquets d’options IP

Cet exemple montre comment configurer un pare-feu sans état standard pour compter les paquets.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.

Étant donné que le terme de filtre correspond à n’importe quelle valeur d’option IP , le terme de filtre peut utiliser l’action de non-terminaison sans l’action de fin ou (alternativement) sans nécessiter d’interface sur un concentrateur de port modulaire (MPC) Ethernet 10 Gigabit, un MPC Ethernet 60 Gigabit, un MPC Ethernet de file d’attente 60 Gigabit ou un MPC de file d’attente countdiscard améliorée Ethernet 60 Gigabit sur un routeur MX Series.

Présentation

Dans cet exemple, vous utilisez un filtre de pare-feu sans état standard pour compter et rejeter les paquets qui incluent une valeur d’option IP, mais acceptent tous les autres paquets.

Le champ d’en-tête de l’option IP est un champ facultatif dans les en-têtes IPv4 uniquement. Les ip-options conditions et correspondent sont uniquement prises en charge pour les filtres de pare-feu sans état standard et ip-options-except les filtres de service.

REMARQUE :

Sur les routeurs des séries M et T, les filtres de pare-feu ne peuvent pas compter ip-options les paquets par type d’option et par interface. Une solution de contournement limitée consiste à utiliser la commande pour afficher ip-options des show pfe statistics ip options statistiques par moteur de transfert de paquets (PFE). Reportez-vous à la section show pfe statistics ip pour obtenir un exemple de sortie.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu sans état

Procédure étape par étape

Pour configurer le filtre de pare-feu sans état :

  1. Créez le filtre block_ip_optionsde pare-feu sans état .

  2. Configurez le premier terme pour compter et rejeter les paquets qui incluent des champs d’en-tête d’options IP.

  3. Configurez l’autre terme pour qu’il accepte tous les autres paquets.

Application du filtre de pare-feu sans état à une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à une interface logique :

  1. Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.

  2. Configurez l’adresse de l’interface logique.

  3. Appliquez le filtre de pare-feu sans état à l’interface logique.

Confirmez et validez la configuration de votre candidat

Procédure étape par étape

Pour confirmer, puis valider la configuration de votre candidat :

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration show firewall mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.

Vérification

Pour vérifier que la configuration fonctionne correctement, entrez la commande de show firewall filter block_ip_options mode opérationnel. Pour afficher séparément le nombre de paquets supprimés, entrez la forme de la show firewall count option_any commande.