Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration d’un filtre pour compter et éliminer les paquets d’options IP

Cet exemple montre comment configurer un pare-feu sans état standard pour compter les paquets.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Étant donné que le terme du filtre correspond à n’importe quelle valeur d’option IP, le terme filtre peut utiliser l’action sans arrêt ou (autrement) sans interface sur countdiscard MPC (Modular Port Concentrator) 10 Gigabit Ethernet, MPC 60 Gigabit Ethernet, MPC de 60 Gigabit Ethernet, MPC de 60 Gigabit Ethernet ou MPC de mise en file d’utilisateur améliorée 60 Gigabit Ethernet sur un routeur MX Series.

Présentation

Dans cet exemple, vous utilisez un filtre de pare-feu sans état standard pour compter et jeter des paquets qui incluent toute valeur d’option IP mais qui acceptent tous les autres paquets.

Le champ d’en-tête d’option IP est un champ facultatif dans les en-têtes IPv4 uniquement. Les conditions de correspondance sont uniquement prise en charge pour les filtres de pare-feu et les filtres de services sans ip-optionsip-options-except état standard.

Remarque :

Sur les routeurs des gammes M et T Series, les filtres de pare-feu ne peuvent pas compter les paquets par ip-options type d’option et par interface. L’utilisation de la commande pour consulter les statistiques par moteur de transfert de paquets show pfe statistics ip optionsip-options (PFE) est limitée. Voir afficher les statistiques pfe ip pour obtenir un exemple de sortie.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Utilisation du CLI éditeur dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu sans état

Procédure étape par étape

Pour configurer le filtre de pare-feu sans état:

  1. Créez le filtre de pare-feu sans block_ip_options état.

  2. Configurez le premier terme pour compter et éliminer les paquets qui incluent tous les champs d’en-tête des options IP.

  3. Configurez l’autre terme pour accepter tous les autres paquets.

Appliquer le filtre de pare-feu sans état à une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à une interface logique:

  1. Configurez l’interface logique à laquelle vous appliquerez le filtre de pare-feu sans état.

  2. Configurez l’adresse de l’interface pour l’interface logique.

  3. Appliquez le filtre de pare-feu sans état à l’interface logique.

Confirmer et valider la configuration de votre candidat

Procédure étape par étape

Pour confirmer et valider la configuration de votre candidat:

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande show firewall mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface en entrant la commande show interfaces mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez terminé la configuration de l’équipement, validation de la configuration de votre candidat.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show firewall filter block_ip_options commande Du mode opérationnel. Pour afficher le nombre de paquets éliminés séparément, show firewall count option_any saisissez la forme de la commande.