Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration d’un filtre pour compter les paquets d’options IP

Cet exemple illustre comment utiliser un filtre de pare-feu sans état pour compter les paquets d’options IP individuelles:

Conditions préalables

Cet exemple utilise une interface sur un concentrateur de ports modulaire (MPC) 10 Gigabit Ethernet, un MPC 60 Gigabit Ethernet, un MPC (60 Gigabit Queuing Ethernet) ou une carte MPC de file d’entrée améliorée 60 Gigabit Ethernet sur un routeur MX Series. Cette interface vous permet d’appliquer un filtre de pare-feu IPv4 (standard ou filtre de service) qui peut utiliser les actions , et nonterminer, sur les paquets qui correspondent à une valeur spécifique sans devoir également utiliser l’action de countlogsyslog ip-optiondiscard terminaison.

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour compter les paquets des options IP sans bloquer le trafic. Le filtre enregistre également les paquets dont le routage source est lâche ou strict.

Le champ d’en-tête d’option IP est un champ facultatif dans les en-têtes IPv4 uniquement. Les conditions de correspondance sont uniquement prise en charge pour les filtres de pare-feu et les filtres de services sans ip-optionsip-options-except état standard.

Remarque :

Sur les routeurs des gammes M et T Series, les filtres de pare-feu ne peuvent pas compter les paquets par ip-options type d’option et par interface. L’utilisation de la commande pour consulter les statistiques par moteur de transfert de paquets show pfe statistics ip optionsip-options (PFE) est limitée. Voir afficher les statistiques pfe ip pour obtenir un exemple de sortie.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Utilisation du CLI éditeur dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu sans état

Procédure étape par étape

Pour configurer le filtre de pare-feu sans ip_option_filter état:

  1. Créez le filtre de pare-feu sans ip_option_filter état.

  2. Configurez le premier terme pour compter, journaliser et accepter les paquets avec le champ d’en-tête strict_source_route IP en option.

  3. Configurez le terme suivant pour compter, journaliser et accepter les paquets avec le champ d’en-tête loose-source-route IP en option.

  4. Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête record-route IP en option.

  5. Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête timestamp IP en option.

  6. Configurez le terme suivant pour compter et accepter les paquets avec le champ d’en-tête router-alert IP en option.

  7. Créez le dernier terme pour accepter n’importe quel paquet sans incrémentation de compteurs.

Appliquer le filtre de pare-feu sans état à une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à une interface logique:

  1. Configurez l’interface logique à laquelle vous appliquerez le filtre de pare-feu sans état.

  2. Configurez l’adresse de l’interface pour l’interface logique.

  3. Appliquez le filtre de pare-feu sans état à l’interface logique.

Confirmer et valider la configuration de votre candidat

Procédure étape par étape

Pour confirmer et valider la configuration de votre candidat:

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande show firewall mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface en entrant la commande show interfaces mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez terminé la configuration de l’équipement, validation de la configuration de votre candidat.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show firewall filter ip_option_filter commande Du mode opérationnel. Vous pouvez également afficher le journal et les compteurs individuels séparément en utilisant les formes de commande suivantes:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log