例:IP オプションパケットのカウントと破棄のためのフィルタの設定
この例は、標準のステートレスファイアウォールを構成してパケットをカウントする方法を示しています。
要件
この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。
フィルタ条件は任意の IP オプション値で一致します。フィルタ条件は、10 ギガビット イーサネット モジュラー ポート コンセントレータ countdiscard (MPC)、60 ギガビット イーサネット MPC、60 ギガビット キューイング イーサネット MPC、または MX シリーズ ルーター上の 60 ギガビット イーサネット 拡張キューイング MPC のインターフェイスを必要とせずに、終了アクションなしで、終了しないアクションを使用できます。
概要
この例では、標準的なステートレス ファイアウォール フィルタを使用して、IP オプション値を含むが他のすべてのパケットを受け入れるパケットをカウントおよび破棄します。
IP オプション ヘッダー フィールドは、IPv4 ヘッダーのオプション フィールドのみです。And ip-optionsip-options-except match 条件は、標準のステートレスファイアウォールフィルターとサービスフィルターでのみサポートされます。
M と T シリーズのルーターでは、ファイアウォールip-optionsフィルターは、1つのオプションタイプとインターフェイスごとにパケットをカウントできません。このshow pfe statistics ip optionsコマンドを使用して、パケット転送エンジン (pfe ip-options ) 単位で統計情報を確認することは、制限された回避策です。サンプル出力にpfe 統計 ip を表示するを参照してください。
構成
次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLI、 設定モードでの CLI エディターの使用 を参照してください。
この例を構成するには、以下のタスクを実行します。
CLI クイック構成
この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
ステートレスファイアウォールフィルターを構成します。
順を追った手順
ステートレスファイアウォールフィルターを構成するには、次のようにします。
ステートレスファイアウォールフィルター
block_ip_optionsを作成します。[edit] user@host# edit firewall family inet filter block_ip_options
IP オプションヘッダーフィールドを含むパケットをカウントおよび破棄するように、最初の条件を構成します。
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
その他のすべてのパケットを受け入れるようにもう1つの条件を設定します。
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
ステートレスファイアウォールフィルターを論理インターフェイスに適用します。
順を追った手順
ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。
ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
論理インタフェースのインタフェースアドレスを設定します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
ステートレスファイアウォールフィルターを論理インターフェイスに適用します。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
受験者の構成を確認して確定します。
順を追った手順
候補の設定を確認してからコミットするには、以下のようにします。
show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }デバイスの設定が完了したら、受験者の設定を確定します。
[edit] user@host# commit
検証
構成が正常に機能していることを確認show firewall filter block_ip_optionsするには、運用モードコマンドを入力します。破棄されたパケット数を個別に表示するshow firewall count option_anyには、コマンドのフォームを入力します。