Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: IP 옵션 패킷을 카운트하고 삭제하도록 필터 구성

이 예는 패킷을 계산하도록 표준 무상태 방화벽을 구성하는 방법을 보여줍니다.

요구 사항

이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

필터 용어는 모든 IP 옵션 값과 일치하기 때문에 필터 용어는 종료 작업 없이 discard 또는 (대안으로) MX 시리즈 라우터의 10기가비트 이더넷 MPC(Modular Port Concentrator), 60기가비트 이더넷 MPC, 60기가비트 큐잉 이더넷 MPC 또는 60기가비트 이더넷 Enhanced 큐잉 MPC에서 인터페이스를 요구하지 않고 비 종료 작업을 사용할 count 수 있습니다.

개요

이 예에서는 표준 무상태 방화벽 필터를 사용하여 IP 옵션 값을 포함하지만 다른 모든 패킷은 수락하는 패킷을 계산하고 삭제합니다.

IP 옵션 헤더 필드는 IPv4 헤더 전용의 선택적 필드입니다. ip-optionsip-options-except 일치 조건은 표준 상태 비저장 방화벽 필터 및 서비스 필터에 대해서만 지원됩니다.

주:

M 및 T 시리즈 라우터에서 방화벽 필터는 옵션 유형 및 인터페이스 기준에 따라 ip-options 패킷을 카운트할 수 없습니다. 제한된 해결 방법은 명령을 사용하여 show pfe statistics ip options PFE(패킷 전달 엔진)별로 통계를 보는 ip-options 것입니다. 샘플 출력은 pfe 통계 ip 표시를 참조하십시오.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.

이 예를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit] .

무상태 방화벽 필터 구성

단계별 절차

무상태 방화벽 필터 구성하기:

  1. 무상태 방화벽 필터를 block_ip_options생성합니다.

  2. IP 옵션 헤더 필드를 포함하는 패킷을 카운트하고 삭제하도록 첫 번째 용어를 구성합니다.

  3. 다른 모든 패킷을 수락하도록 다른 용어를 구성합니다.

논리적 인터페이스에 무상태 방화벽 필터 적용

단계별 절차

논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:

  1. 무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.

  2. 논리적 인터페이스의 인터페이스 주소를 구성합니다.

  3. 논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.

후보 구성 확인 및 커밋

단계별 절차

후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.

  1. 구성 모드 명령을 입력하여 무상태 방화벽 필터의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  2. 구성 모드 명령을 입력하여 show interfaces 인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  3. 디바이스 구성을 완료하면 후보 구성을 커밋합니다.

검증

구성이 제대로 작동하는지 확인하려면 작동 모드 명령을 show firewall filter block_ip_options 입력합니다. 폐기된 패킷 수를 별도로 표시하려면 명령의 형식을 입력합니다 show firewall count option_any .