EN ESTA PÁGINA
Ejemplo: Configuración de un filtro de salida basado en direcciones IP de origen o destino IPv6
En este ejemplo se muestra cómo configurar un filtro de firewall para aceptar paquetes IPv6 que salen de una inet6
interfaz.
Requisitos
En este tema se describe una función compatible con EX4300 y QFX5100 que se introdujo en Junos OS versión 19.1R1. No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall típico para aceptar paquetes de origen y destino IPv6 en la dirección de salida de una inet6
interfaz. Sin embargo, para admitir el filtrado en la dirección de salida, primero deberá establecer la set system packet-forwarding-options eracl-ip6-match
opción using the srcip6-and-destip6
o srcip6-only
. También deberá reiniciar el motor de reenvío de paquetes (PFE) después de confirmar la configuración.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
- Configuración rápida de CLI
- Habilitar el sistema para el filtrado de direcciones IPv6
- Aplicar el filtro de firewall a una interfaz de salida
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
Habilitar el sistema para el filtrado de direcciones IPv6
Procedimiento paso a paso
Para configurar un filtro de firewall para el filtrado IPv6 en una inet6
interfaz de salida:
Habilite las opciones de reenvío de paquetes para que coincidan en el origen IPv6 o en las direcciones IP de origen y destino IPv6. En este ejemplo, habilitaremos la coincidencia de direcciones IP de origen y destino.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
Compruebe y, si corresponde, elimine los filtros de firewall existentes que ya estén enlazados a la interfaz que utilizará para el filtro de firewall IPv6:
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
Confirme los cambios anteriores y, a continuación, detenga y reinicie el PFE para aceptar el
packet-forwarding-options
PFE y borrar el PFE para los filtros IPv6.Para el EX4300, utilice lo siguiente:
user@host# commit user@host# run request restart pfe-manager
Para el chasis virtual EX4300, utilice lo siguiente:
user@host# commit user@host# run request system reboot all-members
Por QFX5100, reinicie el sistema:
user@host# commit user@host# run request system reboot
Cree un filtro de firewall IPv6 denominado tcp_filter.
[edit] user@host# edit firewall family inet6 filter tcp_filter
Configure aquí la acción de filtrado necesaria para hacer coincidir los paquetes con una dirección de origen o destino IPv6 dentro del rango configurado.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
Especifique que los paquetes coincidentes se cuentan, se registran en el búfer del PFE y se aceptan.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
Aplicar el filtro de firewall a una interfaz de salida
Procedimiento paso a paso
Para aplicar el filtro de firewall a una interfaz inet6 de salida, escriba lo siguiente:
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall introduciendo el comando de
show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }
Confirme la configuración de la interfaz introduciendo el comando de
show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }
Cuando haya terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit