Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro de salida basado en direcciones IP de origen o destino IPv6

En este ejemplo se muestra cómo configurar un filtro de firewall para aceptar paquetes IPv6 que salen de una inet6 interfaz.

Requisitos

En este tema se describe una función compatible con EX4300 y QFX5100 que se introdujo en Junos OS versión 19.1R1. No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se crea un filtro de firewall típico para aceptar paquetes de origen y destino IPv6 en la dirección de salida de una inet6 interfaz. Sin embargo, para admitir el filtrado en la dirección de salida, primero deberá establecer la set system packet-forwarding-options eracl-ip6-match opción using the srcip6-and-destip6 o srcip6-only . También deberá reiniciar el motor de reenvío de paquetes (PFE) después de confirmar la configuración.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Habilitar el sistema para el filtrado de direcciones IPv6

Procedimiento paso a paso

Para configurar un filtro de firewall para el filtrado IPv6 en una inet6 interfaz de salida:

  1. Habilite las opciones de reenvío de paquetes para que coincidan en el origen IPv6 o en las direcciones IP de origen y destino IPv6. En este ejemplo, habilitaremos la coincidencia de direcciones IP de origen y destino.

  2. Compruebe y, si corresponde, elimine los filtros de firewall existentes que ya estén enlazados a la interfaz que utilizará para el filtro de firewall IPv6:

  3. Confirme los cambios anteriores y, a continuación, detenga y reinicie el PFE para aceptar el packet-forwarding-options PFE y borrar el PFE para los filtros IPv6.

    • Para el EX4300, utilice lo siguiente:

    • Para el chasis virtual EX4300, utilice lo siguiente:

    • Por QFX5100, reinicie el sistema:

  4. Cree un filtro de firewall IPv6 denominado tcp_filter.

  5. Configure aquí la acción de filtrado necesaria para hacer coincidir los paquetes con una dirección de origen o destino IPv6 dentro del rango configurado.

  6. Especifique que los paquetes coincidentes se cuentan, se registran en el búfer del PFE y se aceptan.

Aplicar el filtro de firewall a una interfaz de salida

Procedimiento paso a paso

Para aplicar el filtro de firewall a una interfaz inet6 de salida, escriba lo siguiente:

  • user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter

Confirme y confirme su configuración candidata

Procedimiento paso a paso

Para confirmar y confirmar la configuración del candidato:

  1. Confirme la configuración del filtro de firewall introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Cuando haya terminado de configurar el dispositivo, confirme la configuración candidata.