EN ESTA PÁGINA
Ejemplo: Configurar un filtro de salida basado en direcciones IP de origen o destino IPv6
En este ejemplo, se muestra cómo configurar un filtro de firewall para aceptar paquetes IPv6 que salida de una inet6 interfaz.
Requisitos
En este tema se describe una función compatible con EX4300 y QFX5100 que se introdujo en Junos OS versión 19.1R1. No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se crea un filtro de firewall típico para aceptar paquetes de origen y destino IPv6 en la dirección de salida de una inet6 interfaz. Sin embargo, para admitir el filtrado en la dirección de salida, primero deberá configurar la set system packet-forwarding-options eracl-ip6-match opción usar srcip6-and-destip6 o srcip6-only . También deberá reiniciar el motor de reenvío de paquetes (PFE) después de confirmar la configuración.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
- Configuración rápida de CLI
- Habilite el sistema para el filtrado de direcciones IPv6
- Aplicar el filtro de firewall a una interfaz de salida
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
Habilite el sistema para el filtrado de direcciones IPv6
Procedimiento paso a paso
Para configurar un filtro de firewall para el filtrado IPv6 en una inet6 interfaz de salida:
Habilite las opciones de reenvío de paquetes para coincidir en direcciones IP de origen IPv6 o ip de origen y destino IPv6. En este ejemplo, habilitaremos la coincidencia de direcciones IP de origen y destino.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
Compruebe y, si corresponde, elimine los filtros de firewall existentes que ya estén vinculados a la interfaz que utilizará para el filtro de firewall IPv6:
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
Confirme los cambios anteriores, luego detenga y reinicie el PFE para aceptar
packet-forwarding-optionsy borrar el PFE para los filtros IPv6.Para EX4300, utilice lo siguiente:
user@host# commit user@host# run request restart pfe-manager
Para el chasis virtual EX4300, utilice lo siguiente:
user@host# commit user@host# run request system reboot all-members
Para QFX5100, reinicie el sistema:
user@host# commit user@host# run request system reboot
Cree un filtro de firewall IPv6 denominado tcp_filter.
[edit] user@host# edit firewall family inet6 filter tcp_filter
Configure la acción de filtro necesaria para hacer coincidir paquetes con una dirección de origen o destino IPv6 dentro del rango configurado.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
Especifique que los paquetes coincidentes se cuentan, se registran en el búfer en el PFE y se aceptan.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
Aplicar el filtro de firewall a una interfaz de salida
Procedimiento paso a paso
Para aplicar el filtro de firewall a una interfaz inet6 de salida, escriba lo siguiente:
user@host # set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }Cuando termine de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit