EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para contar y descartar paquetes de opciones IP
En este ejemplo, se muestra cómo configurar un firewall estándar sin estado para contar paquetes.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Dado que el término de filtro coincide con cualquier valor de opción ip, el término de filtro puede usar la count acción nominatoria sin la discard acción de finalización o (alternativamente) sin necesidad de una interfaz en un concentrador de puertos modulares (MPC) de 10 Gigabit Ethernet, MPC de 60 Gigabit Ethernet, MPC de Ethernet de cola de 60 Gigabit o MPC de cola mejorada de 60 Gigabit Ethernet en un enrutador serie MX.
Descripción general
En este ejemplo, utilice un filtro de firewall sin estado estándar para contar y descartar paquetes que incluyan cualquier valor de opción de IP, pero que acepten todos los demás paquetes.
El campo de encabezado de opción IP es un campo opcional solo en encabezados IPv4. ip-options-except Solo ip-options se admiten las condiciones de y coincidencia para los filtros de servicio y los filtros de servicio de firewall estándar sin estado.
En los enrutadores serie M y T, los filtros de firewall no pueden contar ip-options paquetes por tipo de opción y por interfaz. Un trabajo limitado es usar el show pfe statistics ip options comando para ver ip-options estadísticas según el motor de reenvío de paquetes (PFE). Consulte show pfe statistics ip para ver la salida de muestra.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet filter block_ip_options term 10 from ip-options any set firewall family inet filter block_ip_options term 10 then count option_any set firewall family inet filter block_ip_options term 10 then discard set firewall family inet filter block_ip_options term 999 then accept set interfaces ge-0/0/1 unit 0 family inet filter input block_ip_options set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado:
Cree el filtro de firewall sin estado
block_ip_options.[edit] user@host# edit firewall family inet filter block_ip_options
Configure el primer término para contar y descartar paquetes que incluyan cualquier campo de encabezado de opciones ip.
[edit firewall family inet filter block_ip_options] user@host# set term 10 from ip-options any user@host# set term 10 then count option_any user@host# set term 10 then discard
Configure el otro término para aceptar todos los demás paquetes.
[edit firewall family inet filter block_ip_options] user@host# set term 999 then accept
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input block_ip_options
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter block_ip_options { term 10 { from { ip-options any; } then { count option_any; discard; } } term 999 { then accept; } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input block_ip_options; } address 10.1.2.3/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, ingrese el comando de show firewall filter block_ip_options modo operativo. Para mostrar el recuento de paquetes descartados por separado, escriba el show firewall count option_any formulario del comando.