EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para contar paquetes de opciones IP
En este ejemplo se muestra cómo usar un filtro de firewall sin estado para contar paquetes de opciones IP individuales:
Requisitos
En este ejemplo se utiliza una interfaz en un concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, un MPC de Ethernet de 60 Gigabit, un MPC de cola de 60 Gigabit o un MPC de cola mejorada de 60 Gigabit Ethernet en un enrutador de la serie MX. Esta interfaz permite aplicar un filtro de firewall IPv4 (filtro estándar o de servicio) que puede utilizar las acciones , y las countacciones de no terminación en paquetes que coincidan con un valor específico sin tener que utilizar también la acción de terminación.logsyslogip-optiondiscard
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se usa un filtro de firewall sin estado para contar paquetes de opciones IP, pero no para bloquear ningún tráfico. Además, el filtro registra los paquetes que tienen un enrutamiento de origen flexible o estricto.
El campo de encabezado de opción IP es un campo opcional solo en los encabezados IPv4. Las condiciones de coincidencia y solo se admiten para filtros de firewall sin estado estándar y filtros de servicio.ip-optionsip-options-except
En los enrutadores de las series M y T, los filtros de firewall no pueden contar paquetes por tipo de opción y por interfaz.ip-options Una solución limitada es usar el comando para ver estadísticas por motor de reenvío de paquetes (PFE).show pfe statistics ip optionsip-options Consulte mostrar ip de estadísticas de pfe para ver ejemplos de salida.https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-pfe-statistics-ip.html
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme su configuración candidata
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet filter ip_options_filter term match_strict_source from ip-options strict-source-route set firewall family inet filter ip_options_filter term match_strict_source then count strict_source_route set firewall family inet filter ip_options_filter term match_strict_source then log set firewall family inet filter ip_options_filter term match_strict_source then accept set firewall family inet filter ip_options_filter term match_loose_source from ip-options loose-source-route set firewall family inet filter ip_options_filter term match_loose_source then count loose_source_route set firewall family inet filter ip_options_filter term match_loose_source then log set firewall family inet filter ip_options_filter term match_loose_source then accept set firewall family inet filter ip_options_filter term match_record from ip-options record-route set firewall family inet filter ip_options_filter term match_record then count record_route set firewall family inet filter ip_options_filter term match_record then accept set firewall family inet filter ip_options_filter term match_timestamp from ip-options timestamp set firewall family inet filter ip_options_filter term match_timestamp then count timestamp set firewall family inet filter ip_options_filter term match_timestamp then accept set firewall family inet filter ip_options_filter term match_router_alert from ip-options router-alert set firewall family inet filter ip_options_filter term match_router_alert then count router_alert set firewall family inet filter ip_options_filter term match_router_alert then accept set firewall family inet filter ip_options_filter term match_all then accept set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30 set interfaces ge-0/0/1 unit 0 family inet filter input ip_options_filter
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado:ip_option_filter
Cree el filtro de firewall sin estado.
ip_option_filter[edit] user@host# edit firewall family inet filter ip_options_filter
Configure el primer término para contar, registrar y aceptar paquetes con el campo de encabezado opcional IP.
strict_source_route[edit firewall family inet filter ip_option_filter] user@host# set term match_strict_source from ip-options strict_source_route user@host# set term match_strict_source then count strict_source_route user@host# set term match_strict_source then log user@host# set term match_strict_source then accept
Configure el siguiente término para contar, registrar y aceptar paquetes con el campo de encabezado opcional IP.
loose-source-route[edit firewall family inet filter ip_option_filter] user@host# set term match_loose_source from ip-options loose-source-route user@host# set term match_loose_source then count loose_source_route user@host# set term match_loose_source then log user@host# set term match_loose_source then accept
Configure el siguiente término para contar y aceptar paquetes con el campo de encabezado opcional IP.
record-route[edit firewall family inet filter ip_option_filter] user@host# set term match_record from ip-options record-route user@host# set term match_record then count record_route user@host# set term match_record then accept
Configure el siguiente término para contar y aceptar paquetes con el campo de encabezado opcional IP.
timestamp[edit firewall family inet filter ip_option_filter] user@host# set term match_timestamp from ip-options timestamp user@host# set term match_timestamp then count timestamp user@host# set term match_timestamp then accept
Configure el siguiente término para contar y aceptar paquetes con el campo de encabezado opcional IP.
router-alert[edit firewall family inet filter ip_option_filter] user@host# set term match_router_alert from ip-options router-alert user@host# set term match_router_alert then count router_alert user@host# set term match_router_alert then accept
Cree el último término para aceptar cualquier paquete sin incrementar ningún contador.
[edit firewall family inet filter ip_option_filter] user@host# set term match_all then accept
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a una interfaz lógica:
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure la dirección de interfaz para la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Aplique el filtro de firewall sin estado a la interfaz lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input ip_options_filter
Confirme y confirme su configuración candidata
Procedimiento paso a paso
Para confirmar y confirmar la configuración del candidato:
Confirme la configuración del filtro de firewall sin estado introduciendo el comando de modo de configuración.
show firewallSi el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show firewall family inet { filter ip_options_filter { term match_strict_source { from { ip-options strict-source-route; } then { count strict_source_route; log; accept; } } term match_loose_source { from { ip-options loose-source-route; } then { count loose_source_route; log; accept; } } term match_record { from { ip-options record-route; } then { count record_route; accept; } } term match_timestamp { from { ip-options timestamp; } then { count timestamp; accept; } } term match_router_alert { from { ip-options router-alert; } then { count router_alert; accept; } } term match_all { then accept; } } }Confirme la configuración de la interfaz introduciendo el comando de modo de configuración.
show interfacesSi el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input ip_option_filter; } address 10.1.2.3/30; } } }Si ha terminado de configurar el dispositivo, confirme la configuración candidata.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, introduzca el comando de modo operativo.show firewall filter ip_option_filter También puede mostrar el registro y los contadores individuales por separado mediante las siguientes formas del comando:
show firewall counter strict_source_routeshow firewall counter loose_source_routeshow firewall counter record_routeshow firewall counter timestampshow firewall counter router_alertshow firewall log