Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de un filtro para contar paquetes de opciones IP

En este ejemplo se muestra cómo usar un filtro de firewall sin estado para contar paquetes de opciones IP individuales:

Requisitos

En este ejemplo se utiliza una interfaz en un concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, un MPC de Ethernet de 60 Gigabit, un MPC de cola de 60 Gigabit o un MPC de cola mejorada de 60 Gigabit Ethernet en un enrutador de la serie MX. Esta interfaz permite aplicar un filtro de firewall IPv4 (filtro estándar o de servicio) que puede utilizar las acciones , logy syslog las countacciones de no terminación en paquetes que coincidan con un valor específico ip-option sin tener que utilizar también la acción de discard terminación.

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se usa un filtro de firewall sin estado para contar paquetes de opciones IP, pero no para bloquear ningún tráfico. Además, el filtro registra los paquetes que tienen un enrutamiento de origen flexible o estricto.

El campo de encabezado de opción IP es un campo opcional solo en los encabezados IPv4. Las ip-options condiciones de coincidencia y ip-options-except solo se admiten para filtros de firewall sin estado estándar y filtros de servicio.

Nota:

En los enrutadores de las series M y T, los filtros de firewall no pueden contar ip-options paquetes por tipo de opción y por interfaz. Una solución limitada es usar el show pfe statistics ip options comando para ver ip-options estadísticas por motor de reenvío de paquetes (PFE). Consulte mostrar ip de estadísticas de pfe para ver ejemplos de salida.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configurar el filtro de firewall sin estado

Procedimiento paso a paso

Para configurar el filtro ip_option_filterde firewall sin estado:

  1. Cree el filtro ip_option_filterde firewall sin estado.

  2. Configure el primer término para contar, registrar y aceptar paquetes con el strict_source_route campo de encabezado opcional IP.

  3. Configure el siguiente término para contar, registrar y aceptar paquetes con el loose-source-route campo de encabezado opcional IP.

  4. Configure el siguiente término para contar y aceptar paquetes con el record-route campo de encabezado opcional IP.

  5. Configure el siguiente término para contar y aceptar paquetes con el timestamp campo de encabezado opcional IP.

  6. Configure el siguiente término para contar y aceptar paquetes con el router-alert campo de encabezado opcional IP.

  7. Cree el último término para aceptar cualquier paquete sin incrementar ningún contador.

Aplicar el filtro de firewall sin estado a una interfaz lógica

Procedimiento paso a paso

Para aplicar el filtro de firewall sin estado a una interfaz lógica:

  1. Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.

  2. Configure la dirección de interfaz para la interfaz lógica.

  3. Aplique el filtro de firewall sin estado a la interfaz lógica.

Confirme y confirme su configuración candidata

Procedimiento paso a paso

Para confirmar y confirmar la configuración del candidato:

  1. Confirme la configuración del filtro de firewall sin estado introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  2. Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

  3. Si ha terminado de configurar el dispositivo, confirme la configuración candidata.

Verificación

Para confirmar que la configuración funciona correctamente, introduzca el comando de show firewall filter ip_option_filter modo operativo. También puede mostrar el registro y los contadores individuales por separado mediante las siguientes formas del comando:

  • show firewall counter strict_source_route

  • show firewall counter loose_source_route

  • show firewall counter record_route

  • show firewall counter timestamp

  • show firewall counter router_alert

  • show firewall log