Video: Configuring IP address and static route on Juniper router 2024
Tüm arabirimler önemlidir, ancak döngü (lo0) arabirimi belki de en önemlisidir, çünkü bu, çalışan ve tüm yönlendirme protokollerini izler. Bu makale, Yönlendirme Altyapısı'nı koruyan bir güvenlik duvarı filtresinin iskeletini sağlar. Bu örneği, yönlendiriciniz için uygun filtreyi tasarlamak için bir plan olarak kullanabilirsiniz. Filtre, yönlendiricinin lo0 arabirimine uygulanır.
IPv4-
BGP ve IS-IS yönlendirme protokolleri
-
RADIUS, SSH ve Telnet erişimi
-
SNMP NMS erişimi
-
NTP
-
Güvenlik duvarı filtreleri sırayla değerlendirildiğinden önce en kritik öğeleri (yönlendirme protokolleri) yerleştirin. Bilinen BGP akranlarınızdan ve bilinen IS-IS komşularından AS ile şu set komutlarını kullanarak trafiği kabul edin:
peer-address1 set terimi bgp-filter from source-address peer-address2 set term bgp-filter from protokol tcp teriminin ayarlanması bgp-filter from port bgp teriminin ayarlanması bgp-filter then accept Sonra DNS trafiğini kabul et (hostname çözümlemesi için):
[edit firewall-filter routing-engine] set term dns-filter from source-address
ağ adresi teriminin ayarlanması dns-filter from protocol [tcp udp] teriminin ayarlanması dns-filter from port etki alanı kümesi term dns-filter then accept RADIUS, SSH, Telnet ve SNMP NMS trafiğini kabul edin:
yarıçapı-sunucu-adresi1
şartı ayarla yarıçap filtresi kaynaktan-adresi yarıçapı-sunucu-adresi2 set term yarıçapı-kaynaktan filtre-port yarıçapı set term yarıçapı-filtre sonra set terimini kabul et ssh-telnet-filter from source-address ağ-adresi1 şart koşulu ssh-telnet - süzgeç kaynak-adresi ağ-adresi2 teriminin ayarlanması ssh-telnet-protokol filtresinden tcp teriminin ayarlanması ssh-telnet-filter from destination-port [ssh telnet] teriminin ayarlanması ssh-telnet-filter then set kabul et kaynak-adresinden ağ-adresi1 dönemi snmp-filtresi kaynak-adresinden ağ-adresi2 dönemi ayarla snmp-filter from protocol udp set term snmp-filter from destination -port snmp terimini ayarla snmp-filter then accept Kabul etmek için son trafik NTP zaman sunucularından ve ICMP protokolünden (IPv4 hata mesajlarını gönderir) gelir: [edit firewall-filter routing-engine] ntp filtre kaynak adresinden
server-address1
terimini ayarla ntp-filter from source-address sunucu-adresi2 terim ntp-filter from source-address 127.0 0. 1 ayar terimi protokolden ntp filtresi udp kümesi terimi ntp-filtresi porttan ntp set terimi ntp-filtre sonra set termini kabul et icmp-filtre protokolünden icmp set term icmp-filtre icmp-type [eko -quate echo-reply ulaşılamaz zaman aşımlı kaynak-söndürme] term icmp-filter'i ayarla sonra 'ı kabul et Filtrenin son kısmı tüm diğer trafiği açıkça atar: [edit firewall-filter routing-engine] dinlenme sonra sayım
karşı dosya adı
teriminin atılmasını ayarla dinlenme sonra log set dönemi atın dinlenme sonra syslog kümesi teriminin atılmasını dinlenme sonra reddetme syslog mesajlarının yerleştirileceği dosya: [düzen değiştir] fred @ router # syslog dosyası ayarla
dosya adı
güvenlik duvarı any Ve son olarak, güvenlik duvarının filtresini yönlendiricinin geri döngü arabirimine uygulayın: > [arabirimleri değiştir] fred @ router # set lo0 unit 0 ailenin inet filtresi girişi yönlendirme motoru
