비디오: Juniper Lightboard Series - Intro to Juniper Routing - Part 1 2024
모든 인터페이스가 중요하지만 루프백 (lo0) 인터페이스는 라우팅 엔진에 대한 링크이기 때문에 가장 중요합니다. 모든 라우팅 프로토콜을 모니터링합니다. 이 기사에서는 라우팅 엔진을 보호하는 방화벽 필터의 골격에 대해 설명합니다. 이 예제를 청사진으로 사용하여 라우터에 적합한 필터를 설계 할 수 있습니다. 필터는 라우터의 lo0 인터페이스에 적용됩니다.
BGP 및 IS-IS 라우팅 프로토콜-
RADIUS, SSH 및 텔넷 액세스
-
SNMP ->
-
이 필터는 일반적인 IPv4 설치를 위해 구성된 라우터 용입니다. NMS 액세스
-
NTP
-
방화벽 필터는 순서대로 평가되기 때문에 가장 중요한 시간 항목 인 라우팅 프로토콜을 먼저 배치하십시오. 다음 set 명령을 사용하여 알려진 BGP 피어 및 알려진 IS-IS 이웃 라우터의 트래픽을 허용합니다.
peer-address1
소스 주소에서 bgp-filter를 설정합니다. peer-address2 set term bgp-filter from protocol tcp set term bgp-filter from port bgp set term bgp-filter then accept 그런 다음 DNS 트래픽을 허용합니다 (호스트 이름 확인 용).] 소스 주소에서 용어 dns-filter를 설정합니다. 네트워크 주소
프로토콜에서 용어 dns-filter를 설정합니다. [TCP udp] 포트 도메인에서 용어 dns- 필터를 설정합니다. set term dns-filter then accept
RADIUS, SSH, 텔넷 및 SNMP NMS 트래픽 허용:radius-server-address2
set term 반경 - 소스 포트 반경에서 필터 set term 반경 필터 다음 set term 채택 source-address에서 ssh-telnet-filternetwork-address1 set term ssh-telnet -filter from source-address network-address2 set term 프로토콜로부터의 ssh-telnet-filter -tcp term을 설정합니다. ssh-telnet-filter from destination-port [ssh telnet] set term ssh-telnet-filter 그런 다음 set을 수락합니다. source-address에서 용어 snmp-filter network-address1 set term 소스 주소에서 snmp-filter network-address2 set term 프로토콜에서 UDP snmp 필터 set term 대상에서 snmp 필터 -port snmp set term snmp-filter then accept 수락 할 마지막 트래픽은 NTP 시간 서버와 ICMP 프로토콜 (IPv4 오류 메시지를 보냄)에서 온 것입니다. [edit firewall-filter routing-engine] set term ntp- 필터 from source-address server-address1 set term ntp-filter from source-address 서버 주소 2set term ntp-filter from source-address
1270. 0.19 999 용어 프로토콜에서 UDP 필터를 설정 udp 용어를 설정 ntp 필터 ntp를 설정 용어 ntp 필터를 누른 다음 용어를 받아 들인다 프로토콜에서 icmp - 필터 icmp 설정 용어 icmp - 필터 icmp - 유형에서 [반향 -request echo-reply 도달 할 수없는 시간 초과 된 source-quench] set term icmp-filter then accept 필터의 마지막 부분은 다른 모든 트래픽을 명시 적으로 삭제합니다. [edit firewall-filter routing-engine] set term discard 나머지는 count counter-filename set term 파기 - 나머지 - log set term 파기 - 나머지 - syslog set term 파기 - 나머지 - 거부 나머지 syslog 메시지를 넣을 파일: fred @ router # syslog 파일 설정파일 이름
firewall any 마지막으로 방화벽 루프백 인터페이스에 방화벽 필터를 적용합니다. > [편집 인터페이스] fred @ router # set lo0 unit 0 패밀리 inet 필터 입력 라우팅 엔진
