term 是策略中的最基础,一个term中包含多个匹配条件或多个动作,当所有匹配条件都被匹配时,执行指定的所有动作。一个term可以认为是CISCO的一行。
一个策略中可以包含多个term,路由器按顺序执行这些term。可以在策略配置层次下使用insert命令调整各个term的顺序。一个term被被匹配并执行后,如果执行动作不是next term,则路由器停止策略评估,不再继续。
多个策略可以组成策略链。
在from中,一个匹配条件里的多个参数间是逻辑或(因此同一匹配条件里的各种参数至少要有一个被匹配才能认为被匹配),不同条件间是逻辑与。
与CISCO一样,策略中有默认缺省动作。丢弃。
策略链:
一个策略链中包含多个策略,每个策略都被集中放置在policy-option中,这些策略的顺序取决于应用时你组织的策略链,而不是在policy-option中的顺序。
策略链中,当被执行了一个终结动作时(接受、拒绝、丢弃等)策略链即中止。在策略链中最后还存在一个缺省策略。
路由策略:
导入策略,影响路由进入路由表及本地路由选择进程。
导出策略,影响出去的路由及进入转发表的条目。只有活动路由才有资格被导出策略影响。导出策略不影响本地路由表。
针对OSPF的路由策略,只能用在协议层次上,而不能用在邻居、group上,因为要维护全局LSA数据库。
路由器只会使用最精确的策略,只有当低层次没有明确的策略时才会继承高级别的策略。
RIP的导入导出策略:
默认接受所有明确的RIP邻居发来的路由,默认不发送任何路由给其他路由器。因此配置RIP,需要明确配置export策略。
rip的导入策略可以配置在协议或邻居级别层次,但导出策略只能配置在组级别。
OSPF的导入导出策略:
默认接受所有路由。由于OSPF属于链路状态协议,各路由器都维护这一致的LSA数据库,由LSA数据库来产生路由,因此无法对路由进行策略来限制路由被装入路由表,更不能对LSA进行限制,因此OSPF的导出策略仅仅是为了限制其他路由源通过OSPF发布到其他路由器上。
OPSF的路由策略只能设置在协议层次级别上。
BGP的导入导出策略:
接受所有,导出活动
---------------
路由策略可匹配的选项有:协议类型、前缀列表、协议的属性、下一跳等。
前缀列表可以用在路由策略、firewall filters ,但是不能在基于状态的防火墙过滤上
前缀列表、路由过滤器可以采用的匹配参数:
longer,orlonger,exact
upto:一个连续的区间,包括头尾。注意匹配中并不是说是连续的IP地址,而是在那个范围的子网且掩码(前缀长度)也要在范围内。比如192.168.0.0/16 upto /24 中 192.168.65.22/32就不再这个范围内。
prefix-length-range :指定前缀的子网且前缀长度(掩码)是在指定的区间内的。注意不包括前缀自身,但区间长度的头尾都包括。例如:192.168.0.0/16 prefix-length-range /20-/24 ,192.168.0.0/16不包括,192.168.1.0/17不包括, 192.168.128.0/21包括,192.168.100.0/24也包括。
through: 包括头尾,然后从头开始算,每一个都是前面一个的子网,直到尾部,尾部也是前一个的子网,且前缀还需在指定的范围内.
例如172.17.36.0/22 through 172.17.39.0/24
首先172.17.36.0/22是一个,其次看前缀22到24之间只有一个23,所以要找172.17.36.0/22的/23子网是多少:
172.17.36.0/22的/23子网包括172.17.36.0/23 和172.17.38.0/23. 在这2个子网中还要看哪个的子网又包括有172.17.39.0/24,显然172.17.38.0/23的子网包括172.17.39.0/24。所以中间的应该选172.17.38.0/23,所以172.17.36.0/22 through 172.17.39.0/24表示172.17.36.0/22,172.17.38.0/23,172.17.39.0/24三个。
路由策略的终结动作 accept reject. 未命名的term总是被执行,因此非常适合配置为缺省动作。
prefix-list-filter中如果带有动作参数将导致这个参数被执行,term中then动作将不起效果。
firewall filter中,对于分片的TCP段,一般不处理第一个头,除非让路由器学习这种分片,有时这会带来不可预知的问题(后面的分段是不带TCP头的)。fragment-offset 0可以让路由器未分片段或分片中的第一个分片。
tcp-established,tcp-initial 是不检查单前数据包是否是TCP的,所以需要额外指定protocol tcp.
在firewall fileter动作的count, log ,syslog动作:
count统计匹配的计数器 。log记录匹配的数据。syslog以syslog日志记录下来。
show firewall filter 过滤器名 [counter 统计器名]
show firewall syslog
-----------------------------------------
The preferred method for determining the maximum burst size is to multiply the
interface’s speed by the amount of time bursts should be allowed at that bandwidth
level. For example, to allow bursts on a Fast Ethernet link for 5 milliseconds (a
reasonable value), use the following calculation:
burst size = bandwidth (=100,000,000 bits/sec) x allowable burst time (=5/1000s)
This calculation yields a burst size of 500,000 bits. You can divide this number by 8 to
convert it to bytes, which gives you a burst size of 62500 bytes.
You specify the bandwidth as a number of bits using the bandwidth-limit
statement or as a percentage of interface bandwidth using the
bandwidth-percent statement. You specify the maximum burst size as a number
of bytes using the burst-size-limit statement.
限制端口速率的两种办法:
1.在firewall filter中调用一个策略,这个策略限制速率
2.直接在端口的逻辑单元配置限制策略,input,output命令。
两者都配的,路由器按2--1顺序
firewall filters中可以嵌套一层firewall filters
通过lo0进行过滤时,务必注意要先开放路由协议等必须使用的通信。
URPF:
默认情况下,路由器只检查当前活动的路由,所以当到一个网络有多个路径时,应特别注意非对称路由,此时应打开set routing-option forwarding-table unicast-reverse-path feasible-patho,容许路由器检查所有可用的路由。(CISCO对此问题好像没有解决方法)
DHCP and the bootstrap protocol (BOOTP) requests will always fail the RPF checks. To
allow these requests, you must configure a fail filter that permits traffic with a source
address of 0.0.0.0 and destination address of 255.255.255.255. (对于这个问题CISCO是默认容许dhcp的)
fail filters 当URPF检测包是违规后,再由该filter对这些违规包进行动作 如记录等。类似于CISCO的带ACL和log的RPF命令。
--------------------------------
..............中间有很多service set的没有记录,因为没有很弄明白。。。。。。。。。。。。。。。汗
-----------------------------------
基于状态的防火墙及NAT:
当同时执行statefull firewall 和NAT时候,JUNIPER设备能够自动根据配置在statefull firewall中的ALG来自动执行合适的NAT。如果只执行NAT,则需要在NAT rules中设置ALG。
statefull firewall的动作有 accept,discard,reject,modifiers.其中接受和丢弃与无状态一样,reject动作对UDP协议发送ICMP错误信息,对TCP发送RST。
与无状态的不同,有状态的必须在每个term中有终结动作。
对目标地址只能作静态NAT。AS PIC不能对同一连接同时做源和目的NAT。这与CISCO不同,CISCO可以同时进行,而且都可是动态的。
基于状态的防火墙规则:
rules需要匹配方向
对] ]>
文章评论
已经转载 http://www.junipers.cn