Для примера выполню настройку unicast RPF (reverse-path forwarding) на Juniper MX204.
RPF позволяет снизить влияние атак типа DOS на IPv4 и IPv6 интерфейсы.
Для начала создадим фильтр:
1 2 3 4 5 6 | edit firewall filter rpf-pass-dhcp-ixnfo set term allow-dhcp from destination-port dhcp set term allow-dhcp from destination-address 255.255.255.255/32 set term allow-dhcp then count rpf-dhcp-traffic set term allow-dhcp then accept set term discard-all then discard |
И теперь применим его к нужному динамическому профилю:
1 2 3 4 | edit dynamic-profiles edit DHCP-IP-Demux interfaces demux0 unit "$junos-interface-unit" family inet set mac-validate strict set rpf-check fail-filter rpf-pass-dhcp-ixnfo |
Unicast RPF имеет строгий и свободный режимы, в динамическом профиле по умолчанию используется строгий режим, пример включения свободного режима:
1 | set rpf-check mode loose |
Начиная с версии 19.1R1 можно посмотреть статистику на динамическом логическом интерфейсе:
1 | run show interfaces statistics demux0 detail | match RPF |
Если динамический профиль уже используется пользователями, то чтобы применить в нем изменения можно завершить сессии (если это не критично):
1 2 3 | run show subscribers run clear dhcp server binding all commit |
Либо можно включить опцию которая применит новую версию динамического профиля к новым пользователям, а старая версия будет использоваться пока пользователи не переподключатся:
1 | set system dynamic-profile-options versioning |
Смотрите также мою статью:
Настройка Juniper MX204