Для примера выполню настройку unicast RPF (reverse-path forwarding) на Juniper MX204.
RPF позволяет снизить влияние атак типа DOS на IPv4 и IPv6 интерфейсы.
Для начала создадим фильтр:
edit firewall filter rpf-pass-dhcp-ixnfo
set term allow-dhcp from destination-port dhcp
set term allow-dhcp from destination-address 255.255.255.255/32
set term allow-dhcp then count rpf-dhcp-traffic
set term allow-dhcp then accept
set term discard-all then discard
И теперь применим его к нужному динамическому профилю:
edit dynamic-profiles
edit DHCP-IP-Demux interfaces demux0 unit "$junos-interface-unit" family inet
set mac-validate strict
set rpf-check fail-filter rpf-pass-dhcp-ixnfo
Unicast RPF имеет строгий и свободный режимы, в динамическом профиле по умолчанию используется строгий режим, пример включения свободного режима:
set rpf-check mode loose
Начиная с версии 19.1R1 можно посмотреть статистику на динамическом логическом интерфейсе:
run show interfaces statistics demux0 detail | match RPF
Если динамический профиль уже используется пользователями, то чтобы применить в нем изменения можно завершить сессии (если это не критично):
run show subscribers
run clear dhcp server binding all
commit
Либо можно включить опцию которая применит новую версию динамического профиля к новым пользователям, а старая версия будет использоваться пока пользователи не переподключатся:
set system dynamic-profile-options versioning
Смотрите также мою статью:
Настройка Juniper MX204