Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
Scribd Logo
Carregar

Bem-vindo(a) ao Scribd!

  • 357 visualizações

    Ativacao MX204

    Enviado por

    Cassio Ti5
    Este documento fornece instruções para configurar e ativar um roteador Juniper MX204, incluindo: (1) configurar a senha do usuário root e criar um usuário de gerenciamento, (2) configurar a interface de gerenciamento fxp0, (3) configurar uma rota padrão e (4) salvar as configurações. Além disso, fornece recomendações sobre versões do Junos, download de software e configuração de interfaces.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd

    Ativacao MX204

    Enviado por

    Cassio Ti5
    357 visualizações12 páginas
    Este documento fornece instruções para configurar e ativar um roteador Juniper MX204, incluindo: (1) configurar a senha do usuário root e criar um usuário de gerenciamento, (2) configurar a interface de gerenciamento fxp0, (3) configurar uma rota padrão e (4) salvar as configurações. Além disso, fornece recomendações sobre versões do Junos, download de software e configuração de interfaces.

    Descrição original:

    Comando Juniper ativação

    Título original

    DOC-ATIVACAO-MX204

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Este documento fornece instruções para configurar e ativar um roteador Juniper MX204, incluindo: (1) configurar a senha do usuário root e criar um usuário de gerenciamento, (2) configurar a interface de gerenciamento fxp0, (3) configurar uma rota padrão e (4) salvar as configurações. Além disso, fornece recomendações sobre versões do Junos, download de software e configuração de interfaces.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    357 visualizações12 páginas

    Ativacao MX204

    Enviado por

    Cassio Ti5
    Este documento fornece instruções para configurar e ativar um roteador Juniper MX204, incluindo: (1) configurar a senha do usuário root e criar um usuário de gerenciamento, (2) configurar a interface de gerenciamento fxp0, (3) configurar uma rota padrão e (4) salvar as configurações. Além disso, fornece recomendações sobre versões do Junos, download de software e configuração de interfaces.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Fazer download em pdf ou txt
    Você está na página 1de 12

    DOCUMENTO ATIVAÇÃO MX204

    Este documento tem como objetivo, de uma forma sucinta informar ao administrador de rede os
    passos iniciais para ativação do roteador MX204.

    Configurações básicas

    Ao ligar o MX pela primeira vez o usuário padrão é root sem senha. Abaixo os passos necessários
    para que o router fique acessível na rede utilizando a interface fxp0 (interface ethernet da routing
    engine, com a finalidade de realizar gerência out of band).

    Após a inicialização do router, conectar no router via console, com o seguinte output:

    Amnesiac <ttyd0>
    login: root
    tart the CLI.
    root@% cli
    root>

    *Entrar no modo de configuração:


    root> configure
    Entering configuration mode.
    root@#

    *Configurar a senha do usuário root


    root@# set system root-authentication plain-text-password
    New password: password
    Retype new password: password
    [edit]

    *Criar um usuário e senha para gerenciamento da caixa


    root# set system login user “usuário” class super-user authentication plain-text-password
    New Password: password
    Retype new password: password

    *Configurar a interface fxp0 (interface ethernet da routing engine)


    set interfaces fxp0 unit 0 family inet address address/mascara

    *Configurar rota default


    set routing-options static route “subnet/mascara” next-hop “IP do next-hop”

    *Salvar as configurações e ativá-las em produção


    commit
    Recomendações de versão:

    O MX204 é suportado a partir do Junos 17.4, portanto, não devem ser utilizadas versões de Junos
    anteriores a esta.

    O download da versão, poderá ser realizado diretamente pelo site da Juniper www.juniper.net. Para
    realizar o download é necessário o cadastro no site do fabricante
    https://userregistration.juniper.net/entitlement/setupAccountInfo.do , sendo que, a ativação da conta
    deverá ser feita pelo serial number da caixa.

    Criação de conta no site da Juniper:

    É extremamente importando que seja criado uma conta no site da Juniper associando o serial number
    da caixa a ela.

    Link how-to para criação da conta na Juniper.

    https://kb.juniper.net/InfoCenter/index?page=content&id=KB9946&actp=METADATA

    Se a conta já está criada na Juniper e quiser realizar apenas associar o device a sua conta. Utilizar o
    link abaixo.

    https://prodsubreg.juniper.net/prodsubreg
    Instalação do Junos

    Realizar o download do Junos no site da Juniper (www.juniper.net) sessão support / download / junos /
    MX204. Selecionar a imagem VMHost 64-Bit conforme abaixo:

    *Favor sempre verificar com o time da WZTECH qual a versão recomedada, pois ela pode ser
    alterada.

    *Na presente data (16/11/2018) a versão recomendada é o Junos 18.1R3-S1

    Link para download:

    https://webdownload.juniper.net/swdl/dl/secure/site/1/record/83858.html?pf=MX204

    Após realizar o download realizar a cópia do software para o MX utilizando SCP, FTP, Pendrive e
    realizar a instalação.

    Como realizar a transferência dos arquivos para a caixa:

    https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/file-
    copy.html

    Como montar o pendrive no MX:

    https://kb.juniper.net/InfoCenter/index?page=content&id=KB12880&actp=METADATA

    Após realizar a transferência do arquivo realizar a instalação do software:

    request vmhost software add /var/tmp/junos-vmhost-install-mx-x86-64-18.1R3-S1.3.tgz


    no-validate

    *após a instalação ser concluída, realizar o reboot da caixa para ativação do novo software

    request vmhost reboot


    Recomendação de configurações gerais:

    Após o upgrade da caixa realizar a seguinte configuração padrão:

    set system time-zone America/Sao_Paulo


    set system no-multicast-echo
    set system no-redirects
    set system no-ping-record-route
    set system no-ping-time-stamp
    set system internet-options path-mtu-discovery
    set system internet-options tcp-drop-synfin-set
    set system internet-options ipv6-path-mtu-discovery
    set system internet-options no-tcp-reset drop-all-tcp
    set system ports console type vt100
    set system ports auxiliary disable
    set system services ssh root-login deny
    set system services ssh no-tcp-forwarding
    set system services ssh protocol-version v2
    set system services ssh connection-limit 20
    set system services ssh rate-limit 20
    set system login password format sha1
    set routing-options aggregate defaults discard
    set system login retry-options tries-before-disconnect 5
    set system login retry-options backoff-threshold 3
    set system login retry-options backoff-factor 10
    set system login retry-options lockout-period 2
    set chassis network-services enhanced-ip

    Após a configuração verificar se o network-services consta como enhaced-ip. Se não constar


    realizar o reboot da caixa (request vmhost reboot).

    show chassis network-services (deverá constar: Network Services Mode: Enhanced-IP)

    Configuração de interfaces no MX204

    O throughput total do MX204 é de 400Gbps full-duplex. Fisicamente o MX204 possui 4 interfaces


    de 100Gbps e 8x10Gbps, totalizando 480Gbps o que pode levar ao oversubscription do chipset. O
    oversubscription não é suportado, portanto se faz necessário selecionar quais interfaces ficarão
    ativas de forma manual. O default é todas as interfaces de 100Gbps como channelized (4x10Gbps) e
    as 8 interfaces de 10Gbps estarem operacionais.

    *Após alterar o modo de configuração da PIC é necessário realizar o reset da mesma.

    Para realizar o restart da PIC 0 ou 1 utilizar os comandos abaixo:

    request chassis pic fpc-slot 0 pic-slot “0 ou 1” offline

    request chassis pic fpc-slot 0 pic-slot “0 ou 1” online

    *Para verificar o status utilizar o comando show chassis fpc pic-status


    Abaixo exemplos de como configurar as interfaces. Todos os cenários possíveis de
    configuração estão descritos abaixo

    As interfaces interfaces presentes na PIC 0, podem operar em 100Gbps,40Gbps ou 10Gbps conforme


    consta na tabela abaixo.

    Abaixo a configuração (levando em consideração o ID do modelo de configuração).

    Modelo de Config 1

    set chassis fpc 0 pic 0 pic-mode 100G


    set chassis fpc 0 pic 0 number-of-ports 4
    set chassis fpc 0 pic 1 number-of-ports 0

    Modelo de Config 2

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 100g
    set chassis fpc 0 pic 0 port 2 speed 100g
    set chassis fpc 0 pic 0 port 3 speed 40g
    set chassis fpc 0 pic 1 number-of-ports 0
    Modelo de config 3

    set chassis fpc 0 pic 0 pic-mode 40G


    set chassis fpc 0 pic 0 number-of-ports 4
    set chassis fpc 0 pic 1 number-of-ports 0

    Modelo de Config 4

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 100g
    set chassis fpc 0 pic 0 port 2 speed 100g
    set chassis fpc 0 pic 0 port 3 speed 10g
    set chassis fpc 0 pic 1 number-of-ports 0

    Modelo de Config 5

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 100g
    set chassis fpc 0 pic 0 port 2 speed 100g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g

    Modelo de config 6

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 100g
    set chassis fpc 0 pic 0 port 2 speed 10g
    set chassis fpc 0 pic 0 port 3 speed 10g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g

    Modelo de config 7

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 100g
    set chassis fpc 0 pic 0 port 2 speed 40g
    set chassis fpc 0 pic 0 port 3 speed 40g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g
    Modelo de config 8

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 40g
    set chassis fpc 0 pic 0 port 2 speed 40g
    set chassis fpc 0 pic 0 port 3 speed 40g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g

    Modelo de config 9

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 40g
    set chassis fpc 0 pic 0 port 2 speed 40g
    set chassis fpc 0 pic 0 port 3 speed 10g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g

    Modelo de config 10

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 40g
    set chassis fpc 0 pic 0 port 2 speed 10g
    set chassis fpc 0 pic 0 port 3 speed 10g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g

    Modelo de config 11

    set chassis fpc 0 pic 0 port 0 speed 100g


    set chassis fpc 0 pic 0 port 1 speed 10g
    set chassis fpc 0 pic 0 port 2 speed 10g
    set chassis fpc 0 pic 0 port 3 speed 10g
    set chassis fpc 0 pic 1 port 0 speed 10g
    set chassis fpc 0 pic 1 port 1 speed 10g
    set chassis fpc 0 pic 1 port 2 speed 10g
    set chassis fpc 0 pic 1 port 3 speed 10g
    set chassis fpc 0 pic 1 port 4 speed 10g
    set chassis fpc 0 pic 1 port 5 speed 10g
    set chassis fpc 0 pic 1 port 6 speed 10g
    set chassis fpc 0 pic 1 port 7 speed 10g
    Modelo de config 12

    O modelo de config 12, já é o padrão de fábrica, não sendo necessário alterar nada em sua
    configuração. Se quiser fixar a configuração no chassis, segue a configuração abaixo:

    set chassis fpc 0 pic 0 pic-mode 10G


    set chassis fpc 0 pic 1 pic-mode 10G

    *Em caso de configuração inválida será apresentando o seguinte erro no syslog da caixa
    (arquivo messages)

    admin@mx204-lab-wztech# run show log messages | grep profile_isvalid

    Feb 5 14:26:59 mx204-lab-wztech chassisd[5031]: summit_pic_port_profile_isvalid: FPC[0]PIC[0]


    have invalid profile type 1, reson If pic 1 has active port > 0, max port for pic 0 can't be > 3

    Feb 5 14:26:59 mx204-lab-wztech chassisd[5031]: summit_pic_port_profile_isvalid: FPC[0]PIC[0]


    have invalid profile type 1, reson If pic 1 has active port > 0, max port for pic 0 can't be > 3

    Feb 5 14:26:59 mx204-lab-wztech chassisd[5031]: summit_pic_port_profile_isvalid: FPC[0]PIC[1]

    Além do erro no syslog será gerado também um alarme na caixa:

    admin@mx204-lab-wztech# run show chassis alarms

    2 alarms currently active

    Alarm time Class Description

    2018-02-05 14:26:59 BRST Minor FPC 0 PIC 1 Invalid port profile configuration

    2018-02-05 14:26:59 BRST Minor FPC 0 PIC 0 Invalid port profile configuration

    *A alteração do profile de configuração da PIC, deve ser ajustado durante janela de manutenção, pois
    é necessário uma nova programação no chipset (comunicação entre a FPC e a PIC).

    Para realizar o reset da PIC, utilizar os comandos abaixo:

    request chassis pic fpc-slot 0 pic-slot “slot 0 ou 1” offline

    request chassis pic fpc-slot 0 pic-slot “slot 0 ou 1” online

    Para verificar o status da PIC:

    show chassis fpc pic-status


    Utilizando breakout cable MX204

    Ao utilizar um breakout cable (Utilização de 4 interfaces de 10G nas interfaces de 100G) além de ser
    necessário alterar o modo de operação da porta (demostrado nos passos anteoriores). A interface
    lógica é criada de uma forma diferente.

    xe-0/0/0:0 up up
    xe-0/0/0:1 up up
    xe-0/0/0:2 up up
    xe-0/0/0:3 up up

    A interface xe-0/0/0 é a primeira porta QSFP28 (esquerda para direita olhando de frente para o
    equipamento) e as interfaces lógicas :0 a 3 são as 4 interfaces 10G lógicas configuradas.

    A configuração é toda realizada utilizando a interface lógica. Exemplo:

    set interfaces xe-0/0/0:0 description TESTE-WZTECH


    set interfaces xe-0/0/0:0 unit 0 family inet address 192.168.10.1/24
    set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 interface-type p2p

    Quando é realizado o disable da interface lógica (se interfaces xe-0/0/0:0 disable). O comportamento é
    semelhante a uma interface física (ocorre o corte do sinal optico)

    Alterar o filtro de ARP no IX.br - SP

    O router MX204 por padrão vem com uma policer habilitada de 150kbps para pacotes ARP destinados a
    caixa (routing engine). O tráfego de 150Kbps é distribuído entre todas as interfaces do router. Desta
    forma quando é ativado uma conexão com o IX, o tráfego de broadcast acaba consumindo toda essa
    policer e começa a gerar diversos problemas, sendo que os mais comuns são oscilações de sessões
    BGP e perda de pacotes.

    Para ajustar este comportamento do router é necessário criar um nova policer de ARP e aplicá-la a
    interface que está conectada ao fabric do IX, a policer individual prevalece sobre a policer global,
    eliminando assim problemas de oscilações e perda de pacotes.

    Configuração necessária:

    *Criar a policer de ARP:

    set firewall policer per-interface-arp-limiter if-exceeding bandwidth-limit 2m


    set firewall policer per-interface-arp-limiter if-exceeding burst-size-limit 15k
    set firewall policer per-interface-arp-limiter then discard

    *Aplicar a policer na interface que está falando com o PTT

    set interfaces “interface física” unit “id da unit” family inet policer arp per-interface-arp-limiter
    Configuração de sampling (IP FIX)
    Exemplo de configuração de sampling para ser utilizado no MX204. Esta configuração já foi testada e
    validada com diversas ferramentas (TraffIP, Arbor, etc). Somente o rate que deve ser ajustado de
    acordo com a aplicação:

    set services flow-monitoring version-ipfix template ipv4 flow-active-timeout 60


    set services flow-monitoring version-ipfix template ipv4 flow-inactive-timeout 30
    set services flow-monitoring version-ipfix template ipv4 template-refresh-rate packets 48000
    set services flow-monitoring version-ipfix template ipv4 template-refresh-rate seconds 30
    set services flow-monitoring version-ipfix template ipv4 option-refresh-rate packets 48000
    set services flow-monitoring version-ipfix template ipv4 option-refresh-rate seconds 30
    set services flow-monitoring version-ipfix template ipv4 ipv4-template

    set services flow-monitoring version-ipfix template ipv6 template-refresh-rate packets 1000


    set services flow-monitoring version-ipfix template ipv6 flow-active-timeout 60
    set services flow-monitoring version-ipfix template ipv6 flow-inactive-timeout 30
    set services flow-monitoring version-ipfix template ipv6 template-refresh-rate seconds 10
    set services flow-monitoring version-ipfix template ipv6 option-refresh-rate packets 1000
    set services flow-monitoring version-ipfix template ipv6 option-refresh-rate seconds 10
    set services flow-monitoring version-ipfix template ipv6 flow-key flow-direction
    set services flow-monitoring version-ipfix template ipv6 ipv6-template

    set forwarding-options sampling instance "nome-instancia" input rate 1000


    set forwarding-options sampling instance "nome-instancia" input max-packets-per-second 10000
    set forwarding-options sampling instance "nome-instancia" family inet output flow-server "endereço ip do servidor coleta" port
    9999
    set forwarding-options sampling instance "nome-instancia" family inet output flow-server "endereço ip do servidor coleta"
    autonomous-system-type origin
    set forwarding-options sampling instance "nome-instancia" family inet output flow-server "endereço ip do servidor coleta" no-
    local-dump
    set forwarding-options sampling instance "nome-instancia" family inet output flow-server "endereço ip do servidor coleta"
    version-ipfix template ipv4
    set forwarding-options sampling instance "nome-instancia" family inet output inline-jflow source-address "endereço ip de origem
    do tráfego"
    set forwarding-options sampling instance "nome-instancia" family inet6 output flow-server "endereço ip do servidor coleta" port
    9999
    set forwarding-options sampling instance "nome-instancia" family inet6 output flow-server "endereço ip do servidor coleta"
    autonomous-system-type origin
    set forwarding-options sampling instance "nome-instancia" family inet6 output flow-server "endereço ip do servidor coleta" no-
    local-dump
    set forwarding-options sampling instance "nome-instancia" family inet6 output flow-server "endereço ip do servidor coleta"
    version-ipfix template ipv6
    set forwarding-options sampling instance "nome-instancia" family inet6 output inline-jflow source-address "endereço ip de
    origem do tráfego"

    set chassis fpc 0 sampling-instance "nome-instancia"


    set chassis fpc 0 inline-services flow-table-size ipv4-flow-table-size 10
    set chassis fpc 0 inline-services flow-table-size ipv6-flow-table-size 4

    *Aplicar as configurações de sampling nas interfaces onde será coletado os flows

    set interfaces et-0/0/0 unit 0 family inet sampling input


    set interfaces et-0/0/0 unit 0 family inet sampling output
    set interfaces et-0/0/0 unit 0 family inet6 sampling input
    set interfaces et-0/0/0 unit 0 family inet6 sampling output

    *Não é suportado o export de flows no sentido de output no logical-system, somente no


    sentido de input.

    Link documentação Juniper:

    https://kb.juniper.net/InfoCenter/index?page=content&id=KB31772
    Filtro proteção a CPU da caixa (Routing Engine)

    A routing engine é a responsável por realizar diferentes funções, entre as quais podemos destacar,
    processar updates de protocolos de roteamento e acesso via CLI ao equipamento. É essencial que seja
    realizado o filtro de proteção, permitindo somente o tráfego necessário.

    Para realizar esta proteção, é necessário a utilização de firewall filter, sendo que, em várias situações
    utilizamos os comandos de apply-path para automatizar o processo.

    Documentação de apoio:

    https://kb.juniper.net/InfoCenter/index?page=content&id=TN174

    Abaixo um exemplo básico (que deve ser melhorado de acordo com os protocolos utilizados)

    set policy-options prefix-list NTP-SERVERS apply-path "system ntp server <*>"

    set policy-options prefix-list BGP-PEERS apply-path "protocols bgp group <*> neighbor <*>"
    set policy-options prefix-list IPV4-INTERFACES apply-path "interfaces <*> unit <*> family inet address <*>"
    set policy-options prefix-list SNMP-SERVERS apply-path "snmp community <*> clients <*>"

    set firewall family inet filter PROTECT-RE term ACEITA-BGP from source-prefix-list BGP-PEERS
    set firewall family inet filter PROTECT-RE term ACEITA-BGP from destination-prefix-list IPV4-INTERFACES
    set firewall family inet filter PROTECT-RE term ACEITA-BGP from protocol tcp
    set firewall family inet filter PROTECT-RE term ACEITA-BGP from port bgp
    set firewall family inet filter PROTECT-RE term ACEITA-BGP then accept
    set policy-options prefix-list ospf 224.0.0.5/32
    set policy-options prefix-list ospf 224.0.0.6/32

    set firewall family inet filter PROTECT-RE term ACEITA-OSPF from source-prefix-list router-ipv4
    set firewall family inet filter PROTECT-RE term ACEITA-OSPF from destination-prefix-list router-ipv4
    set firewall family inet filter PROTECT-RE term ACEITA-OSPF from destination-prefix-list ospf
    set firewall family inet filter PROTECT-RE term ACEITA-OSPF from protocol ospf
    set firewall family inet filter PROTECT-RE term ACEITA-OSPF then count accept-ospf
    set firewall family inet filter PROTECT-RE term ACEITA-OSPF then accept

    set firewall family inet filter PROTECT-RE term ACEITA-SNMP from source-prefix-list SNMP-SERVERS
    set firewall family inet filter PROTECT-RE term ACEITA-SNMP from protocol udp
    set firewall family inet filter PROTECT-RE term ACEITA-SNMP from destination-port snmp
    set firewall family inet filter PROTECT-RE term ACEITA-SNMP then policer LIMIT-1M
    set firewall family inet filter PROTECT-RE term ACEITA-SNMP then accept

    set firewall family inet filter PROTECT-RE term ACEITA-NTP from source-prefix-list NTP-SERVERS
    set firewall family inet filter PROTECT-RE term ACEITA-NTP from protocol udp
    set firewall family inet filter PROTECT-RE term ACEITA-NTP from destination-port ntp
    set firewall family inet filter PROTECT-RE term ACEITA-NTP then policer LIMIT-32K
    set firewall family inet filter PROTECT-RE term ACEITA-NTP then accept

    set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type echo-request
    set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type echo-reply
    set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type unreachable
    set firewall family inet filter PROTECT-RE term ACEITA-ICMP from icmp-type time-exceeded
    set firewall family inet filter PROTECT-RE term ACEITA-ICMP then policer LIMIT-1M
    set firewall family inet filter PROTECT-RE term ACEITA-ICMP then accept
    set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE from protocol udp
    set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE from destination-port 33434-33523
    set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE then accept
    set firewall family inet filter PROTECT-RE term ACEITA-TRACEROUTE then policer LIMIT-1M

    set firewall family inet filter PROTECT-RE term ACEITA-SSH from source-address "especificar endereços de origem que podem
    acessar a caixa"
    set firewall family inet filter PROTECT-RE term ACEITA-SSH from protocol tcp
    set firewall family inet filter PROTECT-RE term ACEITA-SSH from port ssh
    set firewall family inet filter PROTECT-RE term ACEITA-SSH then policer LIMIT-3M
    set firewall family inet filter PROTECT-RE term ACEITA-SSH then count accept-ssh
    set firewall family inet filter PROTECT-RE term ACEITA-SSH then accept

    set firewall family inet filter PROTECT-RE term DESCARTA-RESTO then discard

    set firewall policer LIMIT-3M if-exceeding bandwidth-limit 3m


    set firewall policer LIMIT-3M if-exceeding burst-size-limit 15k
    set firewall policer LIMIT-3M then discard
    set firewall policer LIMIT-1M if-exceeding bandwidth-limit 1m
    set firewall policer LIMIT-1M if-exceeding burst-size-limit 15k
    set firewall policer LIMIT-1M then discard
    set firewall policer LIMIT-32K if-exceeding bandwidth-limit 32k
    set firewall policer LIMIT-32K if-exceeding burst-size-limit 15k
    set firewall policer LIMIT-32K then discard

    *Aplicar a firewall filter no sentido de input na interface Loopback

    set interfaces lo0 unit 0 family inet filter input PROTECT-RE

    Você também pode gostar