Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Filters zum Zählen von akzeptierten und abgelehnten Paketen

In diesem Beispiel wird gezeigt, wie ein Firewallfilter zum Zählen von Paketen konfiguriert wird.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um alle Adressen außer 192.168.5.0/24 abzulehnen.

Topologie

Im ersten Begriff bewirkt die Übereinstimmungsbedingung , dass diese Adresse als Nichtübereinstimmung betrachtet wird, und diese Adresse wird an den nächsten Begriff im Filter übergeben.address 192.168.5.0/24 except Die Übereinstimmungsbedingung stimmt mit allen anderen Paketen überein, und diese werden gezählt, protokolliert und zurückgewiesen.address 0.0.0.0/0

Im zweiten Term werden alle Pakete, die den ersten Term durchlaufen haben (d. h. Pakete, deren Adresse übereinstimmt ), gezählt, protokolliert und akzeptiert.192.168.5.0/24

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]

Konfigurieren des Filters "Zustandslose Firewall"

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den zustandslosen Firewall-Filter :fire1

  1. Erstellen Sie den zustandslosen Firewallfilter .fire1

  2. Konfigurieren Sie den ersten Begriff so, dass alle Adressen mit Ausnahme der Adressen zum oder vom Präfix abgelehnt werden, und zählen Sie dann alle anderen Pakete, protokollieren und lehnen Sie sie ab.192.168.5.0/24

  3. Konfigurieren Sie den nächsten Begriff so, dass Pakete im Präfix gezählt, protokolliert und akzeptiert werden.192.168.5.0/24

Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle

Schritt-für-Schritt-Anleitung

So wenden Sie den zustandslosen Firewallfilter auf eine logische Schnittstelle an:

  1. Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.

  2. Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.

  3. Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.

Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration

Schritt-für-Schritt-Anleitung

So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:

  1. Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show firewall filter fire1 Sie können das Protokoll und die einzelnen Leistungsindikatoren auch separat anzeigen, indem Sie die folgenden Formen des Befehls verwenden:

  • show firewall counter reject_pref1_1

  • show firewall counter reject_pref1_2

  • show firewall log