Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren eines Filters zur Anzahl akzeptierter und abgelehnter Pakete

Dieses Beispiel zeigt, wie Sie einen Firewall-Filter so konfigurieren, dass Pakete gezählt werden.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration über die Geräte initialisierung hinaus erforderlich.

Überblick

In diesem Beispiel verwenden Sie einen zustandslosen Firewall-Filter, um alle Adressen außer 192.168.5.0/24 abzulehnen.

Topologie

Im ersten Begriff bewirkt die Übereinstimmungsbedingung address 192.168.5.0/24 except , dass diese Adresse als Eine Mismatch betrachtet wird, und diese Adresse wird an den nächsten Begriff im Filter übergeben. Die Übereinstimmungsbedingung address 0.0.0.0/0 entspricht allen anderen Paketen, und diese werden gezählt, protokolliert und abgelehnt.

Im zweiten Begriff werden alle Pakete, die über den ersten Begriff übertragen wurden (d. h. Pakete, deren Adresse übereinstimmt 192.168.5.0/24), gezählt, protokolliert und akzeptiert.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Cli-Editor im Konfigurationsmodus verwenden.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche und fügen Sie die Befehle dann auf Hierarchieebene in die [edit] CLI ein.

Konfigurieren Sie den Stateless Firewall-Filter

Schritt-für-Schritt-Verfahren

So konfigurieren Sie den zustandslosen Firewall-Filter fire1:

  1. Erstellen Sie den zustandslosen Firewall-Filter fire1.

  2. Konfigurieren Sie den ersten Begriff, um alle Adressen außer denen vom 192.168.5.0/24 oder zum Präfix abzulehnen und dann alle anderen Pakete zu zählen, protokollieren und abzulehnen.

  3. Konfigurieren Sie den nächsten Begriff, um Pakete im 192.168.5.0/24 Präfix zu zählen, zu protokollieren und zu akzeptieren.

Anwenden des Stateless Firewall-Filters auf eine logische Schnittstelle

Schritt-für-Schritt-Verfahren

So wenden Sie den statuslosen Firewall-Filter auf eine logische Schnittstelle an:

  1. Konfigurieren Sie die logische Schnittstelle, auf die Sie den statuslosen Firewall-Filter anwenden.

  2. Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.

  3. Wenden Sie den statuslosen Firewall-Filter auf die logische Schnittstelle an.

Bestätigen und Bestätigen der Kandidatenkonfiguration

Schritt-für-Schritt-Verfahren

Um ihre Kandidatenkonfiguration zu bestätigen und dann zu bestätigen:

  1. Bestätigen Sie die Konfiguration des statuslosen Firewallfilters, indem Sie den show firewall Konfigurationsmodusbefehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  2. Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces Konfigurationsmodusbefehl eingeben. Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

  3. Wenn Sie die Konfiguration des Geräts durchgeführt haben, bestätigen Sie die Konfiguration Ihres Kandidaten.

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl für den show firewall filter fire1 Betriebsmodus ein. Sie können auch das Protokoll und die einzelnen Zähler separat anzeigen, indem Sie die folgenden Formen des Befehls verwenden:

  • show firewall counter reject_pref1_1

  • show firewall counter reject_pref1_2

  • show firewall log