Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration d’un filtre pour compter les paquets acceptés et rejetés

Cet exemple montre comment configurer un filtre de pare-feu pour compter les paquets.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour rejeter toutes les adresses, sauf 192.168.5.0/24.

Topologie

Dans le premier terme, la condition de correspondance classe cette adresse dans le filtre et l’adresse est transmise au terme address 192.168.5.0/24 except suivant dans le filtre. La condition de correspondance correspond à tous les autres paquets, qui sont address 0.0.0.0/0 comptabilisés, consignés et rejetés.

Au deuxième terme, tous les paquets qui se sont transmis au premier terme (c’est-à-dire les paquets dont l’adresse est correspondance) sont comptabilisés, enregistrés 192.168.5.0/24 et acceptés.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Utilisation du CLI éditeur dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configurer le filtre de pare-feu sans état

Procédure étape par étape

Pour configurer le filtre de pare-feu sans fire1 état:

  1. Créez le filtre de pare-feu sans fire1 état.

  2. Configurez le premier terme pour refuser toutes les adresses, à l’exception de celles à ou à partir du préfixe, puis compter, journaliser et rejeter tous les 192.168.5.0/24 autres paquets.

  3. Configurez le terme suivant pour compter, journaliser et accepter les paquets dans 192.168.5.0/24 le préfixe.

Appliquer le filtre de pare-feu sans état à une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu sans état à une interface logique:

  1. Configurez l’interface logique à laquelle vous appliquerez le filtre de pare-feu sans état.

  2. Configurez l’adresse de l’interface pour l’interface logique.

  3. Appliquez le filtre de pare-feu sans état à l’interface logique.

Confirmer et valider la configuration de votre candidat

Procédure étape par étape

Pour confirmer et valider la configuration de votre candidat:

  1. Confirmez la configuration du filtre de pare-feu sans état en entrant la commande show firewall mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  2. Confirmez la configuration de l’interface en entrant la commande show interfaces mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

  3. Si vous avez terminé la configuration de l’équipement, validation de la configuration de votre candidat.

Vérification

Pour vérifier que la configuration fonctionne correctement, saisissez la show firewall filter fire1 commande Du mode opérationnel. Vous pouvez également afficher le journal et les compteurs individuels séparément en utilisant les formes de commande suivantes:

  • show firewall counter reject_pref1_1

  • show firewall counter reject_pref1_2

  • show firewall log