Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

IPv6ワイルドカードマスク一致条件

概要

ファイアウォールフィルターは、ネットワークセキュリティの重要なコンポーネントです。あなた(ネットワーク管理者)は、ネットワーク内に許可または禁止したい類似したIPアドレスが多数ある場合があります。各アドレスを個別に設定するのは時間がかかり、非効率的です。より効率的なオプションは、ワイルドカード マスクを使用することです。同様のIPv6アドレスにファイアウォールフィルターを動的に適用するには、ファイアウォールフィルターのワイルドカードマスクに基づいて一致条件を設定します。

デフォルトでは、ファイアウォールフィルターで設定するIPv6アドレスのサブネットマスクは128です。つまり、アドレスが完全に一致している必要があります。アドレスの部分一致を取得するには、サブネットマスクを使用します。ここでfffはアドレスのその部分を含み、0000はアドレスのその部分を除外します。

設定

IPv6アドレスにワイルドカードマスクを使用するには、以下の手順に従ってください。

  1. IPv6ステートレスファイアウォールフィルターを作成します。この例では、フィルターはf1と呼ばれています。
  2. サブネットマスクが適用された後の条件に一致する送信元アドレスまたは宛先アドレスから送信される場合にパケットが一致するように指定します。

    この例では、ファイアウォールフィルターは、送信元アドレスが2001:db8:0:0:****:1111の形式を持つパケットに一致します。****は任意の値を表します。ファイアウォールフィルターは、宛先アドレスが2001:db8:0:0:****:2222であるパケットにも一致します。****は任意の値を表します。

  3. 一致したパケットがカウントされ、パケット転送エンジンのバッファに記録され、受け入れられるように指定します。
  4. 指定された送信元または宛先アドレスに一致しないパケットについては、ファイアウォールフィルターが個別にカウントすることを指定します。
  5. ファイアウォールフィルターを特定のポートに適用します。この例では、インターフェイス et-0/0/16:4 のアドレスは 2001:db8:3c4d:3::2222 です。ポートet-0/0/16:4に入るパケットにファイアウォールフィルターを適用します。そのポート宛てのパケットはすべてf1フィルターに一致し、それに応じてログに記録されます。
  6. 設定をコミットします。
  7. 設定が正常に行われたことを確認します。
    以下の例では、カウンター cnt1 は、ファイアウォールフィルターの一致条件に一致したパケットの数を示しています。 default-match カウンターは、条件に一致しなかったパケットを表示します。

プラットフォームのサポート

プラットフォームとリリースのサポートについては、 機能エクスプローラー を参照してください。