Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイス固有のファイアウォール フィルター カウンターの設定

この例では、インターフェイス固有の標準ステートレス ファイアウォール フィルターを構成して適用する方法を示します。

要件

インターフェイス固有のステートレス ファイアウォール フィルターは、T Series、M120、M320、MX シリーズ ルーターでのみサポートされています。

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、指定したプレフィックスに送信元または宛先アドレスがあり、IP プロトコル タイプ フィールドを特定の値に設定したパケットをカウントして受け入れる、インターフェイス固有のステートレス ファイアウォール フィルターを作成します。

トポロジー

10.0.0.0/12プレフィックスにIP送信元または宛先アドレスがあり、IP プロトコルタイプフィールドがtcp(または数値6 )に設定されているパケットをカウントして受け入れるように、インターフェイス固有のステートレスファイアウォールフィルターfilter_s_tcpを設定します。

ファイアウォール フィルター カウンターの名前は count_s_tcp です。

ファイアウォールフィルターは、複数の論理インターフェイスに適用します。

  • at-1/1/1.0 インプット

  • so-2/2/2.2 アウトプット

これら 2 つのインターフェイスにフィルターを適用すると、フィルターの 2 つのインスタンスが生成されます。filter_s_tcp-at-1/1/1.0-ifilter_s_tcp-so-2/2/2.2-oそれぞれ。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次のコマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

インターフェイス固有のファイアウォールフィルターを設定する

ステップバイステップでの手順

インターフェイス固有のファイアウォールフィルターを設定するには:

  1. IPv4ファイアウォールフィルター filter_s_tcpを作成します。

  2. フィルターのインターフェイス固有のインスタンスを有効にします。

  3. 条件の一致条件を設定します。

  4. 用語のアクションを設定します。

インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する

ステップバイステップでの手順

フィルター filter_s_tcp を論理インターフェイス at-1/1/1.0 および so-2/2/2.2 に適用するには:

  1. 論理インターフェイス at-1/1/1.0で受信したパケットにインターフェイス固有のフィルターを適用します。

  2. 論理インターフェイス so-2/2/2.2から送信されたパケットにインターフェイス固有のフィルターを適用します。

候補の設定を確認する

ステップバイステップでの手順

受験者の設定を確認するには:

  1. show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

カウンターをクリアし、受験者の設定をコミットします

ステップバイステップでの手順

カウンターをクリアして受験者の設定をコミットするには:

  1. 動作コマンド モードから、 clear firewall all コマンドを使用して、すべてのファイアウォール フィルターの統計情報をクリアします。

    この例で使用されているカウンターのみをクリアするには、インターフェイス固有のフィルター インスタンス名を含めます。

  2. 候補の構成をコミットします。

検証

設定が正常に機能していることを確認します。

フィルターが複数のインターフェイスのそれぞれに適用されていることの確認

目的

フィルターが複数のインターフェイスのそれぞれに適用されていることを確認します。

アクション

detailまたはextensive出力レベルで show interfaces コマンドを実行します。

  1. フィルターが at-1/1/1.0 の入力に適用されていることを確認します。

  2. フィルターが so-2/2/2.2 の出力に適用されていることを確認します。

カウンターがインターフェイスごとに個別に収集されていることの確認

目的

count_s_tcp カウンターが 2 つの論理インターフェイスに対して別々に収集されていることを確認します。

アクション

show firewallコマンドを実行します。