Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:インターフェイス固有のファイアウォールフィルタカウンターの設定

この例では、インターフェイス固有の標準のステートレスファイアウォールフィルターを構成して適用する方法を示します。

要件

インターフェイス固有のステートレス ファイアウォール フィルターは、T Series、M120、M320、MX シリーズでサポートされています。

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、指定されたプレフィックス内の送信元または宛先アドレスを持つパケットをカウントして受け入れ、IP プロトコル タイプのフィールドを特定の値に設定する、インターフェイス固有のステートレス ファイアウォール フィルタを作成します。

Topology

インターフェイス固有のステートレス ファイアウォール フィルターを設定して、プレフィックスの IP 送信元または宛先アドレスを持つパケットをカウントして受け入れ、IP プロトコル タイプのフィールド セット( または数字)を filter_s_tcp10.0.0.0/12tcp 設定します 6

ファイアウォールフィルタカウンターの名前はcount_s_tcp次のようになります。

ファイアウォールフィルタは、次のような複数の論理インタフェースに適用します。

  • at-1/1/1.0入力

  • so-2/2/2.2出力

この2つのインターフェイスにフィルタを適用すると、フィルタのインスタンスは2つになります。filter_s_tcp-at-1/1/1.0-iそれfilter_s_tcp-so-2/2/2.2-oはそれぞれです。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

インターフェイス固有のファイアウォールフィルターを構成します。

順を追った手順

インターフェイス固有のファイアウォールフィルターを構成するには、次のようにします。

  1. IPv4 ファイアウォールフィルター filter_s_tcpを作成します。

  2. フィルターのインターフェイス固有のインスタンスを有効にします。

  3. 条件の照合条件を設定します。

  4. この用語のアクションを構成します。

インターフェイス固有のファイアウォールフィルターを複数のインターフェイスに適用する

順を追った手順

フィルター filter_s_tcpを論理インタフェースat-1/1/1.0に適用するにso-2/2/2.2は、以下のようにします。

  1. 論理インターフェイスat-1/1/1.0で受信したパケットに、インターフェイス固有のフィルタを適用します。

  2. インターフェイス固有のフィルターを、論理インターフェイスso-2/2/2.2から送信されたパケットに適用します。

応募者の設定を確認

順を追った手順

候補の設定を確認するには、次のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces構成モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

カウンターを消去して候補者の構成をコミットする

順を追った手順

カウンターをクリアし、候補者の設定をコミットするには、次のようにします。

  1. 動作コマンドモードから、すべてのclear firewall allファイアウォールフィルターの統計情報を消去するコマンドを使用します。

    この例で使用されているカウンターのみを消去するには、インターフェイス固有のフィルタインスタンス名を指定します。

  2. 応募者の設定を確定します。

検証

構成が正常に機能していることを確認します。

フィルターが各マルチインターフェイスに適用されていることを確認する

目的

フィルターが複数のインターフェイスに適用されていることを確認します。

アクション

show interfacesまたはdetail出力レベルを使用してコマンドをextensive実行します。

  1. フィルタが以下のat-1/1/1.0入力に適用されていることを確認します。

  2. フィルターが次のso-2/2/2.2内容に適用されていることを確認します。

インターフェイス別にカウンターが個別に収集されていることを確認します。

目的

2つの論理count_s_tcpインタフェースのカウンターが個別に収集されていることを確認してください。

アクション

コマンドをshow firewall実行します。