Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定

この例では、パケットをカウントするようにファイアウォールフィルターを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、ステートレス ファイアウォール フィルターを使用して、192.168.5.0/24 以外のすべてのアドレスを拒否します。

トポロジー

最初の用語では、一致条件 address 192.168.5.0/24 except により、このアドレスは不一致と見なされ、このアドレスはフィルター内の次の用語に渡されます。一致条件は他のすべてのパケット address 0.0.0.0/0 一致し、これらはカウント、ロギング、および拒否されます。

第 2 タームでは、第 1 タームを通過したすべてのパケット(つまり、アドレスが 192.168.5.0/24 と一致するパケット)がカウント、ロギングされ、受け入れられます。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

ステートレス ファイアウォール フィルターを構成する

ステップバイステップでの手順

ステートレス ファイアウォール フィルター fire1を構成するには:

  1. ステートレス ファイアウォール フィルター fire1を作成します。

  2. 最初の条件を設定して、 192.168.5.0/24 プレフィックスとの間のアドレスを除くすべてのアドレスを拒否し、その後、他のすべてのパケットをカウント、ログ、拒否します。

  3. 次の条件を設定して、 192.168.5.0/24 プレフィックス内のパケットをカウントし、記録し、受け入れます。

ステートレス ファイアウォール フィルターの論理インターフェイスへの適用

ステップバイステップでの手順

ステートレス ファイアウォール フィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを構成します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

受験者の設定を確認してコミットする

ステップバイステップでの手順

候補の設定を確認してコミットするには、次の手順に従います。

  1. show firewall 設定モード コマンドを入力して、ステートレス ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  2. show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この例の手順を再実行して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定をコミットします。

検証

設定が正常に機能していることを確認するには、 show firewall filter fire1 operational mode コマンドを入力します。また、次の形式の コマンドを使用して、ログと個々のカウンタを個別に表示することもできます。

  • show firewall counter reject_pref1_1

  • show firewall counter reject_pref1_2

  • show firewall log