Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:受け付けられたパケットと拒否されたフィルターをカウントするためのフィルタの設定

この例では、ファイアウォールフィルタを設定してパケットをカウントする方法について説明します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、ステートレスファイアウォールフィルターを使用して、192.168.5.0/24 以外のすべてのアドレスを拒否しています。

Topology

最初の用語では、match 条件address 192.168.5.0/24 exceptによってこのアドレスが不一致と見なされ、このアドレスがフィルター内の次の用語に渡されるようになります。照合条件address 0.0.0.0/0は他のすべてのパケットと一致し、これらはカウント、ログ、および拒否されます。

2つ目の用語では、最初の条件 (つまり、アドレスが一致192.168.5.0/24するパケット) を通過したすべてのパケットがカウント、ログ、および承認されます。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLI、 設定モードでの CLI エディターの使用 を参照してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

ステートレスファイアウォールフィルターを構成します。

順を追った手順

ステートレスファイアウォールフィルター fire1を構成するには、次のようにします。

  1. ステートレスファイアウォールフィルター fire1を作成します。

  2. 先頭の用語を設定して、 192.168.5.0/24プレフィックスを除くすべてのアドレスを拒否し、その他すべてのパケットをカウント、ログ、および拒否します。

  3. 192.168.5.0/24プレフィックスのパケットをカウントし、ログに記録し、受信するための次の条件を構成します。

ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

順を追った手順

ステートレスファイアウォールフィルターを論理インターフェイスに適用するには、次のようにします。

  1. ステートレスファイアウォールフィルターの適用先となる論理インタフェースを設定します。

  2. 論理インタフェースのインタフェースアドレスを設定します。

  3. ステートレスファイアウォールフィルターを論理インターフェイスに適用します。

受験者の構成を確認して確定します。

順を追った手順

候補の設定を確認してからコミットするには、以下のようにします。

  1. show firewall構成モードのコマンドを入力して、ステートレスファイアウォールフィルターの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、受験者の設定を確定します。

検証

構成が正常に機能していることを確認ファイアウォールの表示 filter fire1するには、運用モードコマンドを入力します。また、以下の形式のコマンドを使用して、ログと個々のカウンターを個別に表示することもできます。