Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:受け入れおよび拒否されたパケットをカウントするフィルターの設定

この例では、パケットをカウントするようにファイアウォールフィルターを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。

概要

この例では、ステートレス ファイアウォール フィルターを使用して、192.168.5.0/24 を除くすべてのアドレスを拒否します。

トポロジ

最初の条件では、 一致条件 address 192.168.5.0/24 except により、このアドレスは不一致と見なされ、このアドレスはフィルター内の次の条件に渡されます。一致条件 address 0.0.0.0/0 は、他のすべてのパケットと一致し、これらはカウント、ログ記録、および拒否されます。

2番目の条件では、最初の条件(アドレスが一致 192.168.5.0/24するパケット)を通過したすべてのパケットがカウントされ、ログに記録され、受け入れられます。

設定

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 を参照してください 設定モードでのCLIエディターの使用

この例を設定するには、以下のタスクを実行します。

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを [edit] 貼り付けます。

ステートレス ファイアウォール フィルターの設定

手順

ステートレスファイアウォールフィルター fire1を設定するには:

  1. ステートレス ファイアウォール フィルターを作成します fire1

  2. 最初の条件を設定して、プレフィックスとの間を除くすべてのアドレスを 192.168.5.0/24 拒否し、その後、他のすべてのパケットをカウント、ログ、および拒否します。

  3. 次の条件を設定して、プレフィックス内のパケットをカウント、ログに 192.168.5.0/24 記録、受け入れます。

ステートレスファイアウォールフィルターを論理インターフェイスに適用する

手順

ステートレスファイアウォールフィルターを論理インターフェイスに適用するには:

  1. ステートレス ファイアウォール フィルターを適用する論理インターフェイスを設定します。

  2. 論理インターフェイスのインターフェイスアドレスを設定します。

  3. ステートレス ファイアウォール フィルターを論理インターフェイスに適用します。

受験者の構成を確認してコミットする

手順

受験者の設定を確認してコミットするには、次の手順に同意します。

  1. 設定モードコマンドを入力して、ステートレスファイアウォールフィルターの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

  2. 設定モードコマンドを入力して、インターフェイスの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

  3. デバイスの設定が完了したら、候補の設定をコミットします。

検証

設定が正常に機能していることを確認するには、 動作モードコマンドを show firewall filter fire1 入力します。また、以下の形式の コマンドを使用して、ログカウンターと個別のカウンターを個別に表示することもできます。

  • show firewall counter reject_pref1_1

  • show firewall counter reject_pref1_2

  • show firewall log